盡管技術(shù)不斷進步，企業(yè)在API安全方面的準(zhǔn)備工作卻未能跟上步伐。API作為現(xiàn)代數(shù)字經(jīng)濟的支柱，其安全性直接影響到企業(yè)的運營穩(wěn)定性和財務(wù)健康。然而，許多企業(yè)在制定安全策略時，往往低估了API的復(fù)雜性和潛在風(fēng)險。

Akamai亞太地區(qū)及日本安全技術(shù)與戰(zhàn)略總監(jiān) Reuben Koh 表示：“API 已成為一項關(guān)鍵技術(shù)，為從移動銀行業(yè)務(wù)到聯(lián)網(wǎng)車輛的一切提供支持。但我們的研究表明，亞太地區(qū)的企業(yè)在保護 API 方面仍然捉襟見肘。對各企業(yè)來說，就 API 安全事件的根本原因、影響和優(yōu)先級達成共識至關(guān)重要，這樣他們才能實施全面的安全戰(zhàn)略，在從開發(fā)到運行時的各個階段保護關(guān)鍵 API?！?/p>

該研究邀請中國、印度、日本和澳大利亞的 800 多位 IT 及安全專業(yè)人士參與了調(diào)查，描繪了企業(yè)因不安全的 API 而面臨的日益嚴(yán)重的風(fēng)險。API 現(xiàn)已成為現(xiàn)代數(shù)字基礎(chǔ)架構(gòu)的支柱，該地區(qū) 85% 的企業(yè)表示，在過去 12 個月內(nèi)至少經(jīng)歷過一起與 API 相關(guān)的安全事件。財務(wù)影響也同樣令人擔(dān)憂，在接受調(diào)查的市場中，解決 API 安全事件的平均估計成本超過58 萬美元。盡管如此，很多企業(yè)仍然缺乏對其 API 生態(tài)系統(tǒng)和所暴露的敏感數(shù)據(jù)的監(jiān)測能力。

風(fēng)險與應(yīng)對措施脫節(jié)

該研究發(fā)現(xiàn)，在所有四個國家中，認(rèn)知與現(xiàn)實之間存在巨大差距：

• 高管層的相關(guān)意識較高，但運營監(jiān)測能力較低：亞太地區(qū)?92%?的企業(yè)高層領(lǐng)導(dǎo)表示其企業(yè)在過去?12?個月內(nèi)經(jīng)歷過?API?事件，但只有?37%?的受訪者確認(rèn)他們知道哪些?API?會暴露敏感數(shù)據(jù)。
• 測試開展情況參差不齊：雖然事件發(fā)生率較高，但該地區(qū)只有很少一部分受訪者表示會進行實時?API?測試，中國、印度、日本和澳大利亞的相關(guān)受訪者占比分別為?22%、15%、11%?和?6%。

這些脫節(jié)問題反映出企業(yè)面臨更大的挑戰(zhàn)：企業(yè)保護 API 的速度趕不上部署 API 的速度，給攻擊者留下了可乘之機。Koh 補充道：“這個問題已從理論轉(zhuǎn)變?yōu)楝F(xiàn)實。API 濫用正在發(fā)生，并造成了實際的財務(wù)和聲譽損失。領(lǐng)導(dǎo)團隊必須縮小與安全和應(yīng)用程序安全專業(yè)人員之間的認(rèn)識差距，和他們密切合作并投資于正確的工具、流程，齊心協(xié)力保護這項關(guān)鍵技術(shù)?！?/p>

合規(guī)性敲響了警鐘

該研究還發(fā)現(xiàn)，雖然大多數(shù)企業(yè)將 API 納入了其合規(guī)計劃，但只有少數(shù)企業(yè)會全面實施此計劃。只有 41% 的受訪者會將 API 納入風(fēng)險評估，只有 40% 的受訪者會將 API 納入報告要求。此外，日本對 API 相關(guān)合規(guī)性要求的認(rèn)知也落后于該地區(qū)的其他國家，有 22% 的受訪者表示他們并未將 API 安全納入合規(guī)工作中。

從中國的《數(shù)據(jù)安全法》到澳大利亞的《消費者數(shù)字權(quán)利法規(guī)》，在合規(guī)和安全框架中考慮 API 風(fēng)險的需求正在迅速增長。隨著 API 成為數(shù)字業(yè)務(wù)的連接紐帶，保護它們需要采取深思熟慮的端到端方法。該報告建議，亞太地區(qū)的企業(yè)應(yīng)當(dāng)優(yōu)先考慮構(gòu)建持久的恢復(fù)能力，包括全面清點 API、定期進行測試以確保 API 編碼正確、實施運行時檢測以區(qū)分“正?！焙汀爱惓！盇PI 活動等。

如需深入探索研究報告，請下載完整報告。

lixiangjing

算力豹主編