信息來源:安全內參
報告收集了來自340位CSA會員的匿名回復,不僅分析了SaaS安全領域不斷上升的風險,還呈現了各個組織當前如何保護自身的情況。
統計數據
絕大多數受訪者(71%)位于美國,11%來自亞洲,13%出自歐洲、中東和非洲(EMEA)地區。參與本次調查訪問的人員中,49%能夠影響決策過程,39%直接負責決策。調查涉及電信(25%)、金融(22%)和政府(9%)等多個行業。
調查收集整理了很多有用的信息,此處僅列舉最值得關注的七點。
1、SaaS錯誤配置導致發生安全事件
自2019年起,錯誤配置就成為了組織機構最擔憂的事,至少43%的組織報告稱,至少處理了一個或多個由SaaS錯誤配置引起的安全事件。然而,由于很多其他組織聲稱并不清楚自身是否遭遇過安全事件,SaaS錯誤配置相關事件占比可能高達63%。相較于IaaS錯誤配置所致安全事件占比僅17%,SaaS安全事件的比例可謂非常驚人。
經歷SaaS錯誤配置所致安全事件的公司
2、缺乏可見性和太多部門具有訪問權限成SaaS錯誤配置首要原因
于是,這些SaaS錯誤配置的確切原因到底是什么?盡管可供參考的因素有很多,調查受訪人員將之縮窄到了兩大主要原因:一是太多部門具有安全設置權限(35%),二是缺乏對SaaS安全設置修改情況的可見性(34%)。這是兩個互相關聯的問題??紤]到SaaS應用程序采用的首要問題就是缺乏可見性,且普通組織都存在多個部門能夠訪問安全設置的問題,這兩個問題位列SaaS錯誤配置兩大首要原因毫不令人驚訝。缺乏可見性的主要原因之一是太多部門擁有安全配置訪問權限,而且其中很多部門并未經過適當的培訓,也不重視安全。
SaaS錯誤配置主要原因
3、業務關鍵型SaaS應用程序方面的投資超過了SaaS安全工具與人員方面的投資
企業采用越來越多的應用程序是個不爭的事實,僅去年一年,就有81%的受訪者表示增加了在業務關鍵型應用程序方面的投資。另一方面,在SaaS安全工具(73%)和安全人員(55%)方面的投資則沒那么多。這種不協調代表著現有安全團隊的SaaS安全監測負擔越來越重。
企業對SaaS應用、安全工具和人員的投入
4、人工檢測和緩解SaaS錯誤配置令組織持續暴露
人工監測其SaaS安全的組織中,46%每個月或更長時間才執行一次檢查,5%甚至根本不執行檢查。發現錯誤配置后,安全團隊還需要額外的時間進行處理。如果人工緩解,四分之一的組織需要一周或更長時間才能修復錯誤配置。過長的修復耗時令組織面臨遭攻擊風險。
企業人工檢查自身SaaS錯誤配置的頻率
企業人工修復SaaS錯誤配置所耗時長
5、采用SaaS安全配置管理(SSPM)縮短檢測和修復SaaS錯誤配置的時間
上面第4條的另一面是,實現SSPM的組織能夠更快速、更準確地檢測和修復自身SaaS錯誤配置。大部分這類組織(78%)利用SSPM檢查其SaaS安全配置的頻次為每周至少一次。在修復錯誤配置方面,使用SSPM的組織81%都能夠在一天到一周時間內解決。
SaaS安全配置檢查頻率
SaaS錯誤配置修復時長
6、第三方應用程序權限引關注
第三方應用程序也稱為無代碼或低代碼平臺,可以提高生產力,實現混合工作,推動公司工作流程的構建和擴展。然而,很多用戶快速連接第三方應用程序時,并沒有考慮這些應用程序要求了哪些權限。一旦接受,授予這些第三方應用程序的權限和后續訪問,既可能是無害的,也可能跟可執行文件一樣惡意滿滿。如果缺乏SaaS到SaaS供應鏈可見性,員工就會連接到所在組織的業務關鍵型應用程序,安全團隊也會對很多潛在威脅兩眼一抹黑。隨著組織繼續推進SaaS應用程序采用步伐,可見性缺乏問題也愈發凸顯,尤其是第三方應用程序訪問核心SaaS棧的問題(56%)。
企業采用SaaS應用的首要顧慮
未雨綢繆,實現SSPM
盡管SSPM兩年前才引入市場,但這一領域發展迅速。在評估四種云安全解決方案時,大多數人對SSPM給出了“有所了解”的評價。此外,62%的受訪者表示自己已經開始使用SSPM,或計劃在未來24個月內實現SSPM。
目前在用或計劃采用SSPM的公司占比
結語
《2022年SaaS安全調查報告》呈現了組織如何使用和保護其SaaS應用程序的狀況。毫無疑問,隨著公司逐步采用更多的業務關鍵型SaaS應用程序,其所面臨的風險也越來越大。為面對這一挑戰,公司應該開始通過以下兩個最佳實踐來保護自身:
-
首先是使安全團隊能夠全面了解所有SaaS應用程序安全設置,包括第三方應用程序訪問和用戶權限,這么做反過來還能令各部門維護好自身訪問權限,免去不當更改致使組織易遭攻擊的風險。
-
其次,公司應利用自動化工具(例如SSPM)持續監測并快速修復SaaS安全錯誤配置。采用自動化工具,安全團隊能夠近乎實時地識別和修復問題,從而減少組織暴露在風險中的時長,或者防止問題發生。
這兩方的改變能夠為安全團隊提供支持,同時不會妨礙其他部門繼續自己的工作。