2024 年API 安全影响报告.docx

{$};010010011

{$};

101000011

010100101

010011001

101010001

100100101

API状态:安全

API事件对您和团队的影响

Akamai《互联网现状》(SOTI)报告的姊妹篇

3

3

6

目录

前言

API安全现状

API攻击是否会对企业及其安全团队产生重大影响？

对API及潜在风险的监测能力是否足够？

API测试是否足够频繁，可以降低滥用或漏洞风险？

1518

15

18

20

API安全受到关注，但仍缺乏足够重视

企业内不同职位的人员如何看待API安全的重要性？

对API安全事件的看法不一是否表明企业没有统一的权威信息来源？如何实现更成熟的API安全态势

可以采取的措施结论

执行摘要

API安全影响研究（原《API安全认知脱节》报告）现已进入第三年，今年的研究对美国、

英国和德国（2024年新增）的1,207名领导者和从业人员进行了调查，并根据调查结果探讨了API保护的现状。此研究调查的内容包括企业发生API安全事件的情况，包括发生的频

率、原因和影响；以及安全部门如何应对API相关的攻击风险。

为了获得全面的信息，我们调查了不同行业和不同职位的人员，包括：

CISO、CIO、CTO、资深安全专业人士和AppSec团队成员，这些人员来自不同规模的企业，从500人以下到1,000人以上都有

八个行业：金融服务、零售/电子商务、医疗保健、政府/公共部门、制造业、能源/公用事业，以及（2024年新增）汽车和保险

2024年API安全影响研究|2

Akamai

前言

尽管有数据显示API攻击十分普遍而且极具破坏性，API仍然经常被视为一种新兴攻击媒介。我们不妨看看以下数据：

?根据Akamai最近的一份《互联网现状》(SOTI)报告，2023年1月到2024年6月，有记录的API攻击达到了1,080亿次。

?2024年5月的Gartner?《API保护市场指南》提到，“当前数据表明，常规API漏洞导致的数据泄露至少是常规安全漏洞的10倍。”*

?攻击活动也日益增多。SOTI报告还指出，2023年第一季度至2024年第一季度期间，Web应用程序和API攻击合计增加了49%。

这样的增长并不令人意外。其背后的原因在于，几乎所有推动数字化项目（生成式AI工具、面向客户的应用程序、云服务等）的技术都使用API来实现通信和数据交换，然而许多API并未得到充分的保护，存在身份验证缺失、配置错误甚至彻底被遗忘等问题。这使得API成为网络犯罪分子眼中极富吸引力而且经济高效的攻击媒介。攻击者只需要找到一个存在漏洞的API，然后很快就可以直接获取调用API时返回的所有数据，这些数据可能会达到成千上万条记录。

总体而言，我们的研究表明，API安全尚未成为综合安全策略的重要组成部分。大多数企业将API攻击视为新兴威胁，然后从攻击数据来看，API攻击数量正在不断增

加，而且攻击者往往会得逞。另外，调查发现API攻击造成的财务影响和团队压力也不容忽视。从我们2024年的调查结果中，您可以了解API安全事件对同行及他们所在企业的影响。我们希望这些数据能帮助您的团队更好地评估API保护措施并进行必要的改进。

*GARTNER是Gartner,Inc.和/或其附属机构在美国和全球的注册商标和服务标志，已获许可在本文中使用。保留所有权利。

2024年API安全影响研究

许多API未得到充分的保护，使得

许多API未得到充分的保护，使得API成为网络犯罪分子眼中极富吸引力而且经济高效的攻击媒介。

|3

Akamai

总体发现：API事件影响企业正常运营并给团队造成压力

我们2024年的研究结果表明，API是一个日益突出的攻击媒介，给安全团队带来了很大的挑战。受访者在以下几个方面表现出惊人的一致：

?连续三年见证API安全事件增多

?为解决API相关事件并恢复业务正常运行，平均耗费