2022 年 SaaS 安全调查报告

2022年SaaS安全苏尔一报告 ©2022年云安全联盟–保留所有权利。您可以下载，存储，显示在您的计算机、查看、打印和链接到云安全联盟https://cloudsecurityalliance.org但须遵守以下规定：（a）草稿只能用于您的个人、信息、非 商业用途;（b）不得以任何方式修改或更改草案;（c）草案不得分配;（d）不得删除商标、版权或其他声明。您可以引用 美国版权法合理使用条款允许的草案部分，前提是您将这些部分归因于云安全联盟。 2©版权所有2022，云安全联盟。保留所有权利。 致谢 主要作者: 希拉里男爵Josh武家肖恩·海德 亚历克斯KaluzaShamun马哈茂德约翰杨紫琼 设计师: 克莱尔·莱纳特 StephenLumpe 特别感谢: ElianaVuijsje和CarolineRosenberg在AdaptiveShield ©版权所有2022，云安全联盟。保留所有权利。3 表的内容 确认。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。3调查创建和方法5 研究目的5 摘要。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。6 关键发现1：SaaS配置错误导致安全事件6 。。。以。及。太。多。可。以。访。问。的。部。门。...。...6。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。主要发现3：对业务关键型SaaS应用程序的投资超过了SaaS 关键发现2：SaaS配置错误的主要原因是缺乏可见性 安全工具和人员。7 关键发现4：手动检测和修复SaaS错误配置即将消失机构曝光8 关键发现5：使用SSPM缩短了检测和修正SaaS错误配置9 SaaS应用程序在组织中的使用10 SaaS安全评估12 SaaS安全中的错误配置15 SaaS安全工具17 结论。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。17 人口。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。18关于赞助商20 4©版权所有2022，云安全联盟。保留所有权利。 创建和调查方法 云安全联盟（CSA）是一个非营利组织，其使命是广泛推广确保云计算和IT技术网络安全的最佳实践。CSA还教育 这些行业中的各种利益相关者关于所有其他形式的计算中的安全问题。 CSA的成员是行业从业者、公司和专业人士的广泛联盟 协会。CSA的主要目标之一是开展评估信息安全性的调查 趋势。这些调查提供有关组织的信息-当前成熟度，意见，兴趣，以及有关信息安全和技术的行动。 AdaptiveShield委托CSA开发一项调查和报告，以更好地了解行业对SaaS安全性和相关错误配置的知识、态度和意见。AdaptiveShield资助了该项目，并通过参与 CSA研究分析师。该调查由CSA于2022年1月至2月在线进行 并收到了来自不同组织规模的IT和安全专业人员的340份回复，以及地点。CSA的研究团队为本报告进行了数据分析和解释。 这项研究的目标 本次调查的目的是了解SaaS安全性和错误配置的当前状态。主要感兴趣的领域包括: •使用SaaS应用程序的组织 •评估SaaS应用安全性的方法、策略和工具 •检测和修复SaaS应用安全错误配置的时间线 •新的SaaS安全相关产品的意识 ©版权所有2022，云安全联盟。保留所有权利。5 执行概要 最近的许多违规和数据泄漏都与错误配置有关，导致它成为一个许多组织最关心的问题。大多数与错误配置相关的研究都严格关注 在IaaS层上，完全忽略SaaS堆栈。然而，SaaS安全性和错误配置对组织的整体安全同样至关重要。由于这些原因，CSA开发并 分发调查以更好地了解SaaS应用程序，时间表和SaaS工具的使用情况安全评估、错误配置检测和修复的时间范围以及意识 SaaS应用程序的安全工具。 关键发现1 SaaS配置错误导致安全事件 至少自2019年以来，错误配置一直是组织最关心的问题1。不幸的是, 至少有43%的组织因SaaS而处理了一个或多个安全事件 配置错误。这个数字可能高达63%，因为一个显着的金额不确定他们的由于SaaS配置错误，组织遇到了安全事件。这个事实是 20%不确定 38%没有 43%是的 比较类似的数据时尤为明显IaaS错误配置;17%的组织经验丰富的安全事故原因错误配置2. 组织需要拥抱自动化 不仅仅是IaaS和连续扫描配置错误,还SaaS配置错误, 为了防止这样的安全事故。自动化使组织能够实际修复问题 时间,所以他们不脆弱。 关键发现2 SaaS配置错误的主要原因是缺乏可见性和太多具有访问权限的部门 安全事件的主要原因是两个相关的问题：太多的部门 访问SaaS安全设置（35%）并且缺乏对SaaS安全性变化的可见性 设置（34%）。这一发现并不令人惊讶，原因有两个：1.缺乏对SaaS安全性的可见性设置被评为采用SaaS应用程序时最关心的问题。2.平均而言，组织有 有权访问安全设置的多个部门（请参阅标题为“负责SaaS”的部分应用程序安全设置”的更多细节)。 1云计算面临的最大威胁：令人震惊的11个。（加电）2019. 2云安全风险、合规性和配置错误的状态。（加时社）2021. 6©版权所有2022，云安全联盟。保留所有权利。 