CSA GCR：2022云安全風險、合規性和配置不當報告（22頁）.pdf

《CSA GCR：2022云安全風險、合規性和配置不當報告（22頁）.pdf》由會員分享，可在線閱讀，更多相關《CSA GCR：2022云安全風險、合規性和配置不當報告（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、 2022 云安全聯盟大中華區版權所有1 2022 云安全聯盟大中華區版權所有4目錄目錄致謝.31.調研的開展和方法論.61.1研究目的.62.概要.7關鍵發現 1.7關鍵發現 2.8關鍵發現 3.9安全部門仍然在努力對齊安全方針及(或)方針落地.9部門間在安全方針和執行方面的一致性對主動安全至關重要.103.云安全程序的當前狀態.113.1使用共有云提供商.113.2公有云的年度預算.113.3對抗云安全漏洞的總體信心水平.123.4對防御云漏洞威脅的能力充滿信心.123.5 解決安全問題的障礙.133.6安全方針制訂與落地執行的跨部門協作.133.7度量安全性和合規性狀況.144.正在使用

2、的云安全工具.144.1用于云安全的解決方案.144.2對云服務提供商安全解決方案的滿意度.154.3使用托管服務提供商.155.云安全狀態管理.155.1識別配置不當.155.1.1負責檢測、跟蹤和報告配置不當的團隊.155.1.2云配置不當的原因.165.1.3檢測到配置不當的流水線交付階段.175.2 因配置不當造成的破壞和事件.18 2022 云安全聯盟大中華區版權所有55.2.1設計用于管理云配置不當的安全性和合規性標準.185.2.2防止或修復云配置不當的障礙.185.3治理與合規.195.3.1設計用于管理云配置不當的安全性和合規性標準.195.3.2跨團隊和組織執行標準.195

3、.3.3平衡安全性與項目交付.205.4解決配置不當的解決方案.205.4.1負責糾正配置不當的小組.205.4.2修復配置不當的流水線過程階段.215.4.3修復配置不當的時間.215.4.4改進解決安全性或合規性配置不當的方法組織中最常見的方法.225.4.5使用自動修復的障礙.226.人口統計資料.236.1組織行業.236.2組織規模.236.3工作等級.236.4組織公有云支出.246.5公司部門主要工作.24 2022 云安全聯盟大中華區版權所有61.調研的開展和方法論調研的開展和方法論云安全聯盟（CSA）是一個非營利組織，其使命是廣泛推廣最佳實踐，確保云計算和IT技術中的網絡安全

4、。CSA還負責教育這些行業內的各種利益相關者(涉及所有其他形式計算中的安全問題)。CSA的成員是由從業者、公司和專業協會組成的廣泛聯盟。CSA的主要目標之一是開展調研評估信息安全趨勢。這些調研有助于衡量信息安全技術在行業內各方面的成熟度，以及安全最佳實踐的采用率。VMware的CloudHealth為了增加業界對公有云安全的了解，委托CSA開展一項調查并編寫這份調查結果報告。CloudHealth為該項目提供資金，并與CSA一起參與制定針對云安全的調查問題，從而共同制定了該倡議。該調查由CSA于2021年5月至2021年6月在線進行，收到1090份來自不同組織規模和地點的IT和安全專業人士的答

5、復。數據分析由CSA的研究團隊進行。1.1研究目的研究目的本調研的目的是評估組織在降低配置不當導致的公有云安全和合規風險方面的準備度。主要研究課題包括：云安全計劃的現狀，包括最主要風險和安全工具的使用情況。組織在緩解配置不當導致的漏洞方面面臨的云安全態勢管理（CSPM）挑戰。組織準備情況、成功關鍵績效指標（KPI）以及負責云安全態勢管理不同方面的團隊。2022 云安全聯盟大中華區版權所有72.概要概要云配置不當一直是使用公有云的企業最關心的問題。這種錯誤會導致數據泄露，允許刪除或修改資源，導致服務中斷，并對業務運營造成嚴重破壞。最近，由于配置不當導致的漏洞成為頭條新聞，為了更好地了解云安全計劃

