研究表明，70%的組織優(yōu)先投資SaaS安全，建立專門的SaaS安全團(tuán)隊(duì)，盡管經(jīng)濟(jì)不確定性和勞動(dòng)力減少。這是第四次年度SaaS安全調(diào)查報(bào)告:2025CISO計(jì)劃和中的一個(gè)關(guān)鍵發(fā)現(xiàn)。

云安全聯(lián)盟(CSA)是世界領(lǐng)先的組織，致力于定義標(biāo)準(zhǔn)、認(rèn)證和最佳實(shí)踐，以幫助確保安全的云計(jì)算環(huán)境。

受SaaS安全領(lǐng)域的領(lǐng)導(dǎo)者Adaptive Shield委托進(jìn)行的這項(xiàng)調(diào)查發(fā)現(xiàn)，與去年相比，39%的組織正在增加SaaS網(wǎng)絡(luò)安全預(yù)算。

云安全聯(lián)盟研究高級(jí)技術(shù)總監(jiān)、首席作者Hillary Baron說(shuō)，“在過(guò)去的一年里，經(jīng)濟(jì)不確定性和裁員成為頭條新聞，這些結(jié)果充分說(shuō)明了企業(yè)意識(shí)到，即使是最安全的系統(tǒng)也容易受到越來(lái)越多的創(chuàng)新威脅者的攻擊?！?/p>

其他主要發(fā)現(xiàn)包括:

• 建立SaaS安全專門團(tuán)隊(duì)。該調(diào)查首次確定了SaaS特定安全角色的存在:57%的受訪者擁有一個(gè)由至少兩名專職全職員工組成的SaaS安全團(tuán)隊(duì)，另有13%的受訪者分配了一名專職全職員工。
• 組織設(shè)法提高其關(guān)鍵的SaaS安全能力。自去年以來(lái)，SaaS堆棧的全面可見性幾乎翻了一番，這使得公司在防止漏洞和檢測(cè)威脅方面處于更有利的地位。70%的組織報(bào)告對(duì)他們的SaaS應(yīng)用程序有中度到完全的可見性。
• SaaS的安全挑戰(zhàn)源于使用錯(cuò)誤的工具。組織仍然在努力管理錯(cuò)誤配置、連接的應(yīng)用程序和安全風(fēng)險(xiǎn)的可見性。受訪者表示，SaaS安全管理中最困難的領(lǐng)域是實(shí)現(xiàn)對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用程序的可見性(73%);跟蹤和監(jiān)控第三方連接應(yīng)用程序的安全風(fēng)險(xiǎn)(65%);定位和修復(fù)SaaS錯(cuò)誤配置(65%);確保數(shù)據(jù)治理和隱私(63%);使SaaS應(yīng)用程序設(shè)置符合合規(guī)性標(biāo)準(zhǔn)(61%)。這些挑戰(zhàn)源于使用諸如CASB和人工審計(jì)之類的工具。采用SaaS安全態(tài)勢(shì)管理(SSPM)的公司對(duì)其SaaS堆棧具有全面可視性的可能性是其他公司的兩倍多——62%的公司能夠監(jiān)督其SaaS環(huán)境的75%以上，而那些在其戰(zhàn)略中使用其他工具和手動(dòng)流程的公司(31%)。
• 盡管面臨挑戰(zhàn)，SaaS安全投資正在獲得回報(bào)。提出的挑戰(zhàn)清楚地表明，組織正在認(rèn)真對(duì)待SaaS安全性。事實(shí)上，調(diào)查發(fā)現(xiàn)了一個(gè)積極的趨勢(shì)：25%的受訪者在過(guò)去兩年中經(jīng)歷過(guò)SaaS安全事件，而去年這一比例為53%。最常見的安全事件是數(shù)據(jù)泄露(52%)和數(shù)據(jù)泄露(50%)，其次是未經(jīng)授權(quán)的訪問(wèn)(44%)和惡意應(yīng)用程序(38%)。

Adaptive Shield首席執(zhí)行官兼聯(lián)合創(chuàng)始人MaorBin表示：“為了更好地應(yīng)對(duì)當(dāng)今最復(fù)雜的威脅，大型企業(yè)現(xiàn)在明白，投資于預(yù)防方法是正確的方法。組織已經(jīng)積累了涵蓋單一用例的廣泛工具，使他們暴露于新的攻擊面，并迫使他們管理許多不同的解決方案。

看到SaaS成熟度的重大飛躍，我并不感到驚訝，這與我們?cè)谑袌?chǎng)中發(fā)現(xiàn)的指數(shù)級(jí)和快速增長(zhǎng)的需求完全一致。就像云安全態(tài)勢(shì)管理(CSPM)涵蓋云基礎(chǔ)設(shè)施中的任何安全用例一樣，SaaS安全態(tài)勢(shì)管理(SSPM)是關(guān)于SaaS安全攻擊面的整合?！?/p>

該調(diào)查由CSA于2024年1月在線進(jìn)行，收到了來(lái)自不同行業(yè)和地區(qū)的大型組織的478名IT和安全專業(yè)人員的回復(fù)。CSA的研究分析師為這份報(bào)告進(jìn)行了數(shù)據(jù)分析和解釋。贊助者是CSA的公司成員，他們支持研究項(xiàng)目的發(fā)現(xiàn)，但對(duì)CSA研究的內(nèi)容開發(fā)或編輯權(quán)沒有額外的影響。