SaaS 安全調查報告

1、2022 GREATER CHINA REGION alliance CfOUsecurityalliance ”序言從Salesforce 1999年發(fā)布CRM SaaS 服務成為SaaS的開拓者，到2022年全球企業(yè)服務 SaaS市場規(guī)模將超1700億美元（據(jù)Statista預測），SaaS成了真正的“軟件終結者”。國內 SaaS雖然起步較晚但也已經在2019年進入了旺盛期，CRM、ERP、HCM、OA、財務、客 服、電子簽等垂直領域的SaaS蓬勃發(fā)展。而且?guī)缀跛袀鹘y(tǒng)的管理軟件企業(yè)都開始了新一輪的轉型嘗試。新冠疫情爆發(fā)以來，很多企業(yè)不得不選擇遠程辦公和使用線上SaaS應用，疫情成了Saa

2、S發(fā)展的又一個助推劑。SaaS快速發(fā)展的同時也面臨不少安全問題，這些問題已經成為很多組織關注的焦點。 CSA繼發(fā)布CAST云應用安全可信標準與認證之后，就SaaS安全相關的問題開展調查并發(fā)布了2022 SaaS安全調查報告（以下簡稱報告）。調查從收集到的340份來自不同規(guī)模組織和地區(qū)的IT/安全專家的答卷中深入挖掘，篩選出了5大關鍵的安全問題，并對其產生的原因進行了研究與分析，通過一系列數(shù)據(jù)說明了這幾大問題的普遍性與嚴重性。值得關注的是在本次調查過程中，云平臺上流竄的病毒、木馬、網絡攻擊已不再是最主要的安全風險，錯誤配置、權限模糊、安全減配等管理問題已經成為企業(yè)SaaS安全管理過程中必須慎重對

3、待的關鍵問題。作為企業(yè)的IT管理人員，尤其是信息安全管理人員，應該清楚地知道：沒有安全事故不等于足夠的安全。那如何保證企業(yè)在日益復雜的網絡環(huán)境下的數(shù)字安全，保證云上業(yè)務的安全？這些問題在報告中也給出了相對應的解決思路。除此之外，報告中的一些對比數(shù)據(jù)或許可以為企業(yè)解決SaaS安全問題提供借鑒，給企業(yè)的使用SaaS帶來一些啟 示。對于很多企業(yè)來說，安全地使用SaaS是一個很有挑戰(zhàn)的過程，需要加強企業(yè)內部的控制策略，并通過統(tǒng)一的安全保障措施和策略對SaaS應用進行識別和管控。同時推薦使用 SSPM管理，為安全團隊提供SaaS應用程序安全設置可見性的能力，也可以利用自動化工具監(jiān)控和修復SaaS安全錯誤

4、配置。李雨航Yale Li CSA 大中華區(qū)主席兼研究院院長2022 云安全聯(lián)盟大中華區(qū)版權所有 3目錄 HYPERLINK l _TOC_250017 序言 3致謝 4 HYPERLINK l _TOC_250016 調研的開展與方法論 6 HYPERLINK l _TOC_250015 概要 7 HYPERLINK l _TOC_250014 關鍵發(fā)現(xiàn)1 7 HYPERLINK l _TOC_250013 關鍵發(fā)現(xiàn) 2 7 HYPERLINK l _TOC_250012 關鍵發(fā)現(xiàn) 3 8 HYPERLINK l _TOC_250011 關鍵發(fā)現(xiàn) 4 9 HYPERLINK l _TOC_2

5、50010 關鍵發(fā)現(xiàn) 5 10 HYPERLINK l _TOC_250009 企業(yè)的SaaS 應用程序使用量（預估） 11 HYPERLINK l _TOC_250008 Saas 安全評估 13 HYPERLINK l _TOC_250007 SaaS 安全的錯誤配置 16 HYPERLINK l _TOC_250006 與SaaS 安全錯誤配置相關最值得關注的領域 16 HYPERLINK l _TOC_250005 修復SaaS 安全配置錯誤的時間 17 HYPERLINK l _TOC_250004 過去一年中由于SaaS 安全錯誤配置導致的安全事件 17 HYPERLINK l _

