CSA GCR：2022SaaS安全调查报告（19页）.pdf

1、2022 云安全联盟大中华区版权所有12022 云安全联盟大中华区版权所有3序序言言从Salesforce 1999年发布CRM SaaS 服务成为SaaS的开拓者，到2022年全球企业服务SaaS市场规模将超1700亿美元（据Statista预测），SaaS成了真正的“软件终结者”。国内SaaS虽然起步较晚但也已经在2019年进入了旺盛期，CRM、ERP、HCM、OA、财务、客服、电子签等垂直领域的SaaS蓬勃发展。而且几乎所有传统的管理软件企业都开始了新一轮的转型尝试。新冠疫情爆发以来，很多企业不得不选择远程办公和使用线上SaaS应用，疫情成了SaaS发展的又一个助推剂。SaaS快速发展的

2、同时也面临不少安全问题，这些问题已经成为很多组织关注的焦点。CSA继发布CAST云应用安全可信标准与认证之后，就SaaS安全相关的问题开展调查并发布了2022 SaaS安全调查报告（以下简称报告）。调查从收集到的340份来自不同规模组织和地区的IT/安全专家的答卷中深入挖掘，筛选出了5大关键的安全问题，并对其产生的原因进行了研究与分析，通过一系列数据说明了这几大问题的普遍性与严重性。值得关注的是在本次调查过程中，云平台上流窜的病毒、木马、网络攻击已不再是最主要的安全风险，错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必须慎重对待的关键问题。作为企业的 IT管理人员，尤

3、其是信息安全管理人员，应该清楚地知道：没有安全事故不等于足够的安全。那如何保证企业在日益复杂的网络环境下的数字安全，保证云上业务的安全？这些问题在报告中也给出了相对应的解决思路。除此之外，报告中的一些对比数据或许可以为企业解决SaaS安全问题提供借鉴，给企业的使用SaaS带来一些启示。对于很多企业来说，安全地使用SaaS是一个很有挑战的过程，需要加强企业内部的控制策略，并通过统一的安全保障措施和策略对SaaS应用进行识别和管控。同时推荐使用SSPM管理，为安全团队提供SaaS应用程序安全设置可见性的能力，也可以利用自动化工具监控和修复SaaS安全错误配置。李雨航 Yale LiCSA 大中华区

4、主席兼研究院院长2022 云安全联盟大中华区版权所有5目目录录序言.3致谢.4调研的开展与方法论.6概要.7关键发现1.7关键发现2.7关键发现3.8关键发现 4.9关键发现 5.10企业的 SaaS 应用程序使用量（预估）.11Saas 安全评估.13SaaS 安全的错误配置.16与 SaaS 安全错误配置相关最值得关注的领域.16修复 SaaS 安全配置错误的时间.17过去一年中由于 SaaS 安全错误配置导致的安全事件.17SaaS 安全工具.18SSPM 的使用情况与计划.18结论.18统计结果.192022 云安全联盟大中华区版权所有6调调研研的的开开展展与与方方法法论论云安全联盟（

5、CSA）是一家非营利性组织，其使命是广泛推动云计算和IT技术领域的最佳实践，确保网络安全。同时，CSA也就计算机技术相关的所有安全关注点对行业内各利益相关方展开教育。CSA是由业内人士、企业和专业协会组成的广泛联盟。CSA的主要目标之一是开展评估信息安全趋势的调查工作，这些调查提供的与企业组织在信息安全与技术领域的成熟度、观点、兴趣和行动相关的信息。Adaptive Shield（以色列SaaS应用安全服务商）委托CSA开展调查并编写相关的报告，以便更好地了解关于SaaS安全和相关错误配置的行业知识、态度和意见。Adaptive Shield资助了本项目并与CSA的研究分析师联合设计了调查问卷

6、。本次调查从2022年1月至2月，由CSA以在线方式开展，共收到340份来自不同规模和地区组织的IT和安全专家的答卷。CSA的研究团队对本报告进行了数据分析和解读。研研究究目目标标本调查的目标是了解当前SaaS安全和错误配置状况。关注的关键领域包括：使用SaaS应用的企业组织评估SaaS应用程序安全的方法、策略和工具检测和修复SaaS应用程序安全里错误配置的时间表了解SaaS安全相关的最新产品2022 云安全联盟大中华区版权所有7概概要要许多最近发生的违规与数据泄露事件由错误配置导致，使其成为众多企业组织关注的焦点。多数关于错误配置的研究只关注IaaS层，而忽略了SaaS全栈。然而，SaaS安