F5全新報(bào)告顯示，AI/ML及API網(wǎng)關(guān)成為應(yīng)對中國市場API安全風(fēng)險(xiǎn)的關(guān)鍵

中國市場關(guān)鍵洞察：

1.API安全關(guān)注點(diǎn)主要集中在身份驗(yàn)證和訪問控制

2.API安全全生命周期將訪問控制和態(tài)勢管理置于優(yōu)先事項(xiàng)

3.API安全解決方案聚焦于API網(wǎng)關(guān)以及人工智能/機(jī)器學(xué)習(xí)解決方案，以解決關(guān)鍵安全問題

F5（NASDAQ：FFIV）近期在亞太地區(qū)發(fā)布全新研究報(bào)告《2024策略洞察：亞太地區(qū)API安全報(bào)告》（以下簡稱為“報(bào)告”），調(diào)查顯示亞太地區(qū)企業(yè)正愈加依賴基于人工智能/機(jī)器學(xué)習(xí)（AI/ML）驅(qū)動(dòng)的解決方案應(yīng)對應(yīng)用程序接口（API）帶來的廣泛復(fù)雜安全挑戰(zhàn)。隨著API持續(xù)成為推動(dòng)數(shù)字化體驗(yàn)的關(guān)鍵，該報(bào)告全面檢視了當(dāng)前在亞太地區(qū)范圍內(nèi)面臨的API安全挑戰(zhàn)與機(jī)遇。

隨著網(wǎng)絡(luò)犯罪分子越來越多地將API作為攻擊目標(biāo)，五分之一的亞太地區(qū)受訪企業(yè)已開始采用AI/ML技術(shù)來檢測和緩解傳統(tǒng)安全措施可能忽略的復(fù)雜威脅，例如服務(wù)端請求偽造（SSRF）。而在中國，由于SOAP等傳統(tǒng)