CSA GCR：2022SaaS安全調查報告（19頁）.pdf

1、2022 云安全聯盟大中華區版權所有12022 云安全聯盟大中華區版權所有3序序言言從Salesforce 1999年發布CRM SaaS 服務成為SaaS的開拓者，到2022年全球企業服務SaaS市場規模將超1700億美元（據Statista預測），SaaS成了真正的“軟件終結者”。國內SaaS雖然起步較晚但也已經在2019年進入了旺盛期，CRM、ERP、HCM、OA、財務、客服、電子簽等垂直領域的SaaS蓬勃發展。而且幾乎所有傳統的管理軟件企業都開始了新一輪的轉型嘗試。新冠疫情爆發以來，很多企業不得不選擇遠程辦公和使用線上SaaS應用，疫情成了SaaS發展的又一個助推劑。SaaS快速發展的

2、同時也面臨不少安全問題，這些問題已經成為很多組織關注的焦點。CSA繼發布CAST云應用安全可信標準與認證之后，就SaaS安全相關的問題開展調查并發布了2022 SaaS安全調查報告（以下簡稱報告）。調查從收集到的340份來自不同規模組織和地區的IT/安全專家的答卷中深入挖掘，篩選出了5大關鍵的安全問題，并對其產生的原因進行了研究與分析，通過一系列數據說明了這幾大問題的普遍性與嚴重性。值得關注的是在本次調查過程中，云平臺上流竄的病毒、木馬、網絡攻擊已不再是最主要的安全風險，錯誤配置、權限模糊、安全減配等管理問題已經成為企業SaaS安全管理過程中必須慎重對待的關鍵問題。作為企業的 IT管理人員，尤

3、其是信息安全管理人員，應該清楚地知道：沒有安全事故不等于足夠的安全。那如何保證企業在日益復雜的網絡環境下的數字安全，保證云上業務的安全？這些問題在報告中也給出了相對應的解決思路。除此之外，報告中的一些對比數據或許可以為企業解決SaaS安全問題提供借鑒，給企業的使用SaaS帶來一些啟示。對于很多企業來說，安全地使用SaaS是一個很有挑戰的過程，需要加強企業內部的控制策略，并通過統一的安全保障措施和策略對SaaS應用進行識別和管控。同時推薦使用SSPM管理，為安全團隊提供SaaS應用程序安全設置可見性的能力，也可以利用自動化工具監控和修復SaaS安全錯誤配置。李雨航 Yale LiCSA 大中華區

4、主席兼研究院院長2022 云安全聯盟大中華區版權所有5目目錄錄序言.3致謝.4調研的開展與方法論.6概要.7關鍵發現1.7關鍵發現2.7關鍵發現3.8關鍵發現 4.9關鍵發現 5.10企業的 SaaS 應用程序使用量（預估）.11Saas 安全評估.13SaaS 安全的錯誤配置.16與 SaaS 安全錯誤配置相關最值得關注的領域.16修復 SaaS 安全配置錯誤的時間.17過去一年中由于 SaaS 安全錯誤配置導致的安全事件.17SaaS 安全工具.18SSPM 的使用情況與計劃.18結論.18統計結果.192022 云安全聯盟大中華區版權所有6調調研研的的開開展展與與方方法法論論云安全聯盟（

5、CSA）是一家非營利性組織，其使命是廣泛推動云計算和IT技術領域的最佳實踐，確保網絡安全。同時，CSA也就計算機技術相關的所有安全關注點對行業內各利益相關方展開教育。CSA是由業內人士、企業和專業協會組成的廣泛聯盟。CSA的主要目標之一是開展評估信息安全趨勢的調查工作，這些調查提供的與企業組織在信息安全與技術領域的成熟度、觀點、興趣和行動相關的信息。Adaptive Shield（以色列SaaS應用安全服務商）委托CSA開展調查并編寫相關的報告，以便更好地了解關于SaaS安全和相關錯誤配置的行業知識、態度和意見。Adaptive Shield資助了本項目并與CSA的研究分析師聯合設計了調查問卷

