2022年SaaS安全调查报告

GitMore

已于 2022-05-26 16:50:24 修改

阅读量316

点赞数

分类专栏： DevSecOps分享 SaaS 文章标签：安全 sass

于 2022-05-26 16:41:24 首次发布

原文链接：https://thehackernews.com/2022/05/7-key-findings-from-2022-saas-security.html

版权

DevSecOps分享同时被 2 个专栏收录

36 篇文章 4 订阅

订阅专栏

SaaS

7 篇文章 1 订阅

订阅专栏

SaaS错误配置导致安全事故
导致SaaS错误配置的主要原因：缺乏可见性、过多部门的访问权限
企业更关注SaaS应用程序而非SaaS安全工具与人员
仍使用人工监控和检测措施
使用SSPM可以减少修复SaaS错误配置的时间
第三方应用的访问问题
提前规划和实施SSPM

三.小结

一、导语

与CSA合作的2022年SaaS安全调查报告于上周新鲜出炉。这份报告审查了SaaS安全在CISOs和当今企业安全人员眼中的状况，并收集了340名CSA成员的匿名回复。该报告不仅研究SaaS安全中日益增长的风险，还研究不同组织目前努力保障自身安全的相关措施。

（CSA：加拿大标准协会）

大多数（71%）的受访者位于美洲，另有17%来自亚洲，13%来自欧洲、中东和非洲。在这些参与者中，49%影响决策过程，39%参与运行过程本身。这项报告还调查了来自不同行业的组织，例如电信（25%）、金融（22%）以及政府（9%）。

总体来说，该报告具有较全面和较高的代表性。其中有诸多要点可供分析参考，我们选取了其中最应受到关注的前七点。

二、关注要点

1.SaaS错误配置导致安全事故

自2019年以来，SaaS错误配置已经成为企业组织最关心的问题之一，至少有43%的企业报告说他们已经处理过一个或者多个由于SaaS错误配置引起的安全事件。然而，由于许多其他组织表示他们并不清楚自己是否经历过此种安全事故，因此据推算与SaaS配置不当相关的事故可能高达63%。这些数字与IaaS错误配置导致的17%的安全事件相比是十分惊人的。

2.导致SaaS错误配置的主要原因：缺乏可见性、过多部门的访问权限

那么，这些SaaS错误配置的确切原因是什么呢？虽然有好几个因素可以列入考虑范围，但我们可以将其缩小至两个主要原因——缺乏对SaaS安全设置变化的可见性（34%）以及有太多部门可以访问SaaS安全设置（35%）。这是两个相联系的问题，考虑到在采用SaaS应用程序时缺乏可见性被列为了首要关注的问题，其实这两个原因都不足为奇。就平均调查而言，组织有多个部门可以访问安全设置，这也是缺乏可见性的主要原因之一——有太多部门可以访问安全设置，而这些部门中的许多人员没有接收适当的培训，也没有关注安全性的相关意识。

3.企业更关注SaaS应用程序而非SaaS安全工具与人员

众所周知，企业正在采用更多的应用程序。仅在过去一年，81%的受访者表示，他们已经增加了对关键业务的SaaS应用程序的投资。相反，对于SaaS安全工具和员工的关注度较低。这种不协调的情况标明，现有安全团队在监控SaaS安全性方面的负担越来越重。

4.仍使用人工监控和检测措施

人工监控SaaS安全的组织中有46%每月只进行一次或更少的检查，而5%的组织根本不进行检查。在发现错误配置之后，安全团队需要额外的时间来处理和补救。大约四分之一的组织在进行人工补救时需要一周或更长的时间来解决一个SaaS错误配置问题。这种冗长的时间安排使得组织变得愈加脆弱。

5.使用SSPM可以减少修复SaaS错误配置的时间

从第四点的另外一方面来说，部分已经实现SSPM的组织可以更快更准确的检测和纠正SaaS错误配置。这些组织中的大多数（78%）使用SSPM每周或更频繁的检查其SaaS安全配置。当涉及到解决错误配置问题时，81%的组织使用SSPM能够在一周甚至一天内解决相应的问题。

6.第三方应用的访问问题

第三方应用，也被称为无代码或低代码平台，可以提高生产力并实现混合工作，这在构建和扩展公司的工作流程方面是必不可少的。然而，许多用户快速连接到第三方应用程序后，丝毫不考虑这些应用程序请求的许可。这些许可一旦被接受，授予这些第三方应用程序的权限和随后的访问权限可能是无害的，也有可能像可执行文件一样充满恶意。由于对SaaS—SaaS供应链透明度的缺乏，员工正在连接他们组织的业务关键应用程序，而安全团队对这些潜在威胁视而不见。

7.提前规划和实施SSPM

尽管这一类产品两年前就进入了市场，但它还处于迅速成熟阶段。在评估四个云安全解决方案时，SSPM仅得到了“有点熟悉”的平均评级。但令人欣慰的是，62%的受访者报告说，他们正在或计划在未来24个月内使用和实施SSPM。

三、小结

2022年SaaS安全调查报告提供了许多关于组织如何使用和保护其SaaS应用程序的深刻见解。毫无疑问，随着企业继续采用更多关键业务的SaaS应用程序，随之而来的是更多的风险。要正面应对这一挑战，企业最好采用以下两种做法来确保自身安全：

首先，允许安全团队获得所有SaaS应用程序安全设置的完全可见性，包括第三方应用程序访问和用户权限。这反过来允许部门维护他们的访问权限，而不用担心做出不适当的变更，这样可以使组织更容易规避恶意攻击。

其次，公司应该利用自动化工具，如SSPM，来持续监视和快速纠正SaaS安全性配置的错误。这些自动化工具允许安全团队几乎可以实时识别和修复问题，从而减少组织处于脆弱状态的总体时间。

资料来源：

1.The Hacker News:《7 Key Findings from the 2022 SaaS Security Survey Report》

https://thehackernews.com/2022/05/7-key-findings-from-2022-saas-security.html

GitMore

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
2022年SaaS安全调查报告

与CSA合作的2022年SaaS安全调查报告于上周新鲜出炉。这份报告审查了SaaS安全在CISOs和当今企业安全人员眼中的状况，并收集了340名CSA成员的匿名回复。该报告不仅研究SaaS安全中日益增长的风险，还研究不同组织目前努力保障自身安全的相关措施。
复制链接

扫一扫