2022SaaS安全调查报告.docx

《2022SaaS安全调查报告.docx》由会员分享，可在线阅读，更多相关《2022SaaS安全调查报告.docx（19页珍藏版）》请在第壹文秘上搜索。

1、2022SaaS安全调查报告目录调研的开展与方法论6概要7关键发现17关键发现27关键发现38关键发现49关键发现510企业的SaaS应用程序使用量（预估）11Saas安全评估13SaaS安全的错误配置16与SaaS安全错误配置相关最值得关注的领域16修复SaaS安全配置错误的时间17过去一年中由于SaaS安全错误配置导致的安全事件17SaaS安全工具18SSPM的使用情况与计划18结论18统计结果19调研的开展与方法论云安全联盟（CSA）是一家非营利性组织，其使命是广泛推动云计算和IT技术领域的最佳实践，确保网络安全。同时，CSA也就计算机技术相关的所有安全关注点对行业内各利益相关方展开教育

2、。CSA是由业内人士、企业和专业协会组成的广泛联盟。CSA的主要目标之一是开展评估信息安全趋势的调查工作，这些调查提供的与企业组织在信息安全与技术领域的成熟度、观点、兴趣和行动相关的信息。AdaPtiVeShield（以色列SaaS应用安全服务商）委托CSA开展调查并编写相关的报告，以便更好地了解关于SaaS安全和相关错误配置的行业知识、态度和意见。AdaptiveShieIdS助了本项目并与CSA的研究分析师联合设计了调查问卷。本次调查从2022年1月至2月，由CSA以在线方式开展，共收到340份来自不同规模和地区组织的IT和安全专家的答卷。CSA的研究团队对本报告进行了数据分析和解读。研究

3、目标本调查的目标是了解当前SaaS安全和错误配置状况。关注的关键领域包括： 使用SaaS应用的企业组织 评估SaaS应用程序安全的方法、策略和工具 检测和修复SaaS应用程序安全里错误配置的时间表 了解SaaS安全相关的最新产品概要许多最近发生的违规与数据泄露事件由错误配置导致，使其成为众多企业组织关注的焦点。多数关于错误配置的研究只关注IaaS层，而忽略了SaaS全栈。然而，SaaS安全和错误配置对于企业的整体安全同等重要。基于上述原因，CSA设计并发布了一项调查，以便更好地了解SaaS应用的使用，SaaS安全性评估的工具与时间表，检测和修复错误配置的时间表，以及对SaaS应用相关安全工具的

4、认识了解。关键发现1SaaS错误配置导致安全事件至少自2019年】起，错误配置就己经成为组织关注的重点。不幸的是，至少43%的组织经历过一个或多个因3aaS错误配置引发的安全事件。此外，一些组织曾经历过安全事件，但不确定是否归结于SaaS的错误配置，否则这D不确定38%43%一比例将高达63%。与17%的组织因IaaS错误配置而遭遇安全事件相比，这一数据就显得尤为突出。2因此，组织需要采取自动化和持续扫描措施,不仅针对IaaS的错误配置，还应包括SaaS的错误配置,以防止安全事件发生。自动化措施能使组织实时修复该问题，从而避免留下隐患。关键发现2导致SaaS错误配置的主要原因是缺少可见性以及具

5、有访问权限的部门太多安全事件的主要原因来自两个方面：太多部门拥有SaaS安全设置的访问权限（占比35%）,以及对SaaS安全设置的变更缺少可见性（占比34%）。这一发现并不令人惊讶，原因有二：1.选择SaaS应用时，安全设置可见性的缺失被评为首要问题。2.通常，组织内有多个部门具备访问这些安全设置的权限（详见“为SaaS应用安全设置负责部分）。,云计算面临的11类顶级威胁.（CSA）2019.云安全风险、合规和错误配置的状况.（CSA）2021.有40%的组织认为，访问SaaS应用程序的部门是业务部门（如法务、市场、营销），目的是执其他用户权限被盗用SaaS安全只是缺失SaaS安全设置变 更的

6、可见性缺失 太多部门拥有SaaS 安全设置的访问权行工作相关的任务。通常情况下，这些部门缺少适当的培训和对安全设置变更的关注。然而，他们完成工作需要这种级别的SaaS应用访问权限。这意味着组织需要为多个部门启用访问权限，并为安全团队提供安全设置变更的洞察能力。关键发现3对业务关键型SaaS应用的投入超过SaaS安全工具和人员的投入一年以来，有81%的组织对业务关键型SaaS应用增加了投入，但是相比之下，较少组织表示他们为了SaaS安全，在安全工具（73%）和人员（55%）方面增加了投入。这一变化意味着，现有安全团队负担了更多SaaS安全监控的责任。在另一个关键发现中可以看到，安全团队采用自动化

7、技术监控SaaS安全，能帮助减轻压力，但是只有26%的组织使用该项技术。安全团队正在花费更多时间，以手工方式评估安全，检测和修复错误配置。组织在业务关键型SaaS应用进行投入时，必须考虑这种情况，因为当前投入模式从长期来看不可持续。减少保持不变增加业务关键型SaaS应用程序I3%81%SaaS安全工具SaaS员工安全关键发现4人工检测和修复SaaS错误配置的方式使企业暴露于风险之中人工检测和修复不安全配置的方式不仅给安全团队带来负担，其滞后性也给企业增加了风险。近半数（46%）企业对SaaS安全配置的检查频率为每月一次或更低，5%的企业甚至完全不检查。这个数据意味着不安全的配置在一个月乃至更长

