2022 云安全联盟大中华区版权所有 1 @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)， 您 可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人 信息获取，不可用作商业用途；(b) 本文内容不得篡改; (c)不得对本文进行转发散布; (d)不得删除文中商标、版 权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟。 2022 云安全联盟大中华区版权所有 2 序言 从Salesforce 1999年发布CRM SaaS 服务成为SaaS的开拓者，到2022年全球企业服务 SaaS市场规模将超1700亿美元（据Statista预测），SaaS成了真正的“软件终结者”。国内 SaaS虽然起步较晚但也已经在2019年进入了旺盛期，CRM、ERP、HCM、OA、财务、客 服、电子签等垂直领域的SaaS蓬勃发展。而且几乎所有传统的管理软件企业都开始了新一 轮的转型尝试。新冠疫情爆发以来，很多企业不得不选择远程办公和使用线上SaaS应用， 疫情成了SaaS发展的又一个助推剂。 SaaS快速发展的同时也面临不少安全问题，这些问题已经成为很多组织关注的焦点。 CSA继发布CAST云应用安全可信标准与认证之后，就SaaS安全相关的问题开展调查并发布 了《2022 SaaS安全调查报告》（以下简称《报告》）。调查从收集到的340份来自不同规 模组织和地区的IT/安全专家的答卷中深入挖掘，筛选出了5大关键的安全问题，并对其产 生的原因进行了研究与分析，通过一系列数据说明了这几大问题的普遍性与严重性。值得 关注的是在本次调查过程中，云平台上流窜的病毒、木马、网络攻击已不再是最主要的安 全风险，错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必 须慎重对待的关键问题。 作为企业的 IT管理人员，尤其是信息安全管理人员，应该清楚地知道：没有安全事故 不等于足够的安全。那如何保证企业在日益复杂的网络环境下的数字安全，保证云上业务 的安全？这些问题在《报告》中也给出了相对应的解决思路。除此之外，《报告》中的一 些对比数据或许可以为企业解决SaaS安全问题提供借鉴，给企业的使用SaaS带来一些启 示。对于很多企业来说，安全地使用SaaS是一个很有挑战的过程，需要加强企业内部的控 制策略，并通过统一的安全保障措施和策略对SaaS应用进行识别和管控。同时推荐使用 SSPM管理，为安全团队提供SaaS应用程序安全设置可见性的能力，也可以利用自动化工具 监控和修复SaaS安全错误配置。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 2022 云安全联盟大中华区版权所有 3 致谢 《2022 SaaS 安全调查报告》 （2022 SaaS Security Survey Report）由 CSA 工作组专家编 写，CSA 大中华区秘书处组织翻译并审校。 中文版翻译专家组（排名不分先后）： 组 长：郭鹏程 翻译组：侯 俊 朱梦婷 薛 琨 王永霞 审校组：郭鹏程、姚凯 研究协调员：江瞿天 感谢以下单位对本文档的支持与贡献： 北京北森云计算股份有限公司 深圳市魔方安全科技有限公司 网宿科技股份有限公司 腾讯云计算（北京）有限责任公司 英文版本编写专家 主要作者：Hillary Baron Josh Buker Sean Heide Alex Kaluza Shamun Mahmud John Yeoh 设计师：Claire Lehnert Stephen Lumpe 特别鸣谢：Eliana Vuijsje Caroline Rosenberg at Adaptive Shield 在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱[email protected]；国际云安全联盟CSA公众号。 2022 云安全联盟大中华区版权所有 4 目录 序言 .................................................................................................................................................. 3 致谢 .................................................................................................................................................. 4 调研的开展与方法论 ...................................................................................................................... 6 概要 .................................................................................................................................................. 7 关键发现 1 ................................................................................................................................... 7 关键发现 2 ................................................................................................................................... 7 关键发现 3 ................................................................................................................................... 8 关键发现 4 ................................................................................................................................... 9 关键发现 5 ................................................................................................................................. 10 企业的 SaaS 应用程序使用量（预估） ...................................................................................... 11 Saas 安全评估 ................................................................................................................................13 SaaS 安全的错误配置 ................................................................................................................... 16 与 SaaS 安全错误配置相关最值得关注的领域 .......................................................................... 16 修复 SaaS 安全配置错误的时间.................................................................................................... 17 过去一年中由于 SaaS 安全错误配置导致的安全事件 ...............................................................17 SaaS 安全工具 ............................................................................................................................... 18 SSPM 的使用情况与计划 ..............................................................................................................18 结论 ................................................................................................................................................ 18 统计结果 ........................................................................................................................................ 19 2022 云安全联盟大中华区版权所有 5 调研的开展与方法论 云安全联盟（CSA）是一家非营利性组织，其使命是广泛推动云计算和IT技术领域的 最佳实践，确保网络安全。同时，CSA也就计算机技术相关的所有安全关注点对行业内各 利益相关方展开教育。CSA是由业内人士、企业和专业协会组成的广泛联盟。CSA的主要目 标之一是开展评估信息安全趋势的调查工作，这些调查提供的与企业组织在信息安全与技 术领域的成熟度、观点、兴趣和行动相关的信息。 Adaptive Shield（以色列Saa