研究表明，70%的組織優(yōu)先投資SaaS安全，建立專門的SaaS安全團隊，盡管經(jīng)濟不確定性和勞動力減少。這是第四次年度SaaS安全調(diào)查報告:2025CISO計劃和中的一個關(guān)鍵發(fā)現(xiàn)。

云安全聯(lián)盟(CSA)是世界領(lǐng)先的組織，致力于定義標準、認證和最佳實踐，以幫助確保安全的云計算環(huán)境。

受SaaS安全領(lǐng)域的領(lǐng)導(dǎo)者Adaptive Shield委托進行的這項調(diào)查發(fā)現(xiàn)，與去年相比，39%的組織正在增加SaaS網(wǎng)絡(luò)安全預(yù)算。

云安全聯(lián)盟研究高級技術(shù)總監(jiān)、首席作者Hillary Baron說，“在過去的一年里，經(jīng)濟不確定性和裁員成為頭條新聞，這些結(jié)果充分說明了企業(yè)意識到，即使是最安全的系統(tǒng)也容易受到越來越多的創(chuàng)新威脅者的攻擊?！?/p>

其他主要發(fā)現(xiàn)包括:

• 建立SaaS安全專門團隊。該調(diào)查首次確定了SaaS特定安全角色的存在:57%的受訪者擁有一個由至少兩名專職全職員工組成的SaaS安全團隊，另有13%的受訪者分配了一名專職全職員工。
• 組織設(shè)法提高其關(guān)鍵的SaaS安全能力。自去年以來，SaaS堆棧的全面可見性幾乎翻了一番，這使得公司在防止漏洞和檢測威脅方面處于更有利的地位。70%的組織報告對他們的SaaS應(yīng)用程序有中度到完全的可見性。
• SaaS的安全挑戰(zhàn)源于使用錯誤的工具。組織仍然在努力管理錯誤配置、連接的應(yīng)用程序和安全風(fēng)險的可見性。受訪者表示，SaaS安全管理中最困難的領(lǐng)域是實現(xiàn)對關(guān)鍵業(yè)務(wù)應(yīng)用程序的可見性(73%);跟蹤和監(jiān)控第三方連接應(yīng)用程序的安全風(fēng)險(65%);定位和修復(fù)SaaS錯誤配置(65%);確保數(shù)據(jù)治理和隱私(63%);使SaaS應(yīng)用程序設(shè)置符合合規(guī)性標準(61%)。這些挑戰(zhàn)源于使用諸如CASB和人工審計之類的工具。采用SaaS安全態(tài)勢管理(SSPM)的公司對其SaaS堆棧具有全面可視性的可能性是其他公司的兩倍多——62%的公司能夠監(jiān)督其SaaS環(huán)境的75%以上，而那些在其戰(zhàn)略中使用其他工具和手動流程的公司(31%)。
• 盡管面臨挑戰(zhàn)，SaaS安全投資正在獲得回報。提出的挑戰(zhàn)清楚地表明，組織正在認真對待SaaS安全性。事實上，調(diào)查發(fā)現(xiàn)了一個積極的趨勢：25%的受訪者在過去兩年中經(jīng)歷過SaaS安全事件，而去年這一比例為53%。最常見的安全事件是數(shù)據(jù)泄露(52%)和數(shù)據(jù)泄露(50%)，其次是未經(jīng)授權(quán)的訪問(44%)和惡意應(yīng)用程序(38%)。

Adaptive Shield首席執(zhí)行官兼聯(lián)合創(chuàng)始人MaorBin表示：“為了更好地應(yīng)對當今最復(fù)雜的威脅，大型企業(yè)現(xiàn)在明白，投資于預(yù)防方法是正確的方法。組織已經(jīng)積累了涵蓋單一用例的廣泛工具，使他們暴露于新的攻擊面，并迫使他們管理許多不同的解決方案。

看到SaaS成熟度的重大飛躍，我并不感到驚訝，這與我們在市場中發(fā)現(xiàn)的指數(shù)級和快速增長的需求完全一致。就像云安全態(tài)勢管理(CSPM)涵蓋云基礎(chǔ)設(shè)施中的任何安全用例一樣，SaaS安全態(tài)勢管理(SSPM)是關(guān)于SaaS安全攻擊面的整合。”

該調(diào)查由CSA于2024年1月在線進行，收到了來自不同行業(yè)和地區(qū)的大型組織的478名IT和安全專業(yè)人員的回復(fù)。CSA的研究分析師為這份報告進行了數(shù)據(jù)分析和解釋。贊助者是CSA的公司成員，他們支持研究項目的發(fā)現(xiàn)，但對CSA研究的內(nèi)容開發(fā)或編輯權(quán)沒有額外的影響。