2022 SaaS 安全調(diào)查報(bào)告

2022SaaS安全調(diào)查報(bào)告4目錄的方論 6概要 7關(guān)發(fā)現(xiàn)1 7關(guān)發(fā)現(xiàn)2 7關(guān)發(fā)現(xiàn)3 8關(guān)發(fā)現(xiàn)4 9關(guān)發(fā)現(xiàn)5 10企的SaaS應(yīng)程序用量預(yù)估） 11Saas安評(píng)估 13SaaS安的錯(cuò)配置 16與SaaS安錯(cuò)誤置相最值關(guān)注領(lǐng)域 16復(fù)間 17一于SaaS錯(cuò)導(dǎo)全件 17SaaS安工具 18SSPM的用情與計(jì)劃 18結(jié)論 18統(tǒng)結(jié)果 195調(diào)研的開展與方法論（CSA）ITCSACSAAdaptiveShield（SaaS委托SaaSAdaptiveShield資CSA2022年12340ITCSA研究目標(biāo)本調(diào)查的目標(biāo)是了解當(dāng)前SaaS安全和錯(cuò)誤配置狀況。關(guān)注的關(guān)鍵領(lǐng)域包括：SaaSSaaSSaaSSaaS6概要許多最近發(fā)生的違規(guī)與數(shù)據(jù)泄露事件由錯(cuò)誤配置導(dǎo)致，使其成為眾多企業(yè)組織關(guān)注的焦點(diǎn)。多數(shù)關(guān)于錯(cuò)誤配置的研究只關(guān)注IaaS層，而忽略了SaaS全棧。然而，SaaS安全和錯(cuò)誤配置對(duì)于企業(yè)的整體安全同等重要?；谏鲜鲈?，CSA設(shè)計(jì)并發(fā)布了一項(xiàng)調(diào)查，以便更好地了解SaaS應(yīng)用的使用，SaaS安全性評(píng)估的工具與時(shí)間表，檢測(cè)和修復(fù)錯(cuò)誤配置的時(shí)間表，以及對(duì)SaaS應(yīng)用相關(guān)安全工具的認(rèn)識(shí)了解。關(guān)鍵發(fā)現(xiàn)1SaaS錯(cuò)誤配置導(dǎo)致安全事件至少自2019年1起，錯(cuò)誤配置就已經(jīng)成為組織關(guān)注的重點(diǎn)。不幸的是，至少43%的組織經(jīng)歷過一個(gè)或多個(gè)因SaaS錯(cuò)誤配置引發(fā)的安全事件。此外，一些組織曾經(jīng)歷過安全事件，但不確定是否歸結(jié)于SaaS的錯(cuò)誤配置，否則這2

不確定否是

一比例將高達(dá)63%。與17%的組織因IaaS錯(cuò)誤配置而遭遇安全事件相比，這一數(shù)據(jù)就顯得尤為突出。2因此，組織需要采取自動(dòng)化和持續(xù)掃描措施，不僅針對(duì)IaaS的錯(cuò)誤配置，還應(yīng)包括SaaS的錯(cuò)誤配置，復(fù)該問題，從而避免留下隱患。導(dǎo)致SaaS錯(cuò)誤配置的主要原因是缺少可見性以及具有訪問權(quán)限的部門太多安全事件的主要原因來(lái)自兩個(gè)方面：太多部門擁有SaaS安全設(shè)置的訪問權(quán)限（占比35%），以及對(duì)SaaS安全設(shè)置的變更缺少可見性（占比34%）。這一發(fā)現(xiàn)并不令人驚訝，原因有二：1.選擇SaaS應(yīng)用時(shí)，安全設(shè)置可見性的缺失被評(píng)為首要問題。2.通常，組織內(nèi)有多個(gè)部門具備訪問這些安全設(shè)置的權(quán)限（詳見“為SaaS應(yīng)用安全設(shè)置負(fù)責(zé)”部分）。1云計(jì)算面臨的11類頂級(jí)威脅.(CSA)2019.2云安全風(fēng)險(xiǎn)、合規(guī)和錯(cuò)誤配置的狀況.(CSA)2021.77有40%的組織認(rèn)為，訪問SaaS應(yīng)用程序的部門是業(yè)務(wù)部門（如法務(wù)、市場(chǎng)、營(yíng)銷），目的是執(zhí)行工作相關(guān)的任務(wù)。通常情況下，這些部門缺少適當(dāng)?shù)呐嘤?xùn)和對(duì)安全設(shè)置變更的關(guān)注。然而，他們完成工作需要這種級(jí)別的SaaS應(yīng)用訪問權(quán)限。這意味著組織需要為多個(gè)部門啟用訪問權(quán)限，并為安全團(tuán)隊(duì)提供安全設(shè)置變更的洞察能力。

