多数CISO缺乏API全面可见性 - IT安全专家

Salt Security的最新报告发现，大多数首席信息安全官（CISO）在API安全方面面临挑战，仅17%拥有全面制定并实施的策略。

研究概述

Salt Security的《2025年CISO报告》揭示，尽管73%的CISO将API安全列为未来12个月的高或关键优先级，但只有17%的CISO报告拥有全面且已实施的API安全策略，突显了意识与行动之间的日益扩大的差距。

该研究涵盖了来自法国、德国、意大利、英国和美国的300名CISO，所有受访者均就职于员工超过1000人的企业。

API环境快速扩展

组织正在迅速扩展其API环境以推动创新、满足不断增长的客户需求并提升运营效率。Salt Security的《2025年API状态报告》显示，30%的组织报告其管理的API数量在过去一年增长了51-100%，25%的受访者经历了超过100%的增长。显然，API在组织创新能力中扮演关键角色，尤其是在AI时代；然而，采用的速度和规模可能使资源紧张并复杂化安全努力。这一差异在2025年CISO报告中得到进一步强调。

信心与可见性

报告还显示，全球仅19%的CISO对其组织内的API追踪具有全面可见性和信心。在大型企业中，仅27%报告全面监督。对于较小组织，这一数字降至12%。这种普遍的可见性缺乏对组织构成了持续且增长的安全风险，许多易被利用的影子API可能潜伏在环境中。

此外，约四分之三（74%）的CISO承认不断发现他们之前不知道存在的API。进一步地，十分之九的CISO无法确认其环境没有未管理的API，突显了API环境中广泛的不确定性和可见性差距。在较小组织中，CISO对其API库存感到放心的可能性几乎低三倍。

创新与安全之间的差距

类似地，报告揭示了开发、采用和安全速度之间的差异，现代开发进展迅速。研究发现，四分之三（75%）的API每周或每日更新。然而，三分之二（66%）的组织仅每月或每季度审计影子或未管理的API。这创造了4到12周的盲点危险窗口，允许未管理的变更引入风险。全球仅34%的组织采用持续自动化审计以缩小这一可见性差距并匹配API变更的速度。

保护与工具

研究发现，传统工具是大多数CISO的主要防线。为保护API，76%的CISO依赖WAF，72%依赖API网关。尽管存在局限性，85%的人表示相信这些工具可以阻止业务逻辑攻击——这些威胁并非其设计初衷。这些工具无法防止利用合法、预期功能访问敏感数据的攻击；它们仅检测已知的恶意活动签名。令人担忧的是，仅39%的组织采用为不断变化的威胁 landscape 构建的最佳API安全解决方案。

Salt Security首席营销官Michael Callahan表示：“对传统工具保护 against 独特现代和复杂威胁存在明显的过度自信。这些工具并非针对组织今天面临的威胁而构建，尤其是近年来威胁 landscape 快速且不可预测地演变。传统技术加上对整个API生态系统缺乏可见性，为旨在有效保护其组织的CISO呈现了令人担忧的画面。现代问题需要可扩展、高效和有效的现代解决方案。”

API安全的未来

数据显示，战略转变对于确保所有API的安全至关重要。组织资源不足，仅16%的安全领导者认为其人员配备充足，能够实时分类和响应API相关安全警报的数量。增加人员并非可扩展的解决方案，相反，弥合差距需要一种现代方法，直接解决速度、可见性和威胁检测的核心主题。