年度 SaaS 安全报告：2025 年 CISO 计划和优先事项

根据云安全联盟（CSA）本月发布的最新调查数据显示，超过七成（70%）的企业已经设立了专门团队，用以加强其SaaS应用的安全保护。企业加大对SaaS安全的投入，这是网络安全领域在不断发展中呈现出的成熟态势之一。

尽管在2023年出现了经济动荡和大规模裁员，但各组织仍然大幅增加了对SaaS安全的投入。事实上，调查发现，企业在2023年增加了SaaS安全的人员配备，增长了56%，同时预算也增加了39%。

图 1：从 2022 年到 2023 年，SaaS 安全投资如何转变

第四届年度SaaS安全调查，名为“2025年CISO计划与优先事项”，由CSA执行，由SaaS安全领导者Adaptive Shield委托进行。该项调查共收集了478名全球安全专业人士的观点，涵盖各个行业领域。此份调查报告分享了他们对SaaS安全的成功经验和面临的挑战的理解，以及首席信息安全官（CISO）在规划2025年优先任务时的看法。

关键发现 

01

SaaS 安全比以往任何时候都更加重要

调查显示，SaaS安全对使用SaaS应用程序来管理运营和存储关键数据的组织越来越重要。

“多年来，SaaS安全一直是事后才想到的。然而，今年的调查揭示了一个与众不同的画面，SaaS安全已成为企业首要考虑的问题，“CSA在报告中说。

调查发现，80%的组织将SaaS安全放在首位，其中41%的企业将其列为高优先级，39%的企业将其列为中等优先级。 

图 2：安全专业人员对其组织中 SaaS 安全的优先级进行评分

02

70%的组织已经建立了专门的SaaS安全团队

在年度调查中，首次发现了针对SaaS的安全角色的出现。超过70%的受访者确认，他们拥有专门的团队来负责SaaS应用程序的安全性。具体来说，57%的受访者指出他们的团队至少包括两名全职员工，而另外13%的受访者表示他们的团队由一个人专门负责保护SaaS应用程序。

专门的SaaS安全团队的构建在企业环境中具有重要意义。这是因为SaaS安全的职责范围广泛，跨越多个职能部门，而这些职责往往不是单个团队能够独立承担的。根据CSA的报告所述，这些团队需要在身份安全、风险管理以及端点保护和威胁检测等多个领域内开展工作。

03

SaaS 安全能力正在提高

调查结果显示，相较于前一年，许多机构在SaaS的安全防护能力上取得了显著提升。具体来看，有高达62%的受访机构表示他们对SaaS的安全措施已达到中等至高等级的成熟程度。

图 3：组织如何看待其 SaaS 安全成熟度

在SaaS安全功能的加持下，对整个SaaS堆栈的可视性正在增强。报告显示，现今有70%的组织对其SaaS应用程序具有中等程度（47%）或全面可视性（23%），而那些达到完全可视性的组织在过去一年中数量增加了一倍多。

这种增强的洞察对于有效的资源配置和用户管理是至关重要的。同时，它也在识别错误的公开共享数据资源，比如文档和存储库等方面发挥着关键作用。

针对多因素身份验证（MFA）攻击的检测能力也从一年前的47%提高到62%。在威胁检测方面，62%的受访者表示他们有能力检测异常用户行为，而一年前这一比例为44%。

04

组织在SaaS安全工作中仍面临挑战

尽管企业在SaaS安全性监管方面有所改进，但有高达73%的受访者表示，他们面临的最大的挑战是实现对关键业务应用的有效监控和可视化。

根据受访者的说法，最难保护的 10 个应用程序包括关键业务应用程序，例如 Microsoft 365、GitHub、Microsoft Teams、Jira、Salesforce 和 Google Workspace。 

图 4：从安全角度管理的 10 个最具挑战性的应用程序

其他挑战包括跟踪和监控来自第三方连接应用程序的安全风险（65%）；查找和修复SaaS错误配置（65%）；确保数据治理和隐私（63%）；使SaaS应用程序设置与合规性标准保持一致（61%）。

图 5：安全专家对 SaaS 安全中面临的最大挑战进行评分

05

尽管面临挑战，SaaS安全投资正在获得回报

对安全投资情况的调查清楚地表明，组织正在认真对待SaaS安全。事实上，该调查发现了一个积极的趋势：25%的受访者在过去两年中经历过SaaS安全事件，而去年这一比例为53%。

报告显示，最常见的事件类型为数据泄露（52%）和未经授权的访问（44%），其次是不安全链接点击（26%）、恶意软件感染（18%）和拒绝服务攻击（16%）。

图 6：由于对 SaaS 安全性的投资，过去一年的违规数量有所下降

06

SSPM 用户能够更好地应对 SaaS 安全挑战

采用SaaS安全态势管理（SSPM）的公司在安全性方面表现得比使用其他工具，如云访问安全代理（CASB）和人工审计的公司更为出色。

采用SSPM的公司对其SaaS堆栈拥有更全面的可见性——这一比例是那些在其战略中仅使用其他工具和手动流程的组织（31%）的两倍以上。在这些组织中，有62%能够监督超过75%的SaaS环境。

使用SSPM的用户通常会发现SaaS的安全任务相对容易，而对于那些没有使用SSPM的用户来说，这些任务则显得相当艰巨。

该调查显示了SaaS安全战略的积极趋势。从建立团队到实施新的SaaS安全流程和工具，所有组织都在优先考虑SaaS安全方面的工作。SSPM的集成成为增强组织SaaS安全性的一个因素。该调查强调了在组织内重新审视和完善SaaS安全策略的重要性，以包括专门解决SaaS安全问题的工具。这可以帮助解决当前的困难并解决他们目前面临的安全漏洞，从而降低未来发生SaaS安全事件的可能性。

* 本文为陈发明编译，原文地址：https://thehackernews.com/2024/06/the-annual-saas-security-report-2025.html
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄 嘻嘻，我们群里见！

更多推荐