2023云原生應(yīng)用保護平臺(CNAPP)調(diào)查報告

44云原生應(yīng)用保護平臺PAGEPAGE10目錄調(diào)查的創(chuàng)立和方法論 9研究目標 9關(guān)鍵發(fā)現(xiàn) 10云原生應(yīng)用程序保護平臺:四分之三的組織選擇使用CNAPP來保護其多云環(huán)境 云安全態(tài)勢管理：安全團隊需要明確的信息以進行適當?shù)膬?yōu)先級排序 11DevOps安全：DevOps安全的重要性日益得到認可，但缺乏專業(yè)知識和人才阻礙了進程 云工作負載保護：圍繞事件響應(yīng)的挑戰(zhàn)回歸為人員、流程和技術(shù) 13網(wǎng)絡(luò)安全：最成熟的實現(xiàn)，但威脅檢測仍為挑戰(zhàn) 14云基礎(chǔ)設(shè)施授權(quán)管理:高度關(guān)注權(quán)限配置錯誤 16結(jié)論 16調(diào)研發(fā)現(xiàn) 17云的使用和安全 17云原生應(yīng)用保護熟悉云原生應(yīng)用保護平臺 21云安全態(tài)勢管理 23云工作負載保護事件響應(yīng)的挑戰(zhàn) 25安全DevOps 26網(wǎng)絡(luò)安全和云上權(quán)限 29統(tǒng)計來源 31調(diào)查的創(chuàng)立和方法論云安全聯(lián)盟（CSA）是一個非營利組織,其使命是廣泛推廣確保云計算和IT技術(shù)中的網(wǎng)絡(luò)安全最佳實踐。CSA還就所有其他形式的計算中的安全問題向這些行業(yè)的各個利益相關(guān)者進行教育。CSA的會員包括行業(yè)從業(yè)者、企業(yè)和專業(yè)協(xié)會的廣泛聯(lián)盟。CSA的主要目標之一是進行調(diào)查,評估信息安全趨勢。這些調(diào)查提供了關(guān)于組織當前的成熟度、意見、興趣和有關(guān)信息安全和技術(shù)的意圖的信息。CSA開展一項調(diào)查和報告,以更好地了解行業(yè)對云原生應(yīng)用程序保護平臺（CNAPP）的知識、態(tài)度和觀點。微軟為該項目提供了資金支持,并與CSACSA20234,收到了來自各種規(guī)模和地點的組織中的IT1201份回復(fù)。CSA的研究目標調(diào)查的主要目標是更深入地了解以下內(nèi)容:行業(yè)對CNAPP安全態(tài)勢管理、云工作負載保護和DevSecOps（開發(fā)、安全和運營）的關(guān)鍵發(fā)現(xiàn)隨著組織越來越多地利用多云策略,傳統(tǒng)的安全解決方案通常很難為這些動態(tài)和分布式應(yīng)用程序提供充分的保護。近年來，由于全面保護多云環(huán)境的復(fù)雜性以及整合組織當前部署的許多安全工具的能力，云原生應(yīng)用保護平臺已成為關(guān)鍵的安全工具類別，其中包括云安全態(tài)勢管理（CSPM）、云工作負載保護（CWP）、云基礎(chǔ)設(shè)施權(quán)限管理（CIEM）DevOps。這項調(diào)查CNAPP部署的當前狀態(tài)的見解,識別需要支持的領(lǐng)域,云原生應(yīng)用程序保護平臺:四分之三的組織選擇使用CNAPP來保護其多云環(huán)境大多數(shù)組織(75%)CNAPP84%CNAPP30%的組織通常將部署的安全工具（如CSPM、CWPCIEM）CNAPP憑借其在解決安全態(tài)勢可見性方面的重要性成為關(guān)鍵吸引因素(25%)CNAPP云安全態(tài)勢管理：安全團隊需要明確的信息以進行適當?shù)膬?yōu)先級排序臨管理和優(yōu)先級排序的困難。32%的受訪者透露，由于他們收到的信息數(shù)量龐34%的人發(fā)現(xiàn)自己被安全建議所困擾，而同等比例的人缺乏相關(guān)或可操作的見解來做出明智的決策。