数码化时代,越来越多企业采用云端服务,然而在享受便捷的同时,其中隐藏的“安全盲区”正演变为潜在的系统性风险。
网络安全公司Tenable发布的《2025年云安全风险报告》显示,多达54%的企业的云端储存中,都含有用于访问敏感系统的特权认证信息。9%的云端储存更直接暴露敏感数据,形成安全漏洞。
报告主要分析全球企业公共云端环境的遥测(telemetry)信息,其中包括新加坡及其他东南亚国家的用户数据。
根据报告,云储存资源有约9%含有敏感信息,而其中97%被归类为“受限”或“机密”信息。这些信息包括客户个人资料、财务记录、业务机密,甚至是加密密钥、访问密钥与应用编程接口(API)密钥等“数码钥匙”,可直接用于认证或访问核心系统。
报告发现,亚马逊云科技(AWS) 的企业用户中有54%都有敏感信息储存在云端。这类数据一旦被攻击者掌握,不仅可能导致数据泄漏和勒索事件,还可能成为进一步入侵企业内部系统的跳板,甚至操纵资源进行加密货币挖矿等恶意操作。
身份验证机制并非万能
造成敏感资料暴露的主要因素,包括权限设置不当(34%)、多云环境之间的协作盲区(28%)、以及第三方服务整合缺乏透明度(21%)。
报告说,越来越多企业开始部署身份识别供应商(IdP)系统,集中化地管理访问权限与身份验证流程。虽然这有助于减少因凭证被盗而产生的风险,但如果未配合其他权限限制策略,仅靠IdP并不能完全防止攻击者渗透。
报告说:“这不是技术层面的失败,而是治理与责任的缺失。”
报告的发现在新加坡尤具现实意义。我国数据与网络安全框架相对成熟,包括《网络安全法》、《个人资料保护法令》(PDPA)及金管局颁布的科技风险管理指导原则等。Tenable指出,若企业未能识别和管控云资产、配置与权限,恐在合规性方面触法,面临高额罚款及商誉受损。
在数码化与远程办公常态化后,云端服务已成为企业营运的关键,若无全面的风险治理机制,将难以抵御快速演化的网络攻击。
报告建议企业采取措施,包括实施最小权限原则、加强数据分类系统、敏感信息管理自动化、以及统一身份管理平台等。
