92%的金融行业存在API安全问题 69%因此经历延期发布

“92%的金融服务和保险公司在生产API中存在安全问题，其中69%受访者表示，由于API安全问题，他们正在推迟数字化产品的迭代与发布。”最近，API安全公司Salt Security发布的金融行业API安全状态报告中总结了上述发现。

该报告结合了自身客户的经验数据和两项独立调查的结果，对API安全威胁和漏洞在金融行业的影响进行了深入分析。报告指出，在过去18个月里，针对金融行业的API攻击者变得越来越活跃，去年上半年和下半年之间，攻击者增加了244%。此外，92%的金融行业受访者表示，过去一年中，他们在生产API中遇到了严重的安全问题，近五分之一的人遭遇了API安全漏洞。

● 69%的金融行业受访者表示，由于API安全问题，他们经历了延期发布；

● 84%针对金融行业的攻击来自“经过身份验证”的用户，这些用户看似合法，但实际上是攻击者；

● 71%的金融行业受访者表示，他们现有的工具在防止API攻击方面并不十分有效；

● 超过25%的受访者表示他们当前没有API相关安全战略；

● 17%的受访者曾经历过与API相关的安全漏洞。

Salt Security评论称，API对于当今金融和保险机构提供的创新数字服务至关重要。然而，由于这些API传输敏感的客户和财务信息，网络犯罪分子也知道他们共享大量数据，这些数据可能被用于盗窃或欺诈。调查结果表明，这些公司正在遭受损失攻击者和其他安全问题显著增加，增加了他们对API相关事件的脆弱性。

因为API安全问题导致的数据漏洞可能导致企业受到罚款、失去客户信任和声誉受损。基于安全问题的考量，应用程序的延期推出代价同样高昂。鉴于数字服务在全行业中作为业务驱动因素的重要性，API安全已成为一个关键问题，如报告就给出以下调查结果：

● 56%的金融行业调查对象表示，API安全现在是一个C级问题；

● 79%的金融行业CISO表示，API安全现在比两年前更为重要；

● 76%的金融行业CISO表示，他们的组织已将API安全作为未来两年的计划优先事项，13%表示这将是一个关键优先事项。

“过去几年来，API对于支持现代企业的重要性与日俱增，令人惊讶的是，API安全性只是在最近才成为主流。”根据参与调研的某位CISO表示，安全框架和法规遵从发展缓慢是其中部分原因，比如监管机构需为数年时间才会跟进相关标准和法规，而现在的问题是API已被明确称为单独的攻击面，这要求金融机构清点、修复和保护API连接。

金融行业受访者表示，他们没有做好准备，也没有采取正确的措施来保护API免受威胁：

● 28%的受访者（所有API都在生产中运行）表示他们没有当前的API战略；

● 只有13%的受访者认为他们的API安全程序是先进可靠的；

● 25%的受访者表示，他们当前的API安全策略没有将足够的时间集中在记录API上；

● 只有42%的受访者在生产/运行时发现API安全漏洞，而这正是实际攻击活动发生的地方；

● 42%的受访者对了解哪些API暴露了个人敏感信息缺乏信心。

金融行业受访者还表示，僵尸API是他们最担心的API安全问题，占48%，比第二大API安全问题——账户接管（ATO）高出近35%。