其他22%8%22%8%SaaS安全只是缺失SaaS安全設(shè)置變更的可見性缺失太多部門擁有SaaS安全設(shè)置的訪問權(quán)關(guān)鍵發(fā)現(xiàn)3對(duì)業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用的投入超過SaaS安全工具和人員的投入一年以來(lái)，有81%的組織對(duì)業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用增加了投入，但是相比之下，較少組織表示他們?yōu)榱薙aaS安全，在安全工具（73%）和人員（55%）方面增加了投入。這一變化意味著，現(xiàn)有安全團(tuán)隊(duì)負(fù)擔(dān)了更多SaaS安全監(jiān)控的責(zé)任。在另一個(gè)關(guān)鍵發(fā)現(xiàn)中可以看到，安全團(tuán)隊(duì)采用自動(dòng)化技術(shù)監(jiān)控SaaS安全，能幫助減輕壓力，但是只有26%的組織使用該項(xiàng)技術(shù)。安全團(tuán)隊(duì)正在花費(fèi)更多時(shí)間，以手工方式評(píng)估安全，檢測(cè)和修復(fù)錯(cuò)誤配置。組織在業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用進(jìn)行投入時(shí)，必須考慮這種情況，因?yàn)楫?dāng)前投入模式從長(zhǎng)期來(lái)看不可持續(xù)。減少 保持不變 增加業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用程序安全工具員工安全關(guān)鍵發(fā)現(xiàn)4人工檢測(cè)和修復(fù)SaaS錯(cuò)誤配置的方式使企業(yè)暴露于風(fēng)險(xiǎn)之中（46%）SaaS5%1/4SaaSSaaS安全配置檢測(cè)頻率持續(xù)檢測(cè)每天一次每周一次每月一次

從不檢測(cè)每年一次每季度一次修復(fù)SaaS錯(cuò)誤配置所需的時(shí)間實(shí)時(shí)一星期內(nèi)

不確定超過6個(gè)月*該數(shù)據(jù)僅統(tǒng)計(jì)人工檢測(cè)及修復(fù)的情況關(guān)鍵發(fā)現(xiàn)5SSPM的應(yīng)用有助于縮短SaaS錯(cuò)誤配置檢測(cè)及修復(fù)時(shí)長(zhǎng)SaaS安全配置檢測(cè)頻率未使用SSPM的企使用了SSPM的企持續(xù)檢測(cè)每周一次每月一次一年一次從不檢測(cè)修復(fù)SaaS錯(cuò)誤配置所需的時(shí)間未使用SSPM的企業(yè)使用了SSPM的企業(yè)6一天內(nèi)一周內(nèi)6個(gè)月內(nèi)超過6個(gè)月不確定SSPMSaaS（78%SaaS安全配置檢測(cè)頻率未使用SSPM的企使用了SSPM的企持續(xù)檢測(cè)每周一次每月一次一年一次從不檢測(cè)修復(fù)SaaS錯(cuò)誤配置所需的時(shí)間未使用SSPM的企業(yè)使用了SSPM的企業(yè)6一天內(nèi)一周內(nèi)6個(gè)月內(nèi)超過6個(gè)月不確定10企業(yè)的SaaS應(yīng)用程序使用情況企業(yè)的SaaS應(yīng)用程序使用量（預(yù)估）單個(gè)企業(yè)平均使用102個(gè)SaaS應(yīng)用，最多的超過5000個(gè)。提及次數(shù)SaaS應(yīng)用程序使用量近年來(lái)企業(yè)在SaaS應(yīng)用程序及安全上的投入變化盡管在過去的一年中，許多企業(yè)改變了他們對(duì)SaaS應(yīng)用程序和安全性的投入策略，然而，在核心業(yè)務(wù)相關(guān)的SaaS應(yīng)用程序的投入仍然超過了在安全運(yùn)維工具及人力上的投入。如果這一趨勢(shì)持續(xù)下去，企業(yè)安全運(yùn)維團(tuán)隊(duì)的負(fù)擔(dān)將持續(xù)加大。SaaS應(yīng)用程序增加減少應(yīng)用程序安全工具增加減少SaaS安全運(yùn)維人員第三方應(yīng)用程序訪問是企業(yè)部署SaaS應(yīng)用程序時(shí)的最大關(guān)注點(diǎn)企業(yè)在部署某個(gè)SaaS應(yīng)用程序時(shí)最擔(dān)心的是缺乏對(duì)應(yīng)用程序的可見性，確切的說，他們擔(dān)心的是缺乏對(duì)那些能夠訪問企業(yè)核心SaaS堆棧（56%）和安全配置（54%）的第三方應(yīng)用程序的可見性。最不擔(dān)心的則是SaaS安全運(yùn)維人員的不足（32%），這能夠解釋之前企業(yè)在安全運(yùn)維人員上的投入不足。缺乏對(duì)第三方應(yīng)用程序訪問核心SaaS堆棧的可見性缺乏對(duì)SaaS安全配置的可見性缺乏對(duì)SaaS安全配置的可見性缺乏對(duì)SaaS錯(cuò)誤配置的修復(fù)能力缺乏對(duì)SaaS安全知識(shí)缺乏對(duì)SaaS錯(cuò)誤配置的修復(fù)能力缺乏對(duì)SaaS安全知識(shí)缺乏自動(dòng)化手段或SaaS安全工具缺乏自動(dòng)化手段或SaaS安全工具SaaS安全運(yùn)維人員不足SaaS安全運(yùn)維人員不足企業(yè)發(fā)現(xiàn)未經(jīng)許可的SaaS應(yīng)用時(shí)的應(yīng)對(duì)策略當(dāng)發(fā)現(xiàn)未經(jīng)許可的SaaS應(yīng)用時(shí)，47%的企業(yè)會(huì)進(jìn)行全面的安全策略審查，大約1/4的企業(yè)（24%）會(huì)進(jìn)行簡(jiǎn)單、快速的安全審查。

