中國(guó)市場(chǎng)關(guān)鍵洞察：

1. API安全關(guān)注點(diǎn)主要集中在身份驗(yàn)證和訪問(wèn)控制
2. API安全全生命周期將訪問(wèn)控制和態(tài)勢(shì)管理置于優(yōu)先事項(xiàng)
3. API安全解決方案聚焦于API網(wǎng)關(guān)以及人工智能/機(jī)器學(xué)習(xí)解決方案，以解決關(guān)鍵安全問(wèn)題

F5（NASDAQ：FFIV）近期在亞太地區(qū)發(fā)布全新研究報(bào)告《2024策略洞察：亞太地區(qū)API安全報(bào)告》（以下簡(jiǎn)稱(chēng)為“報(bào)告”），調(diào)查顯示亞太地區(qū)企業(yè)正愈加依賴基于人工智能/機(jī)器學(xué)習(xí)（AI/ML）驅(qū)動(dòng)的解決方案應(yīng)對(duì)應(yīng)用程序接口（API）帶來(lái)的廣泛復(fù)雜安全挑戰(zhàn)。隨著API持續(xù)成為推動(dòng)數(shù)字化體驗(yàn)的關(guān)鍵，該報(bào)告全面檢視了當(dāng)前在亞太地區(qū)范圍內(nèi)面臨的API安全挑戰(zhàn)與機(jī)遇。

隨著網(wǎng)絡(luò)犯罪分子越來(lái)越多地將API作為攻擊目標(biāo)，五分之一的亞太地區(qū)受訪企業(yè)已開(kāi)始采用AI/ML技術(shù)來(lái)檢測(cè)和緩解傳統(tǒng)安全措施可能忽略的復(fù)雜威脅，例如服務(wù)端請(qǐng)求偽造 (SSRF)。而在中國(guó)，由于SOAP等傳統(tǒng)API協(xié)議的廣泛應(yīng)用及其復(fù)雜的授權(quán)需求，13%的受訪者表示優(yōu)先關(guān)注具有更細(xì)粒度訪問(wèn)控制的 “功能級(jí)別授權(quán)失效” 。此外，API網(wǎng)關(guān)因可提供訪問(wèn)控制等強(qiáng)大安全功能，并緩解敏感業(yè)務(wù)訪問(wèn)無(wú)限制等安全漏洞，而在亞太地區(qū)（20%）企業(yè)中被廣泛采用。同時(shí)，API網(wǎng)關(guān)的部署與中國(guó)普遍使用的傳統(tǒng)協(xié)議（例如REST和SOAP）的安全性需求相契合，可確保對(duì)API流量和訪問(wèn)進(jìn)行穩(wěn)健控制，而備受中國(guó)受訪者（25.4%）重視。

盡管亞太地區(qū)企業(yè)希望在運(yùn)行時(shí)保護(hù)其API，但他們也更加意識(shí)到從開(kāi)發(fā)階段就開(kāi)始保護(hù)API的重要性，因此擁有穩(wěn)健的代碼安全標(biāo)準(zhǔn)和實(shí)踐（17.5%）已成為該地區(qū)企業(yè)抵御復(fù)雜漏洞的根本策略，例如對(duì)象級(jí)別授權(quán)失效、安全配置錯(cuò)誤，以及 SSRF等。在中國(guó)，將代碼安全置于優(yōu)先位置已成為降低API風(fēng)險(xiǎn)的關(guān)鍵策略，因?yàn)榇_保API在代碼層面沒(méi)有漏洞對(duì)于防止安全缺陷被利用至關(guān)重要，特別是代碼安全解決方案在緩解OWASP提出的安全風(fēng)險(xiǎn)方面發(fā)揮著重要作用，例如安全配置錯(cuò)誤和未受限制的資源消耗。

F5亞太地區(qū)、中國(guó)和日本首席技術(shù)官M(fèi)ohan Veloo表示，“應(yīng)用已成為網(wǎng)絡(luò)犯罪的前沿陣地，網(wǎng)絡(luò)犯罪分子越來(lái)越多地將API視為突破口。在亞太地區(qū)，隨著網(wǎng)絡(luò)犯罪分子利用AI驅(qū)動(dòng)的工具，我們目睹到攻擊數(shù)量不斷增加，速度、規(guī)模和復(fù)雜性也日益提高。正因如此，對(duì)于亞太地區(qū)企業(yè)，尤其是尋求提供AI驅(qū)動(dòng)服務(wù)的企業(yè)而言，保護(hù)API連接及其承載的數(shù)據(jù)已成為至關(guān)重要的安全挑戰(zhàn)?！?/span>

