Qualys State of Cloud and SaaS Security Report

Wie die meisten Unternehmen zu Beginn ihrer Cloud- und SaaS-Transformation feststellen, können herkömmliche, auf lokale Umgebungen ausgerichtete Verteidigungsmaßnahmen schnell von Cloud- und SaaS-zentrierten Herausforderungen überholt werden, wie z. B. mangelnde Transparenz, einzigartige Anforderungen an das Identitäts- und Zugriffsmanagement, kritische Probleme beim Konfigurationsmanagement, ausgefeilte Bedrohungen und der Bedarf an zusätzlichen, zielgerichteten Sicherheitsressourcen, um all dies zu bewältigen.

Die aktuelle Studie, die von Qualys in Auftrag gegeben und von Dark Reading durchgeführt wurde, wirft ein neues Licht auf die verschiedenen Arten und Weisen, wie Informationssicherheitsexperten mit den Schwierigkeiten und Nuancen beim Schutz von Cloud- und SaaS-Ressourcen umgehen – oder damit zu kämpfen haben, einschließlich der Messung, Kommunikation und Beseitigung von Cyberrisiken in der Cloud.

Die Daten zeigen deutlich die realen Herausforderungen, denen sich Verteidiger gegenübersehen, wenn sie traditionelle Sicherheitspraktiken und -methoden – wie Konfigurations- und Schwachstellenmanagement, Zugriffskontrolle und die Integration isolierter Sicherheitstools – in die Verteidigung dynamischer Multi-Cloud- und Multi-SaaS-Umgebungen integrieren.

Die Studie unterstreicht die Bedeutung eines umfassenden, einheitlichen und strategischen Ansatzes für die Cloud- und SaaS-Sicherheit, der kontinuierliche Scans und Schwachstellenbewertungen, automatisierte Abhilfemaßnahmen, KI-gestützte Funktionen zur Erkennung und Reaktion auf Bedrohungen sowie plattformübergreifende Funktionen zur Risikopriorisierung umfasst. In diesem Bericht geben wir auch umsetzbare Empfehlungen zur Verbesserung der Cloud-Sicherheit, zur Beseitigung weit verbreiteter Missverständnisse und zur Förderung eines fokussierten, ganzheitlichen Ansatzes für die Cloud- und SaaS-Sicherheit in hybriden Umgebungen auf Unternehmensebene.

Hauptergebnisse

– Allgegenwärtig und komplex: Die meisten der befragten Unternehmen (57 %) nutzen zwei bis drei Cloud-Anbieter und 58 % haben mindestens fünf unternehmensweite SaaS-Anwendungen im Einsatz. Um diese komplexe Umgebung abzusichern, muss die Mehrheit (60 %) die Ergebnisse von zwei oder mehr separaten Cloud- und SaaS-Sicherheitstools verwalten und abgleichen – eine Aufgabe, die sie als schwierig und suboptimal empfindet.

– Belagerung: Mehr als jeder vierte Befragte (28 %) gab zu, dass sein Unternehmen im vergangenen Jahr Opfer einer Datenpanne im Zusammenhang mit Cloud- oder SaaS-Diensten geworden ist; mehr als ein Drittel dieser Opfer gab an, in den vergangenen 12 Monaten mehr als einmal betroffen gewesen zu sein.

– Die Verlagerung von Daten und Anwendungen in die Cloud und die Einführung von SaaS bringen eine Reihe von Risiken mit sich. Unternehmen sind besorgt über Bedrohungen wie Account-Hijacking, Phishing, Ransomware und Malware, Datenexfiltration, Advanced Persistent Threats und Distributed-Denial-of-Service-Angriffe.

– Schlaflose Nächte: Kosten (54 %), Systemzuverlässigkeit und -leistung (36 %) und begrenzte Cloud-spezifische Sicherheitskompetenzen der Mitarbeiter (27 %) sind die Themen, die den professionellen Verteidigern am meisten Sorgen bereiten.

– Konfigurationschaos: Ein Punkt, in dem sich fast alle Parteien bei der Bewertung der Cloud- und SaaS-Risiken einig sind, ist das heikle Thema der Fehlkonfiguration, das sowohl bei der Cloud (24 %) als auch bei SaaS (33 %) zu den größten Sorgen zählt. Das Ausmaß der Besorgnis scheint jedoch weit unter dem tatsächlichen Ausmaß des Fehlkonfigurationsproblems in der realen Welt zu liegen.

