2024 年API 安全影響報(bào)告

{$};010010011{$};101000011010100101010011001101010001100100101安全API事件對(duì)您和336API安全現(xiàn)狀1518151820API安全受到關(guān)注，但仍缺乏足夠重視如何實(shí)現(xiàn)更成熟的API安全態(tài)勢(shì)API安全影響研究（原《API安全認(rèn)知脫節(jié)》報(bào)告）現(xiàn)已進(jìn)入第三年，今年的研究對(duì)美國(guó)、英國(guó)和德國(guó)（2024年新增）的1,207名領(lǐng)導(dǎo)者和從業(yè)人員進(jìn)行了調(diào)查，并根據(jù)調(diào)查結(jié)果探討的企業(yè)，從500人以下到1,000人以上都有八個(gè)行業(yè)：金融服務(wù)、零售/電子商務(wù)、醫(yī)療保健、政府/公共部門(mén)、制造業(yè)、能源/公用事業(yè)，以及（2024年新增）汽車(chē)和保險(xiǎn)2024年API安全影響研究|2Akamai盡管有數(shù)據(jù)顯示API攻擊十分普遍而且極具破壞性，API仍然經(jīng)常被視為一種新興攻?根據(jù)Akamai最近的一份《互聯(lián)網(wǎng)現(xiàn)狀》(SOTI)報(bào)告，2023年1月到2024年6月，有記錄的API攻擊達(dá)到了1,080億次。?2024年5月的Gartner?《API保護(hù)市場(chǎng)指南》提到，“當(dāng)前數(shù)據(jù)表明，常規(guī)API漏洞導(dǎo)致的數(shù)據(jù)泄露至少是常規(guī)安全漏洞的10倍?！??攻擊活動(dòng)也日益增多。SOTI報(bào)告還指出，2023年第一季度至2024年第一季度期間，Web應(yīng)用程序和API攻擊合計(jì)增加了49%。這樣的增長(zhǎng)并不令人意外。其背后的原因在于，幾乎所工具、面向客戶的應(yīng)用程序、云服務(wù)等）的技術(shù)都使用API來(lái)實(shí)現(xiàn)通信和數(shù)據(jù)交換，然而許多API并未得到充分的保護(hù)，存在身份驗(yàn)證缺失、配置錯(cuò)誤甚至徹底被遺忘等問(wèn)題。這使得API成為網(wǎng)絡(luò)犯罪分子眼中極富吸引力而且經(jīng)濟(jì)高效的攻擊媒介。攻擊者只需要找到一個(gè)存在漏洞的API，然后很快就可以直接獲取調(diào)用API時(shí)返回的所有總體而言，我們的研究表明，API安全尚未成為綜合安全策略的重要組成部分。大多數(shù)企業(yè)將API攻擊視為新興威脅，然后從攻擊數(shù)據(jù)來(lái)看，API攻擊數(shù)量正在不斷增加，而且攻擊者往往會(huì)得逞。另外，調(diào)查發(fā)現(xiàn)API攻擊造成的財(cái)務(wù)影響和團(tuán)隊(duì)壓力也不容忽視。從我們2024年的調(diào)查結(jié)果中，您可以了解API安全事件對(duì)同行及他們所在企業(yè)的影響。我們希望這些數(shù)據(jù)能幫助您的團(tuán)隊(duì)更好地評(píng)估API保護(hù)措施并進(jìn)行必2024年API安全影響研究使得使得API成為網(wǎng)絡(luò)犯罪分子眼|3Akamai總體發(fā)現(xiàn)：API事件影響企業(yè)正常運(yùn)營(yíng)并給團(tuán)隊(duì)造成壓力我們2024年的研究結(jié)果表明，API是一個(gè)日益突出的攻擊媒介，給安全團(tuán)隊(duì)帶來(lái)了很大的?連續(xù)三年見(jiàn)證API安全事件增多?為解決API相關(guān)事件并恢復(fù)業(yè)務(wù)正常運(yùn)行，平均耗費(fèi)的成本超過(guò)五十萬(wàn)（美國(guó)首席高管層受訪者反饋的平均成本則達(dá)到了943,162美元）?