事實表明目前的SaaS安全策略還遠遠不夠

云安全聯(lián)盟研究高級技術總監(jiān)Hillary Baron說，“我們希望更深入地了解SaaS應用程序中的數(shù)據(jù)泄露事件，以及企業(yè)如何構建他們的威脅預防和檢測模型來保護他們的SaaS生態(tài)系統(tǒng)。這就解釋了71%的受訪者優(yōu)先投資SaaS的安全工具的原因，最明顯的是轉(zhuǎn)向SaaS安全態(tài)勢管理（SSPM）作為保護整個SaaS堆棧的解決方案?！?/p>

Adaptive Shield公司的首席執(zhí)行官Maor Bin表示，“SaaS生態(tài)系統(tǒng)中的攻擊面正在擴大，就像企業(yè)可以通過云安全態(tài)勢管理來保護云計算基礎設施一樣，企業(yè)應該保護他們的SaaS數(shù)據(jù)，并優(yōu)先考慮SaaS安全?！?/p>

在去年的調(diào)查中，17%的受訪者表示他們正在使用SaaS安全態(tài)勢管理。這一數(shù)字在今年飆升，80%的企業(yè)目前正在使用或計劃在2024年底前使用SaaS安全態(tài)勢管理。55%的企業(yè)表示，他們最近經(jīng)歷了SaaS安全事件，導致了勒索軟件、惡意軟件、數(shù)據(jù)泄露等，這一事實推動了這一戲劇性的增長。Bin繼續(xù)說道，“SaaS中的威脅預防和檢測對于跨越SaaS錯誤配置、身份和訪問治理、SaaS到SaaS訪問、設備到SaaS風險管理以及身份威脅檢測和響應（ITDR）的強大網(wǎng)絡安全策略至關重要?！?/p>

SaaS安全

·目前的SaaS安全策略和方法還遠遠不夠：58%的企業(yè)估計他們目前的SaaS安全解決方案只覆蓋了50%或更少的SaaS應用程序。這一差距無法通過人工審計和云訪問安全代理（CASB）來彌補，它們不足以保護企業(yè)免受SaaS安全事件的影響。

·對SaaS和SaaS安全資源的投資正在急劇增加：66%的企業(yè)增加了對SaaS應用程序的投資，71%的企業(yè)增加了對安全工具的投資，以保護這些關鍵業(yè)務應用程序。這可以歸因于這樣一個事實，即SaaS安全態(tài)勢管理覆蓋了其他方法無法覆蓋的領域。

·利益相關者在保護SaaS應用程序方面的分布：隨著SaaS應用程序的所有權分布在企業(yè)的不同部門，首席信息安全官和安全團隊經(jīng)理正在從控制者轉(zhuǎn)變?yōu)楣芾碚摺?/p>

·企業(yè)如何為其整個SaaS安全生態(tài)系統(tǒng)確定策略和流程的優(yōu)先級：企業(yè)正在擴展其SaaS安全性，以解決SaaS生態(tài)系統(tǒng)中廣泛的關注點，包括SaaS到SaaS訪問、設備到SaaS風險管理、身份和訪問治理以及ITDR等。

·很多企業(yè)認識到人力資本在保護SaaS生態(tài)系統(tǒng)中的重要性，但還需要采取更多措施：雖然68%的企業(yè)正在加大投資，招聘和培訓SaaS安全方面的員工，但只有51%的企業(yè)在安全和應用程序所有者團隊之間建立了溝通和協(xié)作，而33%的企業(yè)目前監(jiān)控的SaaS堆棧還不到一半。

·必須更多地關注設備安全：確保訪問SaaS堆棧的設備的安全性對于防止未經(jīng)授權的訪問和數(shù)據(jù)泄露至關重要。盡管如此，只有54%的企業(yè)檢查SaaS特權用戶的設備健康狀況，47%的企業(yè)檢查所有SaaS用戶的設備健康狀況，只有42%的企業(yè)識別訪問SaaS堆棧的非托管設備。