根据云安全联盟(CSA)本月发布的最新调查数据显示,超过七成(70%)的企业已经设立了专门团队,用以加强其SaaS应用的安全保护。企业加大对SaaS安全的投入,这是网络安全领域在不断发展中呈现出的成熟态势之一。
尽管在2023年出现了经济动荡和大规模裁员,但各组织仍然大幅增加了对SaaS安全的投入。事实上,调查发现,企业在2023年增加了SaaS安全的人员配备,增长了56%,同时预算也增加了39%。
图 1:从 2022 年到 2023 年,SaaS 安全投资如何转变
第四届年度SaaS安全调查,名为“2025年CISO计划与优先事项”,由CSA执行,由SaaS安全领导者Adaptive Shield委托进行。该项调查共收集了478名全球安全专业人士的观点,涵盖各个行业领域。此份调查报告分享了他们对SaaS安全的成功经验和面临的挑战的理解,以及首席信息安全官(CISO)在规划2025年优先任务时的看法。
关键发现
调查显示,SaaS安全对使用SaaS应用程序来管理运营和存储关键数据的组织越来越重要。
“多年来,SaaS安全一直是事后才想到的。然而,今年的调查揭示了一个与众不同的画面,SaaS安全已成为企业首要考虑的问题,“CSA在报告中说。
调查发现,80%的组织将SaaS安全放在首位,其中41%的企业将其列为高优先级,39%的企业将其列为中等优先级。
图 2:安全专业人员对其组织中 SaaS 安全的优先级进行评分
在年度调查中,首次发现了针对SaaS的安全角色的出现。超过70%的受访者确认,他们拥有专门的团队来负责SaaS应用程序的安全性。具体来说,57%的受访者指出他们的团队至少包括两名全职员工,而另外13%的受访者表示他们的团队由一个人专门负责保护SaaS应用程序。
专门的SaaS安全团队的构建在企业环境中具有重要意义。这是因为SaaS安全的职责范围广泛,跨越多个职能部门,而这些职责往往不是单个团队能够独立承担的。根据CSA的报告所述,这些团队需要在身份安全、风险管理以及端点保护和威胁检测等多个领域内开展工作。
调查结果显示,相较于前一年,许多机构在SaaS的安全防护能力上取得了显著提升。具体来看,有高达62%的受访机构表示他们对SaaS的安全措施已达到中等至高等级的成熟程度。
图 3:组织如何看待其 SaaS 安全成熟度
在SaaS安全功能的加持下,对整个SaaS堆栈的可视性正在增强。报告显示,现今有70%的组织对其SaaS应用程序具有中等程度(47%)或全面可视性(23%),而那些达到完全可视性的组织在过去一年中数量增加了一倍多。
这种增强的洞察对于有效的资源配置和用户管理是至关重要的。同时,它也在识别错误的公开共享数据资源,比如文档和存储库等方面发挥着关键作用。
针对多因素身份验证(MFA)攻击的检测能力也从一年前的47%提高到62%。在威胁检测方面,62%的受访者表示他们有能力检测异常用户行为,而一年前这一比例为44%。
尽管企业在SaaS安全性监管方面有所改进,但有高达73%的受访者表示,他们面临的最大的挑战是实现对关键业务应用的有效监控和可视化。
根据受访者的说法,最难保护的 10 个应用程序包括关键业务应用程序,例如 Microsoft 365、GitHub、Microsoft Teams、Jira、Salesforce 和 Google Workspace。
图 4:从安全角度管理的 10 个最具挑战性的应用程序
其他挑战包括跟踪和监控来自第三方连接应用程序的安全风险(65%);查找和修复SaaS错误配置(65%);确保数据治理和隐私(63%);使SaaS应用程序设置与合规性标准保持一致(61%)。
图 5:安全专家对 SaaS 安全中面临的最大挑战进行评分
对安全投资情况的调查清楚地表明,组织正在认真对待SaaS安全。事实上,该调查发现了一个积极的趋势:25%的受访者在过去两年中经历过SaaS安全事件,而去年这一比例为53%。
报告显示,最常见的事件类型为数据泄露(52%)和未经授权的访问(44%),其次是不安全链接点击(26%)、恶意软件感染(18%)和拒绝服务攻击(16%)。
图 6:由于对 SaaS 安全性的投资,过去一年的违规数量有所下降
采用SaaS安全态势管理(SSPM)的公司在安全性方面表现得比使用其他工具,如云访问安全代理(CASB)和人工审计的公司更为出色。
采用SSPM的公司对其SaaS堆栈拥有更全面的可见性——这一比例是那些在其战略中仅使用其他工具和手动流程的组织(31%)的两倍以上。在这些组织中,有62%能够监督超过75%的SaaS环境。
使用SSPM的用户通常会发现SaaS的安全任务相对容易,而对于那些没有使用SSPM的用户来说,这些任务则显得相当艰巨。
该调查显示了SaaS安全战略的积极趋势。从建立团队到实施新的SaaS安全流程和工具,所有组织都在优先考虑SaaS安全方面的工作。SSPM的集成成为增强组织SaaS安全性的一个因素。该调查强调了在组织内重新审视和完善SaaS安全策略的重要性,以包括专门解决SaaS安全问题的工具。这可以帮助解决当前的困难并解决他们目前面临的安全漏洞,从而降低未来发生SaaS安全事件的可能性。
* 本文为陈发明编译,原文地址:https://thehackernews.com/2024/06/the-annual-saas-security-report-2025.html
图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
🎉 大家期盼很久的#数字安全交流群来了!快来加入我们的粉丝群吧!
🎁 多种报告,产业趋势、技术趋势
这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您!
👉 扫码立即加入,精彩不容错过!
😄 嘻嘻,我们群里见!
更多推荐
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...