受Noname Security委托，OpinionMatters日前發(fā)布了一份調(diào)研報告。報告指出，超過四分之三的英美高級網(wǎng)絡安全專業(yè)人員表示，過去12個月里，其所在企業(yè)經(jīng)歷了至少一次API相關的安全事件。

與該數(shù)字相差不遠，74%的受訪者稱自己尚未完整記錄自家系統(tǒng)里的所有API，或者沒有完全掌握哪些API可能返回敏感數(shù)據(jù)。最普遍的幾個安全漏洞則是休眠API(即表面上已被替換卻仍繼續(xù)運行的API)、授權漏洞，以及Web應用防火墻(WAF)。

話雖如此，絕大多數(shù)受訪者(71%)也表示對其通信服務供應商提供的API安全充滿信心，表明業(yè)界對此領域的工作存在一定程度的自滿情緒。

報告中寫道：“對于API安全，真實情況與組織態(tài)度之間明顯脫節(jié)了。相較于API相關數(shù)據(jù)泄露的數(shù)量和嚴重性而言，投諸于API安全的信心可謂高得離譜。這表明安全團隊、應用程序安全團隊和開發(fā)團隊需要就API安全的現(xiàn)實情況進行進一步的教育。”

報告補充道，隨著時間推移，數(shù)字轉型只會讓API安全變得更加重要。報告援引咨詢公司Gartner的觀點，稱API相關數(shù)據(jù)泄露可能成為今年最普遍的安全事件類型。

公用事業(yè)和制造業(yè)的API安全問題最大

調(diào)研數(shù)據(jù)顯示，最容易受損的行業(yè)是能源和公用事業(yè)，以及制造業(yè)——前一行業(yè)78%的受訪者在上一年里報告了某種類型的API數(shù)據(jù)泄露，后一行業(yè)則是79%的受訪者報告了API數(shù)據(jù)泄露。能源和公用事業(yè)公司受訪者中只有19%表示錄有完整的API清單或全面了解其API中哪些可能存在漏洞。

英國受訪者更有可能實時察覺其潛在API漏洞，也更加了解自身總體API庫存：14%的英國受訪者表示進行了實時測試，而這么做的美國用戶僅占8%；英國受訪者中28%表示已全面盤點了自己的API和潛在敏感數(shù)據(jù)，而美國受訪者中這一比例為24%。

來源：數(shù)世咨詢