6、的現狀、用于減輕安全風險的工具、企業的云安全態勢以及企業在減少安全風險方面面臨的障礙，我們進行了這項調研。關鍵發現關鍵發現 1知識和專業技能匱乏不斷困擾著安全團隊知識和專業技能匱乏不斷困擾著安全團隊知識和專業技能匱乏是信息安全行業內眾所周知的問題。毫不奇怪，知識匱乏和專業技能被一致認定為:通用云安全的主要障礙(59%)配置不當的主要原因(62%)主動預防或修復配置不當的障礙(59%)實施自動補救的主要障礙(56%)這些發現突出了“知識匱乏”對安全團隊可能產生的涓滴效應。它首先是實施有效的云安全措施的一般障礙，導致了錯誤的配置，這是數據泄露的主要原因。但它也阻礙了安全團隊實施解決方案，如自動修復

7、，這些解決方案可以補充知識和技能的不足。通用云安全的主要障礙配置不當的主要原因主動預防或修復配置不當的障礙實施自動補救的主要障礙 2022 云安全聯盟大中華區版權所有8關鍵發現關鍵發現 2信息安全及信息安全及IT運營團隊對降低云配置不當風險承擔責任運營團隊對降低云配置不當風險承擔責任每年都有由于配置不當而導致的數據泄密事件，涉事公司也因此上了新聞頭條；因此很多公司都把配置不當風險當成首要關注點。很多公司沒有處理好配置不當風險的可能原因之一就是，對潛在配置不當問題的發現、監控、及追蹤，IT運營及信息安全團隊承擔主要責任(信息安全信息安全54%,IT運營運營33%)同樣兩團隊對問題的修復也需要承擔

8、主要責任(信息安全信息安全36%,IT運營運營34%),公司沒有將這些責任分擔給其他團隊，比如DevOps或應用工程團隊，這些問題可能就是這些團隊產生的，從而更加適合直接修復這些錯誤?；谶@個原因，公司就需要將問題修復的職責轉移給DevOps及應用工程團隊，這樣可以更好的管理配置不當風險。另外，很多公司表明由于配置不當而導致安全事件的主要原因是”缺乏可見性“(68%)，公司在選擇工具的時候，下面三種功能同樣重要:提高可見性有效的風險管理自動化這些功能將幫助企業快速識別及修復配置不當問題，不管是哪個團隊對此負責。其他其他不確定應用工程IT 運營信息安全信息安全IT 運營哪個團隊主要負責公司云配置

9、不當問題的發現、追蹤及匯報等工作？哪個團隊主要負責公司云配置不當問題的發現、追蹤及匯報等工作？哪個團隊主要負責確保云配置不當問題被修復？哪個團隊主要負責確保云配置不當問題被修復？2022 云安全聯盟大中華區版權所有9關鍵發現關鍵發現 3DevSecOps 方式對安全部門仍然遙不可及方式對安全部門仍然遙不可及安全部門仍然在努力對齊安全方針及安全部門仍然在努力對齊安全方針及(或或)方針落地方針落地DevSecOps及安全左移等話題在安全行業越來越熱，雖然這些轉型將會導致一個更牢固、更安全、更有彈性的應用，但很多組織在落地這些方針時還是很困難。他們甚至在跨部門之間對安全方針及方針落地達成共識方面都較

10、吃力。只有三分之一的組織能成功實施這些轉型。部門之間缺乏共識將會導致文化差異，也就是不同的領導有不同的優先級，經常會發生的情況是，這些問題將會先從領導開始，然后蔓延到他的團隊。部門之間缺乏共識的一個解釋是對前面的關鍵問題點缺乏知識。如果部門對DevSecOps的戰略及最佳實踐都沒有足夠的知識，那將很難在關鍵問題上達成共識。另外同樣值得注意的是，盡管有近70%的組織在對安全方針及方針落地上對跨部門間達成共識存在困難，但只有39%的組織認為這是解決安全問題的最大障礙。所以這些部門可能遇到更多的根本問題，這些問題將會阻礙DevSecOps或安全左移模型的落地。沒有對安全方針及落地方針進行達成共識對安

