報告丨2019數據安全在線調查

概 述本報告基于2019年對網絡安全專業人士進行的一項全面在線調查的結果，該調查旨在深入了解內部威脅管理的最新趨勢、主要挑戰和解決方案。受訪者范圍從技術主管到經理和IT安全從業者，代表了跨多個行業的不同規模的組織。

01調查結果當前，94%的人（IT與安全專業人員）認為數據安全極為重要。

02數據脆弱性超過半數(55%)的受訪組織對其數據安全狀況沒有信心。考慮到數據泄露的增加以及保護敏感數據(無論是結構化的還是非結構化的)的難度——存儲在本地或云環境中，這一結果并不奇怪。大多數受訪者(75%)認為他們組織至少在某種程度上容易受到數據泄露影響。

03最大安全威脅根據被調查組織中的網絡安全專家的說法，在敏感數據所面臨的各類安全威脅中，有幾個最突出的威脅。釣魚攻擊(61%)位居榜首，其次是內部攻擊(54%)——這兩種攻擊都很難防范，因為它們既依賴于安全技術控制，也依賴于員工的行為和合作。

04威脅因素參與調查的組織最關心的是外部行為者對其敏感數據的蓄意攻擊，如網絡罪犯、黑客分子或國家資助的黑客(65%)，其次是特權用戶(56%)和競爭對手(29%)。

05數據風險客戶信息(60%)、知識產權(49%)和敏感員工數據(43%)是網絡安全專業人士認為最具風險的數據類型。雖然用戶憑證(36%)并被認為沒有較高的風險，但他們是所有其他數據被盜的手段。

06云上數據安全組織通常認為保護本地數據(40%)比保護云上數據(28%)更容易，而三分之一的組織(32%)認為兩者沒有區別。07何處存放敏感數據四分之三的組織確認他們最敏感的數據存儲在數據庫和服務器中(75%)，其次是存儲和備份系統(55%)。

08數據泄露在過去的12個月里，21%的組織經歷了數據泄露。

令人擔憂的是，68%的人聲稱沒有經歷過數據泄露——事實上，這可能反映了大量未被注意的泄露事件。最常見的入侵類型是內部人員(37%)問題，其次是支付卡欺詐(26%)和黑客或惡意軟件(16%)。

09泄露造成的影響組織所報告的最常見的業務影響是數據丟失(53%)、業務活動中斷(42%)和負面宣傳(42%)。

10敏感數據發現對于組織敏感數據最常見的發現過程是漏洞評估(55%)，其次是手工發現(49%)和網絡掃描(48%)。令人驚訝的是，自動數據發現緊隨其后(38%)。

11數據保護技術根據調查中網絡安全專業人員的反饋,最有效的數據保護控制是在資產層面通過各種加密技術對數據進行保護，包括數據庫加密(94%)、存儲加密(93%)、網絡加密/VPN(92%)、文件和文件夾加密(89%)、客戶機/應用程序加密(89%)。

訪問控制(92%)與網絡加密/VPN（92%）并列第三。

12數據保護實踐與政策組織中最常見的數據保護實踐和政策(除了技術控制)包括員工培訓(81%)和關于數據保護的管理政策(79%)。

13最大挑戰組織在努力更好地保護敏感數據時會面臨許多障礙。最常提到的是跨數據生命周期執行安全策略的挑戰(57%)，其次是缺乏專家人員(50%)和缺乏預算(48%)。

14預算趨勢絕大多數的組織（70%）預計他們的數據安全預算將在未來12個月內增加——30%甚至預計預算增長超過10%。