API 安全性调查报告：大多数企业未做好防护准备

文章重点

• 92% 的组织增加了 API 的使用，但 62% 承认三分之一或更多的 API 是未记录的。
• 虽然 92% 认为他们的 API 受到充分保护，但这些未记录的 API 使企业容易受到网路威胁。
• 随著云端应用的转型，API 安全性问题日益严重，95% 的组织已经遭遇 API 事件。

Radware 在最近的一份报告中表示，92% 的受访组织显示其 API 使用量明显或有所增加，其中 59%
的组织已经将大部分应用程式运行在云端中。

然而，尽管有 92% 的受访者认为他们为 API 提供了足够的保护，以及 70% 认为他们能够查看处理敏感数据的应用，但 62%
的人承认有三分之一或更多的 API 是未记录的。这些未记录的 API 使得组织在面对网路威胁时变得非常脆弱，包括数据库暴露、数据泄漏和抓取攻击等问题。

“这造成了保护上的重大缺口，使得 API 更加暴露和脆弱，”Radware 应用安全与交付的资深主任 Prakash Sinha
表示。“快速的云端转型问题愈加严重，因为大多数云原生应用都是通过 API 建立的，并可以在网路上访问，未保护的 API
将导致数据泄漏。对那些未记录且未安全的 API，恶意威胁的可能性和损害将会更大。”

Salt Security 副总裁 Michelle McLean 表示，云原生设计依赖于新的技术堆叠，如容器、Kubernetes 和服务网格，因此
API 的开发、整合和使用变得必不可少，最终产生了更大的攻击面。除了云端的复杂性外，McLean还表示，云端还增加了某些资产的暴露，这一点比传统的数据中心环境更难以理解。

“因此，API 攻击的数量和严重性显著上升，95% 的组织经历过 API 事件，”McLean 指出。“这项研究强调了 API
安全性在优先事项上极大地被低估，现在是时候提升重视程度并整合足够的解决方案，因为旧有的工具已经无法满足需求。”

StackHawk 的共同创始人兼首席安全官 Scott Gerlach 也提到，随著工作负载越来越多地分布在不同的云端上，开发团队转向 API驱动的架构，了解每个端点的情况已成为安全的重要部分。他指出，Bumble 和 Coinbase 最近发生的 API 事件仅是这一问题重要性的两个例子。

“记录 API 是改善组织安全姿态的良好第一步，这为安全和开发团队的合作提供了机会，”Gerlach
表示。“现代安全测试工具可以读取这些文档，确保每次开发人员提交代码时都对 API 进行全面的安全测试，以增强组织的防护。”