他們可能會收到大量警報或建議，但這些信息未能提供必要的詳細信息以指導(dǎo)他們采取正確的行動方向。信息管理的問題與調(diào)查的另一個關(guān)鍵發(fā)現(xiàn)相關(guān)，即不同組織之間的監(jiān)控設(shè)置存在廣泛差異。有趣的是，33%的受訪者使用完全基于代理的監(jiān)控系統(tǒng)，而37%的受訪者則主要采用無代理方法，盡管他們還是會輔以一些基于代理的監(jiān)控。這種差異很可能受到特定供應(yīng)商和組織可以訪問的技術(shù)類型的影響?？偟膩碚f，組織可能需要找到能夠通過自動化和集中式的安全工具和技術(shù)來支持其安全態(tài)勢管理。自動化將有助于緩解在優(yōu)先級和建議（最佳實踐）間的一些混淆。集中式的安全工具和供應(yīng)商將幫助合并警報并提供更好的上下文信息，從而幫助團隊調(diào)整合適的優(yōu)先級；最終幫助他們采取正確的行動。DevOps安全：DevOps安全的重要性日益得到認可，但缺乏專業(yè)知識和人才阻礙了進程DevSecOps是發(fā)展趨勢，但是由于一些重大的問題阻礙了完全融合的進程，將穩(wěn)健的安全措施整合入DevOps仍然處于早期階段。目前，有51%組織正在將安全集成到他們的DevOps35%組織聲稱已經(jīng)完成了整合。其中的主要挑戰(zhàn)在于：缺乏安全專業(yè)知識，自動化不足，過多的誤報以及缺乏可操作的反饋。組織必須直面并解決這些問題以實現(xiàn)成功的整合。在這些障礙中，首要的問題是缺乏安全專業(yè)知識，有46%的受訪者報告了這一問題這種不足可能會在DevOps的流程中引入漏洞，攻擊者可能會潛在地利用這些漏洞。更麻煩的在于關(guān)于DevOps安全的責任和問責制存在模糊不清，不同的團隊經(jīng)常假設(shè)這是對方的責任。為了解決這個問題，組織應(yīng)該為DevOps團隊提供安全培訓(xùn)，聘請安全專家，并在組織內(nèi)打造“安全為先”的文化。其它主要挑戰(zhàn)都與技術(shù)相關(guān)，這其中最大的挑戰(zhàn)是缺乏自動化，由43%的受訪者指出。缺乏自動化流程會使組織難以有效地管理和展開DevOps的落地。誤報也是另一個重要的問題，有42%的組織被誤報困擾。高誤報率使得安全團隊疲于應(yīng)付，效率低下。最后，有42%的組織報告了缺乏可操作的反饋，這阻礙了他們對安全實踐的有效響應(yīng)。與在安全態(tài)勢管理上面臨的挑戰(zhàn)類似，教育、培訓(xùn)以及工具的質(zhì)量是成功實現(xiàn)安全集成的要素。組織必須密切關(guān)注這些方面，以確保安全與DevOps的有效集成，從而更有效地保護其運營。云工作負載保護：圍繞事件響應(yīng)的挑戰(zhàn)回歸為人員、流程和技術(shù)在DevOps中，人員和技術(shù)挑戰(zhàn)一直是焦點，但在涉及云工作負載保護和事件響應(yīng)方面，問題涉及到所有方面：人員、流程和技術(shù)。25%29%應(yīng)團隊的職責和行動步驟。定期測試和更新響應(yīng)計劃以確保其有效性也至關(guān)重要。組織應(yīng)積極發(fā)現(xiàn)并主動彌補事件響應(yīng)計劃中的潛在不足。技術(shù)：缺乏自動化是組織正在努力解決的另一個關(guān)鍵挑戰(zhàn)，有39%的受訪者報告了這一問題。自動化工具可以大幅減少響應(yīng)時間，提高威脅調(diào)件響應(yīng)流程的工具可以實時查看潛在的安全事件,CNAPP和安全信息和事件管理（SIEM）有效應(yīng)對安全事件并保護云工作負載的能力源自人員、流程和技術(shù)。優(yōu)先考慮這些領(lǐng)域?qū)⑹菇M織能夠強化其事件響應(yīng)能力，從而確保其云工作負載得到堅實的保護。網(wǎng)絡(luò)安全：最成熟的實現(xiàn)，但威脅檢測仍為挑戰(zhàn)在所有類別中，網(wǎng)絡(luò)安全是最成熟的。