CSA：2022年SaaS安全调查报告（附下载）

国际云安全联盟CSA就SaaS安全相关的问题开展调查，并发布了《2022 SaaS安全调查报告》（以下简称《报告》）。报告从收集到的340份来自不同规模和地区组织的IT/安全专家的答卷中，筛选出了5大关键的安全问题，并对其产生的原因进行分析，并提供组织提升SaaS安全的关键方法。

值得关注的是在本次调查过程中，云平台上流窜的病毒、木马、网络攻击已不再是最主要的安全风险。错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必须慎重对待的关键问题。

五大关键发现

1、SaaS 错误配置导致安全事件

自2019年起，错误配置就已经成为组织关注的重点，至少有43%的组织由于SaaS错误配置导致了一个或多个安全事件。

因此，组织需要采取自动化和持续扫描措施，不仅针对IaaS的错误配置，还应包括SaaS的错误配置，以防止安全事件发生。自动化措施能使组织实时修复该问题，从而避免留下隐患。

虽然导致SaaS错误配置的因素有很多，但调查发现主要原因来自两个方面：授权太多部门访问SaaS安全设置（35%），以及缺乏对SaaS安全设置变化的可见性（34 %）。这是两个相关的问题，缺乏可见性的主要原因之一就是太多的部门可以访问安全设置，而这些部门中的许多都没有接受过适当的培训，也并未专注于安全性。

3、对业务关键型SaaS应用的投入超过SaaS安全工具和人员

过去一年，81%的组织对业务关键型SaaS应用增加了投入，但是相比之下，较少组织表示他们为了SaaS安全，在安全工具（73%）和人员（55%）方面会增加投入。这一变化意味着，现有安全团队负担了更多SaaS安全监控的责任。在另一个关键发现中可以看到，安全团队采用自动化技术监控SaaS安全，能帮助减轻压力，但是只有26%的组织使用该项技术。

4、人工检测和修复SaaS错误配置的方式使企业暴露于风险之中 

近半数（46%）企业对SaaS安全配置的检查频率为每月一次或更低，5%的企业甚至完全不检查。这个数据意味着不安全的配置在一个月乃至更长的时间内放任不管，即使企业发现存在不安全配置的情况，还需要额外的时间修复，约1/4的企业需要一周或更长的时间手动修复错误配置，在此期间企业将处于风险之中。

为了避免由于SaaS错误配置导致的安全事件的发生，企业必须探索自动化的方式或其他类似的工具缩短检测和修复错误配置的时长。

5、SSPM的应用有助于缩短SaaS错误配置检测及修复时长

使用 SaaS安全配置检测工具可有效缩短检测和修复 SaaS 错误配置的时间。使用SSPM的组织可以更快地检测和修复其SaaS错误配置，78%的组织每周或更频繁地检查其SaaS安全配置，而那些不使用SSPM的组织只有45%能够至少每周检查一次。

报告下载：添加199IT微信公众号【i199it】，回复关键词【2022年SaaS安全调查】即可下载