API安全报告揭示金融服务行业的重大挑战

关键要点

近70的金融服务和保险公司因API安全问题遭遇了上线延迟。92的受访者表示在生产API中遭遇安全问题。超过25的受访者表示没有API安全策略。84的攻击来自“经过认证”的用户。API安全已升至管理层关注的首要议题。

Salt Security在周三发布的一份报告中指出，近70的金融服务和保险公司因为 API安全 问题遭遇了上线延迟，更令人担忧的是，92的受访者在生产环境中的API遭遇了安全问题。

这份 新报告 综合了Salt客户的实证数据和两项独立调查的结果，对API安全威胁和漏洞对金融服务与保险行业的影响进行了深入分析。

其他重要发现

69的金融服务和保险领域的受访者表示因API安全问题遭遇了上线延迟，超出整体响应平均水平的11。17的总受访者经历过与API相关的安全泄露。

对于安全专家来说，尤为令人担忧的是，84的针对金融服务和保险行业的攻击来自“经过认证”的用户，这些用户表面上看似合法，实际上却是攻击者。最后，超过25的受访者表示他们没有明确的API安全策略。

“API是当前金融和保险组织提供创新数字服务的核心，”Salt Security的联合创始人兼CEO Roey Eliyahu表示。“然而，因为这些API传输敏感的客户和财务信息，网络犯罪分子也知道这些数据是可以被用于盗窃或欺诈的。调查结果显示，这些公司正遭遇攻击和其他安全问题的显著增加，导致他们在API相关事件中的脆弱性提升。”

随着攻击次数的上升及与API安全泄露相关的成本增加，包括罚款、客户信任的丧失和声誉损害，确保API安全以保护数字服务已成为更高的业务优先事项：56的金融服务和保险受访者表示，API安全已成为高管层的关注议题；79的CISO则表示，与两年前相比，保护API的优先级显著上升。

尽管在过去几年中，API已成为网络安全范畴中不可或缺的一部分，但安全行业在制定标准、最佳实践，以及用于安全开发和部署API的自动化工具方面仍显滞后，Zimperium的安全架构师Georgia Weidman表示。

Weidman提到，开放网络应用安全项目OWASP在2019年首次发布了 API安全前十名，并在今年早些时候发布了 新版，但总体来看，针对API安全的教育、攻击和防御工具、以及相关标准和最佳实践的需求仍然很大。

“Salt Security的报告清楚地反映出，尽管软件和安全行业在这方面还有很多工作要做，但恶意行为者已经在利用当前API安全缺失的机会，”Weidman说道。

Vulcan Cyber的高级技术工程师Mike Parkin表示，尽管用户几乎总是最容易的攻击向量，但如今API攻击的增加趋势显示，威胁者发现这是一个丰厚的攻击渠道。然而，确保API安全已成为一项挑战，尤其是内部API，它们通常在“假设更安全”的情况下运作，因为它们是内部使用的。

“看到金融服务和保险行业的领导层对这一威胁高度重视非常令人欣慰，但近五分之一的受访者表示他们经历过与API相关的安全泄露也让人有些担忧，”Parkin说。“更有意思的是，超过五分之四的API攻击来自‘经过认证’的攻击者。虽然他们未详细解释这具体代表什么，但暗示了认证仍然是一个单独且严峻的问题。”

海鸥加速器app