6、TOC_250003 SaaS 安全工具 18 HYPERLINK l _TOC_250002 SSPM 的使用情況與計劃 18 HYPERLINK l _TOC_250001 結論 18 HYPERLINK l _TOC_250000 統(tǒng)計結果 192022 云安全聯(lián)盟大中華區(qū)版權所有 5調研的開展與方法論云安全聯(lián)盟（CSA）是一家非營利性組織，其使命是廣泛推動云計算和IT技術領域的最佳實踐，確保網絡安全。同時，CSA也就計算機技術相關的所有安全關注點對行業(yè)內各利益相關方展開教育。CSA是由業(yè)內人士、企業(yè)和專業(yè)協(xié)會組成的廣泛聯(lián)盟。CSA的主要目標之一是開展評估信息安全趨勢的調查工作，這些調查

7、提供的與企業(yè)組織在信息安全與技術領域的成熟度、觀點、興趣和行動相關的信息。Adaptive Shield（以色列SaaS應用安全服務商）委托CSA開展調查并編寫相關的報告，以便更好地了解關于SaaS安全和相關錯誤配置的行業(yè)知識、態(tài)度和意見。Adaptive Shield資助了本項目并與CSA的研究分析師聯(lián)合設計了調查問卷。本次調查從2022年1月至2月，由 CSA以在線方式開展，共收到340份來自不同規(guī)模和地區(qū)組織的IT和安全專家的答卷。CSA的研究團隊對本報告進行了數(shù)據(jù)分析和解讀。研究目標本調查的目標是了解當前SaaS安全和錯誤配置狀況。關注的關鍵領域包括：使用SaaS應用的企業(yè)組織評估Sa

8、aS應用程序安全的方法、策略和工具檢測和修復SaaS應用程序安全里錯誤配置的時間表了解SaaS安全相關的最新產品2022 云安全聯(lián)盟大中華區(qū)版權所有 6概要許多最近發(fā)生的違規(guī)與數(shù)據(jù)泄露事件由錯誤配置導致，使其成為眾多企業(yè)組織關注的焦點。多數(shù)關于錯誤配置的研究只關注IaaS層，而忽略了SaaS全棧。然而，SaaS安全和錯誤配置對于企業(yè)的整體安全同等重要?；谏鲜鲈?，CSA設計并發(fā)布了一項調查，以便更好地了解SaaS應用的使用，SaaS安全性評估的工具與時間表，檢測和修復錯誤配置的時間表，以及對SaaS應用相關安全工具的認識了解。關鍵發(fā)現(xiàn) 1SaaS錯誤配置導致安全事件至少自2019年1起，錯誤

9、配置就已經成為組織關注的重點。不幸的是，至少43%的組織經歷過一個或多個因SaaS錯誤配置引發(fā)的安全事件。此外，一些組織曾經歷過安全事件，但不確定是否歸結于SaaS的錯誤配置，否則這關鍵發(fā)現(xiàn) 2不確定否是一比例將高達63%。與17%的組織因IaaS錯誤配置而遭遇安全事件相比，這一數(shù)據(jù)就顯得尤為突出。2因此，組織需要采取自動化和持續(xù)掃描措施，不僅針對IaaS的錯誤配置，還應包括SaaS的錯誤配置，以防止安全事件發(fā)生。自動化措施能使組織實時修復該問題，從而避免留下隱患。導致SaaS錯誤配置的主要原因是缺少可見性以及具有訪問權限的部門太多安全事件的主要原因來自兩個方面：太多部門擁有SaaS安全設置的

10、訪問權限（占比 35%），以及對SaaS安全設置的變更缺少可見性（占比34%）。這一發(fā)現(xiàn)并不令人驚訝，原因有二：1.選擇SaaS應用時，安全設置可見性的缺失被評為首要問題。2.通常，組織內有多個部門具備訪問這些安全設置的權限（詳見“為SaaS應用安全設置負責”部分）。1 云計算面臨的11類頂級威脅. (CSA) 2019.2022 云安全聯(lián)盟大中華區(qū)版權所有 72 云安全風險、合規(guī)和錯誤配置的狀況. (CSA) 2021.有40%的組織認為，訪問SaaS應用程序的部門是業(yè)務部門（如法務、市場、營銷），目的是執(zhí)行工作相關的任務。通常情況下，這些部門缺少適當?shù)呐嘤柡蛯Π踩O置變更的關注。然而，他們

