2024年度SaaS安全调查报告

©2024云安全联盟大中华区版权所有1 @2024云安全联盟大中华区－保留所有权利。你可以在你的电脑上下载.储存.展示.查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：（a）本文只可作个人.信息获取.非商业用途； （b）本文内容不得篡改；（c）本文不得转发；（d）该商标.版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2024云安全联盟大中华区版权所有2 ©2024云安全联盟大中华区版权所有3 致谢 《年度SaaS安全调查报告（SaaSSecuritySurveyReport）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组长： 郭鹏程 翻译组： 曹莉丁振涛李清李晓川刘亚丽陶瑞岩于新宇 审校组： 郭鹏程 研究协调员： 闭俊林梁嘉荣 感谢以下单位的支持与贡献： 北京金山云网络技术有限公司杭州默安科技有限公司 上海安几科技有限公司浙江大华技术股份有限公司中国工商银行股份有限公司 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予改正！联系邮箱 research@c-csa.cn；国际云安全联盟CSA公众号。 英文版本编写专家 主要作者： HillaryBaron 贡献者： JoshBukerMarinaBregkouRyanGiffordSeanHeideAlexKaluzaJohnYeoh 设计师： StudioYael 特别感谢： HananelLivnehAryeZacksCarolineRosenbergElianaVuijsje 序言 在数字化转型的浪潮中，软件即服务（SaaS）作为企业关键业务支撑和数据承载的重要平台，其安全性对于保障企业运营稳定与数据资产安全至关重要。随着SaaS应用的广泛普及和深度融入企业运作，针对SaaS环境的安全威胁与挑战也呈现出日益复杂且频繁的态势。在此背景下，《年度SaaS安全调查报告》应时而生，旨在全面剖析当前SaaS安全领域的现状，揭示行业面临的挑战与机遇，为全球组织提供关键洞见与行动指南。 本报告由云安全联盟（CloudSecurityAlliance,CSA）的专业团队精心编制，汇集了全球范围内数百家组织的宝贵经验和实地调研数据。通过对SaaS安全事件、现有安全策略与方法、利益相关者角色、用户设备监控、投资趋势等方面的深度剖析，报告呈现了SaaS安全生态系统的全貌，为读者揭示以下关键发现： SaaS安全事件呈上升趋势过去两年中，55%的组织经历了至少一次SaaS安全事件，表明针对SaaS的攻击行为正日益加剧。这促使企业必须清醒认识到，传统针对本地部署环境的威胁，如勒索软件、恶意软件和数据泄露，同样可能在SaaS环境中造成严重影响。现有SaaS安全策略与方法的局限性超过半数（58%）的受访组织认为其当前的SaaS安全解决方案仅覆盖了应用程序的一半或更少。人工审计与云访问安全代理（CASB）等常用工具在应对SaaS安全事件时暴露出局限性，呼唤更为先进且全面的防护手段。SaaS应用程序利益相关者范围分散随着SaaS所有权在组织内部的分散，CISO和安全管理者的角色转变为协调者，凸显了跨部门协作在确保SaaS全栈安全中的核心地位。SaaS安全投资显著增长大量组织显著增加了对SaaS应用程序及其安全工具的投资，其中SaaS安全态势管理（SSPM）解决方案的采用率在一年内由17%激增至44%，显示了企业对强化SaaS安全的迫切需求与坚定决心。对SaaS安全生态系统的全面关注企业愈发关注SaaS生态系统中的广泛问题，包括错误配置、跨SaaS访问、设备到SaaS的风险管理、身份与访问治理以及身份威胁检测与响应（ITDR），并致力于制定强有力的策略、流程和能力以应对这些领域的安全挑战。 