– Situationsblindheit: Nur wenige Unternehmen führen eine laufende oder kontinuierliche Bewertung ihrer Cloud- und SaaS-Umgebungen durch. Der Rest führt Sicherheitsbewertungen in Intervallen durch, die in der Regel zwischen einmal pro Quartal (18 % für Cloud, 11 % für SaaS) und einmal pro Jahr (25 % für Cloud, 26 % für SaaS) und in einigen Fällen gar nicht liegen.

– Schwierigkeiten mit Patches: Die Unternehmen sind auch besorgt, dass Angreifer ungepatchte Schwachstellen in Webanwendungen (39 %) und Cloud-Umgebungen (23 %) ausnutzen könnten. Fast jedes fünfte Unternehmen gibt an, Schwierigkeiten bei der Anwendung von Sicherheitsupdates und Patches zu haben, was dazu führt, dass Unternehmen Angriffen durch ausnutzbare Schwachstellen ausgesetzt sind.

– Langsame Reaktion: Der Mangel an qualifiziertem Personal (49 %), die eingeschränkte Sichtbarkeit von Cloud- und gehosteten Umgebungen (46 %) und die inhärente Komplexität von Cloud-zentrierten Vorfällen (46 %) stehen ganz oben auf der Liste der Bedenken der Sicherheitsverantwortlichen.

As most organizations discover early on in their cloud and SaaS transformation journeys, traditional defenses geared toward on-premises environments can quickly be overwhelmed by cloud- and SaaS-centric challenges, such as a lack of visibility, unique identity and access management requirements, critical configuration management issues, sophisticated threats, and the need for additional targeted security resources to deal with all of the above.

New research commissioned by Qualys and conducted by Dark Reading shines new light on the various ways information security professionals are coping — or struggling — with the difficulties and nuances of safeguarding cloud and SaaS assets, including measuring, communicating, and eliminating cyber risk in the cloud. The data shows in stark relief the real-world challenges defenders face when it comes to shoehorning traditional security practices and methods — things like managing configs and vulnerabilities, controlling access, and corralling siloed security tools — into the defenses of dynamic multi-cloud and multi-SaaS environments.

The research underscores the importance of a comprehensive, unified, strategic approach to cloud and SaaS security that brings together continuous scanning and vulnerability assessment, automated remediation efforts, AI-powered threat detection and response capabilities, and crossplatform risk prioritization features. In this report, we also share actionable recommendations for improving cloud security posture, addressing common misconceptions, and promoting a focused, holistic approach to cloud and SaaS security in hybrid environments at enterprise scale.

Key Findings

• Ubiquitous and complex: Most organizations polled (57%) use two to three cloud service providers, and 58% have at least five corporatewide SaaS applications deployed. To secure this complex environment, the majority (60%) must manage and reconcile outputs from two or more separate cloud and SaaS security tools — a task they find challenging and suboptimal.
• Under siege: More than 1 in 4 respondents (28%) admitted their organizations had been the victim of a cloud- or SaaS-related data breach in the past year; more than one-third of those victims said they’d been hit multiple times in the past 12 months.
• Attacks are relentless: Moving data and applications to the cloud and adopting SaaS come with a whole set of risks. Enterprises are worried about threats such as account hijacking, phishing, ransomware and malware, data exfiltration, advanced persistent threats, and distributed denial-of-service attacks.
• Sleepless nights: Professional defenders singled out cost (54%), system reliability and performance (36%), and limited cloud-specific security staff skills (27%) as the cloud and SaaS issues that concerned them the most.
• Config chaos: One place just about all parties find common ground when assessing cloud and SaaS risk is in the thorny issue of misconfigurations, one of the top concerns for both cloud (24%) and SaaS (33%). The level of concern, however, appears to fall well short of the scope of the actual misconfiguration problem in the wild.
• Situational blindness: Few enterprises engage in ongoing or continuous assessment of their cloud and SaaS environments. The rest do security assessments at intervals that range largely from once a quarter (18% for cloud, 11% for SaaS) to once a year (25% cloud, 26% SaaS), and in some cases not at all.
• Difficulty patching: Enterprises are also concerned about adversaries exploiting unpatched vulnerabilities in web applications (39%) and cloud environments (23%). Almost 1 in 5 say they have difficulty applying security updates and patches, creating a situation where organizations are exposed to attack as a result of exploitable vulnerabilities.
• Sluggish response: Topping the list of IR concerns are a lack of skilled workers (49%), limited visibility into cloud and hosted environments (46%), and the inherent complexity of cloud-centric incidents (46%).