值得關(guān)注的是，43%的受訪者報告在多云環(huán)境中實現(xiàn)了網(wǎng)絡(luò)安全的全面整合，而CSPM的整合率僅為28%。零信任戰(zhàn)略的普及可能是這種成熟水平背后的一項關(guān)鍵驅(qū)動因素。然而，組織在網(wǎng)絡(luò)安全方面仍然面臨重要的挑戰(zhàn)，在威脅檢測和大量安全警報的管理方面尤甚。威脅的數(shù)量之多可能與組織環(huán)境的復(fù)雜性和大量網(wǎng)絡(luò)流量有關(guān)。這種情況可能會使有效識別和跟蹤潛在的安全威脅變得困難。推薦充分利用支持多云環(huán)境并提供智能威脅防護的安全工具。如CNAPP之類的此外，減少安全警報的數(shù)量對于網(wǎng)絡(luò)安全管理也很重要。一個可能的方向是對于能夠有效區(qū)分真實威脅和誤報的智能安全工具進行投入。這可以顯著減盡管網(wǎng)絡(luò)安全是多云環(huán)境涵蓋的范圍中最成熟的領(lǐng)域，但組織仍然面臨重大挑戰(zhàn)，特別是在威脅檢測和安全警報管理方面。通過采用基于風險的方法，同時充分利用先進的安全工具，組織可以增強多云環(huán)境中的網(wǎng)絡(luò)安全并且有效保護其資產(chǎn)。云基礎(chǔ)設(shè)施授權(quán)管理:高度關(guān)注權(quán)限配置錯誤云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）遇到了一些顯著的挑戰(zhàn)，特別是在配置錯誤方面。近一半(43%)的組織認為他們最擔心的問題是權(quán)限配置錯誤。這個普遍存在的問題可能會產(chǎn)生嚴重的后果，可能會導(dǎo)致未經(jīng)授權(quán)的訪問，甚至災(zāi)難性的數(shù)據(jù)丟失。錯誤的配置可能會在無意中暴露敏感數(shù)據(jù)或授予不必要的特權(quán)，從而創(chuàng)建可能被惡意行為者利用的漏洞。為了解決這些問題，自動化安全工具越來越被認為是支持云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）的關(guān)鍵。這些工具可以對多云環(huán)境進行全方位掃描，允許對權(quán)限配置進行全面的觀測和控制。這些工具通過主動檢測和對配置錯誤告警，可以幫助組織快速解決問題，顯著減少漏洞的窗口期。結(jié)論雖然CNAPP在幾年前才被定義，但很快就被廣泛接受了。許多企業(yè)目前正在使用或計劃使用CNAPP。對于企業(yè)的吸引力在于能夠提供全面的態(tài)勢管理和可見性，以及為了降低風險而采用的代碼上云的方法，這是企業(yè)最優(yōu)先考慮的安全事項。CNAPP特別擅長保護多云環(huán)境，并為整合各種安全工具提供了統(tǒng)一的解決方案。從調(diào)查結(jié)果中可以看出，企業(yè)面臨的挑戰(zhàn)往往圍繞著兩個核心因素：人員和技術(shù)。一方面，需要培養(yǎng)訓(xùn)練有素的專業(yè)安全人員，讓他們清楚地了解自己的職責。另一方面，迫切需要有效的技術(shù)和工具來應(yīng)對快速演變的網(wǎng)絡(luò)安全威脅，并有效地支持安全團隊。像CNAPP這類的技術(shù)必須能夠為安全團隊提供所需的正確信息和可見性，以便通過端到端實現(xiàn)平臺治理的一致性，從而有效地保護多云環(huán)境。這種需求跨越了幾個關(guān)鍵領(lǐng)域：云安全態(tài)勢管理（CSPM）、云工作負載保護（CWP）、安全開發(fā)運維（DevSecOps）、云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）和網(wǎng)絡(luò)安全。