安全专业人士的阴影SaaS使用状况调查

关键要点

近三分之二的安全专业人士承认使用未授权的SaaS工具，称之为“阴影SaaS”。一项调查显示，73的受访专业人士承认使用了这些工具，尽管他们明白其中的数据损失和数据泄露风险。组织对于阴影SaaS及GenAI的应对措施不足，只有37的受访者拟定了明确的政策。仅有52的人在过去六个月内获得了与阴影IT相关的指导。

根据本周发布的调查，近三分之二的安全专业人士承认在工作中使用未经授权的软件即服务(SaaS)工具，也就是所谓的“阴影SaaS”。这项调查由Next DLP进行。

在2024年RSA大会和2024年信息安全欧洲会议中调查的250多名安全专业人士中，有73表示其实际上使用了未授权的工具，尽管大多数受访者承认了阴影SaaS相关的数据损失、数据泄露及缺乏可见性等风险。

Next DLP的调查还探讨了生成AI工具，如OpenAI的ChatGPT，如何助长员工使用阴影SaaS，以及组织如何应对阴影SaaS和阴影AI的问题。

“不仅是安全专业人士，阴影SaaS和阴影AI的广泛使用令人担忧，但并不意外。这反映了组织中SaaS采用的广泛趋势。” DoControl的产品副总裁Guy Rosenthal在电子邮件中告诉SC Media。

hd18cne黑洞加速官网

DoControl的《2024年SaaS数据安全状况报告》指出，企业在2023年平均创建了1490万个新的SaaS资产，与去年相比增长189。然而，将生成AI应用的激增纳入考量后，阴影IT使用带来的数据泄露风险尤为明显。

“最近发生的三星员工意外透过ChatGPT泄露私人代码的事件，突显了未授权AI用户所带来的风险。不仅仅是数据损失，还可能使我们的防线暴露于威胁行为者之下。”Netenrich的CISO Chris Morales告诉SC Media。

许多组织缺乏阴影IT和GenAI防御措施

Next DLP调查的安全专业人士表示，组织内部对于第三方SaaS和生成AI工具的无控制使用问题缺乏广泛的认识和强有力的政策。仅有37表示他们制定了明确的政策及其后果，只有28鼓励员工使用经批准的替代方案。

尽管一半的受访安全专业人士表示他们的组织对AI的使用有角色限制，16表示已经实施全面禁用，但40表示他们不认为组织内的员工对未授权的AI及其他SaaS应用的风险有足够的了解。

此外，仅有一半的受访者表示，在过去六个月内收到了有关阴影IT包括AI的指导或更新政策，而五分之一的人则表示从未收到过有关这些问题的指导。

“针对AI的具体情况，建立一个安全使用的框架至关重要，而不是一味实施全面禁令。这些工具越来越成为我们工作的一部分，我们必须相应地调整安全实践。”Morales说。“对于我的同行们：我们必须树立标准。如果我们绕过安全措施，那么整个安全态势都会受到削弱。”

调查结果显示，十分之一的受访者报告称，因为使用未授权应用程序，他们的组织曾经发生数据泄露或数据损失事件