信息來源:安全內(nèi)參
報告收集了來自340位CSA會員的匿名回復(fù)���,不僅分析了SaaS安全領(lǐng)域不斷上升的風(fēng)險���,還呈現(xiàn)了各個組織當(dāng)前如何保護(hù)自身的情況���。
統(tǒng)計數(shù)據(jù)
絕大多數(shù)受訪者(71%)位于美國,11%來自亞洲���,13%出自歐洲���、中東和非洲(EMEA)地區(qū)。參與本次調(diào)查訪問的人員中���,49%能夠影響決策過程���,39%直接負(fù)責(zé)決策���。調(diào)查涉及電信(25%)、金融(22%)和政府(9%)等多個行業(yè)���。
調(diào)查收集整理了很多有用的信息���,此處僅列舉最值得關(guān)注的七點。
1���、SaaS錯誤配置導(dǎo)致發(fā)生安全事件
自2019年起���,錯誤配置就成為了組織機(jī)構(gòu)最擔(dān)憂的事,至少43%的組織報告稱���,至少處理了一個或多個由SaaS錯誤配置引起的安全事件���。然而,由于很多其他組織聲稱并不清楚自身是否遭遇過安全事件���,SaaS錯誤配置相關(guān)事件占比可能高達(dá)63%���。相較于IaaS錯誤配置所致安全事件占比僅17%,SaaS安全事件的比例可謂非常驚人���。
經(jīng)歷SaaS錯誤配置所致安全事件的公司
2���、缺乏可見性和太多部門具有訪問權(quán)限成SaaS錯誤配置首要原因
于是,這些SaaS錯誤配置的確切原因到底是什么���?盡管可供參考的因素有很多���,調(diào)查受訪人員將之縮窄到了兩大主要原因:一是太多部門具有安全設(shè)置權(quán)限(35%),二是缺乏對SaaS安全設(shè)置修改情況的可見性(34%)���。這是兩個互相關(guān)聯(lián)的問題���。考慮到SaaS應(yīng)用程序采用的首要問題就是缺乏可見性���,且普通組織都存在多個部門能夠訪問安全設(shè)置的問題���,這兩個問題位列SaaS錯誤配置兩大首要原因毫不令人驚訝���。缺乏可見性的主要原因之一是太多部門擁有安全配置訪問權(quán)限,而且其中很多部門并未經(jīng)過適當(dāng)?shù)呐嘤?xùn)���,也不重視安全���。
SaaS錯誤配置主要原因
3、業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用程序方面的投資超過了SaaS安全工具與人員方面的投資
企業(yè)采用越來越多的應(yīng)用程序是個不爭的事實���,僅去年一年���,就有81%的受訪者表示增加了在業(yè)務(wù)關(guān)鍵型應(yīng)用程序方面的投資。另一方面���,在SaaS安全工具(73%)和安全人員(55%)方面的投資則沒那么多���。這種不協(xié)調(diào)代表著現(xiàn)有安全團(tuán)隊的SaaS安全監(jiān)測負(fù)擔(dān)越來越重。
企業(yè)對SaaS應(yīng)用���、安全工具和人員的投入
4���、人工檢測和緩解SaaS錯誤配置令組織持續(xù)暴露
人工監(jiān)測其SaaS安全的組織中���,46%每個月或更長時間才執(zhí)行一次檢查���,5%甚至根本不執(zhí)行檢查���。發(fā)現(xiàn)錯誤配置后,安全團(tuán)隊還需要額外的時間進(jìn)行處理���。如果人工緩解���,四分之一的組織需要一周或更長時間才能修復(fù)錯誤配置。過長的修復(fù)耗時令組織面臨遭攻擊風(fēng)險���。
企業(yè)人工檢查自身SaaS錯誤配置的頻率
企業(yè)人工修復(fù)SaaS錯誤配置所耗時長
5���、采用SaaS安全配置管理(SSPM)縮短檢測和修復(fù)SaaS錯誤配置的時間
上面第4條的另一面是,實現(xiàn)SSPM的組織能夠更快速���、更準(zhǔn)確地檢測和修復(fù)自身SaaS錯誤配置���。大部分這類組織(78%)利用SSPM檢查其SaaS安全配置的頻次為每周至少一次���。在修復(fù)錯誤配置方面,使用SSPM的組織81%都能夠在一天到一周時間內(nèi)解決���。
SaaS安全配置檢查頻率
SaaS錯誤配置修復(fù)時長
6���、第三方應(yīng)用程序權(quán)限引關(guān)注
第三方應(yīng)用程序也稱為無代碼或低代碼平臺,可以提高生產(chǎn)力���,實現(xiàn)混合工作���,推動公司工作流程的構(gòu)建和擴(kuò)展。然而���,很多用戶快速連接第三方應(yīng)用程序時���,并沒有考慮這些應(yīng)用程序要求了哪些權(quán)限。一旦接受���,授予這些第三方應(yīng)用程序的權(quán)限和后續(xù)訪問���,既可能是無害的���,也可能跟可執(zhí)行文件一樣惡意滿滿。如果缺乏SaaS到SaaS供應(yīng)鏈可見性���,員工就會連接到所在組織的業(yè)務(wù)關(guān)鍵型應(yīng)用程序���,安全團(tuán)隊也會對很多潛在威脅兩眼一抹黑���。隨著組織繼續(xù)推進(jìn)SaaS應(yīng)用程序采用步伐���,可見性缺乏問題也愈發(fā)凸顯,尤其是第三方應(yīng)用程序訪問核心SaaS棧的問題(56%)���。
企業(yè)采用SaaS應(yīng)用的首要顧慮
未雨綢繆���,實現(xiàn)SSPM
盡管SSPM兩年前才引入市場,但這一領(lǐng)域發(fā)展迅速���。在評估四種云安全解決方案時���,大多數(shù)人對SSPM給出了“有所了解”的評價���。此外,62%的受訪者表示自己已經(jīng)開始使用SSPM���,或計劃在未來24個月內(nèi)實現(xiàn)SSPM���。
目前在用或計劃采用SSPM的公司占比
結(jié)語
《2022年SaaS安全調(diào)查報告》呈現(xiàn)了組織如何使用和保護(hù)其SaaS應(yīng)用程序的狀況。毫無疑問���,隨著公司逐步采用更多的業(yè)務(wù)關(guān)鍵型SaaS應(yīng)用程序���,其所面臨的風(fēng)險也越來越大。為面對這一挑戰(zhàn)���,公司應(yīng)該開始通過以下兩個最佳實踐來保護(hù)自身:
-
首先是使安全團(tuán)隊能夠全面了解所有SaaS應(yīng)用程序安全設(shè)置���,包括第三方應(yīng)用程序訪問和用戶權(quán)限,這么做反過來還能令各部門維護(hù)好自身訪問權(quán)限���,免去不當(dāng)更改致使組織易遭攻擊的風(fēng)險���。
-
其次���,公司應(yīng)利用自動化工具(例如SSPM)持續(xù)監(jiān)測并快速修復(fù)SaaS安全錯誤配置。采用自動化工具���,安全團(tuán)隊能夠近乎實時地識別和修復(fù)問題���,從而減少組織暴露在風(fēng)險中的時長,或者防止問題發(fā)生���。
這兩方的改變能夠為安全團(tuán)隊提供支持,同時不會妨礙其他部門繼續(xù)自己的工作���。