Saas安全評(píng)估誰(shuí)負(fù)責(zé)SaaS應(yīng)用程序的安全設(shè)置SaasIT（50%）（40%）IT部門安全部門業(yè)務(wù)部門(例如銷售部，市場(chǎng)部，法務(wù)部)合規(guī)風(fēng)控部門不清楚其他監(jiān)測(cè)Saas安全配置的方法監(jiān)測(cè)SaaS安全配置的最常見方法是手動(dòng)(57%)。在那些采用手動(dòng)監(jiān)測(cè)的組織中，大約63%手動(dòng)執(zhí)行此評(píng)估。這種方法不僅耗時(shí)，而且容易出現(xiàn)人為失誤。每七個(gè)組織中就有一個(gè)根本沒有監(jiān)測(cè)Saas安全，原因可能有很多，其中之一可能是缺少資源（例如，缺少自動(dòng)化監(jiān)測(cè)工具，缺乏手動(dòng)監(jiān)測(cè)人員）。

其他不監(jiān)測(cè)SaaS安全錯(cuò)誤配置應(yīng)用程序錯(cuò)誤配置評(píng)估/（49%）身份和訪問管理–例如.Okta,Duo,活動(dòng)目錄溝通與協(xié)作–例如.Slack,MicrosoftTeams,GoogleWorkspace文件共享和存儲(chǔ)–例如.OneDrive,Dropbox,Box代碼倉(cāng)庫(kù)-例如Github,BitBucket虛擬會(huì)議平臺(tái)-例如.Zoom,Skype,GoToMeeting,Webex端點(diǎn)管理–例如.Intune,Citrix云數(shù)據(jù)平臺(tái)–例如AmazonRedshift,Snowflake,Druid客戶關(guān)系管理–例如.Salesforce,Hubspot企業(yè)商業(yè)智能–例如Tableau,PowerBI電子簽名-例如DocuSign,AdobeSign項(xiàng)目及工作管理–例如M,Smartsheet,Trello票務(wù)-例如JIRA,Zendesk其他溝通與協(xié)作–例如.Slack,MicrosoftTeams,GoogleWorkspace文件共享和存儲(chǔ)–例如.OneDrive,Dropbox,Box代碼倉(cāng)庫(kù)-例如Github,BitBucket虛擬會(huì)議平臺(tái)-例如.Zoom,Skype,GoToMeeting,Webex端點(diǎn)管理–例如.Intune,Citrix云數(shù)據(jù)平臺(tái)–例如AmazonRedshift,Snowflake,Druid客戶關(guān)系管理–例如.Salesforce,Hubspot企業(yè)商業(yè)智能–例如Tableau,PowerBI電子簽名-例如DocuSign,AdobeSign項(xiàng)目及工作管理–例如M,Smartsheet,Trello票務(wù)-例如JIRA,Zendesk其他14SaaS安全配置評(píng)估時(shí)長(zhǎng)持續(xù)檢查

不檢查小時(shí) 月度天 周SaaS安全配置評(píng)估頻率40%的組織每月或更低的頻率檢查其SaaS安全配置，十分之一的組織每年才檢查一次，而（23%）。持續(xù)檢查 不檢查每天 每年每周 每季度每月SaaS安全的錯(cuò)誤配置誰(shuí)負(fù)責(zé)SaaS安全錯(cuò)誤配置的檢測(cè)和修復(fù)負(fù)責(zé)檢測(cè)和修復(fù)SaaS安全錯(cuò)誤配置根據(jù)組織的不同而不同。最常見的反應(yīng)是治理與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)(23%)和安全運(yùn)維(21%)。治理與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)安全運(yùn)維云安全架構(gòu)

