根据 F5 的数据,70% 面向客户的 API 使用 HTTPS 进行安全保护,但仍有近三分之一的 API 完全未受保护。
在过去十年中,随着安全网络通信的推动,现在90%的网页都是通过HTTPS访问的,这与此形成了鲜明对比。
“F5公司杰出工程师Lori MacVittie表示:”API正在成为数字化转型工作的支柱,连接着各组织的关键服务和应用。“然而,正如我们的报告所指出的,许多组织并没有跟上保护这些宝贵资产所需的安全要求,尤其是在新兴人工智能驱动的威胁背景下。”
目前,平均每个组织管理着 421 个不同的 API,其中大部分托管在公共云环境中。尽管有所增长,但仍有大量 API(尤其是面向客户的 API)没有受到保护。
随着 API 越来越多地连接到 OpenAI 等人工智能服务,安全模式必须进行调整,以涵盖入站和出站 API 流量。目前的做法主要集中在入站流量上,出站 API 调用容易受到攻击。
80% 的企业在 API 设计阶段就开始考虑 API 安全问题。此外,59% 的企业表示,他们在 API 生命周期的每个阶段都考虑到了安全问题。87% 的企业已经采用或计划采用安全开发生命周期 (SDLC) 实践,这些实践强调在生命周期的每个阶段都要解决安全问题。
从微服务架构中的 mTLS,到访问控制、DDoS 和僵尸防御,一些 API 处于安全服务的泡沫之中、
以及针对 API 的安全措施。因此,这些 API 一般都得到了很好的保护。但也有一小部分(不到 10%)完全没有受到保护。鉴于 API 在大多数组织中的广泛使用,这可能并不令人担忧。然而,在面向客户的 API 中,完全不受保护的 API 所占比例令人震惊(超过 30%,接近三分之一)。
无论是在公众和合作伙伴访问的应用程序中,还是在操作集成中,让任何 API 不受保护都是不明智的。采用零信任安全模式的组织需要将其思维扩展到应用程序之外,以确保每个 API 请求(无论其来源如何)都经过验证、授权和确认。
报告显示,企业内部对应用程序接口安全的责任划分不清,53%的企业通过应用程序接口管理和集成平台来管理应用程序接口安全,31%的企业通过应用程序接口管理和集成平台来管理应用程序接口安全。这种分工可能导致覆盖范围的空白和安全实践的不一致。
受访者将可编程性列为最有价值的 API 安全能力,强调了对 API 流量和威胁进行实时检查和响应的必要性。
为了解决这些安全漏洞,报告建议企业采用全面的安全解决方案,涵盖从设计到部署的整个 API 生命周期。通过将API安全整合到开发和运营阶段,企业可以更好地保护其数字资产免受日益增多的威胁。
“MacVittie补充说:”API是人工智能时代不可或缺的一部分,但必须确保API的安全,以确保人工智能和数字服务能够安全有效地运行。“这份报告呼吁企业采取行动,重新评估其 API 安全战略,并采取必要措施保护其数据和服务。”
发表评论
您还未登录,请先登录。
登录