F5(NASDAQ: FFIV)日前发布《2024 年应用策略现状报告:API 安全》(以下简称为“报告”),揭示了跨行业 API 安全面临的严峻现状。该报告强调了企业 API 保护方面的重大漏洞,这些漏洞可能迫使它们面临危及企业安全和运营的潜在威胁。而这些挑战正因当今数字领域中 API 的迅速扩散而不断加剧。
此次报告调查发现,不到 70% 的面向客户的 API 使用 HTTPS(超文本传输安全协议)进行安全保护,这表明近三分之一的 API 完全未受保护。这与过去十年推动安全网络通信后,现在 90% 的网页通过 HTTPS 访问形成了鲜明对比。
“API 正在成为数字化转型工作的支柱,连接企业组织内部的关键服务和应用。然而,正如我们的报告所指出的,许多企业组织并没有跟上保护这些宝贵资产所需的安全要求,尤其是在新兴的人工智能(AI)驱动的威胁背景下。”F5 工程师 Lori MacVittie 表示。
《2024 年应用策略现状报告:API 安全》的关键洞察包括:
快速增长和多元化的环境。目前,平均每个企业组织正管理着 421 个不同的 API,其中大部分托管在公共云环境中。尽管有所增长,当前仍有大量 API,尤其是面向客户的 API,未受到安全保护。
不断演进的 API 使用和安全需求。随着 API 越来越多地连接到 AI 服务,例如 OpenAI 等,安全模型必须适应覆盖入站和出站 API 流量。当前做法主要集中在入站流量上,从而导致出站 API 调用易受到攻击。
分散的 API 安全责任。报告揭示了企业组织内部对 API 安全的职责分配较为分散,其中 53% 由应用安全团队负责,而 31% 则由 API 管理和集成平台承担。这种职责划分可能导致安全措施的不全面和不一致,进而引发潜在的安全风险。
对可编程安全解决方案的高需求。受访者将可编程性评为最有价值的 API 安全能力,强调了对 API 流量和威胁进行实时检查和响应的必要性。
为解决这些安全漏洞,报告建议企业组织采取全面的安全策略,以覆盖从设计到部署的 API 全生命周期,从而有效填补安全漏洞。通过将 API 安全集成到开发和运营阶段,企业组织可以更好地保护其数字资产免受不断增长的威胁。
MacVittie 补充表示,“API 是 AI 时代不可或缺的一部分,但必须确保它们的安全,以确保 AI 和数字服务能够安全有效地运行。这份报告呼吁企业组织重新评估其 API 安全策略,并采取必要的措施来保护其数据和服务。”
完整《2024 年应用策略现状报告:API 安全》可以点击:https://www.f5.com/go/report/state-of-application-strategy-report-api-security#
点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!
一个周末重写所有代码,性能提升10倍!没有这个1000 倍工程师,就没有现在的谷歌地图
Linus 大佬展现恐怖业务实力:只改动 21 行代码,Linux 性能狂升 2.6%
Kubernetes 是一条“死胡同”!?6 年挣扎后,Gitpod 另辟蹊径打造全新开发环境
就在 12 月 13 日 -14 日,AICon 将汇聚 70+ 位 AI 及技术领域的专家,深入探讨大模型与推理、AI Agent、多模态、具身智能等前沿话题。此外,还有丰富的圆桌论坛、以及展区活动,满足你对大模型实践的好奇与想象。现在正值 9 折倒计时,名额有限,快扫码咨询了解详情,别错过这次绝佳的学习与交流机会!