本文是对Arm和Pulse联合发布的调查报告《Confidential Computing: A Pulse Survey on the Future of Security Technology》的原文翻译。
背景
对世界各地的企业来说,保护第三方数据从未像现在这样重要。随着网络安全问题的日益严重,企业创新和成功发展的能力与其保护机密数据和满足GDPR等法律要求的能力密切相关。
Arm和Pulse调查了250名企业IT、工程和安全管理人员,以了解他们现在如何保护第三方数据,他们对当前流程的信心如何,以及他们认为机密计算如何能够提高他们的安全地位。
受访者地理位置分布:
- 89%在北美
- 5%在亚洲
- 6%在非洲
受访者职级分布:
- 30%是企业高管
- 17%是VP
- 53%是Director
受访者企业规模分布:
- 36%的企业超过万名员工
- 12%的企业超过5千名员工
- 52%的企业超过千名员工
分析总结
下面是这份报告的总结,没时间的同学可以不看后面的详细报告内容了。
- 这份报告是Arm联合Pulse调查机构做的,所以调查内容里会包含有利于Arm的内容,比如其中的一些结论显示了Arm和它的SoC生态公司作为制造商愿意花费大笔资金进行安全审,从而让人们留有Arm CCA在源头上确保其安全性这一印象。
- 总体来看,数据安全是未来5-10年的头等大事。
- 目前人们普遍认为最需要保护的数据类型是公司的数据,其次才涉及到与数据服务有关的客户数据和第三方数据;但日后对后两种数据安全的安全保护意识会逐步提高。
- 目前对第三方数据的保护意识一般,超过半数的人认为最多是个中等优先级的事情。
- 不同行业对第三方数据的保护意识也存在领域差异:最具保护意识的集中在金融行业和制造商。
- 目前企业的重点防范对象还是外部攻击者,其次是供应链、内鬼和第三方。
- 对于上云的企业来说,外部攻击者是网络犯罪分子;供应链是云厂商;内鬼是自己的员工;第三方则是自己使用的第三方软件服务商。
- 目前几乎所有人都认为当前实施的保护第三方数据的安全方案存在短板;同时几乎所有人的都认为当前实施的方案对生产力产生了或多或少的影响。
- 目前保护第三方数据的最流行方法是安全访问工具和零信任架构;使用机密计算的群体只占三分之一。
- 为了保证第三方数据安全,大多数企业需要监视其客户应用程序数据、密码保险库和云应用程序来保证安全性。
- 半数以上的企业每年至少进行3次安全审计,花费至少在10万美元。
- 通过实施机密计算,大多数企业希望在一定程度上保护其数据和资产,使其能够适当降低潜在的数据泄露的法律和财务风险。
- 机密计算的两个关键场景:保护数据免受平台管理员和服务提供商的潜在安全威胁,并确保他们看不到合作伙伴/客户的加密数据。
- 大多数企业高管认为保密计算可以促进业务和技术创新。
保护机密数据是企业IT团队的一个高度优先事项
随着对数据隐私保护的需求不断增加,比如像GDPR等法规的强制推行,几乎所有企业IT、安全和工程主管都同意:对数据安全的投资至关重要。
问题:您是否认同“企业对数据保护进行投资以为未来5-10年做好准备”是至关重要的? 回答:98%的选择是Yes。
问题:企业组织需要保护的前三种最重要的数据类型是: 回答:76%的人认为是机密的公司数据;69%的人认为是客户数据;24%的人认为是第三方数据
尽管第三方数据排第三,但41%的企业表示,确保第三方机密数据的安全是今年的一项高度或首要任务;只有1%的人说这根本不是需要优先考虑的事宜:
问题:如今,保护机密的第三方数据对您的IT/安全团队有多重要? 回答:7%的人是最高优先级;34%的人认为是高优先级;50%的人认为是中优先级;8%的人认为是低优先级;1%的人认为这根本不是需要优先考虑的事宜
与调查范围内的平均水平(41%)相比,更多的金融服务机构(54%)将保护第三方数据列为高度优先事项。根据调查,所有的制造商都认为保护第三方机密数据很重要,40%的制造商将其视为高度优先事项。
多数情况下,公司担心网络犯罪分子通过网络攻击访问第三方数据。
问题:你的重点是防止谁访问你的数据? 回答:80%的人选择网络犯罪分子;66%的人选择分包商和供应商(供应链);50%的人选择内部员工;49%的人选择第三方供应商。
如今,近100%的企业对自己的数据安全没有充分的信心
为了确保恶意方不能访问第三方数据,大多数企业都会监视其客户应用程序数据、密码保险库和云应用程序。
问题:为确保第三方数据的安全,您会监控以下哪些项目/技术? 回答:69%的人选择客户的应用数据;55%的人选择密码保险库;51%的人选择云应用程序;41%的人选择银行/支付信息
公司用于保护第三方数据的最流行方法是安全访问工具和零信任架构。
问题:贵公司目前如何保护第三方数据? 回答:63%的人选择安全访问工具;51%的人选择零信任架构;33%的人选择机密计算;31%的人选择自动化漏洞检测工具
