云环境中的敏感数据风险调查

关键要点

研究人员对不同的公共云环境进行调查，发现超过30的超过130亿个文件和8PB的数据样本中包含个人身份信息PII。

根据Dig Security在周三发布的《2023年云数据安全状态报告》，研究者们发现最常见的敏感数据类型是个人身份信息。在超过10亿个记录的样本中，21的记录包含电子邮件地址，7包含电话号码，6包含住址。

此外，该样本中还发现了约1000万条社会安全号码，使其成为第六常见的PII，而信用卡号码以300万条位列第七。

该报告还显示，91的存储敏感数据的数据库并未在静态状态下加密，20禁用了日志记录，16对公众开放，而超过60的存储服务也未进行静态加密，几乎70的服务没有日志记录。

绝大多数拥有权限的用户95通过过度授权获得权限，并且超过35的用户拥有访问敏感数据资产的某种权限。

研究人员指出，敏感数据也有40的概率流向如Hadoop和Snowflake等不受管理的数据湖，这使得数据面临显著风险。

存储资产之间的复制活动占到与敏感数据活动的30。报告显示，超过50的敏感数据资产被五到十个应用访问，而近20的敏感数据资产则被十到二十个应用访问。

Dig Security开发该报告的目标是提高用户对现代工作环境中敏感数据使用方式的认识，并揭示相应的风险。公司首席执行官兼联合创始人Dan Benjamin在声明中提到：“许多组织对敏感客户和公司数据的处理过于随意。”

Tanium的技术账户管理高级主管Shawn Surber表示，转向云计算在几乎所有行业都带来了重大问题，因为管理员需负责新的服务、计算实例以及各种“即服务”类型的应用，每种应用都有不同的管理工具。

Surber提到：“所有这些新的管理工具不可避免地引入了更多的风险和脆弱性。这造成了一个环境，让本已压力重重的管理员在尽力而为的同时，却缺乏知识、培训和资源来完美实施这些新功能。”

“ 这是组织孤岛式运作的直接后果，团队之间几乎无数据、流程或工具共享。”他继续说道，“为了弥补数据和系统保护上的巨大缺口，需要各团队、工具和流程的融合。”