2022 SaaS 安全調(diào)查報告

2022SaaS安全調(diào)查報告4目錄的方論 6概要 7關(guān)發(fā)現(xiàn)1 7關(guān)發(fā)現(xiàn)2 7關(guān)發(fā)現(xiàn)3 8關(guān)發(fā)現(xiàn)4 9關(guān)發(fā)現(xiàn)5 10企的SaaS應程序用量預估） 11Saas安評估 13SaaS安的錯配置 16與SaaS安錯誤置相最值關(guān)注領(lǐng)域 16復間 17一于SaaS錯導全件 17SaaS安工具 18SSPM的用情與計劃 18結(jié)論 18統(tǒng)結(jié)果 195調(diào)研的開展與方法論（CSA）ITCSACSAAdaptiveShield（SaaS委托SaaSAdaptiveShield資CSA2022年12340ITCSA研究目標本調(diào)查的目標是了解當前SaaS安全和錯誤配置狀況。關(guān)注的關(guān)鍵領(lǐng)域包括：SaaSSaaSSaaSSaaS6概要許多最近發(fā)生的違規(guī)與數(shù)據(jù)泄露事件由錯誤配置導致，使其成為眾多企業(yè)組織關(guān)注的焦點。多數(shù)關(guān)于錯誤配置的研究只關(guān)注IaaS層，而忽略了SaaS全棧。然而，SaaS安全和錯誤配置對于企業(yè)的整體安全同等重要?；谏鲜鲈颍珻SA設(shè)計并發(fā)布了一項調(diào)查，以便更好地了解SaaS應用的使用，SaaS安全性評估的工具與時間表，檢測和修復錯誤配置的時間表，以及對SaaS應用相關(guān)安全工具的認識了解。關(guān)鍵發(fā)現(xiàn)1SaaS錯誤配置導致安全事件至少自2019年1起，錯誤配置就已經(jīng)成為組織關(guān)注的重點。不幸的是，至少43%的組織經(jīng)歷過一個或多個因SaaS錯誤配置引發(fā)的安全事件。此外，一些組織曾經(jīng)歷過安全事件，但不確定是否歸結(jié)于SaaS的錯誤配置，否則這2

不確定否是

一比例將高達63%。與17%的組織因IaaS錯誤配置而遭遇安全事件相比，這一數(shù)據(jù)就顯得尤為突出。2因此，組織需要采取自動化和持續(xù)掃描措施，不僅針對IaaS的錯誤配置，還應包括SaaS的錯誤配置，復該問題，從而避免留下隱患。導致SaaS錯誤配置的主要原因是缺少可見性以及具有訪問權(quán)限的部門太多安全事件的主要原因來自兩個方面：太多部門擁有SaaS安全設(shè)置的訪問權(quán)限（占比35%），以及對SaaS安全設(shè)置的變更缺少可見性（占比34%）。這一發(fā)現(xiàn)并不令人驚訝，原因有二：1.選擇SaaS應用時，安全設(shè)置可見性的缺失被評為首要問題。2.通常，組織內(nèi)有多個部門具備訪問這些安全設(shè)置的權(quán)限（詳見“為SaaS應用安全設(shè)置負責”部分）。1云計算面臨的11類頂級威脅.(CSA)2019.2云安全風險、合規(guī)和錯誤配置的狀況.(CSA)2021.77有40%的組織認為，訪問SaaS應用程序的部門是業(yè)務(wù)部門（如法務(wù)、市場、營銷），目的是執(zhí)行工作相關(guān)的任務(wù)。通常情況下，這些部門缺少適當?shù)呐嘤柡蛯Π踩O(shè)置變更的關(guān)注。然而，他們完成工作需要這種級別的SaaS應用訪問權(quán)限。這意味著組織需要為多個部門啟用訪問權(quán)限，并為安全團隊提供安全設(shè)置變更的洞察能力。

其他22%8%22%8%SaaS安全只是缺失SaaS安全設(shè)置變更的可見性缺失太多部門擁有SaaS安全設(shè)置的訪問權(quán)關(guān)鍵發(fā)現(xiàn)3對業(yè)務(wù)關(guān)鍵型SaaS應用的投入超過SaaS安全工具和人員的投入一年以來，有81%的組織對業(yè)務(wù)關(guān)鍵型SaaS應用增加了投入，但是相比之下，較少組織表示他們?yōu)榱薙aaS安全，在安全工具（73%）和人員（55%）方面增加了投入。這一變化意味著，現(xiàn)有安全團隊負擔了更多SaaS安全監(jiān)控的責任。在另一個關(guān)鍵發(fā)現(xiàn)中可以看到，安全團隊采用自動化技術(shù)監(jiān)控SaaS安全，能幫助減輕壓力，但是只有26%的組織使用該項技術(shù)。安全團隊正在花費更多時間，以手工方式評估安全，檢測和修復錯誤配置。組織在業(yè)務(wù)關(guān)鍵型SaaS應用進行投入時，必須考慮這種情況，因為當前投入模式從長期來看不可持續(xù)。減少 保持不變 增加業(yè)務(wù)關(guān)鍵型SaaS應用程序安全工具員工安全關(guān)鍵發(fā)現(xiàn)4人工檢測和修復SaaS錯誤配置的方式使企業(yè)暴露于風險之中（46%）SaaS5%1/4SaaSSaaS安全配置檢測頻率持續(xù)檢測每天一次每周一次每月一次