11、完成工作需要這種級別的 SaaS應用訪問權限。這意味著組織需要為多個部門啟用訪問權限，并為安全團隊提供安全設置變更的洞察能力。其他22%8%用戶權限被盜用SaaS安全只是缺失SaaS安全設置變更的可見性缺失太多部門擁有SaaS安全設置的訪問權關鍵發(fā)現(xiàn) 3對業(yè)務關鍵型SaaS應用的投入超過SaaS安全工具和人員的投入一年以來，有81%的組織對業(yè)務關鍵型SaaS應用增加了投入，但是相比之下，較少組織表示他們?yōu)榱薙aaS安全，在安全工具（73%）和人員（55%）方面增加了投入。這一變化意味著，現(xiàn)有安全團隊負擔了更多SaaS安全監(jiān)控的責任。在另一個關鍵發(fā)現(xiàn)中可以看到，安全團隊采用自動化技術監(jiān)控SaaS

12、安全，能幫助減輕壓力，但是只有26%的組織使用該項 技術。安全團隊正在花費更多時間，以手工方式評估安全，檢測和修復錯誤配置。組織在業(yè)務關鍵型SaaS應用進行投入時，必須考慮這種情況，因為當前投入模式從長期來看不可持續(xù)。減少保持不變增加業(yè)務關鍵型SaaS應用程序SaaS安全工具2022 云安全聯(lián)盟大中華區(qū)版權所有 8SaaS員工安全關鍵發(fā)現(xiàn)4人工檢測和修復SaaS錯誤配置的方式使企業(yè)暴露于風險之中人工檢測和修復不安全配置的方式不僅給安全團隊帶來負擔，其滯后性也給企業(yè)增加了風險。近半數(shù)（46%）企業(yè)對SaaS安全配置的檢查頻率為每月一次或更低，5%的企業(yè)甚至完全不檢查。這個數(shù)據(jù)意味著不安全的配置在

13、一個月乃至更長的時間內放任不管。即使企業(yè)發(fā)現(xiàn)存在不安全配置的情況，還需要額外的時間修復，約1/4的企業(yè)需要一周或更長的時間手動修復錯誤配置，在此期間企業(yè)將處于風險之中。為了避免由于SaaS錯誤配置導致的安全事件的發(fā)生，企業(yè)必須探索自動化的方式或其他類似的工具縮短檢測和修復錯誤配置的時長。Saa S安全配置檢測頻率持續(xù)檢測每天一次每周一次每月一次從不檢測每年一次每季度一次修復SaaS錯誤配置所需的時間實時6小時內1天內一星期內不確定超過6個月6個月內1個月內2022 云安全聯(lián)盟大中華區(qū)版權所有 9*該數(shù)據(jù)僅統(tǒng)計人工檢測及修復的情況關鍵發(fā)現(xiàn)5SSPM的應用有助于縮短SaaS錯誤配置檢測及修復時長S

14、aa S安全配置檢測頻率未使用SSPM的企使用了SSPM的企持續(xù)檢測每天一次每周一次 每月一次 每季度一次一年一次從不檢測修復SaaS錯誤配置所需的時間未使用SSPM的企業(yè)使用了SSPM的企業(yè)實時或在幾分鐘內修復6小時內一天內 一周內 一個月內 6個月內超過6個月不確定使用SSPM解決方案的企業(yè)能夠更快地檢測及修復SaaS錯誤配置。大多數(shù)（78%）企業(yè) 每周或更頻繁地檢測，而那些沒有使用SSPM的企業(yè)中只有45%能夠達到同樣的檢測頻率。在錯誤配置的修復上，使用SSPM的企業(yè)中的73%能夠在一天內修復問題，81%能夠在一周 內修復。反觀那些沒有使用SSMP的企業(yè)，只有35%能夠在一天內修復，61