感受到API事件給團(tuán)隊(duì)成員造成的嚴(yán)重影響，團(tuán)隊(duì)遭受的壓力和聲譽(yù)損失（尤其是受訪者對(duì)API清單完整性的看法不一，在不同職位人參見(jiàn)第11頁(yè)）。值得注意的是，擁有完整API清單并且知道哪些API會(huì)返回敏感數(shù)據(jù)的企業(yè)占比從2023年已經(jīng)不高的40%下降到了2024年的27%。受訪者還指出，他們所使用的傳統(tǒng)API應(yīng)用程序防火墻(WAF)、API網(wǎng)關(guān)和網(wǎng)絡(luò)防火墻）常被指責(zé)為導(dǎo)致攻擊得逞的首要原因從調(diào)查結(jié)果中，我們還可以推斷API安全策略尚未受到重視（盡管有證據(jù)表明值得重視）的幾個(gè)主要原因。其中一個(gè)重要原因是，擔(dān)任重要安全職位的人員對(duì)于需要保護(hù)的API的數(shù)量、位置和風(fēng)險(xiǎn)屬性沒(méi)有一致的認(rèn)識(shí)，這很可能是因?yàn)閷?duì)API的監(jiān)測(cè)能力較低和缺乏統(tǒng)我們還發(fā)現(xiàn)，安全領(lǐng)導(dǎo)者和從業(yè)人員之間對(duì)于API攻擊的原因缺乏共識(shí)。問(wèn)題是出在使用當(dāng)然，API安全在企業(yè)安全策略中沒(méi)有占據(jù)更重要的地位還有一個(gè)原因，那就已經(jīng)因?yàn)槠渌o迫的威脅而不堪重負(fù)，那些威脅很可能也占據(jù)了大2024年API安全影響研究安全專(zhuān)業(yè)人員感受到了API安全專(zhuān)業(yè)人員感受到了API|484%的受訪者在過(guò)去12個(gè)月內(nèi)經(jīng)歷了API安全事件￡420,103￡420,103€403,453$591,404€403,453哪些API會(huì)返回敏感數(shù)據(jù)的企業(yè)只占27%，2023年這個(gè)比例為40%。從API開(kāi)發(fā)到生產(chǎn)，對(duì)APIAPI事件的最大影響CISO：損害了部門(mén)在高層領(lǐng)導(dǎo)和/或董事會(huì)中的聲譽(yù)。CIO：導(dǎo)致團(tuán)隊(duì)/部門(mén)的APIAPI安全事件的財(cái)務(wù)成本加劇了團(tuán)隊(duì)和領(lǐng)導(dǎo)者所受的影響。事件產(chǎn)生的高額成本引發(fā)了高層的關(guān)注和審查，可能導(dǎo)致董事會(huì)等重要利團(tuán)隊(duì)沒(méi)有做好本職工作。這給團(tuán)隊(duì)造成了壓力。事實(shí)上，2024年API安全影響研究|5AkamaiAPI安全現(xiàn)狀過(guò)去三年里，報(bào)告API安全事件的企業(yè)越來(lái)越多，2024年這些企業(yè)所占的比例達(dá)到了84%（參見(jiàn)下方數(shù)據(jù)）。這些API攻擊對(duì)企業(yè)有何影響？企業(yè)為降低風(fēng)險(xiǎn)采取了哪些措施？或者，哪些簡(jiǎn)單來(lái)說(shuō)，答案是肯定的。這是我們收集API安全事件的財(cái)務(wù)影響數(shù)據(jù)的第一個(gè)年度，數(shù)據(jù)結(jié)果十分引人注目：根據(jù)過(guò)去12個(gè)月內(nèi)經(jīng)歷了API安全事件的那84%的企業(yè)所報(bào)告，處理這些事件?$591,404（美國(guó)）?￡420,103（英國(guó)）?€403,453（德國(guó)）某些職位的受訪者認(rèn)為實(shí)際成本要高得多，特別是美國(guó)的首席高達(dá)943,162美元，與美國(guó)受訪者所報(bào)告的平均成本相比，高出將近60%。202276%75%77%—202378%85%69%—202484%83%83%84%|62024年API安全影響研究Akamai不管確切數(shù)據(jù)如何，API安全事件的財(cái)務(wù)成本都加劇了人力方面的影響。