11、全方針達成共識，但沒有對落地方針達成共識對安全方針及落地方針已經達成共識安全,IT 運營、及開發團隊對安全方針和落地方針的關系安全,IT 運營、及開發團隊對安全方針和落地方針的關系 2022 云安全聯盟大中華區版權所有10部門間在安全方針和執行方面的一致性對主動安全至關重要部門間在安全方針和執行方面的一致性對主動安全至關重要如果組織能夠在部門之間獲得關于安全方針和執行方針的一致性，并且正在轉向DevSecOp方法，那么就能夠更好地處理配置錯誤。這些組織更有可能在錯誤發生一天內檢測到錯誤配置(完全一致完全一致 56%,部分一致部分一致 41%,沒有一致沒有一致 31%)，也 更 有 可 能 在

12、檢 測 到 配 置 不 當 一 天 內 糾 正這 個 錯 誤(完全一致完全一致51%,部分一致部分一致24%,沒有一致沒有一致19%)。由于配置不當是導致據數據泄露的主要原因之一，檢測和糾正這些錯誤的時間越短，企業總體上就越安全。很明顯，這種對DevSecOps方法的協作和進步是組織解決配置不當的關鍵，而且也減少了數據泄露或其他重大安全事件的風險。與安全方針保持一致并且強制執行與安全方針保持一致但沒有強制執行沒有與安全方針保持一致而且沒有強制執行與安全方針保持一致并且強制執行與安全方針保持一致但沒有強制執行沒有與安全方針保持一致而且也沒有強制執行在一天內檢測配置不當在一天內檢測配置不當在一天內

13、糾正配置不當在一天內糾正配置不當 2022 云安全聯盟大中華區版權所有113.云安全程序的當前狀態云安全程序的當前狀態3.2公有云的年度預算公有云的年度預算參與者之間云預算差異很大。然而，最常見的三個回答都在150萬美元以下?！?0-$250,000”占占 22%,“$500,001-$1,500,000”占占15%和“$250,001-$500,000”占占13%。不確定的人也占顯著比例(16%).3.1使用公有云提供商使用公有云提供商市場上還沒有一個占主導地位的公共云平臺，但是市場上還沒有一個占主導地位的公共云平臺，但是Amazon Web Services(AWS)、Microsoft

14、Azure和谷歌云平臺和谷歌云平臺(GCP)仍然是主要的公共云提供商。在這項調研中仍然是主要的公共云提供商。在這項調研中,74%的受訪者使用的受訪者使用AWS,79%使用使用Azure,41%使用使用GCP.79%41%Google CloudPlatform(GCP)6%Alibaba CloudMicrosoftAzure6%IBM74%8%OracleAmazon WebServices(AWS)2022 云安全聯盟大中華區版權所有123.3對抗云安全漏洞的總體信心水平對抗云安全漏洞的總體信心水平為了評估受訪者對其組織安全計劃的信心，受訪者被要求評估他們對組織防御及處置云安全漏洞的能力的

15、總體信心水平。大多數受訪者表示“一般有自信一般有自信”(42%)或“非常有信心非常有信心”(31%)。3.4對對防防御御云云漏漏洞洞威威脅脅的的能能力力充充滿滿信信心心受訪者對其組織在不同領域抵御威脅和漏洞的能力的信心水平，平均處于居中水準。不同類別選項之間的置信水平差異很小。其中，信心水平最高的“合規與監管”和次高的“網絡”，也僅是略高于“錯誤配置”選項。完全沒信心有點信心一般有信心非常有信心很有信心合規和監管網絡網絡身份和訪問管理運行態及工作負載數據丟失或泄配置錯誤 2022 云安全聯盟大中華區版權所有133.5解解決決安安全全問問題題的的障障礙礙解決安全問題的主要障礙并不令人意外，“缺缺