6、。本次調查從2022年1月至2月，由CSA以在線方式開展，共收到340份來自不同規模和地區組織的IT和安全專家的答卷。CSA的研究團隊對本報告進行了數據分析和解讀。研研究究目目標標本調查的目標是了解當前SaaS安全和錯誤配置狀況。關注的關鍵領域包括：使用SaaS應用的企業組織評估SaaS應用程序安全的方法、策略和工具檢測和修復SaaS應用程序安全里錯誤配置的時間表了解SaaS安全相關的最新產品2022 云安全聯盟大中華區版權所有7概概要要許多最近發生的違規與數據泄露事件由錯誤配置導致，使其成為眾多企業組織關注的焦點。多數關于錯誤配置的研究只關注IaaS層，而忽略了SaaS全棧。然而，SaaS安

7、全和錯誤配置對于企業的整體安全同等重要?；谏鲜鲈?，CSA設計并發布了一項調查，以便更好地了解SaaS應用的使用，SaaS安全性評估的工具與時間表，檢測和修復錯誤配置的時間表，以及對SaaS應用相關安全工具的認識了解。關鍵發現1SaaS錯錯誤誤配配置置導導致致安安全全事事件件至少自2019年1起，錯誤配置就已經成為組織關注的重點。不幸的是，至少43%的組織經歷過一個或多個因SaaS錯誤配置引發的安全事件。此外，一些組織曾經歷過安全事件，但不確定是否歸結于SaaS的錯誤配置，否則這一比例將高達63%。與17%的組織因IaaS錯誤配置而遭遇安全事件相比，這一數據就顯得尤為突出。2因此，組織需要采

8、取自動化和持續掃描措施，不僅針對IaaS的錯誤配置，還應包括SaaS的錯誤配置，以防止安全事件發生。自動化措施能使組織實時修復該問題，從而避免留下隱患。關鍵發現 2導導致致SaaS錯錯誤誤配配置置的的主主要要原原因因是是缺缺少少可可見見性性以以及及具具有有訪訪問問權權限限的的部部門門太太多多安全事件的主要原因來自兩個方面：太多部門擁有SaaS安全設置的訪問權限（占比35%），以及對SaaS安全設置的變更缺少可見性（占比34%）。這一發現并不令人驚訝，原因有二：1.選擇SaaS應用時，安全設置可見性的缺失被評為首要問題。2.通常，組織內有多個部門具備訪問這些安全設置的權限（詳見“為SaaS應用安

9、全設置負責”部分）。1云計算面臨的11類頂級威脅.(CSA)2019.2云安全風險、合規和錯誤配置的狀況.(CSA)2021.不確定否是2022 云安全聯盟大中華區版權所有8有40%的組織認為，訪問SaaS應用程序的部門是業務部門（如法務、市場、營銷），目的是執行工作相關的任務。通常情況下，這些部門缺少適當的培訓和對安全設置變更的關注。然而，他們完成工作需要這種級別的SaaS應用訪問權限。這意味著組織需要為多個部門啟用訪問權限，并為安全團隊提供安全設置變更的洞察能力。關鍵發現 3對對業業務務關關鍵鍵型型SaaS應應用用的的投投入入超超過過SaaS安安全全工工具具和和人人員員的的投投入入一年以來

10、，有81%的組織對業務關鍵型SaaS應用增加了投入，但是相比之下，較少組織表示他們為了SaaS安全，在安全工具（73%）和人員（55%）方面增加了投入。這一變化意味著，現有安全團隊負擔了更多SaaS安全監控的責任。在另一個關鍵發現中可以看到，安全團隊采用自動化技術監控SaaS安全，能幫助減輕壓力，但是只有26%的組織使用該項技術。安全團隊正在花費更多時間，以手工方式評估安全，檢測和修復錯誤配置。組織在業務關鍵型SaaS應用進行投入時，必須考慮這種情況，因為當前投入模式從長期來看不可持續。22%8%其他用戶權限被盜用SaaS安全只是缺失SaaS安全設置變更的可見性缺失太多部門擁有SaaS安全設置

11、的訪問權業務關鍵型SaaS應用程序SaaS安全工具SaaS員工安全減少保持不變增加2022 云安全聯盟大中華區版權所有9關鍵發現4人人工工檢檢測測和和修修復復SaaS錯錯誤誤配配置置的的方方式式使使企企業業暴暴露露于于風風險險之之中中人工檢測和修復不安全配置的方式不僅給安全團隊帶來負擔，其滯后性也給企業增加了風險。近半數（46%）企業對SaaS安全配置的檢查頻率為每月一次或更低，5%的企業甚至完全不檢查。這個數據意味著不安全的配置在一個月乃至更長的時間內放任不管。即使企業發現存在不安全配置的情況，還需要額外的時間修復，約1/4的企業需要一周或更長的時間手動修復錯誤配置，在此期間企業將處于風險之

