能源、制造业和公用事业是API安全的重灾区
根据Noname Security最新发布的一份报告,四分之三以上的美国和英国高级网络安全专业人员表示,他们服务的组织在过去12个月内至少经历了一次与API相关的安全事件。
74%的受访者表示,他们尚未完成覆盖系统中所有API的清单,也未能完全了解哪些API可能泄露敏感数据。最常见的API安全漏洞是:
- 休眠API(表面上已被替换但仍在运行的API)
- 授权漏洞
- Web应用程序防火墙
虽然现状堪忧,但出人意料的是,绝大多数受访者(71%)表示他们对其通信服务提供商提供的API安全性充满信心。这意味着企业可能对API安全威胁过于乐观了。
报告指出:“API安全的残酷现实与企业的乐观态度非常不匹配。与API安全事件的数量和严重程度相比,对API安全的信心水平高得不成比例。这表明企业需要对安全、和开发团队围绕API安全的现实进行进一步的教育。”
报告补充说,随着时间的推移,数字化转型只会使API安全性变得更加重要和棘手。根据Gartner的一份报告,与API相关的漏洞可能成为2022年最常见的安全事件类型。
能源、公用事业和制造业的API安全问题最为严重
调查显示,API安全最脆弱的行业是能源、公共事业以及制造业——能源行业78%的受访者报告说上一年发生或某种类型的API安全事件,而公共事业报告API安全事件的比例也高达79%。只有19%的能源和公共事业受访者表示拥有完整的API清单或全面了解他们的API的潜在漏洞。
地区方面,英国的受访者在实时了解潜在API漏洞方面表现更好,并对整体API库存有更好的了解——14%的英国受访者表示进行了实时测试,只有8%的美国用户进行了实时测试。28%的英国受访者表示他们已对API和潜在敏感数据进行了全面盘点,而美国受访者的这一比例为24%。