16、乏乏技技能能和和專專業業知知識識”(59%)和和“預預算算和和人人力力資資源源有有限限”(56%)。這兩個問題已經困擾了行業一段時間，并且與其他選項密切相關。這表明預算、人員配備和專業知識的問題可能掩蓋了其他關鍵問題，例如“缺乏可見性”和“安全工具不足”。3.6安全方針制訂與落地執行的跨部門協作安全方針制訂與落地執行的跨部門協作DevSecOps和“安全左移”已成為安全行業中的流行概念。然而，對于許多組織來說，這些概念的落地執行仍很難把握。只有31%的人反映他們的內部團隊能在安全方針制訂和執行上保持一致?！皟炔咳狈χС值囊恢滦浴翱赡苁怯捎诓煌块T間的文化差異，例如不同的目標優先級。另一方面也可

17、能是“缺乏相應的專業知識”，這也是上一個問題中提到的。還值得注意的是，盡管大約 70%的組織致力于“安全方針和執行方面獲得跨部門的一致性”，但只有 39%認為這是解決安全問題的主要障礙。此外，在安全方針及落地執行上跨部門協作性更好的受訪者更高概率反饋他們對自己抵御安全漏洞的能力“非常有信心”或“非常有信心”（非常有信心：完全一致 15%,部分對齊-2%，不對齊-1%；非常有信心：完全對齊-49%，部分對齊-27%，不對齊-16%）。綜上，我們可以得出結論，“內部一致性”是希望改善云安全狀況的組織應關注的關鍵決定因素和基線要求。缺乏技能和專業指示有限的預算和人力資源難以管理復雜的云環境缺乏內部一

18、致性或支持缺乏對云環境的可見性安全工具不足與安全方針和執行方針不一致與安全方針保持一致，但與執行方針不一致與安全方針和執行方針保持一致 2022 云安全聯盟大中華區版權所有14未解決的高風險配置錯誤或違規的百分比安全和合規性控制識失敗的數量解決錯誤配置或安全和合規性違規的平均時間安全或合規性控制覆蓋的云庫存的百分比檢測錯誤配置或違反安全和法規遵從性的平均時間3.7度量安全性和合規性狀況度量安全性和合規性狀況組織用來度量其安全性和合規性狀況的指標視情況而異。受訪者被要求選擇他們組織使用的前三個指標。選擇最多的回答是“未解決的高風險錯誤配置或違規的百分比”(42%),“安全和合規性控制失敗的數量”

19、(38%),和“解決錯誤配置或安全和合規性違規的平均時間”(32%)。4.正在使用的云安全工具正在使用的云安全工具4.1用于云安全的解決方案用于云安全的解決方案通常，使用云服務提供商的本地工具和第三方解決方案的組織之間存在相對平均的比例。然而，有幾個類別的云安全有明顯的贏家。云服務提供商的解決方案是原生工具，用于“身份和訪問管理”(47%),而第三方解決方案用于“檢測網絡威脅”(46%)和“防止數據泄漏”(35%)。需要注意的一個特別令人擔憂的模式是，未使用數據防防丟失的組織所占比例(13%)遠遠高于其他任何類別。這將可能反映出這些類型的解決方案實施的難度。云服務提供商的本機云服務提供商的本機

20、工工具具第三方解決方案第三方解決方案內部解決方案內部解決方案不適應 無解決方案不適應 無解決方案不確定不確定身份和訪問管理對合規性進行基準測試和監控檢測運行時和/或工作負載威脅和異常檢測并修復錯誤配置檢測網絡威脅防止數據丟失或泄漏 2022 云安全聯盟大中華區版權所有154.2對對云云服服務務提提供供商商安安全全解解決決方方案案的的滿滿意意度度平均而言，受訪者對他們的主要公有云服務提供商的安全解決方案感到“適適度度滿滿意意”在不同類別之間差異很小。平均滿意度最高的領域，如“身份和訪問管理”，僅略高于評分最低的“防止數據丟失或泄露”。4.3使使用用托托管管服服務務提提供供商商大多數組織沒有使用托

