受訪人統(tǒng)計(jì)

大多數(shù)受訪者(71%)來自美洲，另外17%來自亞洲，13%來自歐洲、中東和非洲。在這些參與者中，49%影響決策過程，39%管理決策過程本身。該報(bào)告調(diào)查了來自不同行業(yè)的組織，如電信(25%)、金融(22%)和政府(9%)。

雖然這項(xiàng)調(diào)查有很多值得借鑒的地方，但以下是我們排在前7位的焦點(diǎn)。

1：SaaS 錯(cuò)誤配置導(dǎo)致安全事件

自 2019 年以來，SaaS 錯(cuò)誤配置已成為組織最關(guān)心的問題，至少有 43% 的組織報(bào)告他們已經(jīng)處理過由 SaaS 錯(cuò)誤配置引起的一個(gè)或多個(gè)安全事件。然而，由于許多其他組織表示他們不知道自己是否經(jīng)歷過安全事件，因此與 SaaS 配置錯(cuò)誤相關(guān)的事件的數(shù)量可能高達(dá) 63%。與 IaaS 錯(cuò)誤配置導(dǎo)致的 17% 的安全事件相比，這些數(shù)字令人震驚。

圖 1. 公司因 SaaS 配置錯(cuò)誤而遭遇安全事件

2：缺乏可見性和過多的訪問部門被認(rèn)為是導(dǎo)致SaaS錯(cuò)誤配置的主要原因

那么，這些SaaS錯(cuò)誤配置的原因究竟是什么呢?雖然有幾個(gè)因素需要考慮，但受訪者將其歸結(jié)為兩個(gè)主要原因——有太多的部門可以訪問SaaS安全設(shè)置(35%)，以及對(duì)SaaS安全設(shè)置的變化缺乏可見性(34%)。這是兩個(gè)相關(guān)的問題，考慮到在采用SaaS應(yīng)用程序時(shí)缺乏可見性是最重要的問題，而且組織中平均有多個(gè)部門可以訪問安全設(shè)置，因此這兩個(gè)問題都不足為奇。缺乏可見性的主要原因之一是，有太多部門可以訪問安全設(shè)置，而其中許多部門沒有接受過適當(dāng)?shù)呐嘤?xùn)，也沒有關(guān)注安全性。

圖 2. SaaS 配置錯(cuò)誤的主要原因

3：對(duì)業(yè)務(wù)關(guān)鍵SaaS應(yīng)用程序的投資正在超過SaaS安全工具和人員

眾所周知，企業(yè)正在采用更多的應(yīng)用程序——僅過去一年就有 81% 的受訪者表示他們?cè)黾恿藢?duì)業(yè)務(wù)關(guān)鍵型 SaaS 應(yīng)用程序的投資。另一方面，SaaS安全性方面在安全工具(73%)和人員(55%)上的投入較低。這種不一致意味著現(xiàn)有安全團(tuán)隊(duì)在監(jiān)控SaaS安全性方面的負(fù)擔(dān)越來越重。

圖 3. 公司對(duì) SaaS 應(yīng)用、安全工具和員工的投資

4：手動(dòng)檢測(cè)和修復(fù) SaaS 錯(cuò)誤配置使組織暴露在外

46% 手動(dòng)監(jiān)控其 SaaS 安全性的組織每月只進(jìn)行一次或更少的檢查，而 5% 根本不進(jìn)行檢查。發(fā)現(xiàn)錯(cuò)誤配置后，安全團(tuán)隊(duì)需要額外的時(shí)間來解決它。大約四分之一的組織在手動(dòng)修復(fù)時(shí)需要一周或更長(zhǎng)時(shí)間來解決錯(cuò)誤配置。這個(gè)漫長(zhǎng)的時(shí)間使組織容易受到攻擊。