其他安全工程師第三方/供應(yīng)商風(fēng)險(xiǎn)評(píng)估與SaaS安全錯(cuò)誤配置相關(guān)最值得關(guān)注的領(lǐng)域組織最擔(dān)心的與SaaS安全錯(cuò)誤配置相關(guān)的領(lǐng)域是數(shù)據(jù)防泄漏(55%)、訪問控制、密碼管理和多因素認(rèn)證(54%)。這些問題相互關(guān)聯(lián)，組織希望避免未授權(quán)訪問和泄漏公司的重要數(shù)據(jù)。數(shù)據(jù)防泄漏 終端保護(hù)訪問控制，密碼管理和多因素認(rèn)證 操作彈性惡意軟件防護(hù) 移動(dòng)安全隱私控制

網(wǎng)絡(luò)釣魚保護(hù)審計(jì) 密鑰管理造成SaaS錯(cuò)誤配置的主要原因造成SaaS錯(cuò)誤配置的兩個(gè)主要原因是，有太多業(yè)務(wù)部門可以訪問SaaS的安全設(shè)置（35%），以及配置變更時(shí)缺乏可見性（34%）。負(fù)責(zé)檢測(cè)和修復(fù)SaaS錯(cuò)誤配置的安全團(tuán)隊(duì)需要深入了解設(shè)置的變更，尤其是在其他業(yè)務(wù)部門可以訪問的情況下。有了這種洞察力，安全團(tuán)隊(duì)可以快速與其他業(yè)務(wù)部門合作，修復(fù)錯(cuò)誤配置或防止其發(fā)生。修復(fù)SaaS安全配置錯(cuò)誤的時(shí)間

其他用戶權(quán)限被誤用盜用缺乏SaaS安全知識(shí)安全設(shè)置更改時(shí)缺乏（28%）（22%）；同時(shí)，（23%）SSPM3/4SSPM6小時(shí)之內(nèi)1天之內(nèi)1周之內(nèi)

不確定6個(gè)月過去一年中由于SaaS安全錯(cuò)誤配置導(dǎo)致的安全事件SaaSSaaS同時(shí)，由于SaaS用戶數(shù)量不確定，這一比例可能高達(dá)63%。

不確定否7是7SaaS安全工具對(duì)云安全解決方案及其優(yōu)勢(shì)的熟悉程度的SSPM的使用情況與計(jì)劃

熟悉有點(diǎn)熟悉因是能夠檢測(cè)和自動(dòng)修復(fù)SaaS錯(cuò)誤配置（54%）以及SaaS應(yīng)用程序中對(duì)違反策略的可見性（23%）已經(jīng)使用SSPM的組織認(rèn)為，他們的SaaS安全性得到了改善（51%），并通過SaaS安全管理和維護(hù)節(jié)省了時(shí)間（33%）。。結(jié)論

不熟悉

沒有實(shí)施計(jì)劃正在實(shí)施計(jì)劃過去1年過去2年組織可以提升SaaS安全的關(guān)鍵方法：這些措施為組織的安全團(tuán)隊(duì)提供支持，同時(shí)不妨礙其他部門繼續(xù)工作，從而避免重大安全事件。182022云安全聯(lián)盟大中華區(qū)版權(quán)所有 191%2%11%房地產(chǎn)2222%2%2%2%零售3%4%2022云安全聯(lián)盟大中華區(qū)版權(quán)所有 191%2%11%房地產(chǎn)2222%2%2%2%零售3%4%4%6%8%9%本次調(diào)查在2022年1月至2月進(jìn)行，一共收集了340份來(lái)自不同規(guī)模、行業(yè)、地區(qū)和角色的IT和安全專業(yè)人員的答卷。貴公司的規(guī)模大小?1-500員工或更多員工2001-10000501-2000員工交通運(yùn)輸航空航天汽車保險(xiǎn)非營(yíng)利性組織娛樂與休閑教育制造業(yè)業(yè)務(wù)支持與物流建筑、機(jī)械與住宅政府22%金融與金融服務(wù)25%電信、技互聯(lián)網(wǎng)和電子貴公司所屬行業(yè)?交通運(yùn)輸航空航天汽車保險(xiǎn)非營(yíng)利性組織娛樂與休閑教育制造業(yè)業(yè)務(wù)支持與物流建筑、機(jī)械與住宅政府22%金融與金融服務(wù)25%電信、技互聯(lián)網(wǎng)和電子1%SaaS安全1%電子取證專家2%供應(yīng)商風(fēng)險(xiǎn)評(píng)估2%CIO3%滲透測(cè)試人員3%安全運(yùn)維3%副CISO4%云安全架構(gòu)師5%