随着数字化转型的加速，软件即服务(SaaS)应用已成为现代企业运营的基石。然而，伴随SaaS应用的广泛采用，企业也面临着日益增长的安全挑战，包括可见性差距、影子IT、过度授权访问以及缺乏监控的第三方集成。云安全联盟（CSA）大中华区最新发布的《2025 年 SaaS 安全现状调查报告》深入探讨了这些挑战，揭示了当前SaaS安全态势以及组织应对这些风险的策略。

CSA于2025年1月进行了一项全面调查，共收到420名IT和安全专业人士的响应。这些受访者来自不同规模和地区的组织，为我们提供了关于SaaS安全管理现状、主要风险、安全策略以及新兴威胁的宝贵见解。调查的主要目标是了解SaaS安全管理的责任归属、工具使用情况和安全执行方式；识别主要安全风险和挑战；评估组织如何优先考虑SaaS安全、分配预算和采用安全解决方案；以及审视包括AI驱动的集成、SaaS到SaaS连接和非人类身份(NHI)在内的新兴威胁的影响。

2025 年 SaaS 安全现状调查报告

报告显示，组织对 SaaS 安全的重视程度不断提升，从去年的 80% 上升至 86% 的组织将其列为高或最高优先级事项。76% 的组织报告增加了 SaaS 安全预算，这一比例几乎是 2024 年的两倍。

• 主要优先事项包括 SaaS 威胁检测（50%）、态势管理（47%）和应用发现（31%），这表明组织正致力于增强可见性和控制力。
• 79% 的组织对其 SaaS 安全计划表示有信心，但数据表明这可能高估了实际能力。
• 39% 的组织仍缺乏专门的 SaaS 安全人员，反映出在资源和专业技能方面存在缺口。

随着 SaaS 采用率和复杂性的不断增加，有效的 SaaS 安全策略将需要整合发现、威胁检测和态势管理功能，而不仅仅是增加更多工具或投入。

尽管投资不断增加，但许多组织仍缺乏保护 SaaS 应用中敏感数据所需的可见性和访问控制。

• 63% 的组织提到外部过度共享，56% 的组织报告未经授权的上传是主要数据风险。
• 41% 的组织表示最小权限访问政策未得到有效执行。
• 56% 的组织担心生成式人工智能（GenAI）和第三方工具拥有过度特权的 API 访问权限。
• 开源 GenAI 工具引入了额外的未受管控的风险。
• 42% 的组织难以监控其 SaaS 环境中的敏感数据。

这些不足反映了在 GenAI 采用增加且 SaaS 生态系统变得更具互联性之际，需要加强监督力度。

SaaS 的采用常常发生在 IT 和安全部门之外，从而产生了可见性和治理方面的空白。

• 55% 的组织表示员工在未涉及安全部门的情况下采用 SaaS 工具。
• 57% 的组织报告 SaaS 管理呈现碎片化；44% 的组织在 IT/ 安全部门外管理 SaaS 时面临挑战。
• 在 51% 的组织中，像人力资源和营销这样敏感的平台是在 IT 部门之外进行管理的。
• 41% 的组织认为协作是补救 SaaS 风险的最大障碍。

缺乏集中的监督和明确定义的职责，使得许多组织在有效监控和保护 SaaS 方面面临困难。

身份和访问管理（IAM）的失败是 SaaS 风险的主要诱因，这主要由不一致的权限执行和缺乏自动化所驱动。

• 58% 的组织在执行适当的权限级别方面存在困难。
• 56% 的组织在管理多个 SaaS 应用的访问方面有困难。
• 54% 的组织在用户账户的供应和撤销过程中缺乏自动化。
• 41% 的 SaaS 安全漏洞是由过度特权账户引起的；46% 是由于薄弱或被利用的多因素身份验证（MFA）。

