Kritische Kloof in API-beveiliging: Slechts 17% van beveiligingsverantwoordelijken heeft strategisch plan
Een nieuw rapport van Salt Security heeft een verontrustende kloof blootgelegd tussen de bewustheid van de risico’s van API’s en de daadwerkelijke maatregelen die bedrijven nemen ter bescherming. Volgens de 2025 Salt Security CISO Report – API Blindspots and Breakthroughs geeft slechts 17% van de Chief Information Security Officers (CISOs) aan over een volledig ontwikkeld en geïmplementeerd API-beveiligingsstrategisch plan te beschikken, ondanks dat 73% deze kwestie als een hoge of kritische prioriteit beschouwt voor de komende 12 maanden.
Het onderzoek, uitgevoerd door Global Surveyz Research, is gebaseerd op interviews met 300 CISOs uit Frankrijk, Duitsland, Italië, het Verenigd Koninkrijk en de Verenigde Staten. Alle respondenten komen uit organisaties met meer dan 1.000 werknemers, werkzaam in sectoren zoals de financiële dienstverlening, gezondheidszorg, transport, detailhandel en software.
Versnelde groei en gebrek aan controle
Met een onstuitbare toename van het aantal API’s — 30% van de organisaties meldde een groei van 51% tot 100% in het afgelopen jaar, en 25% zelfs meer dan 100% — zijn bedrijven hun API-omgevingen aan het uitbreiden om te reageren op de druk om te innoveren, de efficiëntie te verbeteren en aan de eisen van klanten te voldoen. Dit tempo van adoptie overtreft echter vaak de capaciteit van beveiligingsteams om deze omgevingen adequaat te controleren en te beschermen.
Alleen al 19% van de CISOs geeft aan volledige zichtbaarheid en vertrouwen te hebben in het API-inventaris in hun organisaties. In grote bedrijven stijgt dit percentage naar 27%, terwijl het in kleinere organisaties daalt naar 12%. Een alarmerende 74% van de respondenten erkent regelmatig nieuwe API’s te ontdekken waarvan ze zich niet bewust waren, en 90% geeft aan niet te kunnen garanderen dat hun omgeving vrij is van ongecontroleerde of “shadow API’s”.
Een kloof tussen ontwikkeling en beveiliging
De snelheid van ontwikkelingscycli bemoeilijkt ook het werk van beveiligingsteams. 75% van de API’s wordt wekelijks of zelfs dagelijks bijgewerkt, terwijl 66% van de organisaties alleen eenmaal per maand of kwartaal audits uitvoert van verborgen of niet-beheerde API’s. Dit creëert blootstellingsvensters van wel 12 weken. Slechts 34% heeft geautomatiseerde en continue audits aangenomen om deze kloof te dichten.
Erfgoedtools en een vals gevoel van bescherming
Ondanks het complexe huidige landschap vertrouwt de meerderheid van de organisaties nog steeds op traditionele tools om hun API’s te verdedigen. 76% van de CISOs steunt op WAF’s (webapplicatie-firewalls) en 72% op API-gateways. Tools die, hoewel nuttig, niet ontworpen zijn om aanvallen op bedrijfslogica te stoppen, een van de meest geëxploiteerde vectoren vandaag.
“Er is een duidelijke overmoed in het vertrouwen op erfgoedtechnologieën voor bescherming tegen moderne en complexe bedreigingen,” waarschuwde Michael Callahan, marketingdirecteur van Salt Security. “Deze tools zijn niet ontworpen met de huidige uitdagingen in gedachten, en in combinatie met een gebrek aan volledige zichtbaarheid van het API-ecosysteem, verdubbelt het risico. De huidige problemen vragen om moderne oplossingen die schaalbaar, efficiënt en effectief zijn.”
Een toekomst die vraagt om een nieuwe benadering
Het rapport concludeert dat organisaties dringend een strategische draai moeten maken als ze hun API-omgevingen effectief willen beveiligen. 84% van de beveiligingsleiders vindt dat zij niet voldoende middelen hebben om real-time meldingen met betrekking tot API’s te beheren. Meer personeel aannemen is geen schaalbare oplossing; in plaats daarvan is een moderne benadering vereist die gebaseerd is op automatisering, realtime zichtbaarheid en kunstmatige intelligentie.
In dit verband heeft Salt Security onlangs het platform Illuminate gelanceerd, dat volledige en directe zichtbaarheid biedt in het API-landschap van een organisatie. De tool stelt gebruikers in staat de omgeving te bekijken zoals een aanvaller dat zou doen, automatiseert governance en compliance, en maakt gebruik van AI om gedragsaanvallen in realtime te detecteren.
Meer informatie en download van het volledige rapport:
https://content.salt.security/GWEB-2675-CISO-Report-2025_LP-CISO-Report-2025.html
Methodologie
Het onderzoek is uitgevoerd door Global Surveyz Research op basis van enquêtes onder 300 CISOs van bedrijven met meer dan 1.000 werknemers in vijf landen: Frankrijk, Duitsland, Italië, het Verenigd Koninkrijk en de Verenigde Staten. De vertegenwoordigde sectoren omvatten financiën, gezondheidszorg, transport, detailhandel en software.
Bron: salt.security