最近的研究數據紛至沓來。Thales 2022年全球云安全研究發現，在過去12個月中，有45%的企業經歷了云數據泄露或未能進行審計（希望這個數字可以細分）。如果您一直在關注這個領域，您會發現這與前一年只有5%的差距。是什么原因導致了這樣的情況呢？

總體而言，我們正面臨一系列問題：對云安全投資不足、對基于云平臺的重度依賴以及缺乏云安全人才。許多企業不得不雇傭資質較低的專家，再加上惡意行為者利用生成式人工智能等新工具不斷升級，導致大部分企業無法妥善應對新挑戰。

數據失控

其中一個更重要的擔憂是影子數據的增長。影子數據是指在企業IT基礎設施內創建、存儲或傳輸的數據，而企業IT部門沒有知情或控制權。這些數據通常存在于未經批準和監控的系統之外，包括存儲在員工設備、云服務或其他未經批準和不知名的應用程序上的數據。

如果您曾經將包含敏感業務數據的文檔從企業云數據庫復制到一個便攜式存儲設備上以便在家里繼續工作，或者在出差前將一個基于SaaS的應用程序中的客戶名單通過電子郵件發給自己，那么您正在使用影子數據。影子數據可能包含敏感或機密信息，其不受限制的性質會對數據安全、合規性和治理性帶來風險。

這更多是一個培訓問題，而不是云安全問題。您可以對使用這些數據設置所有限制，甚至監控使用情況，但歸根結底，如果數據可以在屏幕上看到，就有可能變成不安全的影子數據。

IT安全專業人員習慣于通過工具和技術來解決這個問題，但這可能會給人一種虛假的安全感。我們需要一場關于如何處理數據的培訓，而IT部門可能認為這是其他部門的問題。通常這個責任被推給了人力資源部門，這就使得問題很少得到解決。

配置錯誤

配置問題通常是云數據最重要的風險，也是最容易被忽視的。給我一個數據泄露事件，我會告訴你是哪些愚蠢的事情導致了它的發生。最近有一個大型汽車制造商由于云存儲系統的配置錯誤，導致超過兩百萬客戶數據被暴露。

正確配置的安全系統很少會被繞過以獲取數據訪問權限。通常情況下，存儲系統沒有得到保護或數據庫需要更多加密措施。在為基于云的系統和數據存儲配置安全性時，有人并不完全了解他們所做的事情，這與我之前提到的人才短缺有關。如果我們遭受了大規模損失，往往會以這種方式發生。

其他威脅

我們還面臨著新興的威脅，例如不太安全的API。如果您在基于云的平臺上構建和部署應用，API是您工作中的主要驅動力。API不僅由云供應商提供，還內置在業務應用程序中。它們提供了對業務數據的開放訪問點，并常常被作為“鑰匙”留下。

其他新興威脅包括使用生成式AI系統來偽造信息。正如我在這里所提到的，這些受AI驅動的攻擊正在發生。隨著惡意行為者在利用AI系統方面變得更加熟練（通常通過免費云服務），我們將看到可以繞過最復雜安全系統的自動化攻擊。要防御這些新穎的攻擊方式將會很困難。

事實上，利用生成式人工智能按需創建惡意應用程序代碼，僅憑可以生成和啟動的攻擊軟件系統數量之多，攻擊成功只是時間問題。況且，大多數企業IT領導者無法以與攻擊者相同的速度升級自己的防御能力。

我們能做些什么？

要解決這個問題，云安全負責人需要采取一些行動。建立一個更安全的云平臺的最佳途徑是打牢基礎。這意味著采用零信任安全策略和最佳云安全工具。通過這樣做，您將建立起更好的防御體系，使其他企業變得更具吸引力，從而減少成為攻擊目標的可能性。這就像放置了一個更牢固的鎖，使得別人更愿意去盜竊沒有鎖的摩托車。

解決如此嚴重的漏洞需要整個公司共同努力，提升員工對云安全的認知。我認為有兩個關鍵領域：首先，從銷售主管到行政助理等普通用戶必須改進安全實踐。他們需要接受培訓和治理，并對違反合規性使用數據負責任。

其次是提升企業雇用的安全人才水平。這意味著為招聘最優秀的安全專家提供薪資支持，并支付持續培訓費用，并優先考慮參加培訓所需時間。我經常聽到缺乏培訓演習的故事，因為安全人員不得不應對突發事件。請猜猜為什么這些突發事件會發生？如果您認為是缺乏培訓，那您就走對了路。