年度SaaS安全报告：2025年CISO计划和优先事项

根据云安全联盟（CSA）本月发布的一项新调查，70%的企业通过建立专门的团队来保护SaaS应用程序来优先考虑SaaS安全，这是网络安全领域日益成熟趋势的一部分。

尽管经济不稳定，2023年裁员也大幅减少，但各组织大幅增加了对SaaS安全的投资。事实上，调查发现，企业在2023年增加了SaaS安全人员，将SaaS安全人员增加了56%，预算增加了39%。

图1：SaaS安全投资如何从2022年转移到2023年

第四次年度SaaS安全调查“2025年CISO计划和优先事项”由CSA进行，并由SaaS安全领导者Adaptive Shield委托。共有478名全球安全专业人员参加了调查，涉及所有垂直领域。该调查分享了他们对SaaS安全成功和挑战的看法，因为CISO准备为2025年确定优先事项。

主要发现：

SaaS安全比以往任何时候都更重要

调查显示，SaaS安全对使用SaaS应用程序管理运营和存储关键数据的组织来说越来越重要。

多年来，SaaS安全一直是事后的想法。然而，今年调查中描绘的景观描绘了一幅截然不同的画面，SaaS安全已经飙升到企业议程的最前沿，”CSA在报告中表示。

调查发现，80%的组织优先考虑SaaS安全，41%将其列为高优先级，39%将其列为中等优先级。

图2：安全专业人员对其组织中SaaS安全的优先级进行评级

70%的组织已经建立了专门的SaaS安全团队

年度调查首次确定了SaaS特定安全角色的出现，超过70%的人确认他们有专门的团队：57%的人报告说他们有一个至少两名全职员工的SaaS安全团队，而另外13%的人表示他们有一个人专门负责保护SaaS应用程序。

专用SaaS安全团队在企业环境中是有意义的。SaaS安全的作用是跨职能的，覆盖了几个领域，这些领域很少被单个团队所触及。由于SaaS的性质，这些团队参与了身份安全、风险管理、端点安全和威胁检测，”CSA在报告中表示。

SaaS安全能力正在提高

调查发现，与前一年相比，组织还显著提高了关键的SaaS安全能力。事实上，62%的组织现在认为他们的SaaS安全态势是适度到高度成熟的。

图3：组织如何看待其SaaS安全成熟度

由于获得了SaaS安全功能，SaaS堆栈的可见性正在提高。报告称，今天，70%的组织对其SaaS应用程序具有适度（47%）到完全可见性（23%），实现完全可见性的组织在过去一年中翻了一番多。

这种强化监督对于有效的配置和用户管理至关重要。它还在识别错误或不需要的公共共享数据资源（如文档和存储库）方面发挥着至关重要的作用。

围绕多因素身份验证（MFA）攻击的检测能力也从一年前的47%提高到62%。在威胁检测方面，62%的受访者表示他们有能力检测异常的用户行为，而一年前为44%。

组织在SaaS安全工作中仍然面临挑战

虽然组织改进了SaaS安全监督，但73%的受访者指出，实现对关键业务应用程序的可见性是他们最大的挑战。

据受访者称，最难保护的十大应用程序包括Microsoft 365、GitHub、Microsoft Teams、Jira、Salesforce和Google Workspace等关键业务应用程序。

图4：从安全角度管理的十大最具挑战性的应用程序

其他挑战包括跟踪和监控来自第三方连接应用程序的安全风险（65%）；定位和修复SaaS错误配置（65%）；确保数据治理和隐私（63%）；以及使SaaS应用程序设置与合规性标准保持一致（61%）。

图5：安全专业人士对SaaS安全的最大挑战进行了评级

尽管面临挑战，但SaaS安全投资正在得到回报

调查发现的投资清楚地表明，组织正在认真对待SaaS安全。事实上，调查发现了一个积极的趋势：25%的受访者在过去两年中经历了SaaS安全事件，而去年为53%。

报告的最常见的安全事件是数据泄露（52%）和数据泄露（50%），其次是未经授权的访问（44%）和恶意应用程序（38%）。

图6：由于对SaaS安全的投资，过去一年的违规数量有所下降

SSPM用户能够更好地应对SaaS安全挑战

采用SaaS安全态位管理（SSPM）的公司比使用其他工具（如CASB和手动审计）来保护SaaS堆栈的公司要好得多。

使用SSPM的人对SaaS堆栈完全可见的可能性是其两倍多——与那些在战略中使用其他工具和手动流程的人（31%）相比，这些组织中的62%能够监督其75%以上的SaaS环境。

SSPM用户也更有可能发现关键的SaaS安全任务很容易，而非SSPM用户发现它们非常困难。

该调查显示了SaaS安全战略的积极势头。从建立团队到实施新的SaaS安全流程和工具，各组织都在优先考虑SaaS安全工作。SSPM的集成是增强组织SaaS安全性的一个因素。调查强调了重新审视和完善组织内部SaaS安全策略的重要性，以包括专门解决SaaS安全的工具。这可以帮助弥补当前的困难，并解决他们目前面临的安全漏洞，从而降低未来发生SaaS安全事件的可能性。

参考链接：https://thehackernews.com/2024/06/the-annual-saas-security-report-2025.html

下载地址：https://cloudsecurityalliance.org/artifacts/the-annual-saas-security-survey-report-2025-plans-and-priorities