“92%的金融服务和保险公司在生产API中存在安全问题,其中69%受访者表示,由于API安全问题,他们正在推迟数字化产品的迭代与发布。”最近,API安全公司Salt Security发布的金融行业API安全状态报告中总结了上述发现。
该报告结合了自身客户的经验数据和两项独立调查的结果,对API安全威胁和漏洞在金融行业的影响进行了深入分析。报告指出,在过去18个月里,针对金融行业的API攻击者变得越来越活跃,去年上半年和下半年之间,攻击者增加了244%。此外,92%的金融行业受访者表示,过去一年中,他们在生产API中遇到了严重的安全问题,近五分之一的人遭遇了API安全漏洞。
报告的主要发现如下:
·69%的金融行业受访者表示,由于API安全问题,他们经历了延期发布;
·84%针对金融行业的攻击来自“经过身份验证”的用户,这些用户看似合法,但实际上是攻击者;
·71%的金融行业受访者表示,他们现有的工具在防止API攻击方面并不十分有效;
·超过25%的受访者表示他们当前没有API相关安全战略;
·17%的受访者曾经历过与API相关的安全漏洞。
Salt Security评论称,API对于当今金融和保险机构提供的创新数字服务至关重要。然而,由于这些API传输敏感的客户和财务信息,网络犯罪分子也知道他们共享大量数据,这些数据可能被用于盗窃或欺诈。调查结果表明,这些公司正在遭受损失攻击者和其他安全问题显著增加,增加了他们对API相关事件的脆弱性。
因为API安全问题导致的数据漏洞可能导致企业受到罚款、失去客户信任和声誉受损。基于安全问题的考量,应用程序的延期推出代价同样高昂。鉴于数字服务在全行业中作为业务驱动因素的重要性,API安全已成为一个关键问题,如报告就给出以下调查结果:
·56%的金融行业调查对象表示,API安全现在是一个C级问题;
·79%的金融行业CISO表示,API安全现在比两年前更为重要;
·76%的金融行业CISO表示,他们的组织已将API安全作为未来两年的计划优先事项,13%表示这将是一个关键优先事项。
“过去几年来,API对于支持现代企业的重要性与日俱增,令人惊讶的是,API安全性只是在最近才成为主流。”根据参与调研的某位CISO表示,安全框架和法规遵从发展缓慢是其中部分原因,比如监管机构需为数年时间才会跟进相关标准和法规,而现在的问题是API已被明确称为单独的攻击面,这要求金融机构清点、修复和保护API连接。
金融行业受访者表示,他们没有做好准备,也没有采取正确的措施来保护API免受威胁:
·28%的受访者(所有API都在生产中运行)表示他们没有当前的API战略;
·只有13%的受访者认为他们的API安全程序是先进可靠的;
·25%的受访者表示,他们当前的API安全策略没有将足够的时间集中在记录API上;
·只有42%的受访者在生产/运行时发现API安全漏洞,而这正是实际攻击活动发生的地方;
·42%的受访者对了解哪些API暴露了个人敏感信息缺乏信心。
金融行业受访者还表示,僵尸API是他们最担心的API安全问题,占48%,比第二大API安全问题——账户接管(ATO)高出近35%。
-
3周前
-
2024-10-24
-
2024-09-25
-
2024-08-22
-
2024-08-22