API 安全公司 Salt Security 发布的一份《State of API Security Report, Q3 2021》报告指出,针对应用程序编程接口的攻击流量正在以普通 API 流量的三倍速度增长。该报告基于六个月的数据,揭示了解决 API 安全性的重大挑战。报告发现,安全问题在 API 项目关注的名单中名列前茅,很少有受访者认为他们有信心识别和阻止 API 攻击。
在过去的六个月中,Salt 客户数据显示整体 API 流量增长了 141%;与此同时,API 攻击流量则增长了 348%。这一发现揭示了由数字化转型和信息技术现代化项目推动的 API 使用快速增长的安全后果。
Salt Security 联合创始人兼首席执行官 Roey Eliyahu 称,“API 及其访问的宝贵数据是当今以数据和应用为中心的经济的关键所在。然而,API 仍然是任何组织的应用程序或软件堆栈中最脆弱的元素之一。据了解,我们在我们支持的 90% 的潜在客户的 API 中发现了关键的安全漏洞。这份报告对这些传闻进行了量化,强调了企业每天面临的 API 安全风险。随着 API 的采用和流量的加快,安全风险也在增加。正如我们在这份报告中所看到的那样,API 旨在促进创新,而不是扼杀创新。”
报告分析了 API 的最常见用途,发现有 61% 的受访者将 API 用于平台或系统集成,52% 的人使用它们来推动数字化转型,47% 的人使用它们来标准化或提高应用程序和软件开发的效率。但所有人都遇到了问题,其中 64% 的受访者由于 API 安全问题而推迟了应用程序的推出。
46% 的受访者在谈到 API 时将安全问题列为他们最担心的问题。对缺乏预生产安全性的担忧是最高的反应 (26%),紧随其后的是对程序没有充分解决运行时安全性的担忧 (20%),没有驱动足够的可观察性和控制以 14% 的比例排在前三名。
近一半的受访者表示他们试图通过他们的 WAF 或 API 网关识别 API 攻击者,而 12% 的受访者承认他们无法识别 API 攻击者。大约 62% 的组织被发现没有针对 API 安全的策略或只有基本的策略。
报告中的一些其他发现包括有:
- 40% 的受访者将“僵尸 API”的风险列为他们最关心的问题,几乎是第二大关注领域(帐户接管)的三倍。
- 85% 的受访者对其 API 清单的完整性存在疑问。
- 55% 的受访者将运行时保护列为 API 安全的重中之重,也是 API 安全平台最受重视的属性。
- 85% 的受访者对他们知道哪些 API 会暴露敏感数据缺乏信心。