事件產(chǎn)生的高額成本引發(fā)了高層的關(guān)注和審查，可能導(dǎo)致董事會(huì)等重要利益相關(guān)者認(rèn)為安全團(tuán)隊(duì)沒(méi)給團(tuán)隊(duì)造成了壓力。事實(shí)上，根據(jù)各地區(qū)受訪者的反饋，“壓力”（具體排在第三位的影響是“修復(fù)成本”。值得注意的是，排在主要影響中最靠后的），按行業(yè)分類(lèi)的調(diào)查結(jié)果與此相似：在我們調(diào)查的八大行業(yè)中，有四個(gè)行業(yè)的受訪者也認(rèn)為“API事件導(dǎo)致團(tuán)隊(duì)的壓力增加”是最顯著的影響（請(qǐng)參見(jiàn)第9頁(yè)的側(cè)欄務(wù)業(yè)，報(bào)告的財(cái)務(wù)損失高達(dá)832,801美元，是所有行業(yè)中最高的。1.導(dǎo)致團(tuán)隊(duì)或部門(mén)的壓力增加—27.0%2.損害了部門(mén)在高層領(lǐng)導(dǎo)和/或董事會(huì)中的聲譽(yù)—26.6%3.為解決問(wèn)題而產(chǎn)生的成本—25.8%4.監(jiān)管機(jī)構(gòu)的罰款—25.4%5.失去客戶信任和客戶流失—25.0%6.生產(chǎn)力損失—24.1%上述數(shù)據(jù)基于的調(diào)查問(wèn)題：API安全事件給您的企業(yè)帶來(lái)了哪些成本和/或影響（如果有（最多選擇3項(xiàng)）；受訪人數(shù)為1,207人7.信任和聲譽(yù)損失—23.8%8.失去員工信任—23.8%9.導(dǎo)致企業(yè)加強(qiáng)了對(duì)團(tuán)隊(duì)/部門(mén)的內(nèi)部審查—23.5%2024年API安全影響研究|7Akamai還可以清楚地看到API攻擊的財(cái)務(wù)成本和人力成本之間的關(guān)系。所有地區(qū)不同職位受訪者的一個(gè)普遍共識(shí)是，API安全事件最大的?從CISO報(bào)告的兩個(gè)最突出影響（“損害了部門(mén)在高層領(lǐng)導(dǎo)和/或董事會(huì)中的聲譽(yù)去客戶信任和客戶流失”）可以看出，認(rèn)為人力影響最突出和認(rèn)為財(cái)務(wù)者比例剛好持平，均為31%?！靶迯?fù)成本”最明顯的受訪者比例持平，為34%。件惡劣、預(yù)算超支、客戶不滿，那會(huì)怎么樣？這些領(lǐng)導(dǎo)者不愿意看到優(yōu)秀人才加。事實(shí)上，保險(xiǎn)和汽車(chē)行業(yè)的受訪者均認(rèn)為，“失去客戶信任和客戶流失”是API安全事件的?AppSec團(tuán)隊(duì)，31%，“導(dǎo)致團(tuán)隊(duì)/部門(mén)的壓力增加”20242024年API安全影響研究|8Akamai能源/公用事業(yè)損害了部門(mén)在高層領(lǐng)導(dǎo)和/或董事會(huì)中的聲譽(yù)—36%持平：導(dǎo)致團(tuán)隊(duì)/部門(mén)的壓力增加和監(jiān)管機(jī)構(gòu)罰款—均為29%政府/公共部門(mén)導(dǎo)致團(tuán)隊(duì)/部門(mén)的壓力增加—29%導(dǎo)致團(tuán)隊(duì)/部門(mén)的壓力增加—34%零售/電子商務(wù)導(dǎo)致團(tuán)隊(duì)/部門(mén)的壓力增加—29%上述數(shù)據(jù)基于的調(diào)查問(wèn)題：API安全事件給您的企業(yè)帶來(lái)了哪些成本和/或影響（如果有（最多選擇3項(xiàng)）；受訪人數(shù)為1,207人答案是否定的。更確切來(lái)說(shuō)，實(shí)際上情況變得更糟了。今年，擁有完整API清單并且知道哪些API會(huì)交換敏感數(shù)據(jù)的受訪者比例從2023年已經(jīng)不高的40%下降到了2024年的27%。（如果考慮到更多企業(yè)正嘗試進(jìn)行全面清查，只是缺少必要的工具來(lái)查找API并識(shí)別每個(gè)API中的活擁有完整API清單并且知道哪些API會(huì)交換敏感數(shù)據(jù)的受訪者比例從2023年已經(jīng)不高的40%下降到了2024年的27%。