在當(dāng)今的數(shù)字環(huán)境中，SaaS安全性對(duì)各種規(guī)模的組織都至關(guān)重要。隨著企業(yè)越來(lái)越多地將其操作和數(shù)據(jù)轉(zhuǎn)移至云端，或者更具體地說(shuō)是SaaS應(yīng)用程序，這些應(yīng)用程序的安全性變得尤為重要。雖然SaaS應(yīng)用程序在設(shè)計(jì)上是安全的，但它們的配置和治理方式會(huì)帶來(lái)風(fēng)險(xiǎn)。如果缺乏適當(dāng)?shù)陌踩胧M織將會(huì)面臨數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊和其他可能導(dǎo)致重大財(cái)務(wù)和聲譽(yù)損失的安全事件。因此，了解SaaS安全性對(duì)于組織保護(hù)自身免受這些風(fēng)險(xiǎn)至關(guān)重要。

正是在這樣的背景下，云安全聯(lián)盟（CSA）發(fā)布了《年度SaaS安全調(diào)查報(bào)告》，旨在更深入地了解組織中SaaS安全的幾個(gè)關(guān)鍵方面，包括組織中當(dāng)前SaaS應(yīng)用程序的使用情況、組織關(guān)于SaaS應(yīng)用程序的安全策略和流程、對(duì)SaaS威脅的認(rèn)識(shí)和經(jīng)驗(yàn)，以及當(dāng)前和未來(lái)使用的安全解決方案等。以下是今年的調(diào)查結(jié)果和見解。

重點(diǎn)發(fā)現(xiàn)

• SaaS安全事件呈上升趨勢(shì)：55%的組織報(bào)告稱他們?cè)谶^去兩年中經(jīng)歷過此類事件，另有12%的組織不確定。
• 調(diào)查發(fā)現(xiàn)，超過一半（58%）的組織估計(jì)，他們目前的SaaS安全解決方案只覆蓋了SaaS應(yīng)用程序的50%或更少。
• 隨著SaaS應(yīng)用程序的所有權(quán)分散到組織的所有不同部門，CISO和安全管理人員正在從控制者轉(zhuǎn)變?yōu)楣芾碚摺?/li>
• SaaS安全繼續(xù)適應(yīng)SaaS生態(tài)系統(tǒng)中不斷擴(kuò)大的廣泛關(guān)注點(diǎn)，包括SaaS錯(cuò)誤配置、SaaS到SaaS訪問、設(shè)備到SaaS風(fēng)險(xiǎn)管理、身份和訪問治理，以及身份威脅檢測(cè)和響應(yīng)（ITDR）。
• 66%的組織增加了對(duì)應(yīng)用程序的投資，71%的組織增加了對(duì)SaaS安全工具的投資。更具體地說(shuō)，調(diào)查顯示，SaaS安全態(tài)勢(shì)管理（SSPM）解決方案的采用率大幅增長(zhǎng)，從2022年的17%增長(zhǎng)到2023年的44%。

SaaS安全事件呈上升趨勢(shì)

調(diào)查顯示，SaaS生態(tài)系統(tǒng)內(nèi)的安全事件顯著增加，55%的組織報(bào)告稱他們?cè)谶^去兩年中經(jīng)歷過安全事件，比前一年增加了12%。大約三分之一（32%）的受訪者表示，他們?cè)谕粫r(shí)期內(nèi)沒有遇到過SaaS安全事件，而12%的受訪者不確定。

【公司是否在過去兩年內(nèi)經(jīng)歷過SaaS應(yīng)用程序安全事件】

調(diào)查結(jié)果強(qiáng)調(diào)，許多公司開始認(rèn)識(shí)到一個(gè)殘酷的現(xiàn)實(shí)，即常見的內(nèi)部部署類型的攻擊，如勒索軟件、惡意軟件和數(shù)據(jù)泄露，也可能發(fā)生在他們的SaaS環(huán)境中。

報(bào)告中最常見的SaaS安全事件是數(shù)據(jù)泄露（58%）、惡意應(yīng)用程序（47%）、數(shù)據(jù)泄露（41%）和SaaS勒索軟件（40%），這凸顯了對(duì)強(qiáng)大安全措施的需求日益增長(zhǎng)，以及對(duì)SaaS領(lǐng)域不斷擴(kuò)大的潛在風(fēng)險(xiǎn)的認(rèn)識(shí)不斷提高。

