蝉鸣报告(原爱报告知识星球)
云安全联盟(CSA)近日发布了一份名为《SurveyReport-TheStateofCloudandAlSecurity2025》的行业研究报告。这份报告深入探讨了云和人工智能安全的现状与未来趋势,揭示了组织在面对混合云、多云架构以及人工智能应用时的安全挑战、战略调整和风险管理。报告指出,尽管云和AI技术的发展迅速,但许多组织的安全策略并未与时俱进,存在明显的执行与认知差距。报告中包含了对1025名IT和安全专业人士的调查结果,涵盖了从身份治理到领导层协同,再到AI安全实践的各个方面,提供了丰富的数据和见解,对于理解当前云安全领域的复杂性和应对策略具有重要价值。
在2025年,云计算和人工智能不再是新事物,它们已经深入到企业的运营核心。然而,随着技术的快速发展,安全策略却显得步履蹒跚。《The State of Cloud and AI Security 2025》报告揭示了企业在云安全和人工智能安全方面面临的挑战和机遇。
混合云和多云架构已经成为企业的新常态,82%的企业正在运营混合环境,63%的企业使用多个云服务提供商。这种灵活性带来了挑战,因为大多数企业缺乏统一的网络安全可见性和策略执行能力。这意味着,尽管企业在云中分散了工作负载,但它们未能有效地管理这些工作负载的安全风险。
身份管理已成为云安全中最薄弱的环节。59%的组织将不安全的身份标识和风险权限视为其云基础设施的首要安全风险。这在违规事件中得到了体现,其中过度权限、不一致的访问控制和身份疏于管理是最常见的原因。这些问题表明,企业在身份治理方面存在根本性的断裂,需要从技术和流程上进行改进。
专业知识的缺乏是另一个重大挑战。34%的受访者认为这是保障云基础设施的最大挑战。这种缺乏不仅影响了实际操作,还影响了规划和执行。领导层在设定方向、评估权衡或全面把握所涉风险方面存在问题。这种脱节现象进一步体现在领导如何看待云安全上。几乎三分之一的受访者表示,他们的高管层对云安全风险的认识不足。
云安全KPI的追踪仍然被动,专注于事件而非风险降低和恢复能力。最常见的云安全KPI是安全事件发生频率和严重程度,这只有在事故发生后才相关。这种后视镜心态也体现在违规数据中。过去18个月,各组织报告平均发生了2.17起与云相关的违规事件,然而只有8%将其归类为“严重”。这种脱节增加了衡量和沟通真实安全绩效的难度。
人工智能的采用速度超过了安全团队的准备情况。34%的组织已经有AI工作负载遭遇安全漏洞。组织正迅速部署人工智能,但他们对风险所在以及如何减轻风险的理解仍显得不成熟。当比较实际导致漏洞的原因与安全团队最关心的问题时,这种脱节就更加明显。与人相关的漏洞最常见的原因包括被利用软件漏洞、人工智能模型缺陷、内部威胁和配置错误的云设置。然而,当被问及他们最担心哪些漏洞类型时,组织倾向于不熟悉或“人工智能原生”的风险,例如模型操作和未经授权使用人工智能模型。
为了强化云和人工智能安全项目,组织必须从被动应对转向主动的、基于风险评估的策略。这意味着优先确保混合云和多云环境下的统一可视性和一致策略执行,投资于身份治理,扩展KPI以反映预防和韧性,使领导层理解与运营现实相符,以支持更智能的规划和资源分配,超越AI安全合规性的上限,将其作为更深层技术保障的起点。
这篇文章的灵感来自于《The State of Cloud and AI Security 2025》报告。除了这份报告,还有一些同类型的报告,也非常有价值,推荐阅读,这些报告我们都收录在同名星球,可以自行获取。
以上为节选样张,关注公众号【蝉鸣报告】回复领取PDF完整电子版(无广告)。
【蝉鸣报告】每日更新最新硬核报告,覆盖产业报告、全球化、经济报告、趋势等全领域。
