الشركات الرائدة في مجال السحابة يتحدثون عن التحديات الرئيسية
يمثل وجود عدد هائل من الهويات والأنظمة والطهاة في مطبخ السحابة تكليفًا معقدًا بالفعل.
يقول أكثر من ثلثي صناع القرار في مجال السحابة (68%) أن عمليات النشر في السحابة لديهم - لا سيما المثيلات العامة والهجينة - هي أكبر مجالات مؤسستهم عُرضة للمخاطر. وتشكل إدارة من يمكنه الوصول إلى هذه الأنظمة تحديًا لا يُستهان به.
هذه هي النتائج التي توصل لها استبيان تم إجراؤه يشمل 262 خبيرًا في تكنولوجيا المعلومات والأمن، ممن لديهم سلطة اتخاذ القرارات النهائية فيما يتعلق بالبنية التحتية السحابية لمؤسساتهم. يكشف الاستبيان الذي أجرته شركة Forrester Consulting في عام 2023 نيابةً عن Tenable عن أربعة مجالات رئيسية يقول عنها صناع القرار في مجال السحابة أنها تمثل أكبر المجالات تعرضًا للمخاطر:
- التكوينات غير الصحيحة في البنية التحتية السحابية والخدمات المستخدمة على مستوى مؤسستي (68%)
- عيوب في أي برنامج للأعمال/لتكنولوجيا المعلومات مستخدم على مستوى مؤسستي (62%)
- التكوينات غير الصحيحة في الأدوات التي تستخدمها مؤسستي لإدارة امتيازات المستخدم ووصوله (60%)
- عيوب في أي برنامج للتكنولوجيا التشغيلية مستخدم على مستوى مؤسستي (46%)
عندما يتعلق الأمر بتقييم التعرض للمخاطر، فإن السحابة تتجاوز مجالات أخرى من البنية التحتية لتكنولوجيا المعلومات إلى حد بعيد، بوصفها سببًا للقلق بين صناع القرار في مجال السحابة.
في أي من المجالات التالية يكون تعرضك للمخاطر أعلى؟
| التكنولوجيا | نسبة المجيبين |
| البنية التحتية السحابية العامة1 | 29% |
| البنية التحتية متعددة السُحب / الهجينة2 | 28% |
| إنترنت الأشياء (IoT) | 15% |
| البنية التحتية السحابية الخاصة | 11% |
| أدوات إدارة الحاويات السحابية | 9% |
| البنية التحتية في أماكن العمل | 5% |
| التكنولوجيا التشغيلية/نظام التحكم الصناعي (ICS)/نظام التحكم الإشرافي والحصول على البيانات (SCADA) | 3% |
1 السحابة العامة يمكن أن تكون موفرًا عامًا واحدًا للخدمات السحابية، مثل Amazon Web Services (AWS) أو Google Cloud Platform (GCP) أو Microsoft Azure
2 السُحب المتعددة / الهجينة هي مجموعة من سحابتين أو أكثر عامة و/أو خاصة
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
ما المواضع التي سيستثمر فيها صناع القرار في مجال السحابة العام المقبل؟
تُستخدم حاليًا مجموعة واسعة من البنى التحتية المستندة إلى السحابة وأنظمة الأعمال في معظم المؤسسات، بما في ذلك الحاويات والأجهزة الافتراضية، بالإضافة إلى إدارة علاقات العملاء (CRM) وأنظمة إدارة الموارد البشرية.
عندما يتعلق الأمر بمجالات الاستثمار ذات الصلة بنشر التكنولوجيا في السحابة، فقد حدد المجيبون الوظائف دون خادم والحاويات والأجهزة الافتراضية باعتبارها أهم ثلاثة أنواع من التكنولوجيا حيثما يخططون لتوسيع الاستفادة منها خلال الأشهر الاثني عشر المقبلة.
