四成企业没有专门的API安全人员或团队

最新研究显示，API的安全性仍然是今年网络安全的首要问题，但许多公司仍然缺乏专门的API安全人员（团队）。

TraceableAI在今年的RSA会议上发布的研究发现，尽管69%的企业声称已经将API纳入其网络安全战略，但多达40%的企业没有专门的API安全专业人员或团队。

事实上，23%的受访者不知道他们的企业是否有专门的API安全措施。虽然许多企业(61%)认为他们在过去12个月内没有经历过API攻击，但令人震惊的是，36%的受访者表示不确定。

在那些部署了API安全工具的公司中，25%的专业解决方案无法确定API行为基线并识别潜在API攻击的异常活动。更令人担忧的是，50%的受访者不确定他们的API安全解决方案是否具备这些功能。

“API是一种普遍的攻击媒介，也是近年来很多大规模数据泄露事件的原因，但令人非常担忧的是，40%的企业没有专门的API安全专业人员或团队来解决这个问题，23%不确定他们是否有此类团队。同样令人担忧的是，40%的企业没有适当的API安全解决方案，”Traceable首席安全官Richard Bird指出：“过去，黑客必须制定策略来绕过现有的防御措施，以便定位数据并干扰系统。现在，他们可以轻松利用API来获得对敏感数据的访问权限，甚至无需利用企业安全堆栈中的其他解决方案。”

其他调查结果显示，API安全所有权在不同团队之间仍然分散：38%的受访者声称CISO拥有它，而25%声称开发和/或DevOps拥有所有权。24%的受访者根本不知道谁拥有它。

大多数受访者(66%)要么在与API蔓延作斗争，要么不知道他们的公司是否在有效地管理API蔓延。

完整报告链接：

https://www.traceable.ai/resources/dl/report-state-of-api-security