能源、制造业和公用事业是API安全的重灾区

根据Noname Security最新发布的一份报告，四分之三以上的美国和英国高级网络安全专业人员表示，他们服务的组织在过去12个月内至少经历了一次与API相关的安全事件。

74%的受访者表示，他们尚未完成覆盖系统中所有API的清单，也未能完全了解哪些API可能泄露敏感数据。最常见的API安全漏洞是：

• 休眠API（表面上已被替换但仍在运行的API）
• 授权漏洞
• Web应用程序防火墙

虽然现状堪忧，但出人意料的是，绝大多数受访者（71%）表示他们对其通信服务提供商提供的API安全性充满信心。这意味着企业可能对API安全威胁过于乐观了。

报告指出：“API安全的残酷现实与企业的乐观态度非常不匹配。与API安全事件的数量和严重程度相比，对API安全的信心水平高得不成比例。这表明企业需要对安全、和开发团队围绕API安全的现实进行进一步的教育。”

报告补充说，随着时间的推移，数字化转型只会使API安全性变得更加重要和棘手。根据Gartner的一份报告，与API相关的漏洞可能成为2022年最常见的安全事件类型。

能源、公用事业和制造业的API安全问题最为严重

调查显示，API安全最脆弱的行业是能源、公共事业以及制造业——能源行业78%的受访者报告说上一年发生或某种类型的API安全事件，而公共事业报告API安全事件的比例也高达79%。只有19%的能源和公共事业受访者表示拥有完整的API清单或全面了解他们的API的潜在漏洞。

地区方面，英国的受访者在实时了解潜在API漏洞方面表现更好，并对整体API库存有更好的了解——14%的英国受访者表示进行了实时测试，只有8%的美国用户进行了实时测试。28%的英国受访者表示他们已对API和潜在敏感数据进行了全面盘点，而美国受访者的这一比例为24%。