Traceable AI’ye göre, API güvenliği bu yıl en önemli siber güvenlik endişesi olmaya devam etse de, çoğu şirket için hala endişe verici bir uygulama eksikliği var.
Şirketler API güvenliğini gözden kaçırıyor
Şirketler, denetlenmeyen API yayılımı, API güvenliğinin kime ait olduğu konusunda netlik olmaması ve güvenlik yeteneklerinin bir parçası olarak davranışı temel almaması ile mücadele ediyor.
100’den fazla siber güvenlik uzmanının içgörüleriyle yapılan araştırma, kuruluşların %69’unun siber güvenlik stratejilerine API’leri dahil ettiğini iddia etmesine rağmen, şirketlerin %40’ının API güvenliği için özel uzmanları veya ekipleri olmadığını ve yanıt verenlerin %23’ünün bilmediğini gösterdi. kuruluşlarında özel API güvenliği varsa.
Pek çok kuruluş (%61) son 12 ayda bir API saldırısı yaşamadıklarını düşünürken, endişe verici bir şekilde yanıt verenlerin %36’sı emin değil.
Kuruluşlar API yayılmasıyla mücadele ediyor
- Kuruluşların %40’ının özel bir API güvenlik uzmanı veya ekibi yok.
- API güvenlik sahipliği, farklı ekipler arasında bölünmüş durumda; yanıt verenlerin %38’i bunun CISO’ya ait olduğunu iddia ederken, %25’i Geliştirme ve/veya DevOps’un sahipliği aldığını iddia ediyor; ve yanıt verenlerin %24’ü basitçe bilmiyor.
- Yanıt verenlerin %66’sı ya API yayılımıyla mücadele ediyor ya da şirketlerinin API yayılmasını etkili bir şekilde yönetip yönetmediğini bilmiyor.
- Siber güvenlik uzmanlarının şirketlerinin %40’ı bir API güvenlik çözümüne sahip değil ve %29’u kuruluşlarının API’leri güvenli hale getirip getirmediğinden emin değil.
- API güvenlik araçlarını benimseyen profesyonellerin çözümlerinin %25’i, API davranışını temel alamaz ve potansiyel olarak bir API saldırısının göstergesi olabilecek anormal etkinliği belirleyemez; Ankete katılanların %50’si, API güvenlik çözümlerinin bu özelliklere sahip olup olmadığından emin değildi.
“API’lerin evrensel bir saldırı vektörü olması ve son yıllardaki en büyük veri ihlallerinden bazılarının nedeni olması nedeniyle, kuruluşların %40’ının bu sorunu çözmek için özel bir API güvenlik uzmanına veya ekibine sahip olmadığını öğrenmek çok endişe verici; 23 Bir takımları olup olmadığından emin değiller. Traceable CSO’su Richard Bird, “Eşit derecede endişe verici olan, kuruluşların %40’ının yerinde bir API güvenlik çözümüne sahip olmamasıdır” dedi.
“Geçmişte bilgisayar korsanları, verileri bulmak ve sistemlere müdahale etmek için mevcut savunmaları aşmak için stratejiler geliştirmek zorundaydı. Artık, güvenlik yığınındaki diğer çözümlerden bile yararlanmadan bir API’den kolayca yararlanabilir ve hassas verilere erişim elde edebilirler. Bu nedenle, daha fazla kuruluşun API güvenliğini ciddiye alması ve bunu daha geniş siber güvenlik stratejilerinin ayrılmaz bir parçası haline getirmesi gerekiyor,” diye sözlerini tamamladı Bird.