أي من تقنيات البنية التحتية السحابية التالية تستعين بها مؤسستك في الوقت الحالي؟
| التكنولوجيا | غير مهتم بالسحابة | مهتم لكن لا توجد خطط لتنفيذها في السحابة | من المخطط التنفيذ خلال الـ12 شهرًا المقبلة | تم تنفيذها في السحابة لكن لم يتم توسيعها/ترقيتها | توسيع أو ترقية استخدام السحابة | تخفيض أو إزالة استخدام السحابة |
| وظائف دون خادم | 8% | 21% | 39% | 24% | 7% | 0% |
| أجهزة افتراضية | 3% | 14% | 33% | 34% | 13% | 3% |
| حاويات | 2% | 11% | 32% | 35% | 16% | 3% |
| إدارة الموارد البشرية | 2% | 12% | 26% | 40% | 18% | 2% |
| البريد الإلكتروني | 2% | 5% | 25% | 35% | 26% | 7% |
| المالية | 3% | 11% | 25% | 32% | 24% | 6% |
| إدارة خدمات تكنولوجيا المعلومات (ITSM) | 0% | 5% | 24% | 34% | 30% | 8% |
| تخطيط الموارد المؤسسية (ERP) | 1% | 4% | 17% | 37% | 32% | 9% |
| إدارة علاقات العملاء (CRM) | 0% | 6% | 14% | 42% | 28% | 10% |
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
كميات هائلة من البيانات، وكميات هائلة من المستودعات، وعدد مهول من أصحاب المصلحة
بالنظر إلى النظام البيئي المعقد القائم على السحابة الموجود في معظم المؤسسات، فلا عجب من تصدر النتائج السحابية قائمة مصادر البيانات التي يستخدمها صناع القرار في مجال السحابة لتحديد التعرض للمخاطر بشكل عام. بيد أن النتائج السحابية ليست المصدر الوحيد. كما أن موجزات معلومات التحليل الذكي للتهديدات، والكشف عن الثغرات الأمنية، ونتائج تقييم مدى الاستعداد للحوادث هي أيضًا من بين المصادر التي يعوّل عليها صناع القرار في مجال السحابة فيما يخص البيانات.
أي من مصادر البيانات التالية تستخدمها مؤسستك لتحديد مدى التعرض للمخاطر بشكل عام؟
| مصدر البيانات | نسبة المجيبين |
| نتائج السحابة | 69% |
| موجزات التحليل الذكي للتهديدات | 55% |
| الكشف عن الثغرات الأمنية | 52% |
| نتائج تقييم التأهب للحوادث | 52% |
| نتائج اختبار الاختراق | 47% |
| نتائج سطح الهجوم الخارجي | 42% |
| ملفات تعريف المستخدمين والامتيازات | 35% |
| نتائج التكنولوجيا التشغيلية | 31% |
| جرد الأصول | 26% |
مسموح بإجابات متعددة
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
يستغرق تجميع كل هذه البيانات من الأنظمة المتعددة المنعزلة وقتًا طويلًا ويتسم بالتعقيد. ففي الواقع، تلعب كل من المستودعات المؤسسية، والافتقار إلى سلامة البيانات، والتركيز على الأمن الإلكتروني التفاعلي وليس الوقائي دورًا في جعل أمن السحابة تحديًا. بشكل خاص:
- يقول سبعة من كل 10 مجيبين (70%) من صناع القرار في مجال السحابة أن الأنظمة المنعزلة بمؤسستهم تشكل عائقًا أمام الحصول على بيانات المستخدم
- يفيد نصف عدد المجيبين أن مؤسستهم تفتقر إلى طريقة فعالة لدمج بيانات المستخدم في ممارسات إدارة الثغرات الأمنية
- يقول أكثر من نصف عدد المجيبين (55%) أن الافتقار إلى السلامة في كل من بيانات المستخدم لدى المؤسسة وأنظمة إدارة الثغرات الأمنية لديها يمنعهم من استخلاص بيانات عالية الجودة لمساعدة الموظفين على اتخاذ قرارات تحديد الأولويات
- يفيد ستة من كل 10 مجيبين (58%) أن الشغل الشاغل لفريق الأمن الإلكتروني هو مكافحة الحوادث الخطرة لدرجة لا تمكنه من اتباع نهج وقائي للحد من تعرض مؤسسته للمخاطر
- يقول ما يقرب من ثلاثة أرباع المجيبين (74%) أن مؤسساتهم ستكون أنجح في التصدي للهجمات الإلكترونية إذا خصصت المزيد من الموارد للأمن الإلكتروني الوقائي
مما يزيد الأمور تعقيدًا، تبدو مسؤولية الإشراف على أنظمة إدارة الوصول والهوية وكأنها رياضة جماعية يشارك فيها الخبراء في مجال تكنولوجيا المعلومات وعمليات الأمن والمخاطر والامتثال والحوكمة. يمتلك السواد الأعظم من المجيبين (67%) ثلاثة أو أكثر من أنظمة إدارة الهوية والوصول في موضعها، ويمكن أن يكون هناك خمسة أنواع مختلفة من الفرق المشاركة في إدارة هذه الأنظمة: عمليات تكنولوجيا المعلومات (77%)، وعمليات الأمن (61%)، والمعرِّف والوصول (53%)، والمخاطر والامتثال (36%)، والحوكمة (32%).
