fitA
尽管API在商业中扮演着至关重要的角色,但绝大多数商业决策者却忽视了这一日益增长的安全隐患,Fastly如是说。
应用程序编程接口(API)长期以来一直被认为是数字经济的基石,最近的数据显示,现在大部分互联网流量都是通过API进行引导的。
对API漏洞缺乏行动
API的普遍性意味着它们已成为网络犯罪分子进行账户接管攻击的首选途径。Fastly最近的一项调查显示,84%的受访者承认他们没有实施先进的API安全措施。
尽管绝大多数决策者都知道存在问题,但对API漏洞缺乏行动。Fastly调查的95%的受访者表示,在过去12个月中他们经历了API安全问题。
79%的人因为API安全问题而推迟了新应用的推出或集成。此外,79%的人声称他们对API安全给予了“高或非常高”的重视程度。当被问及为什么这些重视没有转化为行动时,“预算不足”和“缺乏专业知识”是最常见的理由。
Fastly的高级安全架构师Jay Coley说:“我们的调查结果表明,决策者知道越来越依赖API会带来严重的网络攻击风险。但到目前为止,他们对此并没有做足够的工作。这令人惊讶,因为与部署一个单一提供商的整合网络应用和API安全解决方案相比,漏洞带来的运营和声誉成本要高得多。”
公司难以检测API攻击
当被问及哪些API安全平台的属性对他们公司最重要时,受访者表示,首先是识别哪些API暴露了个人或敏感数据(43%)。其他主要关注点包括识别所有API,包括那些未记录在案的(40%)以及日志记录和监控(28%)。
然而,由于使用传统安全解决方案接收到的通知量巨大,公司越来越难以识别API攻击。
根据Fastly的经验,凭证填充、业务逻辑滥用和DDoS攻击只是一些恶意自动化机器人攻击的一部分,这些攻击被用来接管账户并实施身份盗窃和欺诈。现成的脚本和工具使策划API攻击变得前所未有地容易,而传统的机器人防御技术难以检测到这些可能具有毁灭性的入侵。
解决API景观复杂性的一个解决方案可能是新一代的AI驱动的网络安全系统,但Fastly发现目前对此的热情不高。只有14%的受访公司将API安全中使用AI技术视为优先事项。尽管如此,58%的公司预计,在大约2-3年的时间窗口内,生成性AI将对API安全产生“大或非常大”的影响。
62%的公司预计AI将对新识别的API漏洞增长产生高度或非常大的影响。
C级管理层(公司最高管理层)优先考虑API安全
调查的一个令人担忧的方面是,在处理敏感数据的严格监管行业中,一些最糟糕的API不作为罪犯。金融服务行业的受访者中只有80%对API安全给予了高或非常高的重视程度。相比之下,批发、零售和电子商务行业的这一比例为89%。
在地区差异方面,API安全在英国被高度重视(86%),相比之下跨境平均水平为79%。英国公司将僵尸API和数据抓取列为优先事项。尽管如此,英国仍然存在将想法转化为行动的倾向。
“79%的英国参与者表示他们的API安全不先进,”Coley指出,“相比之下,整体比例为84%。这为日益复杂的网络犯罪分子提供了一个巨大的目标。”
一个有趣的见解是公司层级内部的态度差异。91%的C级管理层和合规专家对API安全给予了“高或非常高”的重视程度,但只有74%的内部安全专家持相同观点。这可能意味着安全团队低估了威胁的规模——或者他们每天面对的是更广泛的威胁池。
