SaltSecurity的报告揭示了金融服务和保险业在API安全方面的严峻形势,近70%的公司因API问题遭遇部署延迟,92%的公司在生产API中遇到安全问题。经验证的用户发起的攻击占84%,显示现有安全措施不足。企业需在整个开发周期中加强API的测试和监控,同时,超过一半的公司已将API安全提升至高管层级关注的问题。
一份关于应用程序编程接口(API)安全的行业报告揭示了金融服务领域的一个关键状态。
特别是,Salt Security于2023年7月19日发布的《2023年金融服务和保险API安全状况》报告,暴露了这些行业的重大漏洞和令人担忧的API攻击者活动。
根据最新数据,近70%的金融服务和保险公司由于API安全问题而遇到了部署延迟。此外,在过去的一年中,92%的公司在其生产API中遇到了安全问题,其中大约五分之一的公司遭遇了API安全漏洞。
此外,调查结果还强调了API攻击者的活动不断增加,在2022年上半年和下半年之间,唯一攻击者的数量激增了244%。
值得注意的是,对金融服务和保险的攻击中有84%来自经过身份验证的用户,这些用户表面上是合法的,但实际上是恶意的攻击者。这表明安全工具没有足够的装备来防止API攻击,71%的金融和保险受访者都担心这一点。
StackHawk的联合创始人兼首席安全官Scott Gerlach评论道:“Salt Security的调查结果突出了为什么公司不仅要监控api的攻击,还要在整个开发生命周期中测试api的脆弱代码。”
许多API漏洞本质上是合乎逻辑的,必须通过练习来发现手头的问题,这只能通过测试应用程序的运行版本来实现,最好是在生产之前。
报告显示,对于56%的这些公司来说,API安全已经成为高管级别的问题,而79%的首席信息安全官认为这比两年前更重要。
调查结果还暴露了在API保护方面缺乏准备,28%的受访者承认他们目前没有API策略。此外,42%的受访者对识别暴露个人身份信息(PII)的api缺乏信心。
Zimperium的安全架构师Georgia Weidman表示:“(OWASP)在2019年首次创建了API安全十大榜单,并在今年早些时候发布了新版本,但总体而言,仍然非常需要教育、攻防两方面的工具,以及如何保护API的标准和最佳实践。”
Salt安全报告清楚地反映出,尽管软件和安全行业在这方面还有很多工作要做,但不良行为者已经在努力利用目前缺乏API安全性的机会。
扫一扫
1733
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
