年度 SaaS 安全报告:2025 年 CISO 计划和优先事项

攻防
3月前

1720709050371534.jpg

根据云安全联盟(CSA)本月发布的最新调查数据显示,超过七成(70%)的企业已经设立了专门团队,用以加强其SaaS应用的安全保护。企业加大对SaaS安全的投入,这是网络安全领域在不断发展中呈现出的成熟态势之一。

尽管在2023年出现了经济动荡和大规模裁员,但各组织仍然大幅增加了对SaaS安全的投入。事实上,调查发现,企业在2023年增加了SaaS安全的人员配备,增长了56%,同时预算也增加了39%。

SaaS02.png图 1:从 2022 年到 2023 年,SaaS 安全投资如何转变

第四届年度SaaS安全调查,名为“2025年CISO计划与优先事项”,由CSA执行,由SaaS安全领导者Adaptive Shield委托进行。该项调查共收集了478名全球安全专业人士的观点,涵盖各个行业领域。此份调查报告分享了他们对SaaS安全的成功经验和面临的挑战的理解,以及首席信息安全官(CISO)在规划2025年优先任务时的看法。

SaaS 安全比以往任何时候都更加重要

调查显示,SaaS安全对使用SaaS应用程序来管理运营和存储关键数据的组织越来越重要。

“多年来,SaaS安全一直是事后才想到的。然而,今年的调查揭示了一个与众不同的画面,SaaS安全已成为企业首要考虑的问题,“CSA在报告中说。

调查发现,80%的组织将SaaS安全放在首位,其中41%的企业将其列为高优先级,39%的企业将其列为中等优先级。 

SaaS03.png
图 2:安全专业人员对其组织中 SaaS 安全的优先级进行评分

70%的组织已经建立了专门的SaaS安全团队

在年度调查中,首次发现了针对SaaS的安全角色的出现。超过70%的受访者确认,他们拥有专门的团队来负责SaaS应用程序的安全性。具体来说,57%的受访者指出他们的团队至少包括两名全职员工,而另外13%的受访者表示他们的团队由一个人专门负责保护SaaS应用程序。

专门的SaaS安全团队的构建在企业环境中具有重要意义。这是因为SaaS安全的职责范围广泛,跨越多个职能部门,而这些职责往往不是单个团队能够独立承担的。根据CSA的报告所述,这些团队需要在身份安全、风险管理以及端点保护和威胁检测等多个领域内开展工作。

SaaS 安全能力正在提高

调查结果显示,相较于前一年,许多机构在SaaS的安全防护能力上取得了显著提升。具体来看,有高达62%的受访机构表示他们对SaaS的安全措施已达到中等至高等级的成熟程度。

SaaS04.png
图 3:组织如何看待其 SaaS 安全成熟度

在SaaS安全功能的加持下,对整个SaaS堆栈的可视性正在增强。报告显示,现今有70%的组织对其SaaS应用程序具有中等程度(47%)或全面可视性(23%),而那些达到完全可视性的组织在过去一年中数量增加了一倍多。

这种增强的洞察对于有效的资源配置和用户管理是至关重要的。同时,它也在识别错误的公开共享数据资源,比如文档和存储库等方面发挥着关键作用。

针对多因素身份验证(MFA)攻击的检测能力也从一年前的47%提高到62%。在威胁检测方面,62%的受访者表示他们有能力检测异常用户行为,而一年前这一比例为44%。

组织在SaaS安全工作中仍面临挑战

尽管企业在SaaS安全性监管方面有所改进,但有高达73%的受访者表示,他们面临的最大的挑战是实现对关键业务应用的有效监控和可视化。

根据受访者的说法,最难保护的 10 个应用程序包括关键业务应用程序,例如 Microsoft 365、GitHub、Microsoft Teams、Jira、Salesforce 和 Google Workspace。 

SaaS05.png
图 4:从安全角度管理的 10 个最具挑战性的应用程序

其他挑战包括跟踪和监控来自第三方连接应用程序的安全风险(65%);查找和修复SaaS错误配置(65%);确保数据治理和隐私(63%);使SaaS应用程序设置与合规性标准保持一致(61%)。

SaaS06.png
图 5:安全专家对 SaaS 安全中面临的最大挑战进行评分

尽管面临挑战,SaaS安全投资正在获得回报

对安全投资情况的调查清楚地表明,组织正在认真对待SaaS安全。事实上,该调查发现了一个积极的趋势:25%的受访者在过去两年中经历过SaaS安全事件,而去年这一比例为53%。

报告显示,最常见的事件类型为数据泄露(52%)和未经授权的访问(44%),其次是不安全链接点击(26%)、恶意软件感染(18%)和拒绝服务攻击(16%)。

SaaS07.png
图 6:由于对 SaaS 安全性的投资,过去一年的违规数量有所下降

SSPM 用户能够更好地应对 SaaS 安全挑战

采用SaaS安全态势管理(SSPM)的公司在安全性方面表现得比使用其他工具,如云访问安全代理(CASB)和人工审计的公司更为出色。

采用SSPM的公司对其SaaS堆栈拥有更全面的可见性——这一比例是那些在其战略中仅使用其他工具和手动流程的组织(31%)的两倍以上。在这些组织中,有62%能够监督超过75%的SaaS环境。

使用SSPM的用户通常会发现SaaS的安全任务相对容易,而对于那些没有使用SSPM的用户来说,这些任务则显得相当艰巨。

该调查显示了SaaS安全战略的积极趋势。从建立团队到实施新的SaaS安全流程和工具,所有组织都在优先考虑SaaS安全方面的工作。SSPM的集成成为增强组织SaaS安全性的一个因素。该调查强调了在组织内重新审视和完善SaaS安全策略的重要性,以包括专门解决SaaS安全问题的工具。这可以帮助解决当前的困难并解决他们目前面临的安全漏洞,从而降低未来发生SaaS安全事件的可能性。

* 本文为陈发明编译,原文地址:https://thehackernews.com/2024/06/the-annual-saas-security-report-2025.html
图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。

— 【 THE END 】—