15、%在一周內修復。結合這些數(shù)據(jù)不難看出，使用了SSPM的企業(yè)能夠縮短在安全風險中的暴露時間。2022 云安全聯(lián)盟大中華區(qū)版權所有 10企業(yè)的SaaS應用程序使用情況企業(yè)的SaaS應用程序使用量（預估）單個企業(yè)平均使用102個SaaS應用，最多的超過5000個。提及次數(shù)SaaS應用程序使用量近年來企業(yè)在SaaS應用程序及安全上的投入變化盡管在過去的一年中，許多企業(yè)改變了他們對SaaS應用程序和安全性的投入策略，然而，在核心業(yè)務相關的SaaS應用程序的投入仍然超過了在安全運維工具及人力上的投入。如果這一趨勢持續(xù)下去，企業(yè)安全運維團隊的負擔將持續(xù)加大。業(yè)務關鍵型SaaS應用程序增加減少SaaS應用程序

16、安全工具2022 云安全聯(lián)盟大中華區(qū)版權所有 11SaaS安全運維人員第三方應用程序訪問是企業(yè)部署SaaS應用程序時的最大關注點企業(yè)在部署某個SaaS應用程序時最擔心的是缺乏對應用程序的可見性，確切的說，他們擔心的是缺乏對那些能夠訪問企業(yè)核心SaaS堆棧（56%）和安全配置（54%）的第三方應用程序的可見性。最不擔心的則是SaaS安全運維人員的不足（32%），這能夠解釋之前企業(yè)在安全運維人員上的投入不足。缺乏對第三方應用程序訪問核心SaaS堆棧的可見性缺乏對SaaS安全配置的可見性缺乏對SaaS錯誤配置的修復能力缺乏對SaaS安全知識缺乏自動化手段或SaaS安全工具SaaS安全運維人員不足企業(yè)

17、發(fā)現(xiàn)未經許可的SaaS應用時的應對策略當發(fā)現(xiàn)未經許可的SaaS應用時，47%的企業(yè)會進行全面的安全策略審查，大約1/4的企業(yè)（24%）會進行簡單、快速的安全審查。放行阻斷簡單審查全面審查2022 云安全聯(lián)盟大中華區(qū)版權所有 12Saas安全評估誰負責SaaS應用程序的安全設置通常，負責Saas應用程序安全設置的部門不限于IT部門或者安全部門。占比最高的部門分別是安全部門（59%），IT部門（50%）和業(yè)務部門（40%），意味著多個部門置身安全之外。雖然業(yè)務應用程序所有者有充分的理由擁有相應級別的訪問權限，但是這些部門缺乏正確的安全知識，也缺乏對維護應用程序安全性的興趣，最終會給安全部門和IT部

18、門帶來問題。安全部門業(yè)務部門 (例如銷售部，市場部，法務部)合規(guī)風控部門不清楚其他監(jiān)測Saas安全配置的方法監(jiān)測SaaS安全配置的最常見方法是手動(57%)。在那些采用手動監(jiān)測的組織中，大約63%手動執(zhí)行此評估。這種方法不2022 云安全聯(lián)盟大中華區(qū)版權所有 13僅耗時，而且容易出現(xiàn)人為失誤。每七個組織中就有一個根本沒有監(jiān)測Saas安全，原因可能有很多，其中之一可能是缺少資源（例如，缺少自動化監(jiān)測工具，缺乏手動監(jiān)測人員）。其他不監(jiān)測SaaS安全錯誤配置自動手動應用程序錯誤配置評估組織監(jiān)視各種SaaS應用程序的錯誤配置。最受關注的應用程序是IAM（52%），通信和協(xié)作平臺（49%），文件共享/存

19、儲（49%）。盡管關注點之間存在微小的差異，但很明顯，組織對其整個SaaS應用程序堆棧感到擔憂。身份和訪問管理 例如. Okta, Duo,活動目錄溝通與協(xié)作 例如. Slack, Microsoft Teams, Google Workspace文件共享和存儲 例如. One Drive, Dropbox, Box代碼倉庫 -例如 Github, BitBucket虛擬會議平臺 -例如. Zoom, Skype, GoToMeeting, Webex端點管理 例如. Intune, Citrix云數(shù)據(jù)平臺 例如 Amazon Redshift, Snowflake, Druid客戶關系管理