2024年API安全影響研究|9APIAPI清單和敏感數(shù)據(jù)認(rèn)知的當(dāng)前狀態(tài)（所有受訪者）20242023是，而且我們知道哪些API會(huì)返回敏感數(shù)據(jù)27%40%是，但我們不知道哪些API會(huì)返回敏感數(shù)據(jù)43%32%我們擁有部分API的清單，而且我們知道哪些API會(huì)返回敏感數(shù)據(jù)23%24%我們擁有部分API的清單，但我們不知道哪些API會(huì)返回敏感數(shù)據(jù)4%—上述數(shù)據(jù)基于的調(diào)查問(wèn)題：您是否擁有完整的API清單，是否知道哪些API會(huì)返回敏感數(shù)據(jù)？（從五個(gè)選項(xiàng)中選擇）；受訪人數(shù)為1,207人在參與調(diào)查的三個(gè)國(guó)家/地區(qū)和八個(gè)行業(yè)的領(lǐng)導(dǎo)者中，CIO傾向于認(rèn)為他們的企業(yè)擁有完清單，而CISO的看法相去甚遠(yuǎn)。在從業(yè)人員之中，資深安全專(zhuān)業(yè)人士和AppSec團(tuán)隊(duì)成員與大部分但是，對(duì)于是否了解哪些API在調(diào)用時(shí)會(huì)返回敏感數(shù)據(jù)，五個(gè)職位的受訪者有什么樣的反饋？答案攻擊者利用以下四類(lèi)不受管API來(lái)獲取數(shù)據(jù)1.影子API（也稱為“未明確記錄的API”）存在并運(yùn)行于企2.惡意API是未經(jīng)授權(quán)或惡意的API，會(huì)對(duì)系統(tǒng)或3.僵尸API包含被新版本或其他API完全取代后仍處于運(yùn)行狀態(tài)的任何API。2024年API安全影響研究|10Akamai饋表明，他們要么擁有完整的清單但不知道哪些API會(huì)返回敏感信息（我們將知道API返回哪種敏感），大多數(shù)CIO稱他們擁有完整的API清單，其中有42.9%還表示他們具備完整的敏36.3%表示不具備這種認(rèn)知。資深安全專(zhuān)業(yè)人士與CIO的反但在敏感數(shù)據(jù)認(rèn)知方面則剛好反過(guò)來(lái)：32.5%的資深安全專(zhuān)業(yè)人士表示他們具備敏感數(shù)據(jù)認(rèn)知，而42.5%表示他們不具備這種認(rèn)知。最后，AppSec團(tuán)隊(duì)成員的反饋（他們大概是所有受訪者中親身實(shí)踐最多的）提供了所有五個(gè)職位中最高的單項(xiàng)比例。有將近一半的人表示他們擁有完整的清單，但不具備敏感數(shù)據(jù)認(rèn)知。?擁有不完整的清單，但對(duì)清單內(nèi)的API具備完全的敏感數(shù)據(jù)認(rèn)知我們可以發(fā)現(xiàn)，API清單的評(píng)估還不夠標(biāo)準(zhǔn)化，無(wú)法形成統(tǒng)一的API數(shù)量來(lái)源。考慮到這種差異，擁有完整清單的更多企業(yè)也可能不具備充分的敏感數(shù)據(jù)認(rèn)知。了然而，清單不完整可能是最危險(xiǎn)的，因?yàn)橛白覣PI、惡意API、僵APIAPI清單和敏感數(shù)據(jù)認(rèn)知的當(dāng)前狀態(tài)（按職位細(xì)分）。我們擁有完整清單，并且知道哪些API會(huì)返回17.2%42.9%16.5%32.5%26.4%我們擁有部分清單，但不知道哪些API會(huì)返回41.4%36.3%34.8%42.5%47.4%我們擁有部分API的清單，而且我們知道哪些API會(huì)返回敏感數(shù)據(jù)32.5%15.4%39.9%18.3%20.4%我們擁有部分API的清單，但我們不知道哪些API會(huì)返回敏感數(shù)據(jù)8.3%5.5%8.2%5.8%5.2%上述數(shù)據(jù)基于的調(diào)查問(wèn)題：您是否擁有完整的API清單，是否知道哪些API會(huì)返回敏感數(shù)據(jù)？