蝉鸣报告(原爱报告知识星球)
(英文版)-页1.webp)
Thales集团近日发布了《2024年全球数据威胁报告(DTR)》,这份报告深入分析了新威胁格局下企业如何提高安全姿态,同时探讨了新科技的安全影响及组织变革的成功之道。报告涵盖了对数据威胁的全球趋势分析,包括控制、法规、风险和新兴技术等关键领域,反映了来自18个国家、37个行业的近3000名不同层级受访者的见解。报告中指出,面对日益复杂的威胁环境和监管要求,企业正努力提升数据安全,同时探索如何利用数据资产扩展机会,增强业务敏捷性并建立客户信任。这份报告提供了丰富的洞见和策略,对于理解当前和未来的数据安全挑战具有重要价值。
(英文版)-合1.webp)
在2024年,数据安全领域的挑战和威胁不断演变,企业面临着日益复杂的威胁景观和监管要求。Thales发布的《2024全球数据威胁报告》深入分析了这些新威胁、安全影响以及组织成功所需的变化。报告基于来自18个国家、37个行业的近3000名受访者的见解,探讨了他们的数据安全经历、挑战、策略和结果。
报告揭示,企业面临的威胁数量显著增加,其中恶意软件、网络钓鱼和勒索软件是增长最快的攻击类型。云资产,如SaaS应用、基于云的存储和云基础设施管理,成为攻击的主要目标。人为因素,尤其是用户错误和未对特权账户应用多因素认证(MFA),是云数据泄露的主要原因。
信息安全支出保持强劲,93%的受访者表示正在增加预算。量子计算、云计算、用户体验和生成性人工智能(GenAI)的创新激发了行业的想象力。报告同时考虑了保护GenAI的使用和利用GenAI来更好地保护企业。不同功能领导者和外部利益相关者的优先级差异将要求安全和风险管理领导者建立更牢固的关系。
数据泄露趋势和威胁方面,49%的组织报告曾遭受过数据泄露,但近期泄露历史从2021年的24%下降到2024年的15%。尽管勒索软件攻击更加普遍,但规划仍然不足,只有21%的受访者表示他们会遵循正式计划应对攻击。
在新兴技术的风险方面,人为因素仍是云数据泄露的主要原因,错误操作占31%,未对特权账户应用MFA占17%。多云增长趋于平稳,但金融服务公司现在比平均水平更倾向于使用多云(平均2.03个云提供商)。
报告还关注了5G网络中的数据安全,65%的受访者将其视为头号问题。22%的受访者计划在未来12个月内将GenAI集成到产品/服务中,33%则打算尝试集成这项技术。
合规和主权问题方面,39%的受访者表示,如果实施了外部加密、密钥管理和职责分离,数据驻地将不再是问题。在身份复杂性和泄露方面,62%的受访者认为在客户身份和访问管理(CIAM)中实现安全一致性是最大的挑战。
DevOps挑战方面,56%的受访者认为秘密管理是头号挑战,其次是劳动力身份和访问管理挑战,如特权用户管理(52%)。超过一半(53%)的受访者已实施正式的安全冠军计划作为DevSecOps计划的一部分。
在企业观察方面,DTR提供了对内部企业组织的额外见解。数据安全作为一个学科,仍然在企业中扩散。安全和合规举措正在汇聚,因为两者在输入、流程和结果上走到了一起。DTR的发现显示,合规成就与减少违规之间存在更强的相关性。在2024年,未能通过合规审计的受访者中,84%报告有违规历史,31%表示在过去12个月中遭受了违规。相比之下,通过合规审计的受访者中,只有21%有违规历史,只有3%在过去12个月中遭受了违规。
攻击者景观依然广阔且在增长:93%的受访者表示他们经历了攻击的增加,恶意软件、勒索软件和网络钓鱼始终是攻击类别中增长最大的。内部人为错误仍然是一个关键的威胁领域,总是排名很高,如果不是最高类别的话。在2024年,22%的受访者表示人为错误是他们最担心的威胁,74%的受访者对人为错误的威胁给予了一定程度的优先级。
今年的DTR调查要求受访者选择他们在新兴技术中的前四大安全问题,包括云和DevSecOps、人工智能、劳动力身份、物联网/5G、后量子密码学和数字主权。结果显示所有新兴领域都有广泛的关注。
在客户信任开发方面,CIAM对于企业来说至关重要,因为它有助于建立与客户的信任。企业必须保护其数据以满足消费者对隐私和安全的期望。根据2024年Thales消费者数字信任指数报告,大多数客户(89%)愿意与组织分享他们的数据,但这伴随着一些不可谈判的条件。超过四分之三(87%)的受访者期望他们在线互动的公司提供一定程度的隐私权。
在开发者旅程方面,鉴于构建外部可信度的趋势,DTR受访者还分享了他们在云和DevOps环境中构建的见解。鉴于新技术的采用,安全灵活集成到数字产品或服务设计中的需求从未如此之高。今年,三分之二的DTR受访者将DevSecOps和云作为他们最大的新兴安全问题。他们的见解揭示了成功和改进的领域。
在GenAI方面,自2022年11月OpenAI推出ChatGPT以来,很少有技术像GenAI那样激发了人们的想象力。其在短短几周内就吸引了超过1亿用户,其对话能力基于底层大型语言模型(LLM)中包含的数十亿参数。训练有素的大型数据集构建的变换器模型能够解释意图和含义,生成性AI不仅仅模拟书面语言,如英语。底层的变换器模型和参数现在被应用于其他用例,如生成软件代码、语音、音乐、视频和图像。新或改进服务的潜在商业机会是无限的。
在劳动力IAM方面,安全领导者和实践者都在思考“身份即新边界”的格言。鉴于最近的钓鱼抵抗、分布式劳动力和自动化访问请求等举措,劳动力身份的影响和含义正在增长。劳动力IAM举措必须平衡新的和现有的挑战。
在物联网/5G方面,尽管运营技术(OT)部署有时被批评为对安全重视不够,但今年的调查数据显示IT安全团队进入OT领域,成为防御物联网威胁的头号方式(75%)。OT设备,如电力表和各种分布式物理工厂中的“智能”传感器,旨在以最少的监督和较低的运营成本进行服务。
在后量子密码学方面,自NIST在2022年7月批准了四个密码套件以来,后量子密码学(PQC)解决了一个日益临近的未来威胁。尽管还没有确认或重复的量子计算攻击对任何经典加密数据的攻击,但仍然有引起关注和行动的原因。
在主权方面,整个报告中,受访者报告在采用新技术或解决新趋势时采取了更积极的方法。企业已经学会在云操作中根据共享安全责任模型运作;对于PQC、5G和GenAI等新技术,许多企业选择控制自己的安全命运。
这篇文章的灵感来自于Thales发布的《2024全球数据威胁报告》。除了这份报告,还有一些同类型的报告也非常有价值,推荐阅读,这些报告我们都收录在同名星球,可以自行获取。
以上为节选样张,关注公众号【蝉鸣报告】回复领取PDF完整电子版(无广告)。
【蝉鸣报告】每日更新最新硬核报告,覆盖产业报告、全球化、经济报告、趋势等全领域。