12、中。為了避免由于SaaS錯誤配置導致的安全事件的發生，企業必須探索自動化的方式或其他類似的工具縮短檢測和修復錯誤配置的時長。*該數據僅統計人工檢測及修復的情況S Sa aa aS S安安全全配配置置檢檢測測頻頻率率修修復復S Sa aa aS S錯錯誤誤配配置置所所需需的的時時間間持續檢測每天一次每周一次每月一次從不檢測每年一次每季度一次實時6小時內1天內一星期內不確定超過6個月6個月內1個月內2022 云安全聯盟大中華區版權所有10關鍵發現5SSPM的的應應用用有有助助于于縮縮短短SaaS錯錯誤誤配配置置檢檢測測及及修修復復時時長長使用SSPM解決方案的企業能夠更快地檢測及修復SaaS錯誤配

13、置。大多數（78%）企業每周或更頻繁地檢測，而那些沒有使用SSPM的企業中只有45%能夠達到同樣的檢測頻率。在錯誤配置的修復上，使用SSPM的企業中的73%能夠在一天內修復問題，81%能夠在一周內修復。反觀那些沒有使用SSMP的企業，只有35%能夠在一天內修復，61%在一周內修復。結合這些數據不難看出，使用了SSPM的企業能夠縮短在安全風險中的暴露時間。S Sa aa aS S安安全全配配置置檢檢測測頻頻率率修修復復S Sa aa aS S錯錯誤誤配配置置所所需需的的時時間間未使用SSPM的企使用了SSPM的企未使用SSPM的企業使用了SSPM的企業持續檢測每天一次每周一次每月一次每季度一次一

14、年一次從不檢測實時或在幾分鐘內修復6小時內一天內一周內一個月內6個月內超過6個月不確定2022 云安全聯盟大中華區版權所有11企企業業的的SaaS應應用用程程序序使使用用情情況況企企業業的的SaaS應應用用程程序序使使用用量量（預預估估）單個企業平均使用102個SaaS應用，最多的超過5000個。近近年年來來企企業業在在SaaS應應用用程程序序及及安安全全上上的的投投入入變變化化盡管在過去的一年中，許多企業改變了他們對SaaS應用程序和安全性的投入策略，然而，在核心業務相關的SaaS應用程序的投入仍然超過了在安全運維工具及人力上的投入。如果這一趨勢持續下去，企業安全運維團隊的負擔將持續加大。S

15、aaS應用程序使用量提及次數業務關鍵型SaaS應用程序SaaS應用程序安全工具SaaS安全運維人員減減少少增增加加2022 云安全聯盟大中華區版權所有12第第三三方方應應用用程程序序訪訪問問是是企企業業部部署署SaaS應應用用程程序序時時的的最最大大關關注注點點企業在部署某個SaaS應用程序時最擔心的是缺乏對應用程序的可見性，確切的說，他們擔心的是缺乏對那些能夠訪問企業核心SaaS堆棧（56%）和安全配置（54%）的第三方應用程序的可見性。最不擔心的則是SaaS安全運維人員的不足（32%），這能夠解釋之前企業在安全運維人員上的投入不足。企企業業發發現現未未經經許許可可的的SaaS應應用用時時的

16、的應應對對策策略略當發現未經許可的SaaS應用時，47%的企業會進行全面的安全策略審查，大約1/4的企業（24%）會進行簡單、快速的安全審查。缺乏對第三方應用程序訪問核心SaaS堆棧的可見性缺乏對SaaS安全配置的可見性缺乏對SaaS錯誤配置的修復能力缺乏對SaaS安全知識缺乏自動化手段或SaaS安全工具SaaS安全運維人員不足放行阻斷簡單審查全面審查2022 云安全聯盟大中華區版權所有13Saas安安全全評評估估誰誰負負責責SaaS應應用用程程序序的的安安全全設設置置通常，負責Saas應用程序安全設置的部門不限于IT部門或者安全部門。占比最高的部門分別是安全部門（59%），IT部門（50%）