（從五個(gè)選項(xiàng)中選擇）；受訪人數(shù)為1,207人2024年API安全影響研究|11Akamai在不受管API無(wú)序蔓延且傳統(tǒng)安全工具難以檢測(cè)的現(xiàn)狀下，這些發(fā)現(xiàn)揭示了一個(gè)讓API攻擊當(dāng)然，安全團(tuán)隊(duì)需要檢查和評(píng)估的API不止這一種，而是至少有五種，不受管API?不受管或被遺忘的API（影子API、惡意API、僵尸API、從不同職位的受訪者對(duì)于API清單和API漏洞監(jiān)測(cè)能力的反饋中，我們至少可以得出這樣的?企業(yè)仍然在使用那些并非專(zhuān)門(mén)為發(fā)現(xiàn)和保護(hù)API（尤其是高風(fēng)險(xiǎn)、不受管API）而設(shè)計(jì)?安全部門(mén)尚未定義需要檢查和評(píng)估的API風(fēng)險(xiǎn)屬性，也尚未在眾多業(yè)務(wù)單位、開(kāi)發(fā)團(tuán)隊(duì)解決這種脫節(jié)問(wèn)題將會(huì)是一個(gè)不錯(cuò)的開(kāi)始，可以成為企業(yè)投入更多資本來(lái)強(qiáng)化API保護(hù)能力安全通常缺少獲取預(yù)算分配所必要的關(guān)注和支持，因此安全團(tuán)隊(duì)很難協(xié)調(diào)統(tǒng)一，筑造更強(qiáng)防線：協(xié)調(diào)統(tǒng)一，筑造更強(qiáng)防線：WAAP+APWeb應(yīng)用程序和API保護(hù)(WAAP將保護(hù)范圍進(jìn)一步擴(kuò)展到防火墻之外，建立更2024年API安全影響研究|12Akamai不，還不夠頻繁。面向公眾的API如果存在配置錯(cuò)誤、缺乏身份驗(yàn)證控制、嵌入了編碼錯(cuò)誤或者暗藏其他可預(yù)防的風(fēng)險(xiǎn)，對(duì)于攻擊者來(lái)說(shuō)剛好是他們要找的目標(biāo)因此，每次開(kāi)發(fā)團(tuán)隊(duì)將這樣的API投入生產(chǎn)（而沒(méi)有先進(jìn)中給安全團(tuán)隊(duì)增加了未來(lái)的工作負(fù)擔(dān)（這樣的工作無(wú)疑都將是緊迫的，如果在將API發(fā)布到生產(chǎn)環(huán)境之前，通過(guò)自動(dòng)化方式在開(kāi)發(fā)環(huán)境中對(duì)API進(jìn)行頻繁高效的測(cè)試，那么企業(yè)、開(kāi)發(fā)人員和安全團(tuán)隊(duì)都將占得先機(jī)。這樣做的好處是非常顯而易見(jiàn)可以降低未知漏洞造成的壓力，并確保生產(chǎn)環(huán)境中不會(huì)出現(xiàn)錯(cuò)誤，因然而，根據(jù)受訪者的反饋，到目前為止，API測(cè)試并沒(méi)有任何改觀。選擇在整個(gè)API生命?2023年，美國(guó)和英國(guó)受訪者中有18%表示他們進(jìn)行了實(shí)時(shí)測(cè)試。在2024年的同一?2023年，美國(guó)和英國(guó)受訪者中有37%表示他們每天至少測(cè)試一次。2024年，只有13%的受訪者按照這個(gè)頻率進(jìn)行測(cè)試，但德國(guó)受訪者中有26%表示他們每天測(cè)2024年API安全影響研究環(huán)境中對(duì)API進(jìn)行頻繁高效的|13Akamai每周執(zhí)行一次API測(cè)試是各個(gè)地區(qū)受訪者最常見(jiàn)的做法，但在任何地區(qū)，這個(gè)比例都沒(méi)有達(dá)到50%。此外，API測(cè)試的頻率在各個(gè)地區(qū)也有很大差異，從實(shí)時(shí)測(cè)試到完全不測(cè)試都有。值得注API生命周期的任何階段都可能存在漏洞，從開(kāi)發(fā)過(guò)程中的編碼錯(cuò)誤，到用戶開(kāi)始與API交互時(shí)出現(xiàn)的安全漏洞，都可能出現(xiàn)。