20、例如. Salesforce, Hubspot企業(yè)商業(yè)智能 例如 Tableau, PowerBI電子簽名 -例如 DocuSign, Adobe Sign項目及工作管理 例如 M, Smartsheet, Trello票務 -例如 JIRA, Zendesk其他2022 云安全聯(lián)盟大中華區(qū)版權所有 14SaaS安全配置評估時長三分之一的組織需要超過一周的時間評估SaaS安全配置。這就解釋了為什么一些組織沒有監(jiān)測他們的SaaS安全配置，這是一個非常消耗時間和資源的過程。持續(xù)檢查不檢查小時月度天周SaaS安全配置評估頻率40%的組織每月或更低的頻率檢查其SaaS安全配置，十分之一的組織每年才檢查

21、一次，而最常見的是每周一次（23%）。持續(xù)檢查不檢查每天每年每周每季度2022 云安全聯(lián)盟大中華區(qū)版權所有 15每月SaaS安全的錯誤配置誰負責SaaS安全錯誤配置的檢測和修復負責檢測和修復SaaS安全錯誤配置根據(jù)組織的不同而不同。最常見的反應是治理與網絡安全風險(23%)和安全運維(21%)。治理與網絡安全風險安全運維云安全架構其他安全工程師第三方/供應商風險評估與SaaS安全錯誤配置相關最值得關注的領域組織最擔心的與SaaS安全錯誤配置相關的領域是數(shù)據(jù)防泄漏(55%)、訪問控制、密碼管理和多因素認證(54%)。這些問題相互關聯(lián)，組織希望避免未授權訪問和泄漏公司的重要數(shù)據(jù)。數(shù)據(jù)防泄漏終端保護

22、訪問控制，密碼管理和多因素認證操作彈性惡意軟件防護移動安全隱私控制網絡釣魚保護2022 云安全聯(lián)盟大中華區(qū)版權所有 16審計密鑰管理造成SaaS錯誤配置的主要原因造成SaaS錯誤配置的兩個主要原因是，有太多業(yè)務部門可以訪問SaaS的安全設置（35%），以及配置變更時缺乏可見性（34%）。負責檢測和修復SaaS錯誤配置的安全團隊需要深入了解設置的變更，尤其是在其他業(yè)務部門可以訪問的情況下。有了這種洞察力，安全團隊可以快速與其他業(yè)務部門合作，修復錯誤配置或防止其發(fā)生。修復SaaS安全配置錯誤的時間其他用戶權限被誤用盜用缺乏SaaS安全知識安全設置更改時缺乏對于大多數(shù)組織來說，修復錯誤配置大約需要一

23、天（28%）或一周（22%）；同時，幾乎相同數(shù)量比例的組織需要一個月或更長時間（23%）。然而，對于SSPM用戶來說，時間縮短了。近3/4使用SSPM的組織可以在一天內解決錯誤配置。幾分鐘內或接近實時6小時之內1天之內1周之內不確定超過6個月6個月之內1個月之內過去一年中由于SaaS安全錯誤配置導致的安全事件降低檢測和修復SaaS安全錯誤配置的時間，對防止SaaS安全事件至關重要。然而， 43%的組織由于錯誤配置導致安全事件發(fā)生。同時，由于SaaS用戶數(shù)量不確定，這一比例可能高達63%。不確定否2022 云安全聯(lián)盟大中華區(qū)版權所有 17是SaaS安全工具對云安全解決方案及其優(yōu)勢的熟悉程度我們調查評估了SaaS使用者對四種云安 全解決方案的熟悉程度。有趣的是，SSPM的平均評分為“有點熟悉”；盡管SSPM市場在大約兩年前才推出，但它似乎正在迅速成熟。SSPM的使用情況與計劃熟悉有點熟悉計劃或目前已經在使用SSPM的組織，占比為62%，也表明了SSPM在市場上的迅速采用和成熟。同時，計劃實施SSPM的最常見原因是能夠檢測和自動修復SaaS錯誤配置（54%）以及SaaS應用程序中對違反策略的可見性（23%）已經使用SSPM的組織認為，他們的 SaaS安全性得到了改善（51%），并通過SaaS安全管理和維護節(jié)省了時間（33%）。只有38%的組織目前沒有