然而,只有4%的受访者对他们目前保护第三方数据的方法完全有信心。
问题:在保护第三方数据方面,您对公司当前的安全状况有信心吗? 回答:96%的人认为没有信心
此外,98%的IT、安全和工程管理人员表示,他们目前使用的数据保护方法会对生产效率产生负面影响。
问题:您目前保护第三方数据的方法对IT/安全部门的工作效率有多大影响? 回答:3%的人认为影响很大;63%的人认为有一定的影响;32%的人认为有轻微影响;2%的人认为毫无影响
62%的医疗保健组织表示,适当保护第三方数据的需求会对生产率产生中度或显著影响;剩下的38%的人说至少有一些影响。
大量IT团队投资于信息安全审计
几乎所有参加这次调查的企业每年至少进行一次安全审计,超过半数的企业进行三次或三次以上的审计。
问题:贵公司每年需要进行多少次信息安全审计? 回答:12%的人选择5次以上;41%的人选择3-4次;45%的人选择1-2次;2%的人选择没有审计
超过四分之一的金融服务业组织每年至少面临五次审计。当企业每年面临5次或5次以上的安全审计时,对IT的影响会呈指数级增长。60%的受访者认为审计频度达到5+的话,生产力按照1-5(1是最好的)打分的话会降至4或5分。
面对信息安全审计,不仅生产力受到影响。其中半数以上的企业每年至少花费10万美元进行审计。
问题:您估计贵公司每年的信息安全审计成本是多少? 回答:22%的人认为超过了15万刀;33%的人认为超过了10万刀;37%的人认为超过了5万刀;8%的人认为少于5万刀
制造商最有可能花费大笔资金进行安全审计。26%的制造商愿意花费超过15万美元,这使制造业企业成为最具安全意识的部门。
机密计算可以极大地帮助团队提高数据安全性
考虑到从端到云使用的大量数据,以及保护这些数据所面临的越来越大的压力,96%的企业IT、安全和工程管理人员认同保护广泛的潜在攻击面将能提高应用程序的安全性。
问题:您是否认同保护潜在的攻击面将能提高应用程序整体的安全性? 回答:96%的回答Yes
企业提高数据安全性的一种方法是实施机密计算;只有33%的受访者说他们现在使用的就是这种技术。老板们设想了机密计算的两个关键场景:保护数据免受平台管理员和服务提供商的潜在安全威胁,并确保他们看不到合作伙伴/客户的加密数据。
问题:以下哪三个机密计算场景对您的组织影响最大? 回答:59%的人选择了保护数据免受平台管理员和服务提供商的潜在安全威胁;54%的人选择了要向合作伙伴/客户和客户确保数据免受平台管理员和服务提供商的潜在安全威胁;40%的人选择要防止平台软件(比如hypervisor)访问数据;36%的人选择在多租环境中保护数据不受其他工作负载的影响;27%的人选择了保护机器学习模型的完整性;26%的人选择了匿名化数据以与其他第三方共享。
机密计算通过将使用中的数据隔离在平台管理员、服务提供商或平台软件(如hypervisor)无法访问的受保护的HW-TEE中来保护数据。
三大机密计算场景也因行业而异:
- 制造商 60%的选择在多租环境中保护数据不受其他工作负载的影响;60%的选择保护数据免受平台管理员和服务提供商的潜在安全威胁;47%的选择要向合作伙伴/客户和客户确保数据免受平台管理员和服务提供商的潜在安全威胁。
- 医疗行业 58%的选择保护数据免受平台管理员和服务提供商的潜在安全威胁;54%的要向合作伙伴/客户和客户确保数据免受平台管理员和服务提供商的潜在安全威胁;40%的选择要防止平台软件(比如hypervisor)访问数据。
- 金融服务 72%的选择保护数据免受平台管理员和服务提供商的潜在安全威胁;47%的选择在多租环境中保护数据不受其他工作负载的影响;15%的选择要防止平台软件(比如hypervisor)访问数据;15%的选择保护机器学习模型的完整性。
通过实施机密计算,大多数企业希望在一定程度上保护其数据和资产,使其能够适当降低潜在的数据泄露的法律和财务风险。
问题:以下哪项机密计算安全优势对您的组织影响最大? 回答:82%的人选择保护其数据和资产;53%的人选择防止数据泄露的法律影响/成本;50%的人选择防止数据泄露造成的声誉损害;42%的人选择保护第三方数据;32%的人选择增强创新能力;24%的人选择使用第三方设备或云。
医疗保健机构认为创新能力的增强(49%)高于数据泄露导致的法律影响和成本的降低(45%)。
此外,91%的企业高管认为保密计算可以促进创新。
问题:您是否认可如果有了保密计算,您的工程团队的创新能力将显著提高? 回答:91%的人选择了Yes
附报告原文链接:《Confidential Computing: A Pulse Survey on the Future of Security Technology》
作者:LansZhang
原文链接