من يدير أنظمة إدارة الهوية والامتيازات المستخدمة في مؤسستك؟
| الفريق | نسبة المجيبين |
| عمليات تكنولوجيا المعلومات | 77% |
| عمليات الأمن | 61% |
| المعرِّف وفريق الوصول | 53% |
| المخاطر والامتثال | 36% |
| الحوكمة | 32% |
| مؤسستي لا تملك أنظمة إدارة الهوية والامتيازات | 2% |
| غير ذلك | 1% |
مسموح بإجابات متعددة
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
إضافةً إلى ذلك، فإن أغلب صناع القرار في مجال السحابة الذين شملهم الاستبيان يرتدون قبعات متعددة ويصفون أنفسهم بأنهم صناع القرار النهائي في عدد من المجالات الرئيسية، بما يشمل DevSecOps، وإدارة الثغرات الأمنية، وحتى مركز عمليات الأمن (SOC).
أنا صانع القرار النهائي لهذه الممارسة
| الممارسة | نسبة المجيبين |
| DevSecOps | 61% |
| إدارة الثغرات الأمنية | 58% |
| عمليات الأمن / مركز عمليات الأمن | 57% |
| أدوات / تطبيقات SaaS | 56% |
| عمليات تكنولوجيا المعلومات | 56% |
| إدارة الوصول إلى الهوية / الامتيازات | 53% |
| المطورون | 53% |
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
ومع ذلك، غالبًا ما يُستبعد الأمن الإلكتروني من الحلقة خلال معظم مراحل نشر التكنولوجيا.
ما معدل مشاركة فريق الأمن الإلكتروني بمؤسستك خلال المراحل التالية من النشر؟
| المرحلة | أبدًا | نادرًا | أحيانًا | أغلب الوقت | طيلة الوقت |
| المراجعة الهندسية | 1% | 10% | 38% | 35% | 15% |
| تحديد النطاق | 2% | 16% | 41% | 32% | 9% |
| طلب تقديم عرض (RFP) | 3% | 10% | 31% | 35% | 21% |
| تقييم المورّد / إثبات المفهوم (PoC) | 2% | 10% | 33% | 31% | 24% |
| التكوين والنشر | 0% | 5% | 27% | 42% | 26% |
| امتياز المستخدم وإدارة الوصول | 0% | 2% | 23% | 38% | 35% |
| إدارة وصيانة المورّد على نحو مستمر | 1% | 9% | 27% | 40% | 23% |
| الحوكمة وإدارة الاستثناءات | 1% | 11% | 21% | 45% | 22% |
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
يعتبر DevOps مجالًا آخر يثير قلق صناع القرار في مجال السحابة: يفيد أربعة مجيبين من عشرة (42%) أن فريق DevOps لدى مؤسستهم لا يعطي الأولوية للأمن في عملية تطوير التعليمات البرمجية الخاصة به.
المزيد عن المجيبين
يمثل المجيبون في الاستبيان صناع القرار في مجال السحابة العاملين في مجال تكنولوجيا المعلومات (65%) والأمن الإلكتروني (35%). من المرجح أن يكونوا نوابًا للرئيس أو مديرين عوضًا عن المديرين التنفيذيين على المستوى التنفيذي. إنهم مشاركون بشكل كبير في إستراتيجية تكنولوجيا المعلومات والأمن.
