Tarafından Yeni Araştırma Tuz güvenliği büyüyen API saldırı yüzeyinin tanınmasına rağmen, CISO’ların çoğunluğunun API ortamları üzerinde tam görünürlüğe sahip olmadığını ortaya koymuştur. 2025 Tuz Güvenliği CISO raporu CISOS API güvenliğini önümüzdeki 12 ay için yüksek veya kritik bir öncelik olarak sıralarken, CISOS’un sadece% 17’sinin kapsamlı ve uygulanan bir API güvenlik stratejisine sahip olduğunu ve API güvenliği söz konusu olduğunda farkındalık ve eylem arasındaki artan boşluğu vurguladığını bildirdi.
2025 araştırmasında, hepsi 1.000’den fazla çalışanı olan şirketlerde çalışan Fransa, Almanya, İtalya, Birleşik Krallık ve Amerika Birleşik Devletleri’nden 300 CISO’dan bilgi içeriyor.
Kuruluşlar, inovasyonu güçlendirmek, artan müşteri taleplerini karşılamak ve operasyonel verimliliği artırmak için API ortamlarını hızla ölçeklendiriyor. Salt Security’nin 2025 Eyaleti API raporu Kuruluşların% 30’unun geçtiğimiz yıl boyunca yönettikleri API sayısında% 51-100 büyüme bildirdiğini ve katılımcıların% 25’inin% 100’ü aştığını ortaya koydu. Açıkçası, API’ler, özellikle AI döneminde bir kuruluşun yenilik yapma yeteneğinde kritik bir rol oynar; Bununla birlikte, evlat edinme ölçeği ve temposu kaynakları zorlayabilir ve güvenlik çabalarını karmaşıklaştırabilir. Bu tutarsızlık 2025 CISO raporu tarafından daha da vurgulanmaktadır.
Güven ve görünürlük
Raporda ayrıca CISOS’un sadece% 19’unun kuruluşlarında API’lerin izlenmesinde tam görünürlüğe ve güven duyduğunu ortaya koydu. Büyük işletmeler arasında sadece% 27’si tam gözetim rapor etmektedir. Daha küçük kuruluşlar için sayı%12’ye düşer. Bu genel görünürlük eksikliği, kuruluşlar için kalıcı ve büyüyen bir güvenlik riski oluşturmaktadır ve birçok kolay sömürülebilir gölge API’leri potansiyel olarak bir ortamda gizlenir.
Dahası, CISOS’un dörtte üçü (%74) API’leri sürekli olarak ortaya çıkardığını itiraf ediyor. 10 CISO’dan 9’u, API ortamlarındaki yaygın belirsizlik ve görünürlük boşluklarını vurgulayarak yönetilmeyen API’lerden arınmış olduklarını doğrulayamıyor. Daha küçük organizasyonlarda, CISO’ların API envanterleri hakkında emin olma olasılığı yaklaşık üç kat daha azdır.
İnovasyon ve Güvenlik
Benzer şekilde rapor, kalkınma, evlat edinme ve güvenlik hızı arasında bir eşitsizlik ortaya çıkardı ve modern gelişme hızla hareket etti. Araştırma, API’lerin dörtte üçünün (%75) haftalık veya günlük olarak güncellendiğini bulmuştur. Bununla birlikte, kuruluşların üçte ikisi (%66) sadece aylık veya üç aylık bazda gölge veya yönetilmeyen API’ler denetlemektedir. Bu, 4 ila 12 haftalık kör noktaların tehlikeli bir penceresi oluşturur ve yönetilmeyen değişikliklerin risk getirmesine izin verir. Küresel olarak kuruluşların sadece% 34’ü bu görünürlük boşluğunu kapatmak ve API değişim hızına uymak için sürekli, otomatik denetim benimsemiştir.
Koruma ve Araçlar
Araştırma, eski araçların çoğu CISO için birincil savunma hattı olduğunu buldu. API’leri güvence altına almak için CISOS’un% 76’sı WAF’lere ve API ağ geçitlerinde% 72’ye güvenmektedir. Sınırlamalarına rağmen,% 85’i bu araçların iş mantık saldırılarını engelleyebileceğine dair güven ifade ediyor – durdurmak için tasarlanmadıkları tehditler. Bu araçlar, hassas verilere erişmek için meşru, amaçlanan işlevlerden yararlanan saldırıları önleyemez; Sadece bilinen kötü niyetli aktivite imzalarını tespit ederler. Endişe verici bir şekilde, kuruluşların sadece% 39’u değişen tehdit manzarası için inşa edilmiş en iyi türe API güvenlik çözümlerini benimsiyor.
Salt Security’nin pazarlama sorumlusu Michael Callahan, “Benzersiz modern ve karmaşık tehditlere karşı koruma sağlamak için eski araçlarda belirgin bir aşırı güven var. Bu araçlar, özellikle tehdit manzarasının son yıllarda, tüm Api ekosystem başvurusunda bulundukları, miras teknolojisinin, tüm api ekosysisli bir şekilde geliştiği için, tüm Api ekosystem başvurusuyla eşleşmesiyle inşa edilmedi. Modern sorunlar ölçeklenebilir, verimli ve etkili olan modern çözümlere ihtiyaç duyar. ”
API güvenliğinin geleceği
Veriler, tüm API’lerin güvenliğini sağlamak için stratejik bir değişimin gerekli olduğunu göstermektedir. Kuruluşlar yetersiz kaynaklıdır ve güvenlik liderlerinin sadece% 16’sının API ile ilgili güvenlik uyarılarının hacmine gerçek zamanlı olarak triyaj için yeterince görevlendirildiğini düşündüklerini ortaya koymaktadır. Personelin arttırılması ölçeklenebilir bir çözüm değildir, daha ziyade boşluğu doldurması, hız, görünürlük ve tehdit algılamasının temel temalarını başa ele alan modern bir yaklaşım gerektirir.
CISOS’un Post çoğunluğu API’lere göre tam görünürlükten yoksun, BT Security Guru’da ilk ortaya çıktı.