關鍵資訊系統、網路安全及資料安全的領導者－Thales，日前與451研究機構共同發佈了2017 Thales資料威脅報告結果。68%的受訪者表示曾經遭受資料外洩問題，其中有26%在去年發生，這兩項數據都較前一年增加。矛盾的是，整體資安支出也增加了；73%的組織在2017年增加了IT安全支出，相較於2016年的58%有了顯著成長。

舊習難改

這份報告已連續第五年發佈，集結了世界各大企業1,100個資深IT資安專家，並點出組織所購買的安全解決方案與這些方案在資料保護上持續背離的問題。30%的受訪者認為他們的組織在面對資料攻擊上”很有弱點”或”非常有弱點”，而且資料外洩的數量持續增加。在資安支出上，網路和端點保護解決方案是企業最先考慮的項目，分別佔62%和56%；相反的，靜態資料解決方案則是最後考量的項目，僅佔46%。

Garrett Bekker，451研究機構資訊安全資深分析師，同時也是這份報告的作者：

怎麼解釋這種麻煩的狀態？組織持續花費在過去有用，現在卻不是阻止資料外洩問題最有效的解決方案上。資料保護戰略需要因應當今的威脅。如果資安策略無法在這種快速變化的威脅環境中保持一樣的靈活度，資料外洩率理所當然的會繼續增加。

合規是IT資安支出最大的驅使因素

資安支出決策背後的因素有很多，但最主要的驅使因素一直是同一個－合規。接近一半(44%)的受訪者認為滿足合規要求是他們在支出上的首要考量，接著才是最佳化營運(38%)和保護商譽/品牌(36%)。59%的受訪者也相信合規在避免資料外洩上”非常”有效。雖然合規規範提供了資料安全的藍圖，但是在建構足以抵禦當今複雜攻擊的安全策略時，它們絕不是唯一的考慮因素。

內外部網路使用者是最大的威脅

與過去幾年一樣，2017年的資料威脅報告探討了對威脅的看法。所有產業都將已知的網路犯罪視為最高威脅(44%)，其次是駭客攻擊(17%)、網路恐怖份子(15%)和民族國家(12%)。

至於內部威脅，有58%的受訪者相信授權使用者是最危險的內部人員(略低於去年的63%)，44%認為主管是第二具風險的內部人員，接續是一般員工(36%)和外包廠商(33%)。

保護資料免於未來的威脅：希望還是困境？

隨著企業增加雲端和SaaS部屬，越來越多的企業資料被生成、移動、處理並儲存在公司網絡界線之外，使得以往以邊界為基礎的安全管控和傳統網路與端點的保護解決方案越來越派不上用場。而新的、熱門的技術也帶來安全上的挑戰。舉例來說，近四成的受訪者在研發應用程式時都使用了Docker container；但同時也有47%的人認為資安是採用Docker container最大的阻礙。

為了消抵資料外洩的趨勢並享受新技術和創新的好處，組織至少應遵守以下做法：

• 將加密和存取管控作為主要的資料防護方式，並視為＂全面加密＂策略之一。
• 選擇可滿足各種使用情境的資料安全產品，並著重易用性。
• 實施安全分析和多因素身份驗證解決方案，以協助辨別資料使用的威脅型態。

Thales e-Security 策略副總裁Peter Galvin總結如下－

現今企業無可避免地要面臨日益複雜的威脅環境。隨著雲端、大數據、物聯網和Docker的廣泛運用，可以保護各種形式資料的IT安全策略需求也浮上檯面，無論資料是靜態、動態或是使用中。企業需要投資以保護隱私進行設計的防禦機制，如加密，以保護具有價值的資料和智慧財產，同時也要把安全視為創造數位創新商機的要素，建立合作夥伴和客戶間的信任度。

原文請見：https://goo.gl/q2Wqy9