أي مما يلي يصف منصبك/قسمك الحالي على أفضل نحو؟
| المنصب/القسم | نسبة المجيبين |
| تكنولوجيا المعلومات | 65% |
| الأمن الإلكتروني / أمن المعلومات | 35% |
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
أي مسمى وظيفي يصف منصبك في مؤسستك على أفضل نحو؟
| المسمى الوظيفي | نسبة المجيبين |
| كبار صناع القرار في مجال تكنولوجيا المعلومات أو الأمن في الشركة (على سبيل المثال، رئيس قسم المعلومات، كبير موظفي أمن المعلومات، المدير التنفيذي للتكنولوجيا) | 22% |
| كبير موظفي أمن المعلومات التجارية (BISO) | 3% |
| نائب رئيس قسم تكنولوجيا المعلومات أو الأمن | 40% |
| مدير في قسم تكنولوجيا المعلومات أو الأمن | 35% |
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
ما مدى مشاركتك في الإعداد، و/أو الإدارة، و/أو التنفيذ في المجالات التالية الخاصة بإستراتيجية تكنولوجيا المعلومات/الأمن في مؤسستك؟
| المجال | مشارك بشكل هامشي | مشارك بشكل معتدل | مشارك بشكل كبير |
| الميزانية | 1% | 45% | 53% |
| مقاييس الأداء | 0% | 40% | 59% |
| إستراتيجيات الأعمال | 0% | 48% | 52% |
القاعدة: 262 خبيرًا في مجال تكنولوجيا المعلومات والأمن يتمتعون بسلطة اتخاذ القرار النهائي فيما يتعلق بالبنية التحتية/البنية السحابية لمؤسساتهم
المصدر: دراسة أُجريت في عام 2023 بواسطة شركة Forrester Consulting نيابةً عن Tenable
أربع توصيات للحد من المخاطر ذات الصلة بأمان السحابة
يتطلب تأمين البنية التحتية السحابية المعقدة لديك معالجة مجموعة متنوعة من التحديات المتعلقة بالأشخاص والعمليات والتكنولوجيا. إليك أربعة توصيات للبدء:
- تفكيك المستودعات. ضع خطة لتوحيد أمان السحابة قياسيًا عبر وحدات الأعمال المختلفة، مما يوفر نقطة مرجعية واحدة يمكن استخدامها بواسطة الفرق في مجال الأمن وتكنولوجيا المعلومات وDevOps وDevSecOps. هل يمكنك في عجالة تحديد العلاقات بين المستخدمين والأنظمة والأصول في جميع أنحاء مؤسستك، بحيث تتمكن من تحديد مدى تعرضهم للمخاطر ومعالجتها بشكل واقعي؟ أو هل تشكل أنظمتك المنعزلة عائقًا يمنعك من دمج مثل هذه البيانات بشكل فعال خلال ممارسات أمان السحابة لديك؟ يمكن لتوحيد المقاييس المساعدة على تقليل الاحتكاك بين فرق تكنولوجيا المعلومات والأمن والتطوير، وضمان اتخاذ قرارات سريعة استنادًا إلى توصيات دقيقة يمكن للجميع فهمها.
- تخطيط سطح الهجوم لديك بشكل مرئي. تعتبر معرفة الأصول السحابية المتوفرة لديك هي مجرد البداية. فإنك تحتاج إلى رؤية بشأن التكوينات والهويات الرقمية والأذونات المرتبطة بكل أصل على شبكتك. فقط من خلال العرض السياقي للأصول والتكوينات والهويات، يمكنك تحقيق الرؤية اللازمة لإجراء نوع التحليل الدقيق الذي يمكِّن فرق الأمن من تقديم توصيات مستهدفة للحد من المخاطر.
- معالجة التحديات متعددة السُحب. يقوم كل موفر عام رئيسي للخدمات السحابية - Amazon Web Services (AWS) وGoogle Cloud Platform (GCP) وMicrosoft Azure - بإدارة مكونات السحابة وتكوينها بشكل مختلف، مما يؤدي إلى عدم الاتساق في المراقبة الأمنية المستمرة. تهدف إلى دمج المعلومات من جميع موفري الخدمات السحابية العامين لديك في مساحة مراقبة وإدارة موحدة. ويتطلب ذلك فهم الآليات المتنوعة المستخدمة، بما يشمل البنية التحتية لموفر السحابة ونموذج الأذونات، ويمكن أن يساعدك على وضع الأساس لتوصيات المعالجة الموحدة والدقيقة.