從不檢測每年一次每季度一次修復SaaS錯誤配置所需的時間實時一星期內(nèi)

不確定超過6個月*該數(shù)據(jù)僅統(tǒng)計人工檢測及修復的情況關(guān)鍵發(fā)現(xiàn)5SSPM的應用有助于縮短SaaS錯誤配置檢測及修復時長SaaS安全配置檢測頻率未使用SSPM的企使用了SSPM的企持續(xù)檢測每周一次每月一次一年一次從不檢測修復SaaS錯誤配置所需的時間未使用SSPM的企業(yè)使用了SSPM的企業(yè)6一天內(nèi)一周內(nèi)6個月內(nèi)超過6個月不確定SSPMSaaS（78%SaaS安全配置檢測頻率未使用SSPM的企使用了SSPM的企持續(xù)檢測每周一次每月一次一年一次從不檢測修復SaaS錯誤配置所需的時間未使用SSPM的企業(yè)使用了SSPM的企業(yè)6一天內(nèi)一周內(nèi)6個月內(nèi)超過6個月不確定10企業(yè)的SaaS應用程序使用情況企業(yè)的SaaS應用程序使用量（預估）單個企業(yè)平均使用102個SaaS應用，最多的超過5000個。提及次數(shù)SaaS應用程序使用量近年來企業(yè)在SaaS應用程序及安全上的投入變化盡管在過去的一年中，許多企業(yè)改變了他們對SaaS應用程序和安全性的投入策略，然而，在核心業(yè)務(wù)相關(guān)的SaaS應用程序的投入仍然超過了在安全運維工具及人力上的投入。如果這一趨勢持續(xù)下去，企業(yè)安全運維團隊的負擔將持續(xù)加大。SaaS應用程序增加減少應用程序安全工具增加減少SaaS安全運維人員第三方應用程序訪問是企業(yè)部署SaaS應用程序時的最大關(guān)注點企業(yè)在部署某個SaaS應用程序時最擔心的是缺乏對應用程序的可見性，確切的說，他們擔心的是缺乏對那些能夠訪問企業(yè)核心SaaS堆棧（56%）和安全配置（54%）的第三方應用程序的可見性。最不擔心的則是SaaS安全運維人員的不足（32%），這能夠解釋之前企業(yè)在安全運維人員上的投入不足。缺乏對第三方應用程序訪問核心SaaS堆棧的可見性缺乏對SaaS安全配置的可見性缺乏對SaaS安全配置的可見性缺乏對SaaS錯誤配置的修復能力缺乏對SaaS安全知識缺乏對SaaS錯誤配置的修復能力缺乏對SaaS安全知識缺乏自動化手段或SaaS安全工具缺乏自動化手段或SaaS安全工具SaaS安全運維人員不足SaaS安全運維人員不足企業(yè)發(fā)現(xiàn)未經(jīng)許可的SaaS應用時的應對策略當發(fā)現(xiàn)未經(jīng)許可的SaaS應用時，47%的企業(yè)會進行全面的安全策略審查，大約1/4的企業(yè)（24%）會進行簡單、快速的安全審查。

Saas安全評估誰負責SaaS應用程序的安全設(shè)置SaasIT（50%）（40%）IT部門安全部門業(yè)務(wù)部門(例如銷售部，市場部，法務(wù)部)合規(guī)風控部門不清楚其他監(jiān)測Saas安全配置的方法監(jiān)測SaaS安全配置的最常見方法是手動(57%)。在那些采用手動監(jiān)測的組織中，大約63%手動執(zhí)行此評估。這種方法不僅耗時，而且容易出現(xiàn)人為失誤。每七個組織中就有一個根本沒有監(jiān)測Saas安全，原因可能有很多，其中之一可能是缺少資源（例如，缺少自動化監(jiān)測工具，缺乏手動監(jiān)測人員）。

其他不監(jiān)測SaaS安全錯誤配置應用程序錯誤配置評估/（49%）身份和訪問管理–例如.Okta,Duo,活動目錄溝通與協(xié)作–例如.Slack,MicrosoftTeams,GoogleWorkspace文件共享和存儲–例如.OneDrive,Dropbox,Box代碼倉庫-例如Github,BitBucket虛擬會議平臺-例如.Zoom,Skype,GoToMeeting,Webex端點管理–例如.Intune,Citrix云數(shù)據(jù)平臺–例如AmazonRedshift,Snowflake,Druid客戶關(guān)系管理–例如.Salesforce,Hubspot企業(yè)商業(yè)智能–例如Tableau,PowerBI電子簽名-例如DocuSign,AdobeSign項目及工作管理–例如M,Smartsheet,Trello票務(wù)-例如JIRA,Zendesk其他溝通與協(xié)作–例如.Slack,MicrosoftTeams,GoogleWorkspace文件共享和存儲–例如.OneDrive,Dropbox,Box代碼倉庫-例如Github,BitBucket虛擬會議平臺-例如.Zoom,Skype,GoToMeeting,Webex端點管理–例如.Intune,Citrix云數(shù)據(jù)平臺–例如AmazonRedshift,Snowflake,Druid客戶關(guān)系管理–例如.Salesforce,Hubspot企業(yè)商業(yè)智能–例如Tableau,PowerBI電子簽名-例如DocuSign,AdobeSign項目及工作管理–例如M,Smartsheet,Trello票務(wù)-例如JIRA,Zendesk其他14SaaS安全配置評估時長持續(xù)檢查

