API 安全公司 Salt Security 發(fā)布的一份《State of API Security Report, Q3 2021》報告指出，針對應用程序編程接口的攻擊流量正在以普通 API 流量的三倍速度增長。該報告基于六個月的數(shù)據(jù)，揭示了解決 API 安全性的重大挑戰(zhàn)。報告發(fā)現(xiàn)，安全問題在 API 項目關注的名單中名列前茅，很少有受訪者認為他們有信心識別和阻止 API 攻擊。

[[415102]]

在過去的六個月中，Salt 客戶數(shù)據(jù)顯示整體 API 流量增長了 141%;與此同時，API 攻擊流量則增長了 348%。這一發(fā)現(xiàn)揭示了由數(shù)字化轉(zhuǎn)型和信息技術現(xiàn)代化項目推動的 API 使用快速增長的安全后果。

Salt Security 聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Roey Eliyahu 稱，“API 及其訪問的寶貴數(shù)據(jù)是當今以數(shù)據(jù)和應用為中心的經(jīng)濟的關鍵所在。然而，API 仍然是任何組織的應用程序或軟件堆棧中最脆弱的元素之一。據(jù)了解，我們在我們支持的 90% 的潛在客戶的 API 中發(fā)現(xiàn)了關鍵的安全漏洞。這份報告對這些傳聞進行了量化，強調(diào)了企業(yè)每天面臨的 API 安全風險。隨著 API 的采用和流量的加快，安全風險也在增加。正如我們在這份報告中所看到的那樣，API 旨在促進創(chuàng)新，而不是扼殺創(chuàng)新。”

報告分析了 API 的最常見用途，發(fā)現(xiàn)有 61% 的受訪者將 API 用于平臺或系統(tǒng)集成，52% 的人使用它們來推動數(shù)字化轉(zhuǎn)型，47% 的人使用它們來標準化或提高應用程序和軟件開發(fā)的效率。但所有人都遇到了問題，其中 64% 的受訪者由于 API 安全問題而推遲了應用程序的推出。

46% 的受訪者在談到 API 時將安全問題列為他們最擔心的問題。對缺乏預生產(chǎn)安全性的擔憂是最高的反應 (26%)，緊隨其后的是對程序沒有充分解決運行時安全性的擔憂 (20%)，沒有驅(qū)動足夠的可觀察性和控制以 14% 的比例排在前三名。

近一半的受訪者表示他們試圖通過他們的 WAF 或 API 網(wǎng)關識別 API 攻擊者，而 12% 的受訪者承認他們無法識別 API 攻擊者。大約 62% 的組織被發(fā)現(xiàn)沒有針對 API 安全的策略或只有基本的策略。

報告中的一些其他發(fā)現(xiàn)包括有：

• 40% 的受訪者將“僵尸 API”的風險列為他們最關心的問題，幾乎是第二大關注領域(帳戶接管)的三倍。
• 85% 的受訪者對其 API 清單的完整性存在疑問。
• 55% 的受訪者將運行時保護列為 API 安全的重中之重，也是 API 安全平臺最受重視的屬性。
• 85% 的受訪者對他們知道哪些 API 會暴露敏感數(shù)據(jù)缺乏信心。

詳情可查看完整報告：https://salt.security/api-security-trends

本文轉(zhuǎn)自OSCHINA

本文標題：API 攻擊流量增長速度是整體 API 流量的三倍

本文地址：https://www.oschina.net/news/153469/api-attack-traffic-growing