40%的组织报告称，对SaaS应用程序具有安全访问权限的部门是 专注于执行与工作相关的任务的业务部门（例如，法律、营销、销售）。通常，他们缺乏适当的培训，并专注于安全性以更改安全设置。 然而,他们需要这种程度的访问SaaS应用程序 执行他们的工作。这意味着 1%其他 盗用 组织需要启用访问 多个部门和 提供安全团队的见解进入安全设置更改。最终,这允许他们 检测、预防和/或正确的如果一个不当发生了改变。 8% 22% 34% 35% 用户权限 缺乏SaaS安全知识 缺乏可见性时安全设置更改 太多的部门访问安全设置 关键发现3 投资业务关键SaaS应用程序超过SaaS安全工具和人员 在过去的一年中，81%的组织增加了对业务关键型SaaS的投资应用程序，但较少的组织报告增加了对安全工具的投资（73%）和员工（55%）负责SaaS安全。这一变化意味着现有 安全团队监控SaaS安全性。正如在另一个关键发现中看到的那样，使用自动化监控SaaS安全性可以帮助减轻这种压力，但只有26%的组织使用 这项技术。安全团队花费更多时间手动评估安全性、检测和修正错误配置。组织在投资关键业务时必须考虑到这一点SaaS应用作为目前的投资模式将是长期不可持续的。 减少保持不变增加 关键业务 SaaS应用程序 安全工具 3% 17% 81% 4% SaaS堆栈23% 73% 员工对于SaaS安全 7% 38% 55% ©版权所有2022，云安全联盟。保留所有权利。7 关键发现4 手动检测和修正这些SaaS配置错误离开组织暴露 当组织手动监控和修正其SaaS安全设置时，它会给 安全团队，并使组织容易受到攻击。近一半（46%）只能每月检查或者频率较低，另外5%根本不检查。此数据意味着配置错误可能会 一个月或更长时间未被发现。然后，一旦发现配置错误，它就会采取安全性团队需要额外的时间来修正。大约四分之一的组织需要一周或更长时间才能解决手动修正时的错误配置。底线，组织正在 离开脆弱。为了防止由于SaaS配置错误而导致的安全事件，组织必须探索自动化和其他此类工具，以缩短检测和修复这些SaaS的时间 配置错误。 SaaS安全配置检查的频率 不断10%5%我不检查 每天14%13%每年 每周24%15%季度 每月18% 长时间修复SaaS配置错误 不断3%6%不确定 6小时内13% 在1天内26% 一周内26% 1%超过6个月 10%在6个月内 15%在1个月 *手动方法只 8©版权所有2022，云安全联盟。保留所有权利。 关键发现5 使用SSPM缩短了检测和纠正SaaS配置错误 使用SSPM的组织可以检测和修正其SaaS错误配置 明显更快。这些组织中的大多数（78%）检查了他们的SaaS安全配置每周或更频繁。将此与不使用SSPM的组织进行比较;只有45%的人能够每周或更定期地检查。在解决配置错误时，73%的组织 使用SSPM在一天内解决了它，81%的人在一周内解决了它。将此与 不使用SSPM的组织;只有36%的人在一天内解决配置错误，61%的人在一天内解决配置错误在一周内解决。将这些信息放在一起，SSPM用户可以减少他们的时间 组织暴露在外，可能会遇到安全漏洞。 SaaS安全配置检查的频率 目前没有使用SSPM目前使用SSPM 11% 18% 不断 13% 25% 每天 21% 35% 每周 18% 12% 每月 15% 4% 季度 10% 4% 每年 11% 2% N/A-我不喜欢检查 的时间长度来修复SaaS配置错误 目前没有使用SSPM目前使用SSPM 2% 10% 在几分钟内或近实时 11% 10% 在 6个小时 23% 53% 在 1天 25% 8% 在 1周 15% 14% 在 1个月 8% 4% 在 6个月 1% 0% 时间比 6个月 14% 2% 不确定 ©版权所有2022，云安全联盟。保留所有权利。9 SaaS应用程序使用的组织 组织内估计的SaaS应用程序使用情况 平均而言，组织报告使用102个应用程序。最大申请数报告是在5000年。 150 100 50 0 2004006008001000 SaaS应用程序数量 在SaaS应用程序的投资和变化安全在过去的一年 在过去的一年中，组织改变了对SaaS应用程序和安全性的投资。但是，对业务关键型应用程序的投资超过了对安全工具的投资 和SaaS应用程序的工作人员。如果这种趋势继续下去，组织将继续显着上覆岩层安全团队。 业务关键型SaaS应用程序 安全工具的SaaS堆栈 SaaS安全人员 10©版权所有2022，云安全联盟。保留所有权利。 采用第三方应用程序访问是采用时的首要问题 SaaS应用程序 当组织采用SaaS应用程序时，他们最关心的是缺乏可见性。具体说来他们担心缺乏对第三方应用程序对核心SaaS堆栈的访问的可见性 （56%）和SaaS安全设置（54%）。选择最少的关切是Saas安全人员（32%）可以解释以前发现的投资水平较低。 56% 缺乏对核心SaaS堆栈的第三方应用程序访问的可见性 缺乏可见性SaaS安全设置 54% 41% 无法修复SaaS安全配置错误 SaaS安全知识的缺乏 38% 35% 缺乏自动化或SaaS安全工具 足够数量的SaaS保安人员 32% 政策当未经批准的SaaS应用程序发现 9% 允许 20% 块 24% 简短的评论 47% 完整的检查 当组织发现 未经批准的SaaS应用程序, 47%执行一个完整的安全审查。约另一个季度 进行简短的回顾(24%)。 ©版权所有2022，云安全联盟。保留所有权利。11 SaaS安全评估 负责SaaS应用程序安全设置 平均而言，组织报告说，负责的不仅仅是I