受Noname Security委托,OpinionMatters日前发布了一份调研报告。报告指出,超过四分之三的英美高级网络安全专业人员表示,过去12个月里,其所在企业经历了至少一次API相关的安全事件。
与该数字相差不远,74%的受访者称自己尚未完整记录自家系统里的所有API,或者没有完全掌握哪些API可能返回敏感数据。最普遍的几个安全漏洞则是休眠API(即表面上已被替换却仍继续运行的API)、授权漏洞,以及Web应用防火墙(WAF)。
话虽如此,绝大多数受访者(71%)也表示对其通信服务供应商提供的API安全充满信心,表明业界对此领域的工作存在一定程度的自满情绪。
报告中写道:“对于API安全,真实情况与组织态度之间明显脱节了。相较于API相关数据泄露的数量和严重性而言,投诸于API安全的信心可谓高得离谱。这表明安全团队、应用程序安全团队和开发团队需要就API安全的现实情况进行进一步的教育。”
报告补充道,随着时间推移,数字转型只会让API安全变得更加重要。报告援引咨询公司Gartner的观点,称API相关数据泄露可能成为今年最普遍的安全事件类型。
公用事业和制造业的API安全问题最大
调研数据显示,最容易受损的行业是能源和公用事业,以及制造业——前一行业78%的受访者在上一年里报告了某种类型的API数据泄露,后一行业则是79%的受访者报告了API数据泄露。能源和公用事业公司受访者中只有19%表示录有完整的API清单或全面了解其API中哪些可能存在漏洞。
英国受访者更有可能实时察觉其潜在API漏洞,也更加了解自身总体API库存:14%的英国受访者表示进行了实时测试,而这么做的美国用户仅占8%;英国受访者中28%表示已全面盘点了自己的API和潜在敏感数据,而美国受访者中这一比例为24%。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
