2024年API安全影响研究报告.pdf

010010011{$};

101000011

010100101

010011001

101010001

100100101

API事件对您和

团队的影响

Akamai《互联网现状》(SOTI)报告的姊妹篇

目录

3前言

6API安全现状

API攻击是否会对企业及其安全团队产生重大影响？

对API及潜在风险的监测能力是否足够？

API测试是否足够频繁，可以降低滥用或漏洞风险？

15API安全受到关注，但仍缺乏足够重视

企业内不同职位的人员如何看待API安全的重要性？

对API安全事件的看法不一是否表明企业没有统一的权威信息来源？

18如何实现更成熟的API安全态势

可以采取的措施

20结论

执行摘要

API安全影响研究（原《API安全认知脱节》报告）现已进入第三年，今年的研究对美国、

英国和德国（2024年新增）的1,207名领导者和从业人员进行了调查，并根据调查结果探讨

了API保护的现状。此研究调查的内容包括企业发生API安全事件的情况，包括发生的频

率、原因和影响；以及安全部门如何应对API相关的攻击风险。

为了获得全面的信息，我们调查了不同行业和不同职位的人员，包括：

CISO、CIO、CTO、资深安全专业人士和AppSec团队成员，这些人员来自不同规模

的企业，从500人以下到1,000人以上都有

八个行业：金融服务、零售/电子商务、医疗保健、政府/公共部门、制造业、能源/公

用事业，以及（2024年新增）汽车和保险

2024年API安全影响研究|2

前言

尽管有数据显示API攻击十分普遍而且极具破坏性，API仍然经常被视为一种新兴攻

击媒介。我们不妨看看以下数据：

•根据Akamai最近的一份《互联网现状》(SOTI)报告，2023年1月到2024年

6月，有记录的API攻击达到了1,080亿次。

•2024年5月的Gartner®《API保护市场指南》提到，“当前数据表明，常规

API漏洞导致的数据泄露至少是常规安全漏洞的10倍。”*

•攻击活动也日益增多。SOTI报告还指出，2023年第一季度至2024年第一季度

期间，Web应用程序和API攻击合计增加了49%。

这样的增长并不令人意外。其背后的原因在于，几乎所有推动数字化项目（生成式AI

工具、面向客户的应用程序、云服务等）的技术都使用API来实现通信和数据交换，

然而许多API并未得到充分的保护，存在身份验证缺失、配置错误甚至彻底被遗忘等

问题。这使得API成为网络犯罪分子眼中极富吸引力而且经济高效的攻击媒介。攻击

者只需要找到一个存在漏洞的API，然后很快就可以直接获取调用API时返回的所有许多API未得到充分的保护，

使得API成为网络犯罪分子眼

数据，这些数据可能会达到成千上万条记录。

中极富吸引力而且经济高效的

总体而言，我们的研究表明，API安全尚未成为综合安全策略的重要组成部分。大多