2024年度SaaS安全调查报告.docx

目录

关键发现 9

调查的开展与方法论 10

数据探讨 11

SaaS安全事件呈上升趋势 11

当前的SaaS安全策略和方法还远远不够 12

保护SaaS应用程序的利益相关者范围分散 14

组织如何为其整个SaaS安全生态系统确定策略和流程的优先级 15

对SaaS和SaaS安全的投资正在急剧增加 18

人口统计 22

附录A：调查结果 25

1

1

SaaS安全事件呈上升趋势

关键发现过去两年，55%的组织报告称经历过一次安全事件，另有12%的组织表示不确定。调查结果强调，组织正在逐渐意识到一个严峻的现实，即勒索软件、恶意软件和数据泄露等针对本地部署类型的攻击也可能发生在SaaS云环境中。

关键发现

2当前的SaaS安全策略和方法还远远不够

2

调查发现，超过一半（58%）的组织认为，他们目前的SaaS安全解决方案只覆盖了SaaS应用程序的50%或更少。而且他们越来越明显的感觉到，人工审计和CASB不足以保护组织免受SaaS安全事件的影响。

3保护SaaS应用程序的利益相关者范围分散

3

随着SaaS应用程序的所有权分散到组织的各个不同部门，CISO和安全管理者正在从控制者转变为管理者。协调、沟通和协作是确保组织SaaS全栈安全的关键。

4组织如何为其整个SaaS安全生态系统确定策略和流程的优先级

4

SaaS安全持续适应SaaS生态系统中不断扩大的广泛问题，包括SaaS错误配置、SaaS与SaaS之间的访问、设备到SaaS的风险管理、身份和访问治理以及身份威胁检测与响应（ITDR）。组织正在制定强有力的策略、流程和能力，这对保护这些不同领域的安全性至关重要。

5对SaaS和SaaS安全的投资正在急剧增加

5

66%的组织增加了对应用程序的投资，其中71%的组织增加了对SaaS安全工具的投资。调查显示，SaaS安全态势管理(SSPM)解决方案的采用率大幅增长，从2022年的17%增长到2023年的44%。这可以归因于SSPM提供了其他方法和策略无法覆盖的领域，通过在整个SaaS安全生态系统中提供更全面的保护以应对各种安全风险。

调查的开展与方法论

云安全联盟(CSA)是一家非营利组织，其使命是广泛推动云计算和IT技术领域的最佳实践，确保网络安全。同时，CSA也就计算机相关的所有安全关注点对行业内各利益相关方展开教育。CSA会员是由业内人士、企业和专业协会组成的广泛联盟。CSA的主要目标之一是开展评估信息安全趋势的调查工作。这些调查提供组织当前在信息安全与技术领域的成熟度、观点、兴趣和行动等相关信息。

AdaptiveShield委托CSA开展调查并编写相关报告，以便更好地了解行业关于SaaS应用程序使用、SaaS安全策略和流程、SaaS威胁以及SaaS安全战略/解决方案等方面的知识、态度和意见。AdaptiveShield资助了此项目，并与CSA研究分析师联合设计了调查问卷。本次调查由CSA于2023年3月以在线方式开展，共收到1130份来自不同规模和地区组织的IT和安全专家的答卷。CSA的研究团队对本报告进行了数据分析和解读。

研究目标

本次调查的主要目的是为了更深入地了解组织中SaaS安全的几个关键方面。

当前和未来使用的安全解决方案

当前和未来使用的安全解决方案

对SaaS威胁的认识和经验

组织有关SaaS应用程序的安全策略和流程

当前SaaS应用程序在组织中的使用情况

数据探讨

在当今的数字环境中，SaaS安全性对各种规模的组织都至关重要。随着企业越来越多地将其操作和数据转移至云端，或者更具体地说是SaaS应用程序，这些应用程序的安全性变得尤为重要。虽然SaaS应用程序在设计上是安全的，但它们的配置和管理方式会带来风险。如果缺乏适当的安全措施，组织将会面临数据泄露、网络攻击和其他可能导致重大财务和声誉损失的安全事件。因此，了解SaaS安全性对于组织保护自身免受这些风险至关重要。

正是在这样的背景下，云安全联盟（CSA）发布了《年度SaaS安全调查报告》，深入探讨了SaaS

安全的复杂性，并提供了去年报告的后续内容。以下是今年的调查结果和见解。

关键发现#1

SaaS安全事件呈上升趋势

调查显示，SaaS生态系统内的安全事件显著增加，55%的组织报告说他们在过去两年内经历过安全事件，比去年增加了12%。大约三分之一(32%)的受访者表示，他们在同一时期内没有遭遇过SaaS安全事件，而12%的受访者表示不确定。

调查结果强调，许多公司开始认识到一个严峻的现实，即常见的