2022 云安全联盟大中华区版权所有 1 @2022云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn), 您 可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档:(a)本文只可作个人 信息获取,不可用作商业用途;(b) 本文内容不得篡改; (c)不得对本文进行转发散布; (d)不得删除文中商标、版 权声明或其他声明;(e)引用本报告内容时,请注明来源于云安全联盟。 2022 云安全联盟大中华区版权所有 2 序言 从Salesforce 1999年发布CRM SaaS 服务成为SaaS的开拓者,到2022年全球企业服务 SaaS市场规模将超1700亿美元(据Statista预测),SaaS成了真正的“软件终结者”。国内 SaaS虽然起步较晚但也已经在2019年进入了旺盛期,CRM、ERP、HCM、OA、财务、客 服、电子签等垂直领域的SaaS蓬勃发展。而且几乎所有传统的管理软件企业都开始了新一 轮的转型尝试。新冠疫情爆发以来,很多企业不得不选择远程办公和使用线上SaaS应用, 疫情成了SaaS发展的又一个助推剂。 SaaS快速发展的同时也面临不少安全问题,这些问题已经成为很多组织关注的焦点。 CSA继发布CAST云应用安全可信标准与认证之后,就SaaS安全相关的问题开展调查并发布 了《2022 SaaS安全调查报告》(以下简称《报告》)。调查从收集到的340份来自不同规 模组织和地区的IT/安全专家的答卷中深入挖掘,筛选出了5大关键的安全问题,并对其产 生的原因进行了研究与分析,通过一系列数据说明了这几大问题的普遍性与严重性。值得 关注的是在本次调查过程中,云平台上流窜的病毒、木马、网络攻击已不再是最主要的安 全风险,错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必 须慎重对待的关键问题。 作为企业的 IT管理人员,尤其是信息安全管理人员,应该清楚地知道:没有安全事故 不等于足够的安全。那如何保证企业在日益复杂的网络环境下的数字安全,保证云上业务 的安全?这些问题在《报告》中也给出了相对应的解决思路。除此之外,《报告》中的一 些对比数据或许可以为企业解决SaaS安全问题提供借鉴,给企业的使用SaaS带来一些启 示。对于很多企业来说,安全地使用SaaS是一个很有挑战的过程,需要加强企业内部的控 制策略,并通过统一的安全保障措施和策略对SaaS应用进行识别和管控。同时推荐使用 SSPM管理,为安全团队提供SaaS应用程序安全设置可见性的能力,也可以利用自动化工具 监控和修复SaaS安全错误配置。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 2022 云安全联盟大中华区版权所有 3 致谢 《2022 SaaS 安全调查报告》 (2022 SaaS Security Survey Report)由 CSA 工作组专家编 写,CSA 大中华区秘书处组织翻译并审校。 中文版翻译专家组(排名不分先后): 组 长:郭鹏程 翻译组:侯 俊 朱梦婷 薛 琨 王永霞 审校组:郭鹏程、姚凯 研究协调员:江瞿天 感谢以下单位对本文档的支持与贡献: 北京北森云计算股份有限公司 深圳市魔方安全科技有限公司 网宿科技股份有限公司 腾讯云计算(北京)有限责任公司 英文版本编写专家 主要作者:Hillary Baron Josh Buker Sean Heide Alex Kaluza Shamun Mahmud John Yeoh 设计师:Claire Lehnert Stephen Lumpe 特别鸣谢:Eliana Vuijsje Caroline Rosenberg at Adaptive Shield 在此感谢以上专家。如译文有不妥当之处,敬请读者联系CSA GCR秘书处给与雅正! 联系邮箱research@c-csa.cn;国际云安全联盟CSA公众号。 2022 云安全联盟大中华区版权所有 4 目录 序言 .................................................................................................................................................. 3 致谢 .................................................................................................................................................. 4 调研的开展与方法论 ...................................................................................................................... 6 概要 .................................................................................................................................................. 7 关键发现 1 ................................................................................................................................... 7 关键发现 2 ................................................................................................................................... 7 关键发现 3 ................................................................................................................................... 8 关键发现 4 ................................................................................................................................... 9 关键发现 5 ................................................................................................................................. 10 企业的 SaaS 应用程序使用量(预估) ...................................................................................... 11 Saas 安全评估 ................................................................................................................................13 SaaS 安全的错误配置 ................................................................................................................... 16 与 SaaS 安全错误配置相关最值得关注的领域 .......................................................................... 16 修复 SaaS 安全配置错误的时间.................................................................................................... 17 过去一年中由于 SaaS 安全错误配置导致的安全事件 ...............................................................17 SaaS 安全工具 ............................................................................................................................... 18 SSPM 的使用情况与计划 ..............................................................................................................18 结论 ................................................................................................................................................ 18 统计结果 ........................................................................................................................................ 19 2022 云安全联盟大中华区版权所有 5 调研的开展与方法论 云安全联盟(CSA)是一家非营利性组织,其使命是广泛推动云计算和IT技术领域的 最佳实践,确保网络安全。同时,CSA也就计算机技术相关的所有安全关注点对行业内各 利益相关方展开教育。CSA是由业内人士、企业和专业协会组成的广泛联盟。CSA的主要目 标之一是开展评估信息安全趋势的调查工作,这些调查提供的与企业组织在信息安全与技 术领域的成熟度、观点、兴趣和行动相关的信息。 Adaptive Shield(以色列Saa
CSA 2022 SaaS 安全调查报告
文档预览
中文文档
21 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共21页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-08-23 08:20:14上传分享