因此，理想情況下，應(yīng)在開(kāi)發(fā)過(guò)程中進(jìn)行API測(cè)試（左移），并許多數(shù)據(jù)保護(hù)法規(guī)均未提及API，但法規(guī)要求明確側(cè)重于應(yīng)用程序和基礎(chǔ)架構(gòu)（API運(yùn)行環(huán)境）的保護(hù)。合規(guī)要求一直在不斷變化，更多與API相關(guān)的法規(guī)已在制定中，其中包括《美國(guó)隱私權(quán)法案》（目前為草案）和《歐盟網(wǎng)絡(luò)彈性法案》。目前對(duì)API安全有直接影響的法規(guī)和框架包括：?PCIDSS（當(dāng)前版本為4.0.1）?《通用數(shù)據(jù)保護(hù)條例》(GDPR)?《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)?《網(wǎng)絡(luò)和信息安全(NIS2)指令》2024年API安全影響研究|14AkamaiAPI安全受到關(guān)注，但仍缺乏足夠重視如果說(shuō)API攻擊會(huì)造成巨大的代價(jià)并招致罰款，還會(huì)導(dǎo)致客戶信任度下降、員工壓力增加、企會(huì)信任度下降等一系列問(wèn)題，為什么安全團(tuán)隊(duì)沒(méi)有采取更果斷的行動(dòng)？受訪者我們邀請(qǐng)了受訪者確定未來(lái)12個(gè)月內(nèi)網(wǎng)絡(luò)安全方面的主要優(yōu)先事項(xiàng)，讓他們從一份詳盡的列表中選擇最多三項(xiàng)（請(qǐng)參見(jiàn)側(cè)欄）。對(duì)于提及最多的前六個(gè)優(yōu)先事項(xiàng)，受訪者比例只相差個(gè)優(yōu)先事項(xiàng)的受訪者比例只相差1%。這表明不同地區(qū)和行業(yè)對(duì)于網(wǎng)絡(luò)安全優(yōu)先事項(xiàng)的看法相但是，在某些行業(yè)，API排位的差異卻說(shuō)明了另一種情況。例如，相比所有其他行業(yè)，能源/公用事業(yè)部門(mén)最不重視API安全，只有13.2%的受訪者將API安全列為優(yōu)先事項(xiàng)（低于所有調(diào)查受訪者18%的平均比例）。與此同時(shí)，能源/公用事業(yè)部門(mén)報(bào)告API安全事件的比例卻是所有八個(gè)行業(yè)中最高的，為91%，高于84%的平均水平。這說(shuō)明什么？對(duì)API安全重視不足，攻擊率就高。8.防范數(shù)據(jù)丟失—18.6%9.保護(hù)API免受攻擊—17.9%10.保護(hù)應(yīng)用程序的安全—17.7%11.安全信息與事件管理—17.6%12.事件響應(yīng)和管理—17.6%2.防御勒索軟件—20.5%3.確保員工用戶身份驗(yàn)證的安全—19.7%4.管理和保護(hù)開(kāi)發(fā)人員機(jī)密信息—19.6%5.保護(hù)端點(diǎn)的安全—19.2%6.云安全解決方案—19.1%（請(qǐng)選擇最多3項(xiàng)）；受訪人數(shù)為1,207人||15Akamai?CISO認(rèn)為生成式AI輔助的攻擊分別為25.5%和24.8%。?AppSec團(tuán)隊(duì)成員與CISO保持一致，認(rèn)為生成式AI輔助的攻擊優(yōu)先級(jí)最高，持此觀點(diǎn)的受訪者占比為22.5%。么高層安全領(lǐng)導(dǎo)者和一線員工似乎對(duì)API在生成式AI輔驅(qū)動(dòng)的應(yīng)用程序等，而AppSec團(tuán)隊(duì)成員也注意到同樣的情況；只有他們知道，涉及敏感數(shù)據(jù)的AI組件（例如LLM）究竟?jié)摬囟嗌傥粗穆┒?。除此之外，AppSec團(tuán)隊(duì)可以第但主要原因可能也是最簡(jiǎn)單的原因：自上而下和自下而上的溝通不型企業(yè)中），導(dǎo)致高層領(lǐng)導(dǎo)者的優(yōu)先事項(xiàng)與一線團(tuán)隊(duì)每天必須處理的優(yōu)先事項(xiàng)之間出現(xiàn)最后，我們來(lái)將受訪者提出的網(wǎng)絡(luò)安全主要優(yōu)先事項(xiàng)與他們認(rèn)為的API安全事件行比較。