8、的时间内放任不管。即使企业发现存在不安全配置的情况，还需要额外的时间修复，约1/4的企业需要一周或更长的时间手动修复错误配置，在此期间企业将处于风险之中。为了避免由于SaaS错误配置导致的安全事件的发生，企业必须探索自动化的方式或其他类似的工具缩短检测和修复错误配置的时长。SaaS安全配置检测频率修复SaaS错误配置所需的时间该数据仅统计人工检测及修更的情况关键发现5SSPM的应用有助于缩短SaaS错误配置检测及修复时长使用SSPM解决方案的企业能够更快地检测及修复SaaS错误配置。大多数（78%）企业每周或更频繁地检测，而那些没有使用SSPM的企业中只有45%能够达到同样的检测频率。在错误配

9、置的修复上，使用SSPM的企业中的73%能够在一天内修复问题，81%能够在一周内修复。反观那些没有使用SSMP的企业，只有35%能够在一天内修复，61%在一周内修复。结合这些数据不难看出，使用了SSPM的企业能够缩短在安全风险中的暴露时间。SaaS安全配置检测频率修复SaaS错误配置所需的时间实时或在几分钟内修复6小时内天内一周内一个月内6个月内超过6个月不确定企业的SaaS应用程序使用情况企业的SaaS应用程序使用量（预估）单个企业平均使用102个SaaS应用，最多的超过5000个。SaaS应用程序使用量提及次数近年来企业在SaaS应用程序及安全上的投入变化尽管在过去的一年中，许多企业改变了

10、他们对SaaS应用程序和安全性的投入策略，然而，在核心业务相关的SaaS应用程序的投入仍然超过了在安全运维工具及人力上的投入。如果这一趋势持续下去，企业安全运维团队的负担将持续加大。业务关键型SaaS应用程序SaaS应用程序安全工具SaaS安全运维人员第三方应用程序访问是企业部署SaaS应用程序时的最大关注点企业布部署某个SaaS应用程序时最担心的是缺乏对应用程序的可见性，确切的说，他们担心的是缺乏对那些能够访问企业核心SaaS堆栈（56%）和安全配置（54%）的第三方应用程序的可见性。最不担心的则是SaaS安全运维人员的不足（32%）,这能够解释之前企业在安全运维人员上的投入不足。缺乏对第三

11、方应用程序访问核心SaaS堆栈的可见性56%缺乏对SaaS安全配置的可见性54%缺乏对SaaS错误配置的修复能力41%缺乏对SaaS安全知识38%缺乏自动化手段或SaaS安全工具35%SaaS安全运维人员不足32%企业发现未经许可的SaaS应用时的应对策略当发现未经许可的SaaS应用 时，47%的企业会进行全面的安 全策略审查，大约1/4的企业 （24%）会进行简单、快速的安 全审查。20%放行阻断简单审杳47%K J全面审查SaaS安全评估谁负责SaaS应用程序的安全设置通常，负责SaaS应用程序安全设置的部门不限于IT部门或者安全部门。占比最高的部门分别是安全部门（59%）,IT部门（50

12、%）和业务部门（40%）,意味着多个部门置身安全之外。虽然业务应用程序所有者有充分的理由拥有相应级别的访问权限，但是这些部门缺乏正确的安全知识，也缺乏对维护应用程序安全性的兴趣，最终会给安全部门和IT部门带来问题。安全部门59%IT50%业务部门（例如销辑部.市场部，法务部）40%合规风控部门19%不清姥10%其他I4%监测SaaS安全配置的方法监测SaaS安全配置的最常见方法是手动（57%）。在那些采用手动监测的组织中，大约其他不监测SaaS安全错误配置自动手动63%手动执行此评估。这种方法不仅耗时，而且容易出现人为失误。每七个组织中就有一个根本没有监测SaaS安全，原因可能有很多，其中之一

13、可能是缺少资源（例如，缺少自动化监测工具，缺乏手动监测人员）。应用程序错误配置评估组织监视各种SaaS应用程序的错误配置。最受关注的应用程序是IAM（52%）,通信和协作平台（49%）,文件共享/存储（49%）。尽管关注点之间存在微小的差异，但很明显,组织对其整个SaaS应用程序堆栈感到担忧。身份和访问管理-例如.Okta,DUo,活动目录沟通与协作-例如.Slack,MicrosoftTeams,GoogleWorkspace49%文件共享和存储-例如.OneDrive,Dropbox,Box代码仓库-例如Gilhub,BitBuckel43%虚拟会议平台-例如.Zoom,Skype,GoT

14、oMeeting1Webex41%端点管理-例如.Intunc,Citrix云数据平台-例如AmazonRedshift,Snowflake,Druid38%客户关系管理-例如.Salesforce,Hubspot36%企业商业智能-例如Tableau,PoweiBI34%电子签名-例如DocuSign,AdobeSign32%项目及工作管理-例如Monday,com,Smarlsheet,Trello票务-例如JIRA,Zendesk其他2%SaaS安全配置评估时长三分之的组织需要超过周的时间评估SaaS安全配置。这就解释了为什么一些组织没有监测他们的SaaS安全配置，这是一个非常消耗时间和资源的过程。SaaS安全配置评估频率40%的组织每月或更低的频率检查其SaaS安全配置，十分之一的组织每年才检查一次,最常见的是每周一次（23%）。持续检查11%每天15%每周23%不检查每年每季度17%每月aS安全的错误配置谁负责SaaS安全错误配置的检测和修复负责检测和修复SaaS安全错误配置根据组织的不同而不同。最常见的反应是治理与网络安全风险(23%)和安全运维(21%)。治理与网络安全风险安全运维云安全架构2% 其他安全工程师18% 第三方/供应商风险评估与SaaS安全错误配置相关最值得关注的领域组织最担心的与Sa