云安全联盟：2022 SaaS 安全调查报告

从Salesforce 1999年发布CRM SaaS 服务成为SaaS的开拓者，到2022年全球企业服务 SaaS市场规模将超1700亿美元(据Statista预测)，SaaS成了真正的“软件终结者”。国内 SaaS虽然起步较晚但也已经在2019年进入了旺盛期，CRM、ERP、HCM、OA、财务、客 服、电子签等垂直领域的SaaS蓬勃发展。而且几乎所有传统的管理软件企业都开始了新一 轮的转型尝试。新冠疫情爆发以来，很多企业不得不选择远程办公和使用线上SaaS应用， 疫情成了SaaS发展的又一个助推剂。

SaaS快速发展的同时也面临不少安全问题，这些问题已经成为很多组织关注的焦点。 CSA继发布CAST云应用安全可信标准与认证之后，就SaaS安全相关的问题开展调查并发布 了《2022 SaaS安全调查报告》(以下简称《报告》)。调查从收集到的340份来自不同规 模组织和地区的IT/安全专家的答卷中深入挖掘，筛选出了5大关键的安全问题，并对其产 生的原因进行了研究与分析，通过一系列数据说明了这几大问题的普遍性与严重性。值得 关注的是在本次调查过程中，云平台上流窜的病毒、木马、网络攻击已不再是最主要的安 全风险，错误配置、权限模糊、安全减配等管理问题已经成为企业SaaS安全管理过程中必 须慎重对待的关键问题。

作为企业的 IT管理人员，尤其是信息安全管理人员，应该清楚地知道:没有安全事故 不等于足够的安全。那如何保证企业在日益复杂的网络环境下的数字安全，保证云上业务 的安全?这些问题在《报告》中也给出了相对应的解决思路。除此之外，《报告》中的一 些对比数据或许可以为企业解决SaaS安全问题提供借鉴，给企业的使用SaaS带来一些启 示。对于很多企业来说，安全地使用SaaS是一个很有挑战的过程，需要加强企业内部的控 制策略，并通过统一的安全保障措施和策略对SaaS应用进行识别和管控。同时推荐使用 SSPM管理，为安全团队提供SaaS应用程序安全设置可见性的能力，也可以利用自动化工具 监控和修复SaaS安全错误配置。