17、和業務部門（40%），意味著多個部門置身安全之外。雖然業務應用程序所有者有充分的理由擁有相應級別的訪問權限，但是這些部門缺乏正確的安全知識，也缺乏對維護應用程序安全性的興趣，最終會給安全部門和IT部門帶來問題。監監測測Saas安安全全配配置置的的方方法法監測SaaS安全配置的最常見方法是手動(57%)。在那些采用手動監測的組織中，大約63%手動執行此評估。這種方法不僅耗時，而且容易出現人為失誤。每七個組織中就有一個根本沒有監測Saas安全，原因可能有很多，其中之一可能是缺少資源（例如，缺少自動化監測工具，缺乏手動監測人員）。其他不監測SaaS安全錯誤配置自動手動安全部門業務部門(例如銷售部，市

18、場部，法務部)合規風控部門不清楚其他2022 云安全聯盟大中華區版權所有14身份和訪問管理 例如.Okta,Duo,活動目錄溝通與協作 例如.Slack,Microsoft Teams,Google Workspace文件共享和存儲 例如.One Drive,Dropbox,Box其他虛擬會議平臺-例如.Zoom,Skype,GoToMeeting,Webex端點管理 例如.Intune,Citrix云數據平臺 例如 Amazon Redshift,Snowflake,Druid客戶關系管理 例如.Salesforce,Hubspot企業商業智能 例如 Tableau,PowerBI電子簽名-

19、例如 DocuSign,Adobe Sign項目及工作管理 例如 M,Smartsheet,Trello票務-例如 JIRA,Zendesk代碼倉庫-例如 Github,BitBucket應應用用程程序序錯錯誤誤配配置置評評估估組織監視各種SaaS應用程序的錯誤配置。最受關注的應用程序是IAM（52%），通信和協作平臺（49%），文件共享/存儲（49%）。盡管關注點之間存在微小的差異，但很明顯，組織對其整個SaaS應用程序堆棧感到擔憂。2022 云安全聯盟大中華區版權所有15SaaS安安全全配配置置評評估估時時長長三分之一的組織需要超過一周的時間評估SaaS安全配置。這就解釋了為什么一些組織沒

20、有監測他們的SaaS安全配置，這是一個非常消耗時間和資源的過程。SaaS安安全全配配置置評評估估頻頻率率40%的組織每月或更低的頻率檢查其SaaS安全配置，十分之一的組織每年才檢查一次，而最常見的是每周一次（23%）。不檢查月度周持續檢查小時天不檢查每年每季度每月持續檢查每天每周2022 云安全聯盟大中華區版權所有16數據防泄漏訪問控制，密碼管理和多因素認證惡意軟件防護隱私控制審計終端保護移動安全網絡釣魚保護密鑰管理操作彈性SaaS安安全全的的錯錯誤誤配配置置誰誰負負責責SaaS安安全全錯錯誤誤配配置置的的檢檢測測和和修修復復負責檢測和修復SaaS安全錯誤配置根據組織的不同而不同。最常見的反應

21、是治理與網絡安全風險(23%)和安全運維(21%)。與與SaaS安安全全錯錯誤誤配配置置相相關關最最值值得得關關注注的的領領域域組織最擔心的與SaaS安全錯誤配置相關的領域是數據防泄漏(55%)、訪問控制、密碼管理和多因素認證(54%)。這些問題相互關聯，組織希望避免未授權訪問和泄漏公司的重要數據。其他安全工程師第三方/供應商風險評估治理與網絡安全風險安全運維云安全架構2022 云安全聯盟大中華區版權所有17造造成成SaaS錯錯誤誤配配置置的的主主要要原原因因造成SaaS錯誤配置的兩個主要原因是，有太多業務部門可以訪問SaaS的安全設置（35%），以及配置變更時缺乏可見性（34%）。負責檢測和

22、修復SaaS錯誤配置的安全團隊需要深入了解設置的變更，尤其是在其他業務部門可以訪問的情況下。有了這種洞察力，安全團隊可以快速與其他業務部門合作，修復錯誤配置或防止其發生。修修復復SaaS安安全全配配置置錯錯誤誤的的時時間間對于大多數組織來說，修復錯誤配置大約需要一天（28%）或一周（22%）；同時，幾乎相同數量比例的組織需要一個月或更長時間（23%）。然而，對于SSPM用戶來說，時間縮短了。近3/4使用SSPM的組織可以在一天內解決錯誤配置。過過去去一一年年中中由由于于SaaS安安全全錯錯誤誤配配置置導導致致的的安安全全事事件件降低檢測和修復SaaS安全錯誤配置的時間，對防止SaaS安全事件至