21、管服務提供商(MSP,59%)管理公有云環境下的安全性和合規性。但只有31%的人在使用MSP。還需要注意的是，擁有1-50名員工的小型企業(72%)比擁有50名或更多員工的組織(57%)更有可能不使用MSP。5.云安全狀態管理云安全狀態管理5.1識別配置不當識別配置不當5.1.1負責檢測、跟蹤和報告配置不當的團隊負責檢測、跟蹤和報告配置不當的團隊負責檢測、跟蹤和報告云配置不當的主要團隊通常是信息安全團隊信息安全團隊(54%)。IT 運營是排在第二位的部門(33%)。身份和訪問控制檢測網絡安全對合規性進行基準測試和監控檢測運行時和/或工作負載威脅和異常檢測并修復服務錯誤配置防止數據丟失或泄漏較多

22、信心較少信心不確定否是 2022 云安全聯盟大中華區版權所有16有趣的是，配置不當的來源通常是DevOps團隊，因此更有可能意識到已發生配置錯誤的人員不會被標識為負責檢測、跟蹤或報告云配置錯誤的團隊。這突出了為了提高部門間的一致性和可見性，轉向DevSecOps方法，從而最終更快地檢測和糾正錯誤配置的重要性。同樣重要的是，確保組織擁有正確的工具，使整個組織中的所有這些部門都能發揮作用。特別是能夠實現有效風險治理的工具，使組織能夠更好地識別和管理風險及合規性。自動化也是快速識別和糾正錯誤配置的關鍵。這將要求組織將其架構轉向云端。5.1.2云云配配置置不不當當的的原原因因組織中配置不當的主要原因是

23、“缺缺乏乏云云安安全全最最佳佳實實踐踐方方面面的的知知識識或或技技能能”(62%)。這并不令人驚訝，因為早些時候這被認為是一個主要的安全障礙。更令人驚訝的是，第二個選擇最多的回答是“缺缺乏乏安安全全可可見見性性和和監監控控”(49%),因為在之前的調查中，可見性沒有被認為是解決安全問題的主要障礙。這可能表明組織沒有優先解決可見性方面的挑戰，因此，可見性是配置不當的主要原因。其他IT 運營信息安全缺乏云安全最佳實踐方面的知識或技能缺乏安全可見性和監控部署速度和投放市場時間受到限制默認賬戶和服務配置設置不合規的模板和自動化腳本其他 2022 云安全聯盟大中華區版權所有175.1.3檢測到配置不當的

24、流水線交付階段檢測到配置不當的流水線交付階段在流水線流程中檢測到云配置不當的最常見階段是“測試測試”階段階段(36%)和“后期處理后期處理”階段階段(21%)。這意味著大多數配置不當都是在部署之前檢測到的(67%)，至少在某些方面表明組織已經能夠“左移”。5.1.4檢測配置不當的時長檢測配置不當的時長組織檢測云配置不當所需的時間長短差別很大。最常見的情況是會在一天內一天內(23%)或者一周內一周內(22%)。找到問題。然而，更令人擔憂的是，22%的組織甚至需要超過一周的時間才能找到配置不當，更不用說解決配置不當了。還需要注意的是，報告部門間協調方針及其執行情況的組織更有可能在錯誤發生后的一天內

25、檢測到配置不當(完全協調-56%，部分協調-41%，無協調-31%)。計劃構建測試交付部署后期處理 2022 云安全聯盟大中華區版權所有185.2因配置不當造成的破壞和事件因配置不當造成的破壞和事件5.2.1設計用于管理云配置不當的安全性和合規性標準設計用于管理云配置不當的安全性和合規性標準大多數組織報告稱，他們在過去的一年中沒有經歷過公公有有云云安安全全事事件件或或漏漏洞洞問問題題(65%)。大約17%的的人人表表示示他他們們經經歷歷過過這這樣樣的的事事件件，剩下18%的的受受訪訪者者表表示示不不確確定定是是否否經經歷歷了了相相關關問問題題。鑒于調查受訪者的工作角色直接涉及其組織的云安全態勢

