受访者统计大多数受访者(71%)来自美洲,另有17%来自亚洲,13%来自欧洲、中东和非洲。在这些参与者中,49%影响决策过程,39%管理决策过程本身。该报告调查了来自不同行业的组织,例如电信(25%)、金融(22%)和政府(9%)。虽然从这项调查中可以学到很多东西,但这里是我们的7大亮点。1:SaaS错误配置导致安全事件自2019年以来,SaaS错误配置已成为组织最关心的问题,至少43%的组织报告说他们处理过一次或多起由SaaS错误配置引起的安全事件。然而,与SaaS配置错误相关的事件数量可能高达63%,因为许多其他组织表示他们不知道自己是否遇到过安全事件。与IaaS配置错误导致的17%的安全事件相比,这些数字是惊人的。图1.公司因SaaS错误配置而遭遇安全事件2:缺乏可见性和过多的访问部门被认为是SaaS错误配置的主要原因那么这些SaaS错误配置的确切原因是什么?尽管有多个因素需要考虑,但受访者将其归结为两个主要原因——太多部门可以访问SaaS安全设置(35%)以及缺乏对SaaS安全设置更改的可见性(34%)。这是两个相关的问题,考虑到缺乏可见性是采用SaaS应用程序时最关心的问题,而且普通组织中的多个部门都可以访问安全设置,因此这两个问题都不足为奇。缺乏可见性的主要原因之一是太多部门可以访问安全设置,其中许多部门没有经过适当的培训或没有专注于安全。图2.SaaS配置错误的主要原因3:对业务关键型SaaS应用程序的投资超过了SaaS安全工具和人员众所周知,企业正在采用更多的应用程序——仅去年一年就有81%的受访者表示他们增加了他们对业务关键型SaaS应用程序的投资。另一方面,SaaS安全在安全工具(73%)和人员(55%)上的花费较少。这种不一致意味着现有的安全团队在监控SaaS安全性方面的负担越来越重。图3.公司在SaaS应用程序、安全工具和员工方面的投资4:手动检测和修复SaaS错误配置暴露了组织46%的手动监控其SaaS安全的组织每月进行一次或更少%根本不检查。发现错误配置后,安全团队需要额外的时间来修复它。大约四分之一的组织在手动修复时需要一周或更长时间来解决错误配置。这么长的时间使组织容易受到攻击。图4.公司手动检查其SaaS错误配置的频率图5.公司手动修复SaaS错误配置所需的时间5:使用SSPM可以减少检测和修复SaaS的时间准确检测并修复其SaaS错误配置。这些组织中的大多数(78%)每周或更长时间使用SSPM来审查其SaaS安全配置。在解决配置错误方面,使用SSPM的组织中有81%能够在一天到一周内解决。图6.SaaS安全配置检查的频率图7.修复SaaS错误配置的时间长度6:第三方应用程序访问是最关心的问题第三方应用程序,也称为无代码或低代码平台,可以提高生产力,启用混合工作,对于构建和扩展公司的工作流程至关重要。然而,许多用户快速连接到第三方应用程序而没有考虑这些应用程序请求的权限。一旦被接受,授予这些第三方应用程序的权限和后续访问权限可能是无害的,也可能是恶意的。如果不了解SaaS到SaaS供应链,员工将连接到其组织的关键业务应用程序,而安全团队则对许多潜在威胁视而不见。随着组织继续采用SaaS应用程序,他们最关心的问题之一是缺乏可见性,尤其是访问核心SaaS堆栈的第三方应用程序(56%)。图8.公司在采用SaaS应用程序时最关心的问题第7条:提前规划和实施SSPM尽管这一类别是两年前引入市场的,但它正在迅速成熟。在评估四种云安全解决方案时,SSPM获得了“有点熟悉”的平均评分。此外,62%的受访者表示他们已经在使用SSPM或计划在未来24个月内实施它。图9.目前正在使用或计划使用SSPM的公司结论《2022 年 SaaS 安全调查报告》深入了解组织如何使用和保护其SaaS应用程序。毫无疑问,随着公司继续采用更多业务关键型SaaS应用程序,风险会增加。为了直面这一挑战,公司应该开始通过两种最佳实践来保护自己:首先是为安全团队提供对所有SaaS应用程序安全设置的全面可见性,包括第三方应用程序访问和用户权限,这反过来又这反过来又允许部门保持他们的访问权限,而不会有做出使组织易受攻击的不适当更改的风险。其次,公司应利用SSPM等自动化工具持续检测并快速修复SaaS安全配置错误。这些自动化工具使安全团队能够近乎实时地识别和修复问题,从而减少组织易受攻击的总时间或防止问题同时发生。这两种做法都在不阻止部门继续工作的情况下支持他们的安全团队。
