导言

2022年,全球网络安全威胁态势进入高度不确定的“黑天鹅时代”,企业数据安全和风险管理面临前所未有的挑战,包括:

  • 网络犯罪的“民主化”

  • 地缘战争引发的网络战升级

  • 漏洞披露数量和利用速度屡创新高

  • 供应链和关键基础设施攻击进入“热战”

  • 疫情期间远程办公和数字化转型攻击面扩大

  • 勒索软件和网络钓鱼活跃度和复杂性不断提升

  • 数据安全和隐私保护的合规难度和成本不断加大

  • 环境、社会和治理(ESG)给数据安全带来的新挑战

数据安全作为网络安全防御体系的核心任务,目前正处在高速发展的初期,企业数据安全能力建设过程中,政策监管和市场宣传经常盖过了企业用户的真实声音。而企业作为数据安全技术和策略的实施主体,其数据安全现状、痛点、需求、经验的能见度偏低,行业内及跨行业知识和经验分享与交流不畅,这并不利于数据安全市场的健康发展。

为了帮助广大中国企业提高数据安全“能见度”,推动安全主管的跨行业交流,在“枪炮、病毒与数据安全”的高不确定性年代制订有效的数据安全战略,GoUpSec联合承制科技发起《2022年中国企业数据安全现状调查报告》,对大型行业企业和关键基础设施用户安全主管进行多维度调研,包括:

  • 透析企业数据安全的“痛点”和“痒点”;

  • 爬梳企业数据安全能力建设的最佳实践;

  • 摸查企业数据安全产品需求与期望、支出与预算;

  • 洞察企业数据安全技术趋势与市场热点;

  • 聚焦企业数据安全面临的威胁与挑战。

本次调研面向金融、制造、医疗、教育、交通、政府、零售、电力等关键行业的上百家大型企业网络安全主管,力求为中国企业识别数据安全领域的新威胁,新技术、新挑战、新趋势和新需求,制订有针对性的数据安全新战略提供关键决策信息,同时也为中国网络安全企业在数据安全市场的产品策略和市场布局提供有益参考。

重要发现

以下为《2022年中国企业数据安全现状调查报告》的重要发现:

  • 企业数据安全能力建设的主要驱动力

  • 企业数据安全能力建设的最大障碍

  • 企业数据安全的投入与预算计划

  • CSO对市场中数据安全产品/服务最大的不满之处

  • 企业数据安全十大痛点

  • 企业数据安全十大热门新技术

  • 企业数据安全十大威胁

调研内容

四分之一的企业承认发生过较大的数据安全事件

受访企业安全主管中,约四分之一(27%)承认发生过较大数据安全事件,但GoUpSec认为实际数字可能会更高。正如GDPR导致欧洲企业勒索软件攻击的暗网数据统计与官方披露数据存在较大差异,严格的监管法规和过高的合规成本往往也是一柄双刃剑(GDPR罚款基准是企业年营业额的4%),导致企业瞒报率上升,而瞒报会导致行业威胁情报不畅,导致威胁蔓延造成(包括企业和个人)更大的附带损失。作为参考,美国政府最近出台政策强制要求企业在规定期限内披露安全违规事件。

数据安全能力建设的三大驱动力

监管与合规依然是当下企业数据安全能力建设的主要驱动力(53%),其次是数据安全事件和业务发展驱动。随着近年来我国数据安全相关法律法规体系的完善和落地,合规需求将在很长一段时间内成为企业数据安全能力建设的主要驱动力。与此同时,随着网络威胁和数据泄露事件的不断增长,以及企业数字化转型攻击面的扩大,数据安全事件和业务发展驱动的占比不断提高,已经接近“半壁江山”,这表明企业对数据安全与业务发展,数据安全与竞争力的关系有了更为深入的认知。但是我们也应该看到,企业对数据安全与ESG(环境与社会责任和治理)的关系尚未充分重视,只有不到1%的受访者对数据安全的次生影响表达了关注。

数据安全能力建设的最大障碍:供应商产品/服务与需求差距大

本次调研暴露出的最大问题之一是:超过三分之一(36%)的企业认为网络安全厂商的数据安全“产品/服务与需求差距大”是数据安全能力建设的最大障碍,其次是“预算不足”(29%)和“领导不够重视”(27%),而过往调研中较为常见的一些问题,例如人才和技能短缺,治理架构等,只占不到8%。

数据安全“产品/服务与企业需求差距过大”成为企业数据安全能力建设的最大障碍,表明数据安全市场的产品和服务提供商对行业企业用户的需求理解、执行交付以及服务能力尚有欠缺。当然,产品功能欠缺和集成性差也是不容忽视的重要原因。

超过半数企业认为数据安全产品只能满足不到60%的需求

当前,数据作为新型生产要素,正深刻影响着国家经济社会的发展。然而,仅有少数受访者(5%)认为目前市场上的产品/服务能够满足单位数据安全项目的需求,大约三分之一(29%)的受访企业安全主管认为目前市场上的产品/服务达不到及格标准。