26、，出現如此高比例的受訪者不確定是否發生了安全事件或漏洞問題，令人不禁有些擔憂。5.2.2 防防止止或或修修復復云云配配置置不不當當的的障障礙礙在經歷過發生云安全事件或漏洞的17%的組織中，主動預防或解決問題的最常見障礙是“缺缺乏乏安安全全可可見見性性和和監監控控能能力力”（68%），其次是“缺缺乏乏知知識識或或專專業業技技能能”（59%）。再一次說明，知識和可視化是主要障礙。不確定不是是缺乏安全可視化和監控能力缺乏專業知識或技能缺乏發生配置錯誤時的主動通知無法區分錯誤配置的優先級缺乏問責其他 2022 云安全聯盟大中華區版權所有195.3治治理理與與合合規規5.3.1設設計計用用于于管管理理云

27、云配配置置不不當當的的安安全全性性和和合合規規性性標標準準組織主要利用“行行業業合合規規性性標標準準”（69%）、“云云服服務務提提供供商商推推薦薦基基準準”（55%）和“自自定定義義方方針針和和（或或）標標準準”（45%）。只有9%的組織報告說他們目前沒有設計安全合規性標準。5.3.2跨團隊和組織執行標準跨團隊和組織執行標準安全性和合規性標準的執行水平因組織而異。報告“在所有環境中完全實施”“在所有環境中完全實施”(23%)、“僅在關鍵環境中完全實施”、“僅在關鍵環境中完全實施”(26%)和“在所有環境中實施部分標準”“在所有環境中實施部分標準”(24%)的組織數量大致相等。其中一點特別有趣

28、，因為 70%的公司報告稱，他們的安全方針及（或）其執行方面難以實現部門間協調。還應注意的是，與“方針一致但執行不一致的組織”17%）和“兩者都不一致的組織”（7%）相比，在跨部門的方針及其執行方面具有一致性的組織，更有可能報告“在所有環境中完全執行”（占44%）。利用行業合規性標準利用云服務提供推薦基準創建自定義方針和（或）標準當前沒有做 2022 云安全聯盟大中華區版權所有205.3.3平衡安全性與項目交付平衡安全性與項目交付接受調研的組織傾向于優先考慮風險緩解，即使這會導致產品交付速度有所延遲產品交付速度有所延遲(41%)。另有 29%的組織優先考慮交付速度，接受風險緩解方面有所延遲的組

29、織優先考慮交付速度，接受風險緩解方面有所延遲。為確保這些回答不會因為由于大量信息安全專業人員回應而使調研的數據結論有所偏差，我們特意忽略部分回答，并對數據進行了對比分析，暫未發現明顯差異。另一個值得注意的發現點是，按方針與執行一致性來看，執行上保持一致的組織更有可能報告說“優先考慮緩解風險勝于交付速度”，其占比35%。而那些方針與具體執行不一致的組織約占12%。5.4解決配置不當的解決方案解決配置不當的解決方案5.4.1負責糾正配置不當的小組負責糾正配置不當的小組早些時候，我們發現負責檢測、跟蹤和報告云配置不當的主要群體是信息安全人員(54%)，其次是 IT 運營人員(33%)。在解決配置不當

30、方面，信息安全和 IT 運營仍然是兩個主要的負責群體。兩者的責任分工似乎也極為接近，其中，有36%的組織錯誤信息上報是由信息安的組織錯誤信息上報是由信息安全人員全人員主要負責，而由 IT 運營人員主責承擔的組織占比運營人員主責承擔的組織占比 34%。有趣的是，導致此類錯誤產生，或更能直接修復這些錯誤的DevOps或應用程序研發工程師團隊并不需要承擔修復的責任，而往往是由 IT 運營和信息安全人員負責修復這些錯誤。這結論再次顯示了這些部門之間保持一致的重要性。如果組織能夠通過引入 DevSecOps 的工作方法，使各參與者都可以更清楚地了解其他部門的活動，通過協同工作以便于更快地解決出現的配置不