【公司經(jīng)歷過什么類型的安全事件】

當(dāng)前的SaaS安全策略和方法遠(yuǎn)遠(yuǎn)不夠

對(duì)SaaS應(yīng)用程序的監(jiān)控不足

SaaS安全事件顯著增加的一個(gè)關(guān)鍵因素是，調(diào)查結(jié)果表明，大量組織在實(shí)施有效的SaaS安全措施方面存在不足。許多公司使用的安全解決方案不能覆蓋整個(gè)SaaS堆棧，這使得他們的應(yīng)用程序和數(shù)據(jù)暴露在網(wǎng)絡(luò)威脅之下。具體來(lái)說(shuō)，調(diào)查發(fā)現(xiàn)超過一半（58%）的組織估計(jì)他們目前的SaaS安全解決方案只覆蓋了SaaS應(yīng)用程序的50%或更少。

【SaaS安全解決方案覆蓋的SaaS應(yīng)用程序百分比】

這些發(fā)現(xiàn)強(qiáng)調(diào)了企業(yè)迫切需要重新評(píng)估其安全解決方案，并確保它們?cè)谡麄€(gè)SaaS生態(tài)系統(tǒng)中提供全面的覆蓋。通過這樣做，組織可以顯著降低安全事件的風(fēng)險(xiǎn)，包括數(shù)據(jù)泄露、勒索軟件攻擊和其他類型的網(wǎng)絡(luò)攻擊。最終，這將有助于維護(hù)他們的聲譽(yù)和客戶信任。

CASB和手動(dòng)審計(jì)不足以滿足SaaS安全性

許多組織依靠云訪問安全代理（CASB）和手動(dòng)審計(jì)來(lái)保護(hù)他們的SaaS應(yīng)用程序。然而，這些方法在一些關(guān)鍵領(lǐng)域被證明是不夠的。此外，手動(dòng)審計(jì)會(huì)在審計(jì)之間暴露公司數(shù)據(jù)，加劇組織面臨安全事件的風(fēng)險(xiǎn)。

【組織在完整SaaS安全覆蓋中使用CASB和手動(dòng)審計(jì)的比例】

這些發(fā)現(xiàn)表明，組織需要重新評(píng)估其安全策略，并投資于更全面的解決方案和策略，以提供整個(gè)SaaS生態(tài)系統(tǒng)的全面覆蓋，從而降低安全事件的風(fēng)險(xiǎn)。這也可能是SaaS安全態(tài)勢(shì)管理（SSPM）工具使用量增加的原因。

保護(hù)SaaS應(yīng)用的涉眾范圍擴(kuò)展 

除了在工具、安全性和人員方面的金錢投資外，組織還越來(lái)越多地在保護(hù)業(yè)務(wù)關(guān)鍵型應(yīng)用程序的過程中涉及更多涉眾。在一個(gè)典型的組織中，SaaS應(yīng)用程序被廣泛應(yīng)用，從文件共享和協(xié)作應(yīng)用程序到CRM、項(xiàng)目和工作管理、營(yíng)銷自動(dòng)化等等。SaaS應(yīng)用程序填補(bǔ)了各種各樣的利基角色，然而這種涉眾范圍的擴(kuò)散使得威脅形勢(shì)變得更加復(fù)雜。

現(xiàn)在，CISO和安全經(jīng)理正在從SaaS應(yīng)用程序安全的控制者轉(zhuǎn)變?yōu)楣芾碚?，調(diào)查顯示，從事安全治理的人中有很多擔(dān)任行政級(jí)別的職位或擔(dān)任部門主管，這表明企業(yè)正在認(rèn)真對(duì)待SaaS安全。關(guān)鍵決策者的參與強(qiáng)調(diào)了SaaS安全在保護(hù)有價(jià)值資產(chǎn)和確保操作連續(xù)性方面所起的關(guān)鍵作用的日益得到重視。