手动的身份管理流程仍然很常见，这增加了孤立账户和延迟停用的风险。如果没有自动化和一致的治理，组织仍将容易受到与身份相关的威胁，这些威胁可能在 SaaS 环境中蔓延。

随着 SaaS 环境的演变，包括服务账户、OAuth 令牌和 API 在内的非人类身份（NHIs）正变得越来越难以监控和保护。

• 46% 的组织指出监控 NHIs 是一项重大挑战。
• 56% 的组织表示生成式人工智能（GenAI）和第三方工具对敏感数据具有过度特权的 API 访问权限。

生成式人工智能和代理人工智能工具的兴起加速了无需人工监督即可运行的 SaaS 到 SaaS 的集成。这些工具通常需要广泛的访问权限，并且很少像管理人类身份一样受到严格的治理，这增加了未经授权访问和数据泄露的风险。

如果不提供对 NHIs 的可见性和生命周期治理，组织可能会允许未受监控的访问路径持续存在，从而破坏跨 SaaS 生态系统的始终如一的策略执行。

大多数组织（79%）对其 SaaS 安全计划表示有信心，但许多组织仍在使用不完整或不一致的方法：

• 46% 的组织依赖手动审计。
• 69% 的组织使用供应商提供的应用级安全功能。

这些差距限制了可见性和控制力，而像 Snowflake 安全事件这样的近期事件突显了过度依赖供应商的风险。尽管一些组织开始优先考虑 SaaS 特定工具，但大多数组织在制定协调一致的方法方面仍处于早期阶段。

为了缩小不断增长的投资与实际能力之间的差距，组织必须超越临时性、逐个应用的控制，转向更统一的方法——一种解决核心挑战的方法，如发现、态势管理、威胁检测和风险缓解。SaaS威胁检测和态势管理的日益优先化，以及SaaS安全作为最高优先事项的整体提升，表明许多组织已准备好应对当前挑战并创建更全面、更协调的策略。

以下是组织应考虑的关键建议：

1. 整合策略与视角：采用能够连接发现、态势管理和威胁检测功能的整体SaaS安全策略，提供对整个SaaS生态系统的全面视图。

2. 自动化身份生命周期：实施强大的IAM自动化，包括配置和解除配置流程，以减少人为错误并确保及时移除访问权限。

3. 建立集中治理：创建跨SaaS环境的一致治理模型，明确定义责任和问责制，促进安全团队与业务单位之间的协作。

4. 投资专用工具：超越通用工具和供应商原生控制，投资专为SaaS安全设计的解决方案，能够提供整个SaaS生态系统的一致可见性和控制。

5. 扩展非人类身份监控：开发监控和管理API连接、OAuth令牌和服务账户的专用流程，特别是那些与生成式AI工具相关的。

6. 加强数据治理：实施强大的数据保护控制，包括最小权限执行、过度共享检测和第三方访问监控，以保护敏感信息。

随着企业继续采用和扩展其SaaS环境，安全必须从事后考虑转变为设计的一部分。尽管组织在优先考虑SaaS安全方面取得了值得称赞的进步，但真正减少风险需要将投资与跨发现、态势管理、威胁检测、身份安全和补救的集成能力保持一致。

报告明确显示，大多数当前的SaaS安全策略仍然是被动和分散的，使组织的敏感数据面临风险。这一点在生成式AI工具和第三方集成快速采用的情况下尤为重要，这些工具和集成引入了新的复杂性和安全盲点层。

通过采取全面的SaaS安全方法，增强可见性，实施一致的控制措施，并促进跨团队协作。组织能够更有效地应对日益复杂的SaaS生态系统，同时降低因碎片化管理和被动应对所带来的风险。

随着SaaS应用成为现代企业基础设施的关键部分，投资于专用的SaaS安全能力从未如此重要。当今日益互联的SaaS环境不能再依赖临时解决方案；相反，它们需要设计用于解决跨发现、态势、身份和威胁检测领域的独特挑战的集成方法。