23、關重要。然而，43%的組織由于錯誤配置導致安全事件發生。同時，由于SaaS用戶數量不確定，這一比例可能高達63%。其他用戶權限被誤用盜用缺乏SaaS安全知識安全設置更改時缺乏幾分鐘內或接近實時6小時之內1天之內1周之內不確定超過6個月6個月之內1個月之內不確定否是2022 云安全聯盟大中華區版權所有18SaaS安安全全工工具具對對云云安安全全解解決決方方案案及及其其優優勢勢的的熟熟悉悉程程度度我們調查評估了SaaS使用者對四種云安全解決方案的熟悉程度。有趣的是，SSPM的平均評分為“有點熟悉”；盡管SSPM市場在大約兩年前才推出，但它似乎正在迅速成熟。SSPM的的使使用用情情況況與與計計劃劃計

24、劃或目前已經在使用SSPM的組織，占比為62%，也表明了SSPM在市場上的迅速采用和成熟。同時，計劃實施SSPM的最常見原因是能夠檢測和自動修復SaaS錯誤配置（54%）以及SaaS應用程序中對違反策略的可見性（23%）已經使用SSPM的組織認為，他們的SaaS安全性得到了改善（51%），并通過SaaS安全管理和維護節省了時間（33%）。只有38%的組織目前沒有實施SSPM的計劃。不計劃實施SSPM的最常見原因是不熟悉（46%）和缺乏實施新解決方案的資源（25%）。結結論論組織可以提升SaaS安全的關鍵方法：1.為安全團隊提供對SaaS應用程序安全設置可見性的能力，包括第三方應用程序訪問和用戶

25、權限的配置情況。這種可視性允許多個部門保持其訪問權限，而不會導致不適當的變更，從而使組織免受攻擊。2.利用自動化工具監控和修復SaaS安全錯誤配置，如SSPM。自動化使安全團隊能夠近實時地解決這些問題，減少組織易受攻擊的時間，或防止發生安全事件。這些措施為組織的安全團隊提供支持，同時不妨礙其他部門繼續工作，從而避免重大安全事件。熟悉有點熟悉不熟悉沒有實施計劃正在實施計劃過去1年過去2年2022 云安全聯盟大中華區版權所有19統統計計結結果果本次調查在2022年1月至2月進行，一共收集了340份來自不同規模、行業、地區和角色的IT和安全專業人員的答卷。貴貴公公司司的的規規模模大大小小?貴貴公公司

26、司所所屬屬行行業業?1-500 員工10000或更多員工2001-10000 員工501-2000 員工1%交通運輸2%航空航天2%汽車2%保險2%非營利性組織3%娛樂與休閑4%教育4%制造業6%業務支持與物流8%建筑、機械與住宅9%政府22%金融與金融服務25%電信、技互聯網和電子11%房地產2%食品2%醫療與藥品2%廣告與營銷2%零售2022 云安全聯盟大中華區版權所有20歐洲、中東、非洲美洲亞太地區您您在在引引入入新新戰戰略略的的決決策策過過程程中中屬屬于于什什么么角角色色?以以下下哪哪項項最最符符合合你你的的崗崗位位?我沒有直接參與我負責決策我影響決策1%電子取證專家2%供應商風險評估3%滲透測試人員3%副CISO5%SaaS安全架構師7%云安全8%CISO12%網絡安全14%信息安全16%安全工程師16%IT3%其他1%SaaS安全2%CIO3%安全運維4%云安全架構師2022 云安全聯盟大中華區版權所有21本本報報告告贊贊助助方方領先的SaaS安全態勢管理（SSPM）公司AdaptiveShield，使安全團隊能夠快速發現并修復其SaaS環境中的錯誤配置，確保符合公司和行業標準。AdaptiveShield與眾多財富500強企業合作，幫助它們控制SaaS威脅。有關更多信息，請訪問www.adaptive-shield。com或在LinkedIn上關注我們。