然而，由于涉眾范圍極廣，確定“誰(shuí)最終負(fù)責(zé)SaaS安全性”可能會(huì)變得極具挑戰(zhàn)性。SaaS應(yīng)用程序通常需要安全團(tuán)隊(duì)和應(yīng)用程序所有者之間的密切合作，因?yàn)榘踩珗F(tuán)隊(duì)可能并不總是能夠直接訪問SaaS應(yīng)用程序。這就需要能夠彌合缺口并積極吸引應(yīng)用程序所有者的流程和工具，畢竟，應(yīng)用程序所有者對(duì)于有效的SaaS安全管理至關(guān)重要。

【涉及關(guān)鍵業(yè)務(wù)應(yīng)用程序保護(hù)的職位頭銜，排名前三的分別為安全主管（43%）、云安全架構(gòu)師（42%）以及安全運(yùn)營(yíng)人員（39%）】

通過培養(yǎng)協(xié)作環(huán)境和實(shí)施解決方案或策略，促進(jìn)安全團(tuán)隊(duì)和應(yīng)用程序所有者之間的溝通和協(xié)調(diào)，組織可以創(chuàng)建更強(qiáng)大和簡(jiǎn)化的方法來(lái)保護(hù)其業(yè)務(wù)關(guān)鍵型應(yīng)用程序。反過來(lái)，這將有助于最大限度地減少潛在的威脅，并確保對(duì)不斷發(fā)展的SaaS安全威脅提供更高級(jí)別的保護(hù)。

組織如何為整個(gè)SaaS安全生態(tài)系統(tǒng)優(yōu)先考慮策略和流程

在過去的一年里，SaaS安全的焦點(diǎn)發(fā)生了顯著的變化，這主要是由于對(duì)業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用程序的投資增加、安全事件的增加以及針對(duì)SaaS應(yīng)用程序的威脅行為者數(shù)量的增加等諸多因素造成的。以前，組織和安全工具（如SSPM）主要關(guān)注錯(cuò)誤配置管理。然而，SaaS安全已經(jīng)適應(yīng)了更廣泛的關(guān)注范圍，包括SaaS到SaaS訪問、設(shè)備到SaaS風(fēng)險(xiǎn)管理、身份和訪問治理以及身份威脅檢測(cè)和響應(yīng)（ITDR）。

SaaS政策和程序

隨著SaaS在業(yè)務(wù)領(lǐng)域的重要性日益提高，擁有強(qiáng)大的策略、流程和功能對(duì)于保護(hù)組織的SaaS堆棧及其包含的數(shù)據(jù)免受威脅參與者的侵害至關(guān)重要。

各組織現(xiàn)在正在采取措施解決關(guān)鍵領(lǐng)域的問題。下面的數(shù)據(jù)展示了組織在SaaS安全生態(tài)系統(tǒng)的不同領(lǐng)域保護(hù)其SaaS堆棧時(shí)開始優(yōu)先考慮的事項(xiàng)。

錯(cuò)誤配置管理

解決錯(cuò)誤配置問題對(duì)于保護(hù)組織的SaaS堆棧免受可能被威脅參與者利用的錯(cuò)誤配置至關(guān)重要。受訪者對(duì)錯(cuò)誤配置管理的主要優(yōu)先事項(xiàng)包括：

• 安全和應(yīng)用程序所有者團(tuán)隊(duì)之間的溝通和協(xié)作；
• 錯(cuò)誤配置的詳細(xì)修復(fù)和緩解；
• 根據(jù)應(yīng)用程序、安全域和風(fēng)險(xiǎn)級(jí)別進(jìn)行優(yōu)先級(jí)排序；

有了強(qiáng)大的系統(tǒng)和流程，這些高影響領(lǐng)域可以幫助減少SaaS攻擊面。

第三方應(yīng)用接入

隨著組織越來(lái)越依賴第三方SaaS應(yīng)用程序（連接到核心堆棧的應(yīng)用程序），制定策略來(lái)評(píng)估和管理潛在風(fēng)險(xiǎn)變得至關(guān)重要。第三方應(yīng)用訪問的主要優(yōu)先事項(xiàng)包括：

