CSA| 2022 SaaS安全调查报告:五大关键发现

admin 2022年10月29日18:49:53评论28 views字数 2372阅读7分54秒阅读模式
CSA| 2022 SaaS安全调查报告:五大关键发现

本公众号由CSA大中华区官方新注册,

尚未关注的朋友,诚邀关注,共享独家资讯。


国际云安全联盟CSA就SaaS安全相关的问题开展调查,并发布了《2022 SaaS安全调查报告》(以下简称《报告》)。报告从收集到的340份来自不同规模和地区组织的IT/安全专家的答卷中,筛选出了5大关键的安全问题,并对其产生的原因进行分析,并提供组织提升SaaS安全的关键方法。


值得关注的是在本次调查过程中,云平台上流窜的病毒、木马、网络攻击已不再是最主要的安全风险。错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必须慎重对待的关键问题。

CSA| 2022 SaaS安全调查报告:五大关键发现

关注公众号,

回复关键词“SaaS”,下载本报告


五大关键发现


1、SaaS 错误配置导致安全事件


自2019年起,错误配置就已经成为组织关注的重点,至少有43%的组织由于SaaS错误配置导致了一个或多个安全事件

因此,组织需要采取自动化和持续扫描措施,不仅针对IaaS的错误配置,还应包括SaaS的错误配置,以防止安全事件发生。自动化措施能使组织实时修复该问题,从而避免留下隐患。


2、导致SaaS错误配置的主要原因是缺少可见性以及具有访问权限的部门太多


虽然导致SaaS错误配置的因素有很多,但调查发现主要原因来自两个方面:授权太多部门访问SaaS安全设置(35%),以及缺乏对SaaS安全设置变化的可见性(34 %)。这是两个相关的问题,缺乏可见性的主要原因之一就是太多的部门可以访问安全设置,而这些部门中的许多都没有接受过适当的培训,也并未专注于安全性。


3、对业务关键型SaaS应用的投入超过SaaS安全工具和人员


过去一年,81%的组织对业务关键型SaaS应用增加了投入,但是相比之下,较少组织表示他们为了SaaS安全,在安全工具(73%)和人员(55%)方面会增加投入。这一变化意味着,现有安全团队负担了更多SaaS安全监控的责任。在另一个关键发现中可以看到,安全团队采用自动化技术监控SaaS安全,能帮助减轻压力,但是只有26%的组织使用该项技术。


4、人工检测和修复SaaS错误配置的方式使企业暴露于风险之中 


近半数(46%)企业对SaaS安全配置的检查频率为每月一次或更低,5%的企业甚至完全不检查。这个数据意味着不安全的配置在一个月乃至更长的时间内放任不管,即使企业发现存在不安全配置的情况,还需要额外的时间修复,约1/4的企业需要一周或更长的时间手动修复错误配置,在此期间企业将处于风险之中。

为了避免由于SaaS错误配置导致的安全事件的发生,企业必须探索自动化的方式或其他类似的工具缩短检测和修复错误配置的时长。


5、SSPM的应用有助于缩短SaaS错误配置检测及修复时长


使用 SaaS安全配置检测工具可有效缩短检测和修复 SaaS 错误配置的时间。使用SSPM的组织可以更快地检测和修复其SaaS错误配置,78%的组织每周或更频繁地检查其SaaS安全配置,而那些不使用SSPM的组织只有45%能够至少每周检查一次。


SaaS安全的错误配置


1、与SaaS安全错误配置相关最值得关注的领域


组织最担心的与SaaS安全错误配置相关的领域是数据防泄漏(55%),访问控制、密码管理和多因素认证(54%)。这些问题相互关联,组织希望避免未授权访问和泄漏公司的重要数据。

CSA| 2022 SaaS安全调查报告:五大关键发现


2、SaaS错误配置的两个主要原因


· 有太多业务部门可以访问SaaS的安全设置(35%);

· 配置变更时缺乏可见性(34%)。


3、修复SaaS安全配置错误的时间


对于大多数组织来说,修复错误配置大约需要一天(28%)或一周(22%),23%的组织需要一个月或更长时间。然而,对于SSPM用户来说,时间缩短了。近3/4使用SSPM的组织可以在一天内解决错误配置。


提升SaaS安全的关键方法


· 为安全团队提供对SaaS应用程序安全设置可见性的能力,包括第三方应用程序访问和用户权限的配置情况。这种可视性允许多个部门保持其访问权限,而不会导致不适当的变更,从而使组织免受攻击。


· 利用自动化工具监控和修复SaaS安全错误配置,如SSPM。自动化使安全团队能够近实时地解决这些问题,减少组织易受攻击的时间,或防止发生安全事件。


CAST云应用安全可信认证


CSA始终致力于云安全及数字安全领域的标准制定和实践引领。


基于SaaS发展的迅猛势头及其面临的安全挑战,CSA大中华区联合业界近30家安全厂商、云厂商及研究机构共同起草并于2022年3月9日正式发布了CSA标准《云应用安全技术规范》,标准主要聚焦SaaS应用(也适用PaaS和IaaS的应用程序部分),包括云应用安全架构及8个控制域共219个控制项,为云应用厂商构建安全的SaaS产品和服务提供了参考和指导,也为云客户选择安全的SaaS产品和服务提供建议和指南。


同时CSA大中华区与公安三所联合发布基于《云应用安全技术规范》的CAST云应用安全可信认证,帮助SaaS厂商提升产品的安全合规能力,同时也可以节省SaaS客户选型时双方的安全评估成本,快速向云客户证明产品的安全性。


  //  

致谢

《2022 SaaS安全调查报告》(2022 SaaS Security Survey Report)由CSA工作组专家编写,CSA大中华区秘书处组织翻译并审校。


中文版翻译专家组(排名不分先后):

组  长:郭鹏程

翻译组:侯俊   朱梦婷   薛琨   王永霞

审校组:郭鹏程   姚凯

研究协调员:江瞿天

感谢以下单位的支持与贡献:

北森  魔方安全  网宿科技  腾讯云


作者

王永霞

CSA大中华区专家


推荐阅读

云应用安全可信认证CAST| 测评九问九答&宣贯会将于4月20日召开

CSA| 2022 SaaS安全调查报告:五大关键发现

CSA:面向云客户的SaaS治理最佳实践

CSA| 2022 SaaS安全调查报告:五大关键发现

CSA研讨会|从标准规范到云客户最佳实践探讨SaaS安全

CSA| 2022 SaaS安全调查报告:五大关键发现


CSA| 2022 SaaS安全调查报告:五大关键发现

原文始发于微信公众号(云安全联盟CSA):CSA| 2022 SaaS安全调查报告:五大关键发现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月29日18:49:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CSA| 2022 SaaS安全调查报告:五大关键发现https://cn-sec.com/archives/1359450.html

发表评论

匿名网友 填写信息