盡管技術不斷進步,企業(yè)在API安全方面的準備工作卻未能跟上步伐。API作為現代數字經濟的支柱,其安全性直接影響到企業(yè)的運營穩(wěn)定性和財務健康。然而,許多企業(yè)在制定安全策略時,往往低估了API的復雜性和潛在風險。
Akamai亞太地區(qū)及日本安全技術與戰(zhàn)略總監(jiān) Reuben Koh 表示:“API 已成為一項關鍵技術,為從移動銀行業(yè)務到聯網車輛的一切提供支持。但我們的研究表明,亞太地區(qū)的企業(yè)在保護 API 方面仍然捉襟見肘。對各企業(yè)來說,就 API 安全事件的根本原因、影響和優(yōu)先級達成共識至關重要,這樣他們才能實施全面的安全戰(zhàn)略,在從開發(fā)到運行時的各個階段保護關鍵 API。”
該研究邀請中國、印度、日本和澳大利亞的 800 多位 IT 及安全專業(yè)人士參與了調查,描繪了企業(yè)因不安全的 API 而面臨的日益嚴重的風險。API 現已成為現代數字基礎架構的支柱,該地區(qū) 85% 的企業(yè)表示,在過去 12 個月內至少經歷過一起與 API 相關的安全事件。財務影響也同樣令人擔憂,在接受調查的市場中,解決 API 安全事件的平均估計成本超過 58 萬美元。盡管如此,很多企業(yè)仍然缺乏對其 API 生態(tài)系統和所暴露的敏感數據的監(jiān)測能力。
風險與應對措施脫節(jié)
該研究發(fā)現,在所有四個國家中,認知與現實之間存在巨大差距:
● 高管層的相關意識較高,但運營監(jiān)測能力較低:亞太地區(qū) 92% 的企業(yè)高層領導表示其企業(yè)在過去 12 個月內經歷過 API 事件,但只有 37% 的受訪者確認他們知道哪些 API 會暴露敏感數據。
● 測試開展情況參差不齊:雖然事件發(fā)生率較高,但該地區(qū)只有很少一部分受訪者表示會進行實時 API 測試,中國、印度、日本和澳大利亞的相關受訪者占比分別為 22%、15%、11% 和 6%。
這些脫節(jié)問題反映出企業(yè)面臨更大的挑戰(zhàn):企業(yè)保護 API 的速度趕不上部署 API 的速度,給攻擊者留下了可乘之機。Koh 補充道:“這個問題已從理論轉變?yōu)楝F實。API 濫用正在發(fā)生,并造成了實際的財務和聲譽損失。領導團隊必須縮小與安全和應用程序安全專業(yè)人員之間的認識差距,和他們密切合作并投資于正確的工具、流程,齊心協力保護這項關鍵技術。”
合規(guī)性敲響了警鐘
該研究還發(fā)現,雖然大多數企業(yè)將 API 納入了其合規(guī)計劃,但只有少數企業(yè)會全面實施此計劃。只有 41% 的受訪者會將 API 納入風險評估,只有 40% 的受訪者會將 API 納入報告要求。此外,日本對 API 相關合規(guī)性要求的認知也落后于該地區(qū)的其他國家,有 22% 的受訪者表示他們并未將 API 安全納入合規(guī)工作中。
從中國的《數據安全法》到澳大利亞的《消費者數字權利法規(guī)》,在合規(guī)和安全框架中考慮 API 風險的需求正在迅速增長。隨著 API 成為數字業(yè)務的連接紐帶,保護它們需要采取深思熟慮的端到端方法。該報告建議,亞太地區(qū)的企業(yè)應當優(yōu)先考慮構建持久的恢復能力,包括全面清點 API、定期進行測試以確保 API 編碼正確、實施運行時檢測以區(qū)分“正常”和“異常”API 活動等。