隨著企業(yè)云上業(yè)務(wù)的發(fā)展，企業(yè)必須利用諸如CNAPP來為安全性提供集成解決方案，同時解決人員和技術(shù)方面的問題。這樣，可以更好地為應(yīng)對當今和未來的復(fù)雜網(wǎng)絡(luò)安全挑戰(zhàn)。調(diào)研發(fā)現(xiàn)云的使用和安全云環(huán)境大多數(shù)組織都有兩個或更多云的多云環(huán)境（84%）。只有15%使用單一云環(huán)境。云中管理的工作負載數(shù)量大多數(shù)組織在云中管理適量的工作負載。具體而言，28%的受訪者表示管101-50030%501-1000個工作負載。只有3%的組織報告工作負載超過10,000個。今年安全工作重點組織希望通過投資先進的安全工具和技術(shù)來改善其云安全狀況。根據(jù)最近的一項調(diào)查，明年的三大優(yōu)先事項是提高安全態(tài)勢的可見性（42％的受訪者）、增加威脅防護自動化的使用（35％）、提高SOC（安全運營中心）效率以及通過減少攻擊面來主動預(yù)防風險（37%）。這些優(yōu)先事項表明，組織正在尋求更好地識別潛在漏洞，更快地檢測和響應(yīng)潛在威脅，并降低潛在安全漏洞的風險。期望的安全結(jié)果對于組織來說，最重要的安全成果是提高可見性，43%的受訪者選擇將此作為首要任務(wù)這表明組織正在尋求更好地了解其云安全狀況以識別潛在的漏洞并減少潛在安全漏洞的風險第二個最重要的成果是減少手工工作，32%的受訪者選擇了這一選項。這表明組織正在尋求自動化其安全流程，以提高效率并降低人為錯誤的風險。跨多云環(huán)境的安全工具的成熟度網(wǎng)絡(luò)安全在多云環(huán)境中具有最高水平的完全集成，43%的受訪者表示完全集成。DevSecOps的完全集成程度位居第二，41%的受訪者報告跨多云環(huán)境的集成。CWP和CIEM的集成程度相似，30%的受訪者表示兩者完全集成。CSPM數(shù)據(jù)安全態(tài)勢管理的完全集成28%34%受訪者分別報告了跨多云環(huán)境的集成。這些結(jié)果表明，組織在跨多個環(huán)境管理云安全時面臨挑戰(zhàn)，某些領(lǐng)域（例如網(wǎng)絡(luò)安全和DevSecOps）顯示出更高級的集成。組織可能需要重新評估他們正在使用的安全工具，以確保其完整的多云環(huán)境受到保護和保障。云原生應(yīng)用保護熟悉云原生應(yīng)用保護平臺大多數(shù)受訪者（89%）都表示熟悉云原生保護平臺（CNAPPs），只有11%的受訪者表示不熟悉CNAPP。云原生應(yīng)用保護平臺的核心價值受訪者對云原生應(yīng)用保護平臺（CNAPP）25%。其次，有16%的受訪者選擇了解數(shù)據(jù)態(tài)勢和保護敏感數(shù)據(jù)作為核心價值。多云威脅保護，以13%。正在使用或計劃使用CNAPP實施云原生應(yīng)用保護平臺(CNAPP)似乎是許多組織的首要任務(wù)，40%的受訪者表示他們目前正在使用CNAPP解決方案。此外，31%的受訪者表示計劃在未來6個月內(nèi)實施CNAPP，14%的受訪者表示計劃在未來12個月內(nèi)實施CNAPP。只有8%的受訪者表示有實施計劃CNAPP但時間未定，剩下7%的受訪者表示沒有計劃實施CNAPP。云安全態(tài)勢管理安全態(tài)勢管理的最大挑戰(zhàn)企業(yè)面臨安全態(tài)勢的一些列挑戰(zhàn)，其中背景或可操作性見解的缺乏和太多的安全建議是被選擇最多的兩項，分別有34%的受訪者選擇了這兩項挑戰(zhàn)這表明企業(yè)正在努力獲取正確的信息，以便對其安全狀況做出明智的決策；同時也被大量無法提供清晰解決方案的建議所困擾此外，有32%的受訪者表示安全改進的優(yōu)先級是一個重大的挑戰(zhàn)。設(shè)置監(jiān)控agent調(diào)查結(jié)果表明，企業(yè)在設(shè)置監(jiān)控的agent方面采取了不同的方法。