如第17頁(yè)所示，他們提及最多的三個(gè)原因都涉及傳統(tǒng)應(yīng)用程序安全工具無(wú)法檢測(cè)API問(wèn)題。通過(guò)比較，我們可以借此展開(kāi)討論，了解為什么API發(fā)現(xiàn)和測(cè)試解不僅可以增強(qiáng)企業(yè)API安全性，還可以換句話說(shuō)，如果合適的API安全工具不僅可以保護(hù)API，還可以提高數(shù)據(jù)、云和應(yīng)用程序等領(lǐng)域的安全性，那么API安全在利益相關(guān)者眼中就不再是一個(gè)孤立的小眾領(lǐng)域。2024年API安全影響研究全性，那么API安全在利益相|16Akamai我們前面分析了首席高管層與一線員工在安全優(yōu)先事項(xiàng)方面的總體差異，在更具體的API威脅問(wèn)題中，這些差異依然存在。例如，就API攻擊的認(rèn)知而言，CIO與AppSec團(tuán)隊(duì)表現(xiàn)一致（每個(gè)職位約全都低大約八個(gè)百分點(diǎn)，約有80%的人報(bào)告稱經(jīng)歷過(guò)API安全事件。不同職位受訪者提及最多的API安全事件原因也各不?CISO：API網(wǎng)關(guān)沒(méi)有進(jìn)行攔截—?資深安全專(zhuān)業(yè)人士：API網(wǎng)關(guān)沒(méi)?AppSec團(tuán)隊(duì)：API配置錯(cuò)誤—23.2%1.API意外暴露到互聯(lián)網(wǎng)—21.8%3.API網(wǎng)關(guān)沒(méi)有進(jìn)行攔截—20.2%4.LLM等生成式AL工具/技術(shù)的API—20.0%5.API配置錯(cuò)誤—19.9%7.微軟等知名的技術(shù)工具/服務(wù)—19.2%上述數(shù)據(jù)基于的調(diào)查問(wèn)題：您認(rèn)為您所在的企業(yè)發(fā)生API安全事件的原因是什么？（最多選擇3項(xiàng)）；受訪人數(shù)為1,207人8.API編碼錯(cuò)誤導(dǎo)致的漏洞—19.1%9.不受管API，例如休眠API或僵尸API—18.9%10.API身份驗(yàn)證控制缺失—18.8%11.授權(quán)漏洞—18.7%12.從互聯(lián)網(wǎng)下載的軟件解決方案—17.6%13.中層軟件解決方案，例如Slack—16.3%2024年API安全影響研究|17Akamai受訪者報(bào)告的API安全事件成本也顯示出從上到下不同職位的認(rèn)知不一致，但必須的是，按職位和地區(qū)進(jìn)行細(xì)分必然會(huì)導(dǎo)致樣本量變小。不過(guò)，各子集中約為73.7萬(wàn)美元，而資深安全專(zhuān)業(yè)人士和AppSec員工報(bào)告的成本分別為大約37.5萬(wàn)美元和大約44.4萬(wàn)美元。在英國(guó)，不同職位的受訪者報(bào)告的成本總體上更一致，但AppSec團(tuán)隊(duì)成員報(bào)告的成本最高，為74.9萬(wàn)英鎊，而CISO報(bào)告的成本最低，為19萬(wàn)英鎊。（中間職位報(bào)告的成本最高為37.4萬(wàn)英鎊，最低為22.2萬(wàn)英鎊。）德國(guó)受訪者報(bào)告的成本差異與英國(guó)相似，職位最低、親身實(shí)踐最多的員工報(bào)告的數(shù)據(jù)最高，為34.5萬(wàn)歐元，而職位最高的CISO報(bào)告的成本最低，為19.7萬(wàn)英鎊（與美國(guó)的調(diào)查結(jié)果相反）。所有地區(qū)不同職位受訪者的一個(gè)普遍共識(shí)是，API安全事件的最大影響是對(duì)員工的影響（請(qǐng)參見(jiàn)第7頁(yè)關(guān)如前所述，我們的研究結(jié)果表明，企業(yè)不同層級(jí)的安全團(tuán)隊(duì)成員對(duì)API安全的看各不相同。