一份關(guān)于應(yīng)用程序編程接口(API)安全的行業(yè)報(bào)告揭示了金融服務(wù)領(lǐng)域的一個(gè)關(guān)鍵狀態(tài)。

特別是，Salt Security于2023年7月19日發(fā)布的《2023年金融服務(wù)和保險(xiǎn)API安全狀況》報(bào)告，暴露了這些行業(yè)的重大漏洞和令人擔(dān)憂的API攻擊者活動(dòng)。

根據(jù)最新數(shù)據(jù)，近70%的金融服務(wù)和保險(xiǎn)公司由于API安全問(wèn)題而遇到了部署延遲。此外，在過(guò)去的一年中，92%的公司在其生產(chǎn)API中遇到了安全問(wèn)題，其中大約五分之一的公司遭遇了API安全漏洞。

此外，調(diào)查結(jié)果還強(qiáng)調(diào)了API攻擊者的活動(dòng)不斷增加，在2022年上半年和下半年之間，唯一攻擊者的數(shù)量激增了244%。

值得注意的是，對(duì)金融服務(wù)和保險(xiǎn)的攻擊中有84%來(lái)自經(jīng)過(guò)身份驗(yàn)證的用戶，這些用戶表面上是合法的，但實(shí)際上是惡意的攻擊者。這表明安全工具沒(méi)有足夠的裝備來(lái)防止API攻擊，71%的金融和保險(xiǎn)受訪者都擔(dān)心這一點(diǎn)。

StackHawk的聯(lián)合創(chuàng)始人兼首席安全官Scott Gerlach評(píng)論道:“Salt Security的調(diào)查結(jié)果突出了為什么公司不僅要監(jiān)控api的攻擊，還要在整個(gè)開(kāi)發(fā)生命周期中測(cè)試api的脆弱代碼?！?/p>

許多API漏洞本質(zhì)上是合乎邏輯的，必須通過(guò)練習(xí)來(lái)發(fā)現(xiàn)手頭的問(wèn)題，這只能通過(guò)測(cè)試應(yīng)用程序的運(yùn)行版本來(lái)實(shí)現(xiàn)，最好是在生產(chǎn)之前。

報(bào)告顯示，對(duì)于56%的這些公司來(lái)說(shuō)，API安全已經(jīng)成為高管級(jí)別的問(wèn)題，而79%的首席信息安全官認(rèn)為這比兩年前更重要。

調(diào)查結(jié)果還暴露了在API保護(hù)方面缺乏準(zhǔn)備，28%的受訪者承認(rèn)他們目前沒(méi)有API策略。此外，42%的受訪者對(duì)識(shí)別暴露個(gè)人身份信息(PII)的api缺乏信心。

Zimperium的安全架構(gòu)師Georgia Weidman表示:“(OWASP)在2019年首次創(chuàng)建了API安全十大榜單，并在今年早些時(shí)候發(fā)布了新版本，但總體而言，仍然非常需要教育、攻防兩方面的工具，以及如何保護(hù)API的標(biāo)準(zhǔn)和最佳實(shí)踐?！?/p>

Salt安全報(bào)告清楚地反映出，盡管軟件和安全行業(yè)在這方面還有很多工作要做，但不良行為者已經(jīng)在努力利用目前缺乏API安全性的機(jī)會(huì)。