2022 SaaS安全調查報告:解讀7個重點發現
云安全聯盟(CSA)發布的《2022年軟件即服務(SaaS)安全調查報告》,調查了當今企業首席信息安全官(CISO)和安全專業人員眼中的SaaS安全態勢。不僅可以幫助大家了解SaaS安全中日益增長的風險,還可以了解不同的組織是如何努力確保自身安全的。
受訪者大多來自美洲(71%),另有17%來自亞洲,13% 來自歐洲、中東和非洲。在這些參與者中,49%影響決策過程,而39%自己運行決策過程。該報告調查了來自不同行業的組織,包括電信(25%)、金融(22%)和政府(9%)等。
7點關鍵發現
這項調查有很多收獲,以下確定了最重要的7點發現:
1. SaaS錯誤配置導致安全事件
自2019年以來,SaaS錯誤配置已經成為組織的頭等大事,至少有43%的組織報告稱,他們已經處理過由SaaS錯誤配置引發的一起或多起安全事件。然而,鑒于許多其他組織表示他們并不知道自己是否經歷過安全事件,因此,與SaaS配置錯誤相關的事件數量可能高達63%。與基礎設施即服務(IaaS)錯誤配置導致的17%的安全事件相比,這些數字著實令人震驚。
2. 缺乏可見性和授權過多訪問被報告為SaaS錯誤配置的主要原因
雖然導致SaaS錯誤配置的因素有很多,但調查受訪者將其縮小為兩個主要原因——授權太多部門訪問SaaS安全設置(35%),以及缺乏對SaaS安全設置變化的可見性(34 %)。這是兩個相關的問題,缺乏可見性的主要原因之一就是太多的部門可以訪問安全設置,而這些部門中的許多都沒有接受過適當的培訓,也并未專注于安全性。
3. 對業務關鍵型SaaS應用程序的投資超過了SaaS安全工具和人員投資
眾所周知,企業正在加速采用更多的應用程序——僅在過去一年,就有81%的受訪者表示他們增加了對業務關鍵型SaaS應用程序的投資。然而,另一方面,為確保SaaS安全性而對安全工具(73%)和人員(55%)的投資卻相對較低。這種不協調意味著現有安全團隊監控SaaS安全性的負擔正日益增加。
4. 手動檢測和修復SaaS錯誤配置加劇組織暴露程度
調查顯示,46%的受訪組織采用手動方式監控其SaaS安全性,且每月只進行一次或更少的檢測,而5%的組織根本不進行任何檢測。在發現錯誤配置后,安全團隊還需要額外的時間來解決它。大約四分之一的組織需要一周或更長時間才能手動修復錯誤的配置。這個漫長的時間差加劇了組織面臨的暴露風險。
5. 使用SSPM可以縮短檢測和修復SaaS錯誤配置的時間
好消息是,已經實施SaaS安全配置管理(SSPM)的組織可以更快、更準確地檢測和修復他們的SaaS錯誤配置。這些組織中的大多數(78%)使用SSPM每周或更多次地檢查其SaaS安全配置。而在解決錯誤配置方面,81%使用SSPM的組織能夠在一天到一周內解決它。
6. 第三方應用程序訪問是最受關注的問題
第三方應用程序,也稱為無代碼(no-code)或低代碼(low-code)平臺,可以提高生產力并實現混合工作。它們對于構建和擴展公司的工作流程至關重要。然而,現實表明許多用戶會在不考慮這些應用程序請求什么權限的情況下快速連接第三方應用程序。如此一來,授予這些第三方應用程序的權限和后續訪問可能是無害的,也可能與可執行文件一樣惡意。
如果缺乏對SaaS到SaaS(SaaS-to-SaaS)供應鏈的可見性,員工可能正將其連接到組織的關鍵業務應用程序,而安全團隊卻無法察覺許多潛在的威脅。隨著組織加速采用SaaS應用程序,他們最關心的問題之一就是缺乏可見性,尤其是第三方應用程序訪問核心SaaS堆棧的可見性(56%)。
7. 提前規劃和實施SSPM
雖然SaaS安全配置管理(SSPM)類別在兩年前才被引入市場,但它正在迅速發展成熟。在評估四種云安全解決方案時,SSPM的平均評級為“有些熟悉”。此外,62%的受訪者表示他們已經在使用SSPM或計劃在未來24個月內實施。
結語
《2022年SaaS安全調查報告》提供了有關組織如何使用和保護其SaaS應用程序的見解。毫無疑問,隨著公司繼續采用更多的業務關鍵型SaaS應用程序,風險也會日益加劇。面對這一挑戰,企業組織應該開始通過下述兩個最佳實踐來保護自己:
確保安全團隊能夠全面了解所有的SaaS應用程序安全設置,包括第三方應用程序訪問權限和用戶權限,這反過來又允許各部門保持其訪問權限,不要冒險進行不當更改而使組織面臨易受攻擊的風險。
企業組織應該利用自動化工具(例如SSPM)來持續監控和快速修復SaaS安全錯誤配置。這些自動化工具允許安全團隊近乎實時地識別和修復問題,從而減少組織易受攻擊的總體時間或防止問題一起發生。
實施這兩項最佳實踐可以為您的安全團隊提供支持,同時確保部門無縫、高效地實現協作。
參考及來源:https://threatpost.com/saas-security-key-findings/179717/