但另一方面，他們之間很顯然也存在一些共識(shí)。他們知道API事件的成本），鑒于API安全對(duì)企業(yè)有如此大的影響，接下來(lái)您不妨先確定哪些方面需要加強(qiáng)、哪些方面需要改變，并向領(lǐng)導(dǎo)者證明保護(hù)API安全可以幫助提高盈利水平。您可以在安全內(nèi)從CISO到AppSec團(tuán)隊(duì)建立起關(guān)于API安全優(yōu)先級(jí)的共識(shí)，這是一個(gè)不錯(cuò)的開(kāi)始。然后進(jìn)一步促進(jìn)領(lǐng)導(dǎo)層與一線AppSec團(tuán)隊(duì)成員以及中間管理層的開(kāi)放式溝通。2024年API安全影響研究|18Akamai在報(bào)告的結(jié)尾，我們整理了一系列漸進(jìn)的措施，安全團(tuán)隊(duì)可以參考這些措施來(lái)啟動(dòng)或強(qiáng)化API1從API發(fā)現(xiàn)和監(jiān)測(cè)能力入手為了對(duì)所有API資產(chǎn)進(jìn)行全面清查，您需要尋找能夠用自動(dòng)化方法發(fā)現(xiàn)API及其支持的微服務(wù)的工具。覆蓋范圍的廣度至關(guān)重要，因?yàn)椴皇芄蹵PI（請(qǐng)參見(jiàn)第10頁(yè)的側(cè)欄）是攻擊者的主2完善API測(cè)試選擇一種API安全解決方案，讓您能夠輕松測(cè)試API是否有編碼措施，是否可以發(fā)揮預(yù)期作用。理想的做法是在部署之前進(jìn)行測(cè)試，但對(duì)生產(chǎn)環(huán)境中的所有API進(jìn)行測(cè)試也很重要3對(duì)API進(jìn)行充分記錄審核整個(gè)API環(huán)境以識(shí)別API配置錯(cuò)誤或其他錯(cuò)誤非常重要。審核過(guò)程還應(yīng)確保對(duì)每個(gè)API進(jìn)行充分記錄，并確定API是否包含敏感數(shù)據(jù)或缺乏適當(dāng)?shù)陌踩刂啤＿@也有助于您做好必要的準(zhǔn)備，確保滿足與API安全直接或間接相關(guān)的合規(guī)要求（請(qǐng)參見(jiàn)第14頁(yè)）。利用API安全解決方案的自動(dòng)運(yùn)行時(shí)檢測(cè)功能，您將能夠區(qū)分“正?！焙汀爱惓！钡腁PI活在API安全防護(hù)更為成熟的階段，您將能夠?qū)^(guò)往的威脅數(shù)據(jù)進(jìn)行取證分析，了解系統(tǒng)是否正確識(shí)別不同的威脅并觸發(fā)相應(yīng)的告警，并確認(rèn)是否出現(xiàn)了新型攻擊模式，2024年API安全影響研究|19Akamai今年的報(bào)告明確指出，網(wǎng)絡(luò)安全（本報(bào)告中具體指API安全）不僅僅涉及威脅列表或工具，還我們的研究證實(shí)，安全團(tuán)隊(duì)已經(jīng)不堪重負(fù)，從團(tuán)隊(duì)的工作負(fù)擔(dān)來(lái)講，增似乎讓人難以接受。但API的激增不會(huì)停止，而且采取API保護(hù)措施可以對(duì)其他許多高優(yōu)先級(jí)事項(xiàng)產(chǎn)生顯著的協(xié)同效應(yīng)。例如對(duì)于生成式AI漏洞，可以保護(hù)與LLM交換數(shù)據(jù)的API；對(duì)于云我們深信，積極主動(dòng)地對(duì)待API安全不僅可以保護(hù)企業(yè)，還可以讓安全團(tuán)隊(duì)在同行、領(lǐng)導(dǎo)者和董事會(huì)眼中更加可靠和可信，能夠就這一關(guān)鍵攻擊媒介達(dá)成一致觀念并獲減輕團(tuán)隊(duì)的壓力大有益處，因?yàn)楦鶕?jù)調(diào)查結(jié)果，API安全事件及其引發(fā)的審查，以及在同事和?如果您已準(zhǔn)備好為建立成熟的API安全態(tài)勢(shì)邁出第一步，建議您先閱讀我們的《API