四成企业没有专门的API安全人员或团队

最新研究显示,API的安全性仍然是今年网络安全的首要问题,但许多公司仍然缺乏专门的API安全人员(团队)。

TraceableAI在今年的RSA会议上发布的研究发现,尽管69%的企业声称已经将API纳入其网络安全战略,但多达40%的企业没有专门的API安全专业人员或团队。

事实上,23%的受访者不知道他们的企业是否有专门的API安全措施。虽然许多企业(61%)认为他们在过去12个月内没有经历过API攻击,但令人震惊的是,36%的受访者表示不确定。

在那些部署了API安全工具的公司中,25%的专业解决方案无法确定API行为基线并识别潜在API攻击的异常活动。更令人担忧的是,50%的受访者不确定他们的API安全解决方案是否具备这些功能。

“API是一种普遍的攻击媒介,也是近年来很多大规模数据泄露事件的原因,但令人非常担忧的是,40%的企业没有专门的API安全专业人员或团队来解决这个问题,23%不确定他们是否有此类团队。同样令人担忧的是,40%的企业没有适当的API安全解决方案,”Traceable首席安全官Richard Bird指出:“过去,黑客必须制定策略来绕过现有的防御措施,以便定位数据并干扰系统。现在,他们可以轻松利用API来获得对敏感数据的访问权限,甚至无需利用企业安全堆栈中的其他解决方案。”

其他调查结果显示,API安全所有权在不同团队之间仍然分散:38%的受访者声称CISO拥有它,而25%声称开发和/或DevOps拥有所有权。24%的受访者根本不知道谁拥有它。

大多数受访者(66%)要么在与API蔓延作斗争,要么不知道他们的公司是否在有效地管理API蔓延。

完整报告链接:

https://www.traceable.ai/resources/dl/report-state-of-api-security

前一篇零信任时代端点安全五大创新方向
后一篇月刊鉴赏 | 网络安全意识电子月刊