F5 《2024年應(yīng)用策略現(xiàn)狀報告:API安全》揭示了 API 保護中的漏洞以及對全面安全措施的迫切需求
西雅圖,2024年11月11日 – F5(NASDAQ: FFIV)日前發(fā)布《2024年應(yīng)用策略現(xiàn)狀報告:API 安全》(以下簡稱為“報告”),揭示了跨行業(yè)API安全面臨的嚴(yán)峻現(xiàn)狀。該報告強調(diào)了企業(yè)API保護方面的重大漏洞,這些漏洞可能迫使它們面臨危及企業(yè)安全和運營的潛在威脅。而這些挑戰(zhàn)正因當(dāng)今數(shù)字領(lǐng)域中API的迅速擴散而不斷加劇。
此次報告調(diào)查發(fā)現(xiàn),不到70%的面向客戶的 API 使用 HTTPS(超文本傳輸安全協(xié)議)進行安全保護,這表明近三分之一的API 完全未受保護。這與過去十年推動安全網(wǎng)絡(luò)通信后,現(xiàn)在90%的網(wǎng)頁通過HTTPS訪問形成了鮮明對比。
F5杰出工程師Lori MacVittie表示,“API 正在成為數(shù)字化轉(zhuǎn)型工作的支柱,連接企業(yè)組織內(nèi)部的關(guān)鍵服務(wù)和應(yīng)用。然而,正如我們的報告所指出的,許多企業(yè)組織并沒有跟上保護這些寶貴資產(chǎn)所需的安全要求,尤其是在新興的人工智能(AI)驅(qū)動的威脅背景下。”
《2024年應(yīng)用策略現(xiàn)狀報告:API安全》的關(guān)鍵洞察:
· 快速增長和多元化的環(huán)境:目前,平均每個企業(yè)組織正管理著421個不同的 API,其中大部分托管在公共云環(huán)境中。盡管有所增長,當(dāng)前仍有大量API,尤其是面向客戶的API,未受到安全保護。
· 不斷演進的API使用和安全需求:隨著API越來越多地連接到AI服務(wù),例如OpenAI等,安全模型必須適應(yīng)覆蓋入站和出站API流量。當(dāng)前做法主要集中在入站流量上,從而導(dǎo)致出站API調(diào)用易受到攻擊。
· 分散的API安全責(zé)任:報告揭示了企業(yè)組織內(nèi)部對API安全的職責(zé)分配較為分散,其中53%由應(yīng)用安全團隊負責(zé),而31%則由API管理和集成平臺承擔(dān)。這種職責(zé)劃分可能導(dǎo)致安全措施的不全面和不一致,進而引發(fā)潛在的安全風(fēng)險。
· 對可編程安全解決方案的高需求:受訪者將可編程性評為最有價值的API安全能力,強調(diào)了對API流量和威脅進行實時檢查和響應(yīng)的必要性。
全面提升API安全性,以應(yīng)對日益嚴(yán)峻的威脅
為解決這些安全漏洞,報告建議企業(yè)組織采取全面的安全策略,以覆蓋從設(shè)計到部署的API全生命周期,從而有效填補安全漏洞。通過將API安全集成到開發(fā)和運營階段,企業(yè)組織可以更好地保護其數(shù)字資產(chǎn)免受不斷增長的威脅。
MacVittie補充表示,“API是AI時代不可或缺的一部分,但必須確保它們的安全,以確保AI和數(shù)字服務(wù)能夠安全有效地運行。這份報告呼吁企業(yè)組織重新評估其API安全策略,并采取必要的措施來保護其數(shù)據(jù)和服務(wù)!
點擊此處,獲取《2024年應(yīng)用策略現(xiàn)狀報告:API安全》