《年度SaaS安全调查报告》以严谨的调研数据为基础，描绘出一幅生动而详实的SaaS安全画卷，为全球企业提供了应对SaaS安全挑战的实用洞察与决策依据。面对瞬息万变的网络安全环境， 企业应紧跟报告揭示的行业趋势，审视自身SaaS安全状况，适时调整策略与投资，以确保在数字化时代下，SaaS成为驱动业务增长的稳健基石，而非潜在的风险源头 李雨航YaleLiCSA大中华区主席兼研究院院长 目录 致谢4 序言6 关键发现9 调查的开展与方法论10 数据&探讨11 SaaS安全事件呈上升趋势11 当前的SaaS安全策略和方法还远远不够12 保护SaaS应用程序的利益相关者范围分散14 组织如何为其整个SaaS安全生态系统确定策略和流程的优先级15 对SaaS和SaaS安全的投资正在急剧增加18 人口统计22 附录A：调查结果25 关键发现 1SaaS安全事件呈上升趋势 过去两年，55%的组织报告称经历过一次安全事件，另有12%的组织表示不确定。调查结果强调，组织正在逐渐意识到一个严峻的现实，即勒索软件、恶意软件和数据泄露等针对本地部署类型的攻击也可能发生在SaaS云环境中。 2当前的SaaS安全策略和方法还远远不够 调查发现，超过一半（58%）的组织认为，他们目前的SaaS安全解决方案只覆盖了SaaS应用程序的50%或更少。而且他们越来越明显的感觉到，人工审计和CASB不足以保护组织免受SaaS安全事件的影响。 3保护SaaS应用程序的利益相关者范围分散 随着SaaS应用程序的所有权分散到组织的各个不同部门，CISO和安全管理者正在从控制者转变为管理者。协调、沟通和协作是确保组织SaaS全栈安全的关键。 4组织如何为其整个SaaS安全生态系统确定策略和流程的优先级 SaaS安全持续适应SaaS生态系统中不断扩大的广泛问题，包括SaaS错误配置、SaaS与SaaS之间的访问、设备到SaaS的风险管理、身份和访问治理以及身份威胁检测与响应（ITDR）。组织正在制定强有力的策略、流程和能力，这对保护这些不同领域的安全性至关重要。 5对SaaS和SaaS安全的投资正在急剧增加 66%的组织增加了对应用程序的投资，其中71%的组织增加了对SaaS安全工具的投资。调查显示，SaaS安全态势管理(SSPM)解决方案的采用率大幅增长，从2022年的17%增长到2023年的44%。这可以归因于SSPM提供了其他方法和策略无法覆盖的领域，通过在整个SaaS安全生态系统中提供更全面的保护以应对各种安全风险。 调查的开展与方法论 云安全联盟(CSA)是一家非营利组织，其使命是广泛推动云计算和IT技术领域的最佳实践，确保网络安全。同时，CSA也就计算机相关的所有安全关注点对行业内各利益相关方展开教育。CSA会员是由业内人士、企业和专业协会组成的广泛联盟。CSA的主要目标之一是开展评估信息安全趋势的调查工作。这些调查提供组织当前在信息安全与技术领域的成熟度、观点、兴趣和行动等相关信息。 AdaptiveShield委托CSA开展调查并编写相关报告，以便更好地了解行业关于SaaS应用程序使用、SaaS安全策略和流程、SaaS威胁以及SaaS安全战略/解决方案等方面的知识、态度和意见。AdaptiveShield资助了此项目，并与CSA研究分析师联合设计了调查问卷。本次调查由CSA于2023年3月以在线方式开展，共收到1130份来自不同规模和地区组织的IT和安全专家的答卷。CSA的研究团队对本报告进行了数据分析和解读。 研究目标 当前SaaS应用程序在 组织有关SaaS应用程 对SaaS威胁的认识和 当前和未来使用的安 组织中的使用情况 序的安全策略和流程 经验 全解决方案 本次调查的主要目的是为了更深入地了解组织中SaaS安全的几个关键方面。 数据&探讨 在当今的数字环境中，SaaS安全性对各种规模的组织都至关重要。