金融服务中发现的关键API安全漏洞

一份关于应用程序编程接口(API)安全的行业报告揭示了金融服务领域的一个关键状态。

特别是，Salt Security于2023年7月19日发布的《2023年金融服务和保险API安全状况》报告，暴露了这些行业的重大漏洞和令人担忧的API攻击者活动。

根据最新数据，近70%的金融服务和保险公司由于API安全问题而遇到了部署延迟。此外，在过去的一年中，92%的公司在其生产API中遇到了安全问题，其中大约五分之一的公司遭遇了API安全漏洞。

此外，调查结果还强调了API攻击者的活动不断增加，在2022年上半年和下半年之间，唯一攻击者的数量激增了244%。

值得注意的是，对金融服务和保险的攻击中有84%来自经过身份验证的用户，这些用户表面上是合法的，但实际上是恶意的攻击者。这表明安全工具没有足够的装备来防止API攻击，71%的金融和保险受访者都担心这一点。

StackHawk的联合创始人兼首席安全官Scott Gerlach评论道:“Salt Security的调查结果突出了为什么公司不仅要监控api的攻击，还要在整个开发生命周期中测试api的脆弱代码。”

许多API漏洞本质上是合乎逻辑的，必须通过练习来发现手头的问题，这只能通过测试应用程序的运行版本来实现，最好是在生产之前。

报告显示，对于56%的这些公司来说，API安全已经成为高管级别的问题，而79%的首席信息安全官认为这比两年前更重要。

调查结果还暴露了在API保护方面缺乏准备，28%的受访者承认他们目前没有API策略。此外，42%的受访者对识别暴露个人身份信息(PII)的api缺乏信心。

Zimperium的安全架构师Georgia Weidman表示:“(OWASP)在2019年首次创建了API安全十大榜单，并在今年早些时候发布了新版本，但总体而言，仍然非常需要教育、攻防两方面的工具，以及如何保护API的标准和最佳实践。”

Salt安全报告清楚地反映出，尽管软件和安全行业在这方面还有很多工作要做，但不良行为者已经在努力利用目前缺乏API安全性的机会。