圖 4. 公司手動(dòng)檢查其 SaaS 錯(cuò)誤配置的頻率

圖 5. 公司手動(dòng)修復(fù) SaaS 錯(cuò)誤配置需要的時(shí)間

5：使用 SSPM 可以縮短檢測(cè)和修復(fù) SaaS 錯(cuò)誤配置的時(shí)間

另外，已經(jīng)實(shí)施 SSPM 的組織可以更快、更準(zhǔn)確地檢測(cè)和修復(fù)他們的 SaaS 錯(cuò)誤配置。這些組織中的大多數(shù) (78%) 使用 SSPM 每周或更多次檢查其 SaaS 安全配置。在解決錯(cuò)誤配置方面，81% 的使用 SSPM 的組織能夠在一天到一周內(nèi)解決它。

圖 6. SaaS 安全配置檢查的頻率

圖 7. 修復(fù) SaaS 錯(cuò)誤配置的時(shí)間長(zhǎng)度

6：第三方應(yīng)用程序訪問是最受關(guān)注的問題

第三方應(yīng)用程序，也稱為無代碼或低代碼平臺(tái)，可以提高生產(chǎn)力，實(shí)現(xiàn)混合工作，并且對(duì)于構(gòu)建和擴(kuò)展公司的工作流程至關(guān)重要。但是，許多用戶快速連接第三方應(yīng)用程序而不考慮這些應(yīng)用程序請(qǐng)求的權(quán)限。一旦被接受，授予這些第三方應(yīng)用程序的權(quán)限和后續(xù)訪問可能是無害的，也可能是惡意的。如果沒有對(duì) SaaS 到 SaaS 供應(yīng)鏈的可見性，員工將連接到其組織的關(guān)鍵業(yè)務(wù)應(yīng)用程序，安全團(tuán)隊(duì)對(duì)許多潛在威脅視而不見。隨著組織繼續(xù)采用 SaaS 應(yīng)用程序，他們最關(guān)心的問題之一是缺乏可見性，尤其是第三方應(yīng)用程序訪問核心 SaaS 堆棧的可見性 (56%)。

圖 8. 公司在采用 SaaS 應(yīng)用程序時(shí)最關(guān)心的問題

7：提前規(guī)劃和實(shí)施 SSPM

盡管該類別在兩年前就被引入市場(chǎng)，但它正在迅速成熟。在評(píng)估四種云安全解決方案時(shí)，SSPM 的平均評(píng)級(jí)為“有些熟悉”。此外，62% 的受訪者表示他們已經(jīng)在使用 SSPM 或計(jì)劃在未來 24 個(gè)月內(nèi)實(shí)施。

圖 9. 目前使用或計(jì)劃使用 SSPM 的公司

結(jié)論

《2022 年 SaaS 安全調(diào)查報(bào)告》提供了有關(guān)組織如何使用和保護(hù)其 SaaS 應(yīng)用程序的見解。毫無疑問，隨著公司繼續(xù)采用更多的業(yè)務(wù)關(guān)鍵型 SaaS 應(yīng)用程序，風(fēng)險(xiǎn)也越來越大。為了直面這一挑戰(zhàn)，公司應(yīng)該開始通過兩個(gè)最佳實(shí)踐來保護(hù)自己：

第一個(gè)是讓安全團(tuán)隊(duì)能夠全面了解所有 SaaS 應(yīng)用程序的安全設(shè)置，包括第三方應(yīng)用程序訪問和用戶權(quán)限，這反過來又允許部門保持其訪問權(quán)限，而不會(huì)有進(jìn)行不當(dāng)更改而使組織易受攻擊的風(fēng)險(xiǎn)。

其次，公司應(yīng)該利用自動(dòng)化工具（例如 SSPM）來持續(xù)檢測(cè)和快速修復(fù) SaaS 安全錯(cuò)誤配置。這些自動(dòng)化工具允許安全團(tuán)隊(duì)近乎實(shí)時(shí)地識(shí)別和修復(fù)問題，從而減少組織易受攻擊的總體時(shí)間或防止問題一起發(fā)生。

這兩個(gè)實(shí)踐都為他們的安全團(tuán)隊(duì)提供了支持，同時(shí)不會(huì)阻止部門繼續(xù)他們的工作。