中國市場關鍵洞察:
1.API安全關注點主要集中在身份驗證和訪問控制
2.API安全全生命周期將訪問控制和態(tài)勢管理置于優(yōu)先事項
3.API安全解決方案聚焦于API網關以及人工智能/機器學習解決方案,以解決關鍵安全問題
F5(NASDAQ:FFIV)近期在亞太地區(qū)發(fā)布全新研究報告《2024策略洞察:亞太地區(qū)API安全報告》(以下簡稱為“報告”),調查顯示亞太地區(qū)企業(yè)正愈加依賴基于人工智能/機器學習(AI/ML)驅動的解決方案應對應用程序接口(API)帶來的廣泛復雜安全挑戰(zhàn)。隨著API持續(xù)成為推動數字化體驗的關鍵,該報告全面檢視了當前在亞太地區(qū)范圍內面臨的API安全挑戰(zhàn)與機遇。
隨著網絡犯罪分子越來越多地將API作為攻擊目標,五分之一的亞太地區(qū)受訪企業(yè)已開始采用AI/ML技術來檢測和緩解傳統安全措施可能忽略的復雜威脅,例如服務端請求偽造(SSRF)。而在中國,由于SOAP等傳統API協議的廣泛應用及其復雜的授權需求,13%的受訪者表示優(yōu)先關注具有更細粒度訪問控制的“功能級別授權失效”。此外,API網關因可提供訪問控制等強大安全功能,并緩解敏感業(yè)務訪問無限制等安全漏洞,而在亞太地區(qū)(20%)企業(yè)中被廣泛采用。同時,API網關的部署與中國普遍使用的傳統協議(例如REST和SOAP)的安全性需求相契合,可確保對API流量和訪問進行穩(wěn)健控制,而備受中國受訪者(25.4%)重視。
盡管亞太地區(qū)企業(yè)希望在運行時保護其API,但他們也更加意識到從開發(fā)階段就開始保護API的重要性,因此擁有穩(wěn)健的代碼安全標準和實踐(17.5%)已成為該地區(qū)企業(yè)抵御復雜漏洞的根本策略,例如對象級別授權失效、安全配置錯誤,以及SSRF等。在中國,將代碼安全置于優(yōu)先位置已成為降低API風險的關鍵策略,因為確保API在代碼層面沒有漏洞對于防止安全缺陷被利用至關重要,特別是代碼安全解決方案在緩解OWASP提出的安全風險方面發(fā)揮著重要作用,例如安全配置錯誤和未受限制的資源消耗。
Mohan Veloo
F5亞太地區(qū)、中國和日本首席技術官
“應用已成為網絡犯罪的前沿陣地,網絡犯罪分子越來越多地將API視為突破口。在亞太地區(qū),隨著網絡犯罪分子利用AI驅動的工具,我們目睹到攻擊數量不斷增加,速度、規(guī)模和復雜性也日益提高。正因如此,對于亞太地區(qū)企業(yè),尤其是尋求提供AI驅動服務的企業(yè)而言,保護API連接及其承載的數據已成為至關重要的安全挑戰(zhàn)?!?/p>
如今,API安全的重要性與日俱增,但其復雜性也達到前所未有的程度。報告發(fā)現,越來越多企業(yè)正將安全左移融入API全生命周期管理,同時增強在部署后實施的安全防護。F5通過將先進的API代碼測試和遙測分析技術引入F5分布式云服務(F5 Distributed Cloud Services),以打造業(yè)界最全面的AI就緒型API安全解決方案。F5分布式云服務通過在單一平臺上提供API發(fā)現、測試、態(tài)勢管理和運行時保護,助力企業(yè)從代碼到云端實現真正的可見性和安全性。
《2024策略洞察:亞太地區(qū)API安全報告》中的關鍵洞察:
-亞太地區(qū)面臨著獨特API安全挑戰(zhàn):與全球OWASP排名相比,亞太地區(qū)企業(yè)API安全挑戰(zhàn)排名存在差異。身份認證失效、服務端請求偽造,以及安全配置錯誤成為亞太地區(qū)首要關注點。對安全配置錯誤的持續(xù)擔憂是中國(9%)和亞太地區(qū)(13%)共同面臨的問題。這一持續(xù)存在的問題表明,企業(yè)在維護安全的API配置方面正面臨著嚴峻挑戰(zhàn)。
-亞太地區(qū)API安全全生命周期側重于安全測試和訪問控制:這一側重凸顯了預防措施的重要性,旨在減輕與未經授權訪問相關的風險,并在部署之前確保穩(wěn)健的API安全。另一方面,在中國,企業(yè)將訪問控制(58%)、API態(tài)勢管理(44%),以及API發(fā)現和映射(56%)置于優(yōu)先事項,以確保API始終符合安全策略和最佳實踐。
-亞太地區(qū)API安全測試方法日趨成熟:企業(yè)正將傳統方法,例如靜態(tài)應用安全測試(SAST)(54%)和動態(tài)應用安全測試(DAST)(51%)與新興策略,例如動態(tài)API安全測試(51%)相結合。這一做法充分反映了行業(yè)對多樣化測試策略重要性的廣泛認可。
-外部用戶控制成為亞太地區(qū)API訪問控制的首要關注點:亞太地區(qū)企業(yè)對外部用戶控制(59%)的潛在風險表示出高度擔憂。其他優(yōu)先事項包括遵守既定標準(54%)以及安全的應用間交互(49%)。這反映了在如今互聯互通日益增長的趨勢下,構建全面的安全框架的重要性,確保企業(yè)能夠有效應對不斷演變的API風險。
-高度重視數據保護免遭泄露和篡改:數據泄露(53.3%)是亞太地區(qū)企業(yè)在API運行時保護方面最為關注的問題,這突出了保護敏感信息的重要性。此外,業(yè)界還廣泛重視維護數據完整性(27.7%),并通過檢測和掩碼技術(23.4%)保護敏感信息。
-重點強調發(fā)現高風險API和監(jiān)控API的使用情況:亞太地區(qū)企業(yè)最關注識別可能暴露敏感數據或漏洞的API(63%),并通過理解API使用模式檢測可能導致泄露或誤用的異常模式(56%)。僵尸API(42%)和影子API(39%)的優(yōu)先級稍低,但仍是關注重點。