登录注册

2025 年云与 AI 安全状况调查报告 - CSA.pdf

2025 年云与 AI 安全状况调查报告 - CSA.pdf
这份名为《2025年云与人工智能安全现状》的调查报告由云安全联盟(CSA)与Tenable联合发布。报告通过对全球1025名IT和安全专业人士的调查,揭示了当前企业在混合云、多云环境以及AI应用快速普及背景下所面临的安全挑战、现状与趋势。以下是报告的核心内容总结: ### 1. 混合云与多云架构成为常态 混合云和多云环境已成为大多数企业的标准配置。调查显示,82%的受访组织运行混合环境,63%使用多个云服务商。虽然这种模式提供了灵活性,但也导致了基础设施的碎片化。目前,企业正倾向于使用能够跨环境的统一安全监控(58%)和云安全态势管理(CSPM, 57%)等工具来获取全局可见性。 ### 2. 身份安全是云环境中最薄弱的环节 身份相关问题已超越配置错误,成为首要风险。59%的组织将不安全的人类/服务身份及高危权限视为顶级安全风险。在已发生的云泄露事件中,权限过大(31%)、访问控制不一致(27%)和身份卫生差(27%)是主要诱因。尽管如此,身份管理仍处于不成熟阶段,28%的受访者表示云团队与IAM(身份访问管理)团队之间存在协作失调。 ### 3. 专业人才缺口与领导层认知偏差 “缺乏专业知识”(34%)被视为保护云基础设施的最大障碍。这种缺口产生了连锁反应,导致战略不明(39%)和预算不足(35%)。此外,31%的受访者认为高管缺乏对云安全风险的充分理解,甚至有20%的领导层错误地认为云服务商内置的安全工具已“足够好”,忽视了共同责任模型中的企业职责。 ### 4. 指标体系滞后:重反应、轻预防 目前云安全的考核指标呈现“后视镜”特征。最常用的KPI是“安全事故的频率和严重程度”(43%),这是一种事后补救指标。而关注长期韧性的预防性指标(如停机时间减少、每工作负载的安全成本)使用率较低。这种文化导致企业在“救火”而非“防火”,难以向领导层证明主动性投资的价值。 ### 5. AI应用提速但安全保障脱节 AI正在从试点走向生产,55%的组织已将AI用于业务需求。然而,34%拥有AI工作负载的组织已经历过相关泄露。 * **认知错位:** 实际导致AI泄露的原因多为传统风险(如软件漏洞21%、配置错误16%),但安全团队却更担心模型操纵等“AI原生”风险。 * **防护薄弱:** 51%的组织仅依赖合规框架来指导AI安全,只有15%实施了MLOps(机器学习运维)安全实践。 ### 6. 核心建议:安全战略亟需重置 报告强调,由于环境复杂性增加和AI的引入,传统的安全方法已不再适用。为弥补差距,组织应采取以下行动: * **实现统一可见性:** 构建跨混合云和多云环境的一致策略执行。 * **深化身份治理:** 重点管理非人类身份和落实最小权限原则。 * **调整KPI体系:** 从关注事故响应转向关注预防和风险降低。 * **对齐领导层认知:** 加强高管对云原生风险和运营需求的理解。 * **超越合规要求:** 将合规视为AI安全的底线而非终点,增加技术性深层防护。 **结论:** 2025年的云安全不再仅仅是技术问题,而是战略对齐、人才建设和从被动响应向主动风险管理转型的综合挑战。能够构建协同架构、重视身份治理并紧跟AI安全步伐的企业,才能在动态的威胁景观中保持弹性。
在线阅读 下载完整报告 | 427.73 KB | 27页
阅读和下载会消耗积分;登录、注册、邀请好友、上传报告可获取积分。
成为VIP会员可免费阅读和下载报告