- البحث عن عن حلول مؤتمتة. يمكن لحلول الأمان السحابية الآلية مساعدتك على التحليل المستمر لتعرض مؤسستك للمخاطر وتقديم النتائج بطريقة سهلة وقابلة للاستهلاك وقابلة للتنفيذ، دون الحاجة إلى معرفة فنية عميقة من جهة الفرق. تزود أدوات الأمن المؤتمتة الفرق بالقدرة على فهم المخاطر والتحقيق فيها والتصدي لها في ظلّ التعقيد. يمكنك باستخدام الحل المؤتمت المناسب: الحصول على رؤية كاملة للأصول والمستخدمين والتكوينات السحابية الخاصة بك؛ ودمج المعلومات من جميع موفري الخدمات السحابية العامين في مساحة مراقبة إدارة ومراقبة موحدة؛ وتحديد الأولويات والمعالجة بناءً على شدة المخاطر. يمكن للأتمتة العمل كمضاعف قوة لفرق الأمن المتعطشة للموارد.
عند البحث عن حلول أمان السحابة السليمة، ينبغي على المؤسسات التركيز على تلك التي من شأنها تقليل مستوى التعقيد والمخاطر. ينبغي أن تتمتع حلول أمان السحابة السليمة بسهولة الاستخدام والتوحيد القياسي لأمان السحابة عبر وحدات الأعمال المختلفة. يعمل الحل القوي بوصفه مستشارًا، حيث يقدم رؤى حول الثغرات الأمنية أو التكوينات غير الصحيحة التي تتطلب اهتمامًا فوريًا. وهو أيضًا يقدم تحديدًا للأولويات غني السياق للمخاطر ورؤى قابلة للتنفيذ من أجل اتخاذ قرارات مستنيرة بشأن التخفيف والأدوات اللازمة لأتمتة عملية المعالجة وتسريع وتيرتها.
مقالات ذات صلة
Cloud Workload Protection: The Key to Decreasing Cloud Security Risks
June 11, 2024More than 80% of all breaches involve data stored in the cloud, and security teams that don’t use cloud workload protection (CWP) may never get ahead of attackers who want to access as much data as possible with the least effort. A single cloud breach is often the most straightforward way into these sensitive environments. On average, it costs nearly $5 million to respond and recover. So, why are so many organizations still using traditional on-prem security that isn't designed for the dynamic cloud?
Cybersecurity Snapshot: NIST Program Assesses How AI Systems Will Behave in the Real World, While FBI Has Troves of Decryption Keys for LockBit Victims
June 7, 2024Check out the new ARIA program from NIST, designed to evaluate if an AI system will be safe and fair once it’s launched. Plus, the FBI offers to help LockBit victims with thousands of decryption keys. In addition, Deloitte finds that boosting cybersecurity is key for generative AI deployment success. And why identity security is getting harder. And much more!
These Services Shall Not Pass: Abusing Service Tags to Bypass Azure Firewall Rules (Customer Action Required)
June 3, 2024Azure customers whose firewall rules rely on Azure Service Tags, pay attention: You could be at risk due to a vulnerability detected by Tenable Research. Here’s what you need to know to determine if you’re affected, and if so, what you should do right away to protect your Azure environment from attackers.
Microsoft’s June 2024 Patch Tuesday Addresses 49 CVEs
June 11, 2024Microsoft addresses 49 CVEs in its June 2024 Patch Tuesday release with one rated as critical and no zero-day or publicly disclosed vulnerabilities. Our counts omitted two CVEs that were not issued by Microsoft, which include CVE-2023-50868 (issued by MITRE) and CVE-2024-29187 (issued by GitHub).
Cloud Workload Protection: The Key to Decreasing Cloud Security Risks
June 11, 2024More than 80% of all breaches involve data stored in the cloud, and security teams that don’t use cloud workload protection (CWP) may never get ahead of attackers who want to access as much data as possible with the least effort. A single cloud breach is often the most straightforward way into these sensitive environments. On average, it costs nearly $5 million to respond and recover. So, why are so many organizations still using traditional on-prem security that isn't designed for the dynamic cloud?
CVE-2024-4577: Proof of Concept Available for PHP-CGI Argument Injection Vulnerability
June 7, 2024Researchers disclose a critical severity vulnerability affecting PHP installations and provide proof-of-concept exploit code, which could lead to remote code execution.
- Cloud
- Cloud
- Exposure Management