[调研]：API安全与可见性未得到妥善处理

受Noname Security委托，OpinionMatters日前发布了一份调研报告。报告指出，超过四分之三的英美高级网络安全专业人员表示，过去12个月里，其所在企业经历了至少一次API相关的安全事件。

与该数字相差不远，74%的受访者称自己尚未完整记录自家系统里的所有API，或者没有完全掌握哪些API可能返回敏感数据。最普遍的几个安全漏洞则是休眠API（即表面上已被替换却仍继续运行的API）、授权漏洞，以及Web应用防火墙（WAF）。

话虽如此，绝大多数受访者（71%）也表示对其通信服务供应商提供的API安全充满信心，表明业界对此领域的工作存在一定程度的自满情绪。

报告中写道：“对于API安全，真实情况与组织态度之间明显脱节了。相较于API相关数据泄露的数量和严重性而言，投诸于API安全的信心可谓高得离谱。这表明安全团队、应用程序安全团队和开发团队需要就API安全的现实情况进行进一步的教育。”

报告补充道，随着时间推移，数字转型只会让API安全变得更加重要。报告援引咨询公司Gartner的观点，称API相关数据泄露可能成为今年最普遍的安全事件类型。

公用事业和制造业的API安全问题最大

调研数据显示，最容易受损的行业是能源和公用事业，以及制造业——前一行业78%的受访者在上一年里报告了某种类型的API数据泄露，后一行业则是79%的受访者报告了API数据泄露。能源和公用事业公司受访者中只有19%表示录有完整的API清单或全面了解其API中哪些可能存在漏洞。

英国受访者更有可能实时察觉其潜在API漏洞，也更加了解自身总体API库存：14%的英国受访者表示进行了实时测试，而这么做的美国用户仅占8%；英国受访者中28%表示已全面盘点了自己的API和潜在敏感数据，而美国受访者中这一比例为24%。

---

参考阅读
理解API安全以及如何开始
数世咨询：API安全研究报告2022
十款顶级API安全测试工具
为什么我们一定要做好API安全管理
API安全测试：主动识别API漏洞
[调研]API安全已成绝大多数企业的严重问题

原文始发于微信公众号（数世咨询）：[调研]：API安全与可见性未得到妥善处理