Palo Alto Networks 發佈一份調查報告,顯示香港以及亞太區大型機構的雲端安全狀況,當中不少情況反映行內人士對網絡安全的認知與現實不符。
該報告由 Ovum Research 針對擁有 200 名或以上員工的大型機構進行訪問,發現香港大型機構沒有做好準備應對雲端相關的網絡安全威脅,甚至假設公有雲為默認安全。76% 的大型機構認為雲端供應商提供的保安足以保護他們免受雲端相關的威脅。
Palo Alto Networks 香港及澳門董事總經理馮志剛指出:「這份雲端安全報告就香港企業如何應對和解決網絡安全問題提出了關鍵的疑問。舉例而言,企業似乎都默認雲端安全的責任完全落在雲端供應商身上。」
大型機構擁有大量保安工具 但缺乏統一的安全監察
過半(62%)的受訪香港企業在其網絡架構中,使用逾 10 種保安工具保護雲端。然而,擁有大量保安工具會導致安全部署零散,進一步增加雲端安全管理的複雜性,情況在多雲端環境運作的企業尤其明顯。
Ovum 亞太區諮詢服務總監 Andrew Milroy 表示,68% 的受訪大型機構認為多雲端方案會造成缺乏統一監察的風險。
「大型機構普遍以多雲端方式運作,有需要就所有雲端原生服務擁有統一的安全監察。對機構而言,運用具備人工智能等技術的中央監察平台是理想的方案,有助預防已知和未知的惡意軟件威脅,並能在數據意外洩漏時迅速補救。」 Milroy 補充。
大型機構缺乏網絡安全審核和員工培訓
是次報告進一步顯示企業對自動化的需求,報告反映大型機構沒有投放足夠時間和資源於雲端安全審核和員工培訓。
77% 的機構從未或未有每年進行至少一次網絡安全審核。此外,四分之一的審核甚至不包括雲端資源,而 69% 的組織僅進行內部審核。除了安全審核,企業對資訊科技和非資訊科技員工雲端的安全培訓也不足。
約57% 的香港機構沒有每年為資訊科技員工提供網絡安全培訓。可想而知,資訊科技部門以外的員工受訓更少,74% 的非資訊科技員工沒有每年接受網絡安全培訓。
儘管機構無法為資訊科技部門和員工提供更頻密的審核和安全培訓,但令人鼓舞的是,過半(56%)的受訪機構都使用威脅情報及分析資訊工具辨別新威脅,並採取必要措施。約18% 的機構更配備實時威脅監察功能的工具。
為了確保在雲端環境中的安全,香港的機構必須了解雲端安全的最佳實踐措施,包括:
- 從一開始就將網絡安全構建到雲端環境;網絡安全應成為加速雲端應用的條件。
- 在所有類型的雲端部署製定一致的安全策略,並透過工具協助統一監察所有雲端資產及威脅,實施有效的安全策略。
- 允許機構在多雲端環境中暢順、輕鬆擴展部署,彌補安全團隊受高度規範及開發部門要求敏捷靈活之間的差距。
- 增加安全審核,以及對資訊科技和非資訊科技員工的培訓
- 利用機器學習/人工智能及透過運用整合、數據驅動及基於分析的方式,將威脅情報過程自動化,避免人為錯誤。
馮先生補充道:「機構需意識到確保雲端安全的責任需共同承擔。雲端供應商需就其架構的安全負責,機構則需對其數據及應用程式的安全承擔責任。」
(新聞稿)