調(diào)查發(fā)現(xiàn)，數(shù)據(jù)泄露是安全從業(yè)人員最關(guān)心的問題，而且令人吃驚的是，有相當(dāng)一部分安全從業(yè)人員缺乏必要的可見性工具以便得知敏感數(shù)據(jù)存放點，或者量化相關(guān)數(shù)據(jù)泄露的風(fēng)險。

　　以下便是這份《波耐蒙數(shù)據(jù)泄露和敏感數(shù)據(jù)風(fēng)險》報告的主要發(fā)現(xiàn)：

　　1.安全從業(yè)人員不清楚所有敏感數(shù)據(jù)的存放點

　　62%的安全從業(yè)人員很在意自己無法全面掌握公司敏感或機(jī)密數(shù)據(jù)存放的地方。

　　2.敏感數(shù)據(jù)風(fēng)險量化困難

　　雪上加霜的是，超過半數(shù)的安全從業(yè)人員難以理清存于數(shù)據(jù)庫、電子郵件和文件中數(shù)據(jù)的真正風(fēng)險。

　　3.數(shù)據(jù)泄露位列IT安全風(fēng)險之首

　　不清楚敏感數(shù)據(jù)存放點和真正風(fēng)險的后果，就是安全從業(yè)人員無法保護(hù)自家公司免受數(shù)據(jù)泄露侵害。超過1/3的受訪者將數(shù)據(jù)泄露列為最大的IT安全風(fēng)險。雇員/用戶疏忽是第二大，而不合規(guī)和惡意軟件/高級持續(xù)性威脅反而被認(rèn)為是風(fēng)險最低的。

　　4.自動化安全正在興起

　　半數(shù)以上的受訪者稱自家公司采用自動化解決方案發(fā)現(xiàn)敏感數(shù)據(jù)，防止?jié)撛诘男孤妒录��?4%稱采用的是自研的自動化解決方案，而不是由第三方廠商提供的。這個比例高得令人驚訝。

　　5.對實際監(jiān)測數(shù)據(jù)的不確定

　　盡管很多公司采用自動化解決方案來監(jiān)測用戶對敏感數(shù)據(jù)的操作，幾近半數(shù)的受訪者承認(rèn)他們實際上并不清楚到底在監(jiān)測什么。即便在對此有所心得的安全從業(yè)人員中間，實際監(jiān)測的用戶活動和應(yīng)該監(jiān)測的活動之間也存在差異，尤其是在特權(quán)用戶訪問、跨邊界傳輸、高流量訪問和新增數(shù)據(jù)的時候。

　　6.數(shù)據(jù)分類工具是最有效的泄露阻斷工具

　　接近3/4的受訪者采用數(shù)據(jù)分類工具改善數(shù)據(jù)安全。最常用的數(shù)據(jù)分類工具是數(shù)據(jù)監(jiān)測(69%)，其次就是加密或標(biāo)記工具(61%)，然后是數(shù)據(jù)發(fā)現(xiàn)工具(55%)。

　　7.商業(yè)解決方案解決不了用戶行為風(fēng)險

　　盡管市場似乎有無數(shù)的安全和風(fēng)險管理廠商解決方案，越有2/3的受訪者表示，很難找到有助于緩解行為風(fēng)險(如：雇員/用戶疏忽、惡意內(nèi)部人員)的商業(yè)解決方案。因此，IT安全團(tuán)隊要么放棄此類保護(hù)，要么自己開發(fā)一套。

　　8.情報分析越來越重要

　　被問及未來3到5年最重要的過程安全控制方法，超過半數(shù)的受訪者提到了安全情報分析。威脅反饋和情報共享(45%)、高級身份驗證和識別解決方案(40%)、用戶配置和身份管理(37%)也被認(rèn)為是愈趨重要的。

　　9.未來幾年云網(wǎng)關(guān)將是關(guān)鍵

　　安全從業(yè)者預(yù)測，云服務(wù)代理和云應(yīng)用網(wǎng)關(guān)(40%)，以及用戶意識培訓(xùn)(39%)將是未來幾年最重要的目標(biāo)安全控制方法。受訪者還提到了信息防護(hù)和控制(如數(shù)據(jù)丟失預(yù)防、跟蹤、屏蔽和加密)，以及數(shù)據(jù)庫防火墻/行為監(jiān)測。

　　10.威脅和預(yù)算驅(qū)動安全項目改變

　　67%的受訪者稱，自家公司IT安全項目的改變，是由即時威脅和漏洞驅(qū)動的，第二大驅(qū)動因素就是預(yù)算和資源限制。

　　11.影子IT將是下一個安全大挑戰(zhàn)

　　未來3到5年間，對自家公司安全項目決策影響最大的業(yè)界趨勢，將是IT/影子IT的消費化、流動性和日益增加的攻擊復(fù)雜性。（責(zé)編：pingxiaoli）