参与此次调研的的机构大多数 (71%)位于美洲,另有 17% 来自亚洲,13% 来自欧洲、中东和非洲。在这些参与者中,49% 有影响决策权,39% 有自行决策权。参与调研的机构来自不同行业,例如电信 (25%)、金融 (22%) 和政府 (9%)。
基于调查数据,报告总结的 SaaS 安全风险主要是:
1:SaaS 错误配置导致安全事件
该报告指出,自 2019 年以来,SaaS 错误配置已成为组织最关心的问题,至少有 43% 的组织报告他们已经处理过由 SaaS 错误配置引起的一个或多个安全事件。然而,由于许多其他组织表示他们不知道他们是否经历过安全事件,因此与 SaaS 配置错误相关的事件的数量可能高达 63%。与 IaaS 错误配置导致的 17% 的安全事件相比,这些数字令人震惊。
2:过多的访问部门和缺乏可见性是 SaaS 配置错误的主要原因
SaaS 配置错误的原因究竟是什么?虽然有几个因素需要考虑,但调查受访者将其缩小为两个主要原因——拥有太多部门可以访问 SaaS 安全设置 (35%),以及缺乏对 SaaS 安全设置变化的可见性 (34 %)。这是两个相关的问题,考虑到在采用 SaaS 应用程序时缺乏可见性是最受关注的问题,并且平均组织有多个部门可以访问安全设置,这两个问题都不令人惊讶。
报告总结认为,缺乏可见性的主要原因之一是太多的部门可以访问安全设置,而这些部门中的许多部门没有接受过适当的培训,也没有关注安全性。
3:业务关键型 SaaS 投入加大,但缺乏 SaaS 安全工具和人员投入
众所周知,企业正在采用更多的应用程序——仅在过去一年,就有 81% 的受访者表示他们增加了对业务关键型 SaaS 应用程序的投入。另一方面,为 SaaS 安全而对安全工具 (73%) 和员工 (55%) 的投入较低。这种不协调代表了现有安全团队监控 SaaS 安全性的负担越来越大。
4:手动检测和修复 SaaS 错误配置使组织暴露在外
46% 手动监控其 SaaS 安全性的组织每月只进行一次或更少的检查,而 5% 根本不进行检查。发现错误配置后,安全团队需要额外的时间来解决它。大约四分之一的组织在手动修复时需要一周或更长时间来解决错误配置。这个漫长的时间使组织容易受到攻击。
5:使用 SSPM 缩短了检测和修复 SaaS 错误配置的时间
已经实施 SSPM(SaaS安全态势管理)的组织可以更快、更准确地检测和修复他们的 SaaS 错误配置。这些组织中的大多数 (78%) 使用 SSPM 每周或更多次检查其 SaaS 安全配置。在解决错误配置方面,81% 的使用 SSPM 的组织能够在一天到一周内解决它。
6:第三方应用程序访问是最受关注的问题
第三方应用程序,也称为无代码或低代码平台,可以提高生产力,实现混合工作,并且对于构建和扩展公司的工作流程至关重要。但是,许多用户在不考虑这些应用程序请求什么权限的情况下快速连接三方应用程序。一旦被接受,授予这些第三方应用程序的权限和后续访问可能是无害的,或者与可执行文件一样恶意。
如果没有对 SaaS 到 SaaS 供应链的可见性,员工将连接到其组织的关键业务应用程序,安全团队对许多潜在威胁将视而不见。随着组织继续采用 SaaS 应用程序,他们最关心的问题之一是缺乏可见性,尤其是第三方应用程序访问核心 SaaS 堆栈的可见性 (56%)。