研究

总览工作组研究成果研究专家参与调研

分类筛选

全部研究成果

2022.09.23

SaaS快速发展的同时也面临不少安全问题，这些问题已经成为很多组织关注的焦点。CSA继发布CAST云应用安全可信标准与认证之后，就SaaS安全相关的问题开展调查并发布了《2022 SaaS安全调查报告》（以下简称《报告》）。调查从收集到的340份来自不同规模组织和地区的IT/安全专家的答卷中深入挖掘，筛选出了5大关键的安全问题，并对其产生的原因进行了研究与分析，通过一系列数据说明了这几大问题的普遍性与严重性。值得关注的是在本次调查过程中，云平台上流窜的病毒、木马、网络攻击已不再是最主要的安全风险，错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必须慎重对待的关键问题。

查看详细

《面向云客户的SaaS治理最佳实践》

2022.09.23

随着 SaaS 的普及，企业软件的安全风险从传统软件转移到了 SaaS 应用。企业的云安全治理范围也从原来的 IaaS 基础设施层和 PaaS 平台层延伸到了 SaaS 应用层。因此，CSA 在发布 CAST 云应用安全可信标准与认证之后，又发布了《面向云客户的 SaaS 治理最佳实践》（以下简称《实践》）白皮书，供 SaaS 从业人员及相关的 IT 或安全从业人员参考。《实践》充分关注到了 SaaS 环境中的数据保护、SaaS 生命周期的风险以及处置等内容。而且基于安全策略、安全组织、资产管理、访问控制、加密和密钥管理、安全运维、网络安全、供应商管理、事件管理、合规等多个安全控制域为业界提供一整套用于SaaS 治理的指南。《实践》围绕 SaaS 治理中最核心的问题“确保谁在什么场景下、拥有什么样的权限、可以访问什么数据”，并从评估、采用、使用和终止四个阶段给出了具体措施和建设，同时针对日常应用场景进行了延伸的安全考量

查看详细

《云计算的11类顶级威胁》

2022.08.03

历年的《云计算顶级威胁》给出了企业在使用云计算服务时面临的11类顶级威胁，并对每类威胁问题进行了分析。11类顶级威胁突出反映了当前云计算使用过程中最重要的几类云安全问题：身份和访问管理、API安全、错误配置和变更控制、以及缺乏云安全架构和策略。基于2022年威胁的排名可以发现，身份管控、API安全在云安全中的重要性明显上升，同时，云配置和变更控制依然占据很重要的位置，第三方资源（源代码、SaaS产品和API风险）的安全则是供应链安全主要关注的风险。云原生技术架构使得云计算具有了弹性、敏捷、资源池和服务化等特征，容器化和无服务器负载显著提高了云计算应用的敏捷性，但同时也带来了新的安全要求和挑战。无服务器和容器化工作负载的错误配置和利用，可能导致系统中断、数据泄露、数据丢失、以及攻击发生。

查看详细

《云安全风险、合规性和配置不当报告》

2022.08.02

云配置不当一直是使用公有云的企业最关心的问题。这种错误会导致数据泄露，允许删除或修改资源，导致服务中断，并对业务运营造成严重破坏。最近，由于配置不当导致的漏洞成为头条新闻，为了更好地了解云安全计划的现状、用于减轻安全风险的工具、企业的云安全态势以及企业在减少安全风险方面面临的障碍，我们进行了这项调研。

查看详细

《云渗透测试指南》

2022.08.01

《云渗透测试指南》由CSA顶级威胁研究工作组专家编写，对当前全球化形势下针对公有云网络空间安全形势、安全风险的实质及特点，提出了应对的渗透测试方法和策略，并且对其中的要点进行了深入分析和阐述。指南基于公有云场景已经达成广泛共识的共享责任模型，从云客户和云服务提供商两个视角对云渗透测试的范围（或边界）、测试目标、测试用例和关注点、合规性、测试相关培训和资源（如渗透测试工具）等进行了详尽地阐述。可以指导公有云客户系统全面地逐项评估其云应用、云服务的安全性。指南适用于从决策者到一线渗透测试人员的所有安全从业人员，尤其是云安全从业人员。可以让决策者充分理解云渗透测试的复杂性和重要性，同时为渗透测试人员提供了详尽的用例清单。

查看详细