• 搜索、檢測(cè)和量化連接的第三方SaaS應(yīng)用程序的風(fēng)險(xiǎn)；
• 檢測(cè)已集成到SaaS堆棧中的惡意應(yīng)用程序；
• 應(yīng)用程序所有者需要在連接應(yīng)用程序之前向安全部門提交請(qǐng)求

這些優(yōu)先級(jí)反映了對(duì)強(qiáng)大系統(tǒng)和流程的需求，以防止第三方應(yīng)用程序訪問威脅。

SaaS身份和訪問治理

適當(dāng)?shù)纳矸莺驮L問治理對(duì)于保護(hù)SaaS生態(tài)系統(tǒng)中的敏感數(shù)據(jù)至關(guān)重要。在當(dāng)今的組織中，身份和訪問治理的優(yōu)先級(jí)包括：

• 確保每個(gè)用戶都具有所需的正確訪問級(jí)別；
• 檢測(cè)已在Active Directory中禁用但仍有權(quán)訪問SaaS應(yīng)用程序的用戶；
• 檢測(cè)休眠帳戶，以便在需要時(shí)快速確保取消對(duì)SaaS的訪問；
• 管理員訪問通知；
• 認(rèn)證實(shí)踐（例如，密鑰管理、證書管理）；

【安全團(tuán)隊(duì)是否能夠識(shí)別和管理具有多個(gè)用戶名的用戶】

監(jiān)控SaaS用戶設(shè)備

確保訪問SaaS堆棧的設(shè)備的安全性對(duì)于防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露至關(guān)重要。監(jiān)控SaaS用戶設(shè)備的優(yōu)先事項(xiàng)包括：

• 檢查每個(gè)SaaS用戶（特別是特權(quán)用戶）的設(shè)備衛(wèi)生（漏洞和更新的代理）；
• 識(shí)別訪問SaaS堆棧的非托管設(shè)備；

許多人并不認(rèn)為設(shè)備是SaaS應(yīng)用安全的薄弱環(huán)節(jié)。但事實(shí)恰恰相反；設(shè)備是一個(gè)網(wǎng)關(guān)，如果特權(quán)用戶的設(shè)備不安全，那么一旦威脅行為者成功入侵，造成的損害將是巨大的。

威脅檢測(cè)和響應(yīng) 

主動(dòng)的威脅檢測(cè)和響應(yīng)對(duì)于保護(hù)組織免受目標(biāo)攻擊至關(guān)重要。在當(dāng)今的環(huán)境中，威脅檢測(cè)和響應(yīng)的優(yōu)先事項(xiàng)是：

• 識(shí)別和響應(yīng)用戶和實(shí)體的異常行為；
• 檢測(cè)MFA flood攻擊；
• 通過威脅情報(bào)檢測(cè)攻擊；
• 檢測(cè)暴力攻擊

【組織的SaaS威脅檢測(cè)和響應(yīng)能力】

對(duì)SaaS和SaaS安全資源的投資正在急劇增加

對(duì)SaaS的投資增加

組織越來(lái)越依賴SaaS資源，不僅包括關(guān)鍵業(yè)務(wù)應(yīng)用程序和員工，還包括專注于SaaS安全的正確安全工具。

根據(jù)調(diào)查，71%的組織增加了對(duì)SaaS安全工具的投資，表明越來(lái)越多的人致力于保護(hù)他們的數(shù)字資產(chǎn)。此外，68%的組織已經(jīng)加大了在招聘和培訓(xùn)SaaS安全人員方面的投資，認(rèn)識(shí)到人力資本在保護(hù)SaaS生態(tài)系統(tǒng)中的重要性。此外，66%的組織增加了對(duì)業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用程序的投資，反映出核心業(yè)務(wù)功能越來(lái)越依賴這些工具。

這種SaaS投資的整體方法（包括安全工具、人員和應(yīng)用程序）強(qiáng)調(diào)了強(qiáng)大的安全解決方案（如SSPM）的重要性

【公司在SaaS方面投資的變化】

SaaS安全態(tài)勢(shì)管理（SSPM）采用率增加 

隨著SaaS安全事件的增加和當(dāng)前SaaS安全方法（例如，CASB和手動(dòng)審計(jì)）的不足，組織正在尋找更高級(jí)的SaaS安全工具，如SSPM。調(diào)查顯示，隨著使用SSPM的組織比例的增加，對(duì)SSPM工具的采用率已經(jīng)從2022年的17%增加到2023年的44%。