如今，API 安全的重要性與日俱增，但其復(fù)雜性也達(dá)到前所未有的程度。報(bào)告發(fā)現(xiàn)，越來(lái)越多企業(yè)正將安全左移融入API全生命周期管理，同時(shí)增強(qiáng)在部署后實(shí)施的安全防護(hù)。F5通過(guò)將先進(jìn)的 API 代碼測(cè)試和遙測(cè)分析技術(shù)引入F5分布式云服務(wù)（F5 Distributed Cloud Services），以打造業(yè)界最全面的AI就緒型API安全解決方案。F5分布式云服務(wù)通過(guò)在單一平臺(tái)上提供API發(fā)現(xiàn)、測(cè)試、態(tài)勢(shì)管理和運(yùn)行時(shí)保護(hù)，助力企業(yè)從代碼到云端實(shí)現(xiàn)真正的可見(jiàn)性和安全性。

《2024策略洞察：亞太地區(qū)API安全報(bào)告》中的關(guān)鍵洞察：

1. 亞太地區(qū)面臨著獨(dú)特 API 安全挑戰(zhàn)：與全球 OWASP 排名相比，亞太地區(qū)企業(yè)API安全挑戰(zhàn)排名存在差異。身份認(rèn)證失效、服務(wù)端請(qǐng)求偽造，以及安全配置錯(cuò)誤成為亞太地區(qū)首要關(guān)注點(diǎn)。對(duì)安全配置錯(cuò)誤的持續(xù)擔(dān)憂是中國(guó)（9%）和亞太地區(qū)（13%）共同面臨的問(wèn)題。這一持續(xù)存在的問(wèn)題表明，企業(yè)在維護(hù)安全的API配置方面正面臨著嚴(yán)峻挑戰(zhàn)。
2. 亞太地區(qū) API 安全全生命周期側(cè)重于安全測(cè)試和訪問(wèn)控制：這一側(cè)重凸顯了預(yù)防措施的重要性，旨在減輕與未經(jīng)授權(quán)訪問(wèn)相關(guān)的風(fēng)險(xiǎn)，并在部署之前確保穩(wěn)健的API安全。另一方面，在中國(guó)，企業(yè)將訪問(wèn)控制（58%）、API態(tài)勢(shì)管理（44%），以及API發(fā)現(xiàn)和映射（56%）置于優(yōu)先事項(xiàng)，以確保API始終符合安全策略和最佳實(shí)踐。
3. 亞太地區(qū)API安全測(cè)試方法日趨成熟：企業(yè)正將傳統(tǒng)方法，例如靜態(tài)應(yīng)用安全測(cè)試（SAST）（54%）和動(dòng)態(tài)應(yīng)用安全測(cè)試（DAST）（51%）與新興策略，例如動(dòng)態(tài)API安全測(cè)試（51%）相結(jié)合。這一做法充分反映了行業(yè)對(duì)多樣化測(cè)試策略重要性的廣泛認(rèn)可。
4. 外部用戶控制成為亞太地區(qū)API訪問(wèn)控制的首要關(guān)注點(diǎn)：亞太地區(qū)企業(yè)對(duì)外部用戶控制（59%）的潛在風(fēng)險(xiǎn)表示出高度擔(dān)憂。其他優(yōu)先事項(xiàng)包括遵守既定標(biāo)準(zhǔn)（54%）以及安全的應(yīng)用間交互（49%）。這反映了在如今互聯(lián)互通日益增長(zhǎng)的趨勢(shì)下，構(gòu)建全面的安全框架的重要性，確保企業(yè)能夠有效應(yīng)對(duì)不斷演變的API風(fēng)險(xiǎn)。
5. 高度重視數(shù)據(jù)保護(hù)免遭泄露和篡改：數(shù)據(jù)泄露（53.3%）是亞太地區(qū)企業(yè)在API運(yùn)行時(shí)保護(hù)方面最為關(guān)注的問(wèn)題，這突出了保護(hù)敏感信息的重要性。此外，業(yè)界還廣泛重視維護(hù)數(shù)據(jù)完整性（27.7%），并通過(guò)檢測(cè)和掩碼技術(shù)（23.4%）保護(hù)敏感信息。
6. 重點(diǎn)強(qiáng)調(diào)發(fā)現(xiàn)高風(fēng)險(xiǎn)API和監(jiān)控API的使用情況：亞太地區(qū)企業(yè)最關(guān)注識(shí)別可能暴露敏感數(shù)據(jù)或漏洞的API（63%），并通過(guò)理解API使用模式檢測(cè)可能導(dǎo)致泄露或誤用的異常模式（56%）。僵尸API（42%）和影子API（39%）的優(yōu)先級(jí)稍低，但仍是關(guān)注重點(diǎn)。