国际云安全联盟CSA就SaaS安全相关的问题开展调查，并发布了《2022 SaaS安全调查报告》（以下简称《报告》）。报告从收集到的340份来自不同规模和地区组织的IT/安全专家的答卷中，筛选出了5大关键的安全问题，并对其产生的原因进行分析，并提供组织提升SaaS安全的关键方法。

值得关注的是在本次调查过程中，云平台上流窜的病毒、木马、网络攻击已不再是最主要的安全风险。错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必须慎重对待的关键问题。

1、SaaS 错误配置导致安全事件

自2019年起，错误配置就已经成为组织关注的重点，至少有43%的组织由于SaaS错误配置导致了一个或多个安全事件。

因此，组织需要采取自动化和持续扫描措施，不仅针对IaaS的错误配置，还应包括SaaS的错误配置，以防止安全事件发生。自动化措施能使组织实时修复该问题，从而避免留下隐患。

2、导致SaaS错误配置的主要原因是缺少可见性以及具有访问权限的部门太多

虽然导致SaaS错误配置的因素有很多，但调查发现主要原因来自两个方面：授权太多部门访问SaaS安全设置（35%），以及缺乏对SaaS安全设置变化的可见性（34 %）。这是两个相关的问题，缺乏可见性的主要原因之一就是太多的部门可以访问安全设置，而这些部门中的许多都没有接受过适当的培训，也并未专注于安全性。

3、对业务关键型SaaS应用的投入超过SaaS安全工具和人员

过去一年，81%的组织对业务关键型SaaS应用增加了投入，但是相比之下，较少组织表示他们为了SaaS安全，在安全工具（73%）和人员（55%）方面会增加投入。这一变化意味着，现有安全团队负担了更多SaaS安全监控的责任。在另一个关键发现中可以看到，安全团队采用自动化技术监控SaaS安全，能帮助减轻压力，但是只有26%的组织使用该项技术。

4、人工检测和修复SaaS错误配置的方式使企业暴露于风险之中 

近半数（46%）企业对SaaS安全配置的检查频率为每月一次或更低，5%的企业甚至完全不检查。这个数据意味着不安全的配置在一个月乃至更长的时间内放任不管，即使企业发现存在不安全配置的情况，还需要额外的时间修复，约1/4的企业需要一周或更长的时间手动修复错误配置，在此期间企业将处于风险之中。

为了避免由于SaaS错误配置导致的安全事件的发生，企业必须探索自动化的方式或其他类似的工具缩短检测和修复错误配置的时长。

5、SSPM的应用有助于缩短SaaS错误配置检测及修复时长

使用 SaaS安全配置检测工具可有效缩短检测和修复 SaaS 错误配置的时间。使用SSPM的组织可以更快地检测和修复其SaaS错误配置，78%的组织每周或更频繁地检查其SaaS安全配置，而那些不使用SSPM的组织只有45%能够至少每周检查一次。

1、与SaaS安全错误配置相关最值得关注的领域

组织最担心的与SaaS安全错误配置相关的领域是数据防泄漏(55%)，访问控制、密码管理和多因素认证(54%)。这些问题相互关联，组织希望避免未授权访问和泄漏公司的重要数据。
 

2、SaaS错误配置的两个主要原因

· 有太多业务部门可以访问SaaS的安全设置（35%）；

· 配置变更时缺乏可见性（34%）。

3、修复SaaS安全配置错误的时间

对于大多数组织来说，修复错误配置大约需要一天（28%）或一周（22%），23%的组织需要一个月或更长时间。然而，对于SSPM用户来说，时间缩短了。近3/4使用SSPM的组织可以在一天内解决错误配置。

· 为安全团队提供对SaaS应用程序安全设置可见性的能力，包括第三方应用程序访问和用户权限的配置情况。这种可视性允许多个部门保持其访问权限，而不会导致不适当的变更，从而使组织免受攻击。

· 利用自动化工具监控和修复SaaS安全错误配置，如SSPM。自动化使安全团队能够近实时地解决这些问题，减少组织易受攻击的时间，或防止发生安全事件。

CSA始终致力于云安全及数字安全领域的标准制定和实践引领。

基于SaaS发展的迅猛势头及其面临的安全挑战，CSA大中华区联合业界近30家安全厂商、云厂商及研究机构共同起草并于2022年3月9日正式发布了CSA标准《云应用安全技术规范》，标准主要聚焦SaaS应用（也适用PaaS和IaaS的应用程序部分），包括云应用安全架构及8个控制域共219个控制项，为云应用厂商构建安全的SaaS产品和服务提供了参考和指导，也为云客户选择安全的SaaS产品和服务提供建议和指南。

同时CSA大中华区与公安三所联合发布基于《云应用安全技术规范》的CAST云应用安全可信认证，帮助SaaS厂商提升产品的安全合规能力，同时也可以节省SaaS客户选型时双方的安全评估成本，快速向云客户证明产品的安全性。