随着企业越来越多地将其操作和数据转移至云端，或者更具体地说是SaaS应用程序，这些应用程序的安全性变得尤为重要。虽然SaaS应用程序在设计上是安全的，但它们的配置和管理方式会带来风险。如果缺乏适当的安全措施，组织将会面临数据泄露、网络攻击和其他可能导致重大财务和声誉损失的安全事件。因此，了解SaaS安全性对于组织保护自身免受这些风险至关重要。 正是在这样的背景下，云安全联盟（CSA）发布了《年度SaaS安全调查报告》，深入探讨了SaaS 安全的复杂性，并提供了去年报告的后续内容。以下是今年的调查结果和见解。 关键发现#1 SaaS安全事件呈上升趋势 调查显示，SaaS生态系统内的安全事件显著增加，55%的组织报告说他们在过去两年内经历过安全事件，比去年增加了12%。大约三分之一(32%)的受访者表示，他们在同一时期内没有遭遇过SaaS安全事件，而12%的受访者表示不确定。 调查结果强调，许多公司开始认识到一个严峻的现实，即常见的针对本地部署类型的攻击，如勒索软件、恶意软件和数据泄露，也可能发生在他们的SaaS云环境中。 报告中最常见的SaaS安全事件包括数据外泄(58%)、恶意应用(47%)、数据泄露(41%)和SaaS勒索软件(40%)，这凸显了对强大安全措施的需求日益增长，以及对SaaS领域不断扩大的潜在风险的认识不断提高。 关键发现#2 当前的SaaS安全策略和方法还远远不够 对SaaS应用程序的监控不足 调查结果表明，大量组织在实施有效的SaaS安全措施方面存在不足，这是SaaS安全事件显著增加的一个关键原因。许多公司使用的安全解决方案并未涵盖整个SaaS堆栈，这使得他们的应用程序和数据暴露在网络威胁之下。具体来说，调查发现，超过一半(58%)的组织估计他们当前的SaaS安全解决方案仅覆盖了SaaS应用程序的50%或更少。 这些发现凸显了公司迫切需要重新评估它们的安全解决方案，并确保这些解决方案能为其整个SaaS生态系统提供全面的覆盖。这样，组织才可以显著降低他们各类安全事件的风险，包括数据泄露，勒索软件攻击，以及其他类型的网络攻击。最后将有助于维护他们的声誉和维系客户的信任。 CASBs和人工审计达不到SaaS安全的要求 许多组织依赖云访问安全代理（CASB）和人工审计来保护其SaaS应用程序。然而，这些方法在一些关键领域是不够的。此外，人工审计会将公司数据暴露给审计师，使组织在这些审计期间面临发生安全事件的风险。 这些发现表明，组织需要重新评估他们的安全策略并在更具综合性的解决方案和策略方面进行投入，以便为其SaaS生态系统提供全面的覆盖来降低安全事件的风险。这也是导致SaaS安全态势管理（SSPM）工具使用增加的原因。 关键发现#3 保护SaaS应用程序的利益相关者范围分散 除了对工具、安全和员工的现金投资外，组织还让越来越多的利益相关者参与到保护业务关键应用程序的过程中。一个典型的组织，都有广泛的SaaS应用，从文件共享和协作应用程序到CRM，项目和工作管理应用，市场营销自动化应用，等等。SaaS应用程序承载了各种利益角色，但这种利益相关者的分散使威胁形势变得复杂。 现在，CISO（首席信息安全官）和安全经理正在从SaaS应用程序的控制者转向管理者。调查显示，从事安全治理的人员中有不少人担任行政职位或部门主管，这表明企业正在认真对待SaaS安全。关键决策者的参与表明人们越来越认识到SaaS安全在保护有价值的资产和确保运营连续性方面发挥的关键作用。 然而，参与的人越多，确定谁最终负责SaaS安全可能变得越难。SaaS应用程序通常需要安全团队和应用程序所有者之间的密切协作，因为安全团队通常并不能够直接访问SaaS应用程序。这就需要能够弥合差距并积极吸引应用程序所有者的流程和工具，他们对于有效的SaaS安全管理至关重要。 在安全团队和应用程序所有者之间的沟通和协调中，通过搭建一套协作环境和实施解决方案或策 略，组织可以形成一个更为健壮和更加精简的方法来保护他们的关键业务应用程序。相应的，这也有助