不檢查小時 月度天 周SaaS安全配置評估頻率40%的組織每月或更低的頻率檢查其SaaS安全配置，十分之一的組織每年才檢查一次，而（23%）。持續(xù)檢查 不檢查每天 每年每周 每季度每月SaaS安全的錯誤配置誰負責SaaS安全錯誤配置的檢測和修復負責檢測和修復SaaS安全錯誤配置根據(jù)組織的不同而不同。最常見的反應是治理與網(wǎng)絡(luò)安全風險(23%)和安全運維(21%)。治理與網(wǎng)絡(luò)安全風險安全運維云安全架構(gòu)

其他安全工程師第三方/供應商風險評估與SaaS安全錯誤配置相關(guān)最值得關(guān)注的領(lǐng)域組織最擔心的與SaaS安全錯誤配置相關(guān)的領(lǐng)域是數(shù)據(jù)防泄漏(55%)、訪問控制、密碼管理和多因素認證(54%)。這些問題相互關(guān)聯(lián)，組織希望避免未授權(quán)訪問和泄漏公司的重要數(shù)據(jù)。數(shù)據(jù)防泄漏 終端保護訪問控制，密碼管理和多因素認證 操作彈性惡意軟件防護 移動安全隱私控制

網(wǎng)絡(luò)釣魚保護審計 密鑰管理造成SaaS錯誤配置的主要原因造成SaaS錯誤配置的兩個主要原因是，有太多業(yè)務(wù)部門可以訪問SaaS的安全設(shè)置（35%），以及配置變更時缺乏可見性（34%）。負責檢測和修復SaaS錯誤配置的安全團隊需要深入了解設(shè)置的變更，尤其是在其他業(yè)務(wù)部門可以訪問的情況下。有了這種洞察力，安全團隊可以快速與其他業(yè)務(wù)部門合作，修復錯誤配置或防止其發(fā)生。修復SaaS安全配置錯誤的時間

其他用戶權(quán)限被誤用盜用缺乏SaaS安全知識安全設(shè)置更改時缺乏（28%）（22%）；同時，（23%）SSPM3/4SSPM6小時之內(nèi)1天之內(nèi)1周之內(nèi)

不確定6個月過去一年中由于SaaS安全錯誤配置導致的安全事件SaaSSaaS同時，由于SaaS用戶數(shù)量不確定，這一比例可能高達63%。

不確定否7是7SaaS安全工具對云安全解決方案及其優(yōu)勢的熟悉程度的SSPM的使用情況與計劃

熟悉有點熟悉因是能夠檢測和自動修復SaaS錯誤配置（54%）以及SaaS應用程序中對違反策略的可見性（23%）已經(jīng)使用SSPM的組織認為，他們的SaaS安全性得到了改善（51%），并通過SaaS安全管理和維護節(jié)省了時間（33%）。。結(jié)論

不熟悉

沒有實施計劃正在實施計劃過去1年過去2年組織可以提升SaaS安全的關(guān)鍵方法：這些措施為組織的安全團隊提供支持，同時不妨礙其他部門繼續(xù)工作，從而避免重大安全事件。182022云安全聯(lián)盟大中華區(qū)版權(quán)所有 191%2%11%房地產(chǎn)2222%2%2%2%零售3%4%2022云安全聯(lián)盟大中華區(qū)版權(quán)所有 191%2%11%房地產(chǎn)2222%2%2%2%零售3%4%4%6%8%9%本次調(diào)查在2022年1月至2月進行，一共收集了340份來自不同規(guī)模、行業(yè)、地區(qū)和角色的IT和安全專業(yè)人員的答卷。貴公司的規(guī)模大小?1-500員工或更多員工2001-10000501-2000員工交通運輸航空航天汽車保險非營利性組織娛樂與休閑教育制造業(yè)業(yè)務(wù)支持與物流建筑、機械與住宅政府22%金融與金融服務(wù)25%電信、技互聯(lián)網(wǎng)和電子貴公司所屬行業(yè)?交通運輸航空航天汽車保險非營利性組織娛樂與休閑教育制造業(yè)業(yè)務(wù)支持與物流建筑、機械與住宅政府22%金融與金融服務(wù)25%電信、技互聯(lián)網(wǎng)和電子1%SaaS安全1%電子取證專家2%供應商風險評估2%CIO3%滲透測試人員3%安全運維3%副CISO4%云安全架構(gòu)師5%