這可以歸因于這樣一個(gè)事實(shí)，即SSPMs覆蓋了其他方法和策略無(wú)法覆蓋的領(lǐng)域，在整個(gè)SaaS安全生態(tài)系統(tǒng)中針對(duì)各種安全風(fēng)險(xiǎn)提供了更全面的保護(hù)。這些領(lǐng)域包括：

• SaaS錯(cuò)誤配置：確保SaaS應(yīng)用程序的正確配置以避免違規(guī)。
• 身份和訪問治理：管理和控制用戶對(duì)SaaS應(yīng)用程序和資源的訪問。
• 第三方應(yīng)用程序訪問：識(shí)別和管理與第三方應(yīng)用程序訪問SaaS環(huán)境相關(guān)的風(fēng)險(xiǎn)。
• 數(shù)據(jù)丟失管理：防止和減輕SaaS應(yīng)用中敏感數(shù)據(jù)的丟失或泄漏。
• 連接的惡意應(yīng)用程序：檢測(cè)和刪除可能危及SaaS環(huán)境安全的惡意應(yīng)用程序。
• 威脅檢測(cè)與響應(yīng)：主動(dòng)識(shí)別并實(shí)時(shí)響應(yīng)安全威脅。
• SaaS用戶設(shè)備：監(jiān)控和管理與連接到SaaS應(yīng)用程序的用戶設(shè)備相關(guān)的安全風(fēng)險(xiǎn)。

【SSPM使用率年增長(zhǎng)趨勢(shì)】

隨著SaaS安全事件的不斷增加，組織開始認(rèn)識(shí)到其他安全方法（如CASB和SaaS的手動(dòng)審計(jì)）的局限性。越來(lái)越多的人采用SSPM解決方案，且計(jì)劃采用SSPM解決方案的人所占的比例越來(lái)越大，這反映出人們?cè)絹?lái)越意識(shí)到需要更強(qiáng)大、全面的安全措施，以抵御不斷發(fā)展的SaaS安全威脅。

【目前正在使用或計(jì)劃使用SaaS安全管理（SSPM）平臺(tái)的比例】

SSPM好處

鑒于SaaS安全性的重要性日益增加，顯然需要一種更全面、更健壯的方法。有一些SaaS安全工具，如SSPM，可以幫助組織制定策略、流程和功能，這些都是當(dāng)今SaaS安全環(huán)境所需要的。通過關(guān)注這些關(guān)鍵方面，組織可以更好地保護(hù)其有價(jià)值的資產(chǎn)，并確保其業(yè)務(wù)關(guān)鍵型應(yīng)用程序在日益復(fù)雜的威脅環(huán)境中安全運(yùn)行。

組織越來(lái)越認(rèn)識(shí)到采用像SSPM這樣的SaaS安全工具來(lái)解決SaaS領(lǐng)域不斷變化的挑戰(zhàn)的價(jià)值。這就解釋了為什么44%的人在過去一年中已經(jīng)采用了SSPM解決方案，以及36%的人計(jì)劃在未來(lái)18個(gè)月內(nèi)采用SSPM。通過利用這些工具，企業(yè)可以有效地緩解SaaS威脅，并顯著提高其整體安全狀態(tài)。

此外，使用SSPM使組織能夠在管理和維護(hù)方面節(jié)省時(shí)間，因?yàn)檫@些解決方案簡(jiǎn)化并自動(dòng)化了各種安全流程，否則這些流程將需要人工操作。這種自動(dòng)化不僅通過減少對(duì)手工工作的需求來(lái)節(jié)省成本，而且還允許組織將資源重新分配到其他關(guān)鍵領(lǐng)域。而且，SaaS安全工具提供了響應(yīng)新情況和新出現(xiàn)的威脅所需的適應(yīng)性，確保企業(yè)保持敏捷性，并準(zhǔn)備好在不斷變化的環(huán)境中保護(hù)其數(shù)字資產(chǎn)和關(guān)鍵應(yīng)用程序。