目前数据安全市场主流产品品类繁多,例如数据防泄漏、数据脱敏、数据加密、数据网关、数据水印等,但是随着企业部署的数据安全单点产品数量增多,以及数据安全与企业整体纵深防御体系和技术堆栈的集成需求增加,越来越多的缺乏互操作性的数据安全工具正在成为企业网络安全运营面临的最大挑战之一。安全工具的碎片化导致产品性能和价值承诺难以兑现,我们预计未来几年企业的这个痛点将导致安全产品和供应商的加速整合。

企业数据安全的十大威胁

内部威胁(25%)和勒索软件(25%)是企业安全主管们评选出的两个最大威胁,得票数显著高于其他威胁。而在欧美地区网络安全主管调查报告排名靠前网络钓鱼/BEC邮件攻击的排名则显著低于预期。这表明我国企业网络安全主管们对“人的因素”和威胁更为重视,这也包括“人员错误/远程办公/BYOD”(第三名),疫情的反复和远程办公与BYOD导致的攻击面扩大,进一步增加了人员(端点)相关风险。

企业数据安全的十大痛点

在甲方眼中的数据安全十大痛点调查中,超过七成(71%)的受访企业安全人士认为“人员安全意识”是数据安全的主要痛点,其次是特权账号(58%)、内部威胁(56%)、第三方与供应链安全(56%)、API广泛调用(52%)、新场景新业务的复杂性(52%)、数据资产能见度(50%)、风险与合规(41%)、混合云跨云环境(41%)、人才短缺(41%)。

值得注意的是,多年来业界反复强调的人才短缺问题,在十大痛点调研中排名最后,这标志着数据安全正在成为企业跨部门的全员责任,而不仅仅是IT和安全部门的责任,在这个转变过程中,与人才短缺相比,企业安全团队面临的更大挑战是提升企业全体员工的安全素养,“特权账号”和“内部威胁”这两个排名前三的痛点也都与人员意识和“人的因素”有关。

与数字化转型和业务创新相关的“API调用”(第五名)、“新场景新业务”(第六名)已经被提升到显著地位,这意味着企业数据安全“促发展”的需求正变得强烈。

“第三方、供应链安全”(第四名)排名仅次于“人的因素”(一、二、三名),这标志着企业对供应链安全问题已经高度重视。

企业数据安全的十大热门新技术

在热门数据安全技术的调研中,隐私增强和隐私保护相关的数据安全技术受到了企业安全主管的重点关注,这包括同态加密(第一名)、数据脱敏(第二名)、安全多方计算(第三名)、智能数据识别(第五名)、数据匿名(第六名)和联邦学习(第八名)。

同态加密作为目前市场上最强大的隐私增强保护技术之一,可以让企业在云环境中安全存储、使用和管理数据,而无需向云服务商提供对加密密钥的访问权限,同态加密可广泛应用于在数据隐私、法规合规、反洗钱、金融欺诈和数据货币化等领域,从本次调研结果来看已经成为企业数字化转型中最热门的隐私增强技术。

企业数据安全规划:第一步做什么?

大多数受访企业安全主管的数据安全策略是“以我为主”,即先做好数据安全治理和规划(60%),再上安全产品,超过三分之一的安全主管选择“咨询、规划、产品一体化进行”(34%)。

现在所处的公司未来在数据安全上预计投入多少?

当前数据安全产品存在哪些不足?

对未来数据安全产品的功能有哪些期望?

有哪些因素阻碍数据安全厂商发展?需要哪些支持?

附录:调研方法

为了全面深入、客观准确地挖掘当前数据安全市场需求侧的痛点与观点、需求与趋势,《2022年企业数据安全现状调查报告》于2022年3月10日至4月28日,采用线上交互和走访方式访问了金融、电信、能源、医疗、互联网、汽车、政府等十多个行业的95家大型企业的111位网络安全主管(CSO)和安全专家,共收到111份有效问卷反馈。以下为受访者的企业规模和行业分布信息:

总结与思考

在强监管和高不确定性时代,我们的数据安全管理是否存在“隧道视野”和“信息茧房”?我们正在进入“大数据”时代还是“小数据”时代?数字化转型是“上云”还是“下云”?旧的数据安全战略“边框”和风险治理模型是否需要做出根本性的改变?我们的企业管理层是否真的洞察到了数据安全的价值和战略、危机和机遇?

GoUpSec期望《企业数据安全现状调查》系列报告能够深度挖掘甲方企业数据安全痛点和趋势,推动安全主管们的跨行业交流和分享,促进数据安全体系和能力建设在企业组织架构的横向和纵向交流,让安全融入企业文化和管理战略的血液,让安全数据成为企业战胜不确定性的核心动力。

声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。