与文件访问相关的数据泄露事件频发，成本迅速累积。过去两年，许多组织遭遇了多起与文件相关的事件，经济损失高达数百万美元。其后果通常包括客户数据被盗、生产力下降以及知识产权泄露。

波耐蒙研究所 (Ponemon Institute) 的一项新研究表明，内部人员数据泄露是一个巨大的威胁。

疏忽和恶意行为都会导致这种风险，当访问控制薄弱或文件活动不可见时，组织就会暴露在风险之中。其他主要问题包括来自供应商的恶意文件以及文件共享监管不力。

对文件传输和上传的信心不足

文件在共享、上传或传输过程中最容易受到攻击。不到一半的组织对文件在上传、电子邮件共享或与第三方传输过程中的安全性表示高度信任。即使是从未知来源下载文件的信任度得分也高于上传和传输文件，这凸显了控制这些过程的难度。

存储仍然是一个主要的风险点。传统存储库（例如本地系统、NAS 和 SharePoint）是潜在的暴露源，排名最高。公共门户、Web 表单以及 SaaS 应用程序的文件下载也被认为是常见的薄弱环节。

恶意软件不断演变

基于宏的恶意软件以及零日或未知恶意软件位居文件威胁榜首。企业表示，他们最担心的是这些类型的恶意内容，因为这两种内容都难以用传统工具检测。勒索软件以及针对文件解析漏洞和混淆脚本的攻击也同样令人担忧。

调查结果显示，许多公司缺乏检测和应对基于文件的威胁的能力。只有约 40% 的公司表示能够在一天或一周内做出响应，而其他公司则表示响应延迟时间更长或无法衡量。

扩大防御工具的使用

各组织机构正在采用一系列方法来加强文件安全。许多组织机构正在使用或计划使用内容解除和重建、多重扫描、沙盒、文件漏洞评估和威胁情报。每种技术的部署都有其特定目的，例如检测恶意超链接、删除活动内容或支持合规性。

数据丢失防护也正在取得进展，尤其是在控制文件共享和防止数据泄露方面。使用原产国检查和软件物料清单反映出对供应链的担忧，因为企业希望更好地了解文件和代码的来源。

人工智能进入战略组合

人工智能正逐渐成为文件安全策略的核心。三分之一的组织已将人工智能用于此目的，另有三分之一的组织计划在明年投入使用。受访者认为，人工智能的最大优势在于降低风险和成本，部分受访者还表示，它还能提高效率。

生成式人工智能 (Generative AI)仍然存在争议。只有四分之一的组织制定了正式政策，而几乎同样多的组织则直接禁止其使用。其他组织则通过试点或有限的生产部署进行试验。在使用 GenAI 的地方，它通常在解锁文件或分析复杂的文件交互方面发挥作用。

保护人工智能工作负载中的敏感文件也已成为当务之急。各组织报告称，他们已使用即时安全工具、屏蔽敏感数据、检查恶意软件并应用人工智能防护措施。这些措施旨在解决对即时注入、数据泄露和敏感信息滥用的担忧。

合规压力

监管义务持续给企业带来压力。SOX、PCI DSS、HIPAA 和 GDPR 等法律和标准被认为是最具影响力的。然而，只有约一半的受访者表示，他们的企业能够有效满足与文件安全​​相关的合规性要求。