API 安全公司 Salt Security 發(fā)布的一份《State of API Security Report, Q3 2021》報(bào)告指出，針對(duì)應(yīng)用程序編程接口的攻擊流量正在以普通 API 流量的三倍速度增長(zhǎng)。該報(bào)告基于六個(gè)月的數(shù)據(jù)，揭示了解決 API 安全性的重大挑戰(zhàn)。報(bào)告發(fā)現(xiàn)，安全問(wèn)題在 API 項(xiàng)目關(guān)注的名單中名列前茅，很少有受訪者認(rèn)為他們有信心識(shí)別和阻止 API 攻擊。

[[415102]]

在過(guò)去的六個(gè)月中，Salt 客戶數(shù)據(jù)顯示整體 API 流量增長(zhǎng)了 141%;與此同時(shí)，API 攻擊流量則增長(zhǎng)了 348%。這一發(fā)現(xiàn)揭示了由數(shù)字化轉(zhuǎn)型和信息技術(shù)現(xiàn)代化項(xiàng)目推動(dòng)的 API 使用快速增長(zhǎng)的安全后果。

Salt Security 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Roey Eliyahu 稱，“API 及其訪問(wèn)的寶貴數(shù)據(jù)是當(dāng)今以數(shù)據(jù)和應(yīng)用為中心的經(jīng)濟(jì)的關(guān)鍵所在。然而，API 仍然是任何組織的應(yīng)用程序或軟件堆棧中最脆弱的元素之一。據(jù)了解，我們?cè)谖覀冎С值?90% 的潛在客戶的 API 中發(fā)現(xiàn)了關(guān)鍵的安全漏洞。這份報(bào)告對(duì)這些傳聞進(jìn)行了量化，強(qiáng)調(diào)了企業(yè)每天面臨的 API 安全風(fēng)險(xiǎn)。隨著 API 的采用和流量的加快，安全風(fēng)險(xiǎn)也在增加。正如我們?cè)谶@份報(bào)告中所看到的那樣，API 旨在促進(jìn)創(chuàng)新，而不是扼殺創(chuàng)新。”

報(bào)告分析了 API 的最常見(jiàn)用途，發(fā)現(xiàn)有 61% 的受訪者將 API 用于平臺(tái)或系統(tǒng)集成，52% 的人使用它們來(lái)推動(dòng)數(shù)字化轉(zhuǎn)型，47% 的人使用它們來(lái)標(biāo)準(zhǔn)化或提高應(yīng)用程序和軟件開(kāi)發(fā)的效率。但所有人都遇到了問(wèn)題，其中 64% 的受訪者由于 API 安全問(wèn)題而推遲了應(yīng)用程序的推出。

46% 的受訪者在談到 API 時(shí)將安全問(wèn)題列為他們最擔(dān)心的問(wèn)題。對(duì)缺乏預(yù)生產(chǎn)安全性的擔(dān)憂是最高的反應(yīng) (26%)，緊隨其后的是對(duì)程序沒(méi)有充分解決運(yùn)行時(shí)安全性的擔(dān)憂 (20%)，沒(méi)有驅(qū)動(dòng)足夠的可觀察性和控制以 14% 的比例排在前三名。

近一半的受訪者表示他們?cè)噲D通過(guò)他們的 WAF 或 API 網(wǎng)關(guān)識(shí)別 API 攻擊者，而 12% 的受訪者承認(rèn)他們無(wú)法識(shí)別 API 攻擊者。大約 62% 的組織被發(fā)現(xiàn)沒(méi)有針對(duì) API 安全的策略或只有基本的策略。

報(bào)告中的一些其他發(fā)現(xiàn)包括有：

• 40% 的受訪者將“僵尸 API”的風(fēng)險(xiǎn)列為他們最關(guān)心的問(wèn)題，幾乎是第二大關(guān)注領(lǐng)域(帳戶接管)的三倍。
• 85% 的受訪者對(duì)其 API 清單的完整性存在疑問(wèn)。
• 55% 的受訪者將運(yùn)行時(shí)保護(hù)列為 API 安全的重中之重，也是 API 安全平臺(tái)最受重視的屬性。
• 85% 的受訪者對(duì)他們知道哪些 API 會(huì)暴露敏感數(shù)據(jù)缺乏信心。

詳情可查看完整報(bào)告：https://salt.security/api-security-trends

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：API 攻擊流量增長(zhǎng)速度是整體 API 流量的三倍

本文地址：https://www.oschina.net/news/153469/api-attack-traffic-growing