31、當或其他問題。其他不確定應用工程師IT運營信息安全 2022 云安全聯盟大中華區版權所有215.4.2修復配置不當的流水線過程階段修復配置不當的流水線過程階段在流水線過程中，對云計算配置修復最常見的階段是“測試”階段（“測試”階段（34%）和“發布后”階段（“發布后”階段（24%）。這意味著大多數配置不當能夠在部署之前得到糾正(63%)，這再次表明組織至少在某些方面已經能夠實現“安全左移”。這些發現幾乎與前文提到的流水線過程中檢測到云配置不當的階段相同（測試，36%；發布后，21%，部署前修復，67%）。5.4.3修復配置不當的時間修復配置不當的時間大多數組織都能在一周內修復這些云配置不當，總

32、數占比約60%。其中，32%的組織能夠在一周內完成修復，的組織能夠在一周內完成修復，28%的組織能夠在當天完成修復的組織能夠在當天完成修復。同時，也有30%的組織需要超過一周的時間修復這些錯誤的配置。關于檢測到配置不當的時間長度的問題發現，78%的組織能夠在一周內檢測到錯誤。在修復配置不當的用時與檢測到配置不當的用時方面有類似的趨勢，69%的錯誤能夠在一周內修復。另一個值得注意的發現是，方針制訂和執行的部門一致的組織，則更有可能在檢測到配置不當的一天內糾正該錯誤（完全一致的占51%，部分一致的占24%，不一致的占19%）。計劃構建測 試交付部署后期處理計劃構建測 試交付部署后期處理4%14%3

33、4%11%14%24%2022 云安全聯盟大中華區版權所有225.4.4改改進進解解決決安安全全性性或或合合規規性性配配置置不不當當的的方方法法組組織織中中最最常常見見的的方方法法用于改進云環境中安全性和（或）合規性配置不當的解決方法是“培訓和教育”。這并不奇怪，因為缺乏知識已多次被指出是安全的一個關鍵障礙。第二和第三個最常見的回答是“手手動動修修復復”(48%)和“自自動動修修復復”(43%)。盡管自動化是最常用的三種方法，但很明顯，許多組織還沒有完全實現自動修復，因為當被問及他們的組織需要多長時間修復上一個問題中的配置不當時并不是一個普遍選擇的回答。5.4.5使使用用自自動動修修復復的的障

34、障礙礙對于那些不使用自動修復的人來說，不使用該解決方案的最常見原因還是缺缺乏乏專專業業知知識識(56%)。第二大常見原因是部部門門之之間間在在自自動動補補救救策策略略上上缺缺乏乏一一致致性性(43%)。這一點也不奇怪，因為70%的組織正在努力在安全方針或方針執行方面獲得部門間的一致。與之接近的第三個原因是，人們擔心自自動動修修復復可可能能會會導導致致意意想想不不到到的的后后果果(42%)。這可能與缺乏專業知識和知識的問題有關。如果團隊不知道如何正確地利用這項技術，就很有可能會遇到意想不到的后果。培訓和教育手動修復自動修復利用安全驗證的基礎設施即代碼作為模板在 CI/CD流程中主動執行安全控制缺

35、乏專業只是在自動修復策略上，安全性和工程之間缺乏一致性擔心自動修復會導致意想不到的后果足夠的預算目前不感興趣 2022 云安全聯盟大中華區版權所有236.人口統計資料人口統計資料這項調研于2021年5月至6月進行，收集了1090份來自不同組織規模、行業、地點和角色的IT和安全專業人員的回復。6.1組織行業組織行業6.2組織規模組織規模6.3工作等級工作等級36%IT 和技術19%金融服務16%公共部門(政府、教育等)9%商業和專業服務6%其他6%健康、制藥和生物科技5%電信4%制作與生產3%零售2%能源、石油/天然氣和公用事業2%旅行和交通1%建筑及物業高層或管理級別員工經理 2022 云安全聯盟大中華區版權所有246.4組織公有云支出組織公有云支出6.5公公司司部部門門主主要要工工作作6.6區區域域貢獻最多的國家和地區包括：美利堅合眾國、印度、大不列顛及北愛爾蘭聯合王國、加拿大、澳大利亞、新加坡、德國、瑞士、法國美洲51%20%亞太區29%歐洲IT運營信息安全其他應用工程師