2023年4月27日20:02:51评论27 views字数 938阅读3分7秒阅读模式

尽管SaaS应用已经有十几年的历史，但是企业的CISO们发现网络安全解决方案并未减轻多年来积累的安全债，SaaS面临的最大的威胁依然来自Web和浏览器。

SaaS的“Web盲区”

网络钓鱼和帐户接管攻击的泛滥引起了安全人士的极大关注，因为大多数企业在过去一年中都遭遇过此类攻击。然而，传统的基于网络的解决方案（如防火墙、代理和CASB）已被证明不足以为SaaS环境提供必要的保护。

LayerX近日发起一项全球调查，发现SaaS面临的重大安全威胁主要为以下几类：现有安全解决方案功能的关键差距、企业未将浏览器识别为突出的独立攻击面的安全架构，以及对基于Web传播的威胁的防御能力差距。

跨多个地区和垂直行业的150名CISO接受了调查，调查覆盖的安全实践包括企业如何保护浏览器的用户、数据和应用程序：企业的安全SaaS访问、SaaS安全和数据保护、BYOD、网络钓鱼防护和浏览器安全状况。

调查的主要结论

向云端迁移的企业容易遭受来自Web的攻击。在过去12个月中，87%的全SaaS用户，以及79%的混合SaaS用户都遭受了来自Web的安全威胁。

帐户接管是CISO首要关注的问题。48%的受访者将凭据网络钓鱼列为风险最高的浏览器威胁。其次是恶意浏览器扩展（37%）、恶意软件下载（9%）和浏览器漏洞（6%）。
未经批准的应用和影子身份依然是难以消除的安全漏洞。95%的受访企业对未经批准的应用的安全控制覆盖仅有不到50%。
大多数企业至少采用两种安全措施来对抗网络钓鱼攻击。79%的受访企业使用至少两种网络安全工具来防御网络钓鱼攻击，例如防火墙和SWG。
全SaaS和混合SaaS用户都选择使用网络安全方案来阻止网络钓鱼，但意识到这不是一种有效的策略。80%的方案的覆盖率为50%或更低。

最后，很多受访企业认为浏览器安全控制不够有效，超过一半的受访者认为它们“在某种程度上”有效。这促使越来越多的企业开始投资浏览器安全解决方案，其中大多数用户倾向与商业浏览器一起部署的浏览器安全解决方案。

原文来源：GoUpSec

“投稿联系方式：孙中豪 010-82992251 [email protected]”

SaaS的最大威胁来自浏览器

原文始发于微信公众号（CNCERT国家工程研究中心）：SaaS的最大威胁来自浏览器

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。