17%的受訪者報告使用完全無agent的監(jiān)控，而33%的受訪者報告使用完全基于agent的監(jiān)控。更多的受訪者（37%）表示組合使用兩種監(jiān)控方法，但以無agent的監(jiān)控方式為主。還有13％的受訪者表示使用兩種監(jiān)控方法的，但以基于agent企業(yè)在監(jiān)控環(huán)境時有不同的偏好和要求，可能需要根據(jù)具體需求或供應(yīng)商來綜合考慮各種方法。管理和保護賬戶的能力和流程以及管理漏洞是被選擇最多的兩個能力，各有被41%的受訪者選擇。攻擊路徑分析也是一個高度受歡迎的能力，被37%訪者選擇。較少被選擇為：敏感數(shù)據(jù)暴露（31%），訪問和權(quán)限管理（27%）及糾正錯誤配置（23%）。云工作負載保護事件響應(yīng)的挑戰(zhàn)當涉及到事件響應(yīng)時，組織面臨著一系列挑戰(zhàn)，技術(shù)缺陷是最受關(guān)注的問題。39%受訪者選擇了缺少自動化、31%選擇了與SIEM的集成，29%選擇了缺乏正式的響應(yīng)計劃。此外，27%的受訪者提到了響應(yīng)時間遲緩。值得注意的是，缺乏正式的響應(yīng)計劃會影響事件響應(yīng)團隊有效利用技術(shù)的能力，這對于任何有效的事件響應(yīng)都是必要的。檢測到威脅后的平均響應(yīng)時間當涉及到在云環(huán)境中實時檢測到的潛在威脅時，組織的響應(yīng)時間不同。13%的受訪者聲稱在幾分鐘內(nèi)響應(yīng)，31%在幾小時內(nèi)響應(yīng)，30%在一天內(nèi)響應(yīng)。值得注意的是，幾分鐘內(nèi)的響應(yīng)時間可能需要供應(yīng)商或自動化在事件響應(yīng)過程中提供協(xié)助。另一方面，16%的受訪者需要超過一周的時間來響應(yīng)，只有2%的受訪者沒有設(shè)定響應(yīng)的時間框架。安全DevOps將安全性集成到DevOps實踐中大多數(shù)受訪者（87%）報告說，他們的組織已經(jīng)實施或部分實施了DevSecOps實踐，只有8%尚未實施。這與在軟件開發(fā)生命周期中進行安全左移并將安全性集成到開發(fā)過程中的趨勢是一致的。這也反映了支持這些實踐的工具和技術(shù)的日益增加的可用性。實現(xiàn)DevOps安全性的障礙實現(xiàn)DevOps安全性的最大障礙似乎是出現(xiàn)在實施過程，最大的挑戰(zhàn)集中在早期階段。28%的受訪者認為，定義和模板化IaC（基礎(chǔ)設(shè)施即代碼）框架，并包括安全策略和合規(guī)要求，是最大的障礙。緊隨其后的是在組織當前的IT環(huán)境中部署IaC框架（25%）。管理IaC更新、測試和擴展（17%）以及選擇IaC工具（13%）也被認為是障礙。人員配備和技能組合問題（8%）是最不常見的挑戰(zhàn)。DevOps在安全性方面面臨的主要挑戰(zhàn)當涉及到DevOps安全性時，組織面臨著幾個關(guān)鍵挑戰(zhàn)。最大的挑戰(zhàn)是缺乏安全專業(yè)知識，46%的受訪者認為這是一個問題。缺少自動化是第二常見的挑戰(zhàn)，占43%。太多的誤報和缺乏可操作的反饋也構(gòu)成了重大問題，42%的受訪者認為這些都是挑戰(zhàn)。其他常見的問題包括團隊之間缺乏溝通和缺乏關(guān)于業(yè)務(wù)影響的上下文。解決這些挑戰(zhàn)可以幫助組織更好地將安全性集成到他們的DevOps流程中，并確保他們的環(huán)境更加安全。DevOps安全關(guān)注領(lǐng)域DevOps安全主要關(guān)注領(lǐng)域包括：在軟件成分分析中對代碼依賴性和漏洞的理解（54%），應(yīng)用安全測試（45%）以及代碼掃描工具（41%）。其他重要的關(guān)注