售后宝：《2022年云安全调查报告》发布！SaaS数据安全应该如何守护？

随着大多数主要云、数据仓库和其他传统工具云计算安全方案，为各种监管场景提供了广泛的保护和可配置性，SaaS或云应用程序是会议室的关键成分。当涉及到CRM、第三方营销自动化工具或几乎所有其他SaaS应用程序时，企业通常对于如何将相同的保护扩展到存储在这些工具中的敏感客户数据感到困惑。但是，这些相同的工具是我们组织的命脉，实际上，它们是使我们在市场中前进的机制。

在过去几年，云安全领域暴露了不少问题，发生了一些安全事件：AWS经历了超过3次严重中断，导致Roku、达美航空公司、迪士尼+等知名网站数小时无法使用；Microsoft中存在的一个高危安全漏洞（称为“NotLegit”）导致数百个源代码存储库暴露……云服务提供商中断、敏感数据泄露、云资产漏洞以及涉及使用公共云环境的违规行为等层出不穷。

不过，即便存在诸多安全问题，我们仍然看到将工作负载迁移至云、在云中构建新应用程序以及订阅各种SaaS和其他云服务已经成为一种趋势，并且正在快速增长。近日，研究机构SANS发布《2022年云安全调查报告》，其目的是帮助全球企业组织了解安全团队在云中面临的威胁、如何使用云以及我们可以采取哪些措施来改善云中的安全状况。

1. SaaS 错误配置导致安全事件

自 2019 年以来，SaaS 错误配置已经成为组织的头等大事，至少有 43% 的组织报告称，他们已经处理过由 SaaS 错误配置引发的一起或多起安全事件。然而，鉴于许多其他组织表示他们并不知道自己是否经历过安全事件，因此，与 SaaS 配置错误相关的事件数量可能高达 63%。与基础设施即服务（IaaS）错误配置导致的 17% 的安全事件相比，这些数字着实令人震惊。

2. 缺乏可见性和授权过多访问被报告为 SaaS 错误配置的主要原因

虽然导致 SaaS 错误配置的因素有很多，但调查受访者将其缩小为两个主要原因 —— 授权太多部门访问 SaaS 安全设置（35%），以及缺乏对 SaaS 安全设置变化的可见性（34 %）。这是两个相关的问题，缺乏可见性的主要原因之一就是太多的部门可以访问安全设置，而这些部门中的许多都没有接受过适当的培训，也并未专注于安全性。

3. 对业务关键型 SaaS 应用程序的投资超过了 SaaS 安全工具和人员投资

众所周知，企业正在加速采用更多的应用程序 —— 仅在过去一年，就有 81% 的受访者表示他们增加了对业务关键型 SaaS 应用程序的投资。然而，另一方面，为确保 SaaS 安全性而对安全工具（73%）和人员（55%）的投资却相对较低。这种不协调意味着现有安全团队监控 SaaS 安全性的负担正日益增加。

4. 手动检测和修复 SaaS 错误配置加剧组织暴露程度

调查显示，46% 的受访组织采用手动方式监控其 SaaS 安全性，且每月只进行一次或更少的检测，而 5% 的组织根本不进行任何检测。在发现错误配置后，安全团队还需要额外的时间来解决它。大约四分之一的组织需要一周或更长时间才能手动修复错误的配置。这个漫长的时间差加剧了组织面临的暴露风险。

5. 使用 SSPM 可以缩短检测和修复 SaaS 错误配置的时间

好消息是，已经实施 SaaS 安全配置管理（SSPM）的组织可以更快、更准确地检测和修复他们的 SaaS 错误配置。这些组织中的大多数（78%）使用 SSPM 每周或更多次地检查其 SaaS 安全配置。而在解决错误配置方面，81% 使用 SSPM 的组织能够在一天到一周内解决它。

6. 第三方应用程序访问是最受关注的问题

第三方应用程序，也称为无代码（no-code）或低代码（low-code）平台，可以提高生产力并实现混合工作。它们对于构建和扩展公司的工作流程至关重要。然而，现实表明许多用户会在不考虑这些应用程序请求什么权限的情况下快速连接第三方应用程序。如此一来，授予这些第三方应用程序的权限和后续访问可能是无害的，也可能与可执行文件一样恶意。

如果缺乏对 SaaS 到 SaaS（SaaS-to-SaaS）供应链的可见性，员工可能正将其连接到组织的关键业务应用程序，而安全团队却无法察觉许多潜在的威胁。随着组织加速采用 SaaS 应用程序，他们最关心的问题之一就是缺乏可见性，尤其是第三方应用程序访问核心 SaaS 堆栈的可见性（56%）。

7. 提前规划和实施 SSPM

虽然 SaaS 安全配置管理（SSPM）类别在两年前才被引入市场，但它正在迅速发展成熟。在评估四种云安全解决方案时，SSPM 的平均评级为 “有些熟悉”。此外，62% 的受访者表示他们已经在使用 SSPM 或计划在未来 24 个月内实施。

售后宝权威认证背书，致力于SaaS企业数据安全保护

随着数字经济的高速发展，越来越多的企业为了降本增效与科学管理，踏上数字化转型的道路。然而，随着企业自身数字化与信息化水平不断提高，数据安全风险这一严峻的问题也摆在了人们眼前。

售后宝在数据安全保护方面，有着权威认证的背书。获得信息系统安全等级保护二级证书，此外，售后宝还顺利通过ISO27001和ISO9001认证，获得了信息安全管理体系认证证书和质量管理体系认证证书。这标志着售后宝已经符合了国际的安全认证标准，以及在各项管理系统整合上已达到了国际标准，表明售后宝能更持续稳定地向顾客提供安全和满意的合格产品。

ISO27001是国际信息安全领域的管理体系。该体系由英国标准协会（BSI）于1995年2月提出，通过ISO27001证明组织的信息安全管理已建立了一套科学有效的管理体系，得到了国际上的承认，也能向政府及行业主管部门证明组织对相关法律法规的符合性。

ISO9001是国际质量管理体系。该体系是迄今为止世界上最成熟的质量框架，全球有161个国家/地区的超过75万家组织正在使用这一框架。凡是通过认证的企业，表明企业有满足其订购产品技术要求的能力。站在消费者的角度，公司以顾客为中心，能满足顾客需求，达到顾客满意，不诱导消费者。

售后宝数据安全和产品质量持续升级，为3万+企业提供最安全的数据保护和最优质的产品品质。

我国《数据安全法》就明确指出：事关国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。未来，售后宝将继续拥抱监管要求，积极适应市场环境变化，不断提高信息数据安全能力和产品品质，持续在售后服务领域健康有序发展，为客户提供符合国际信息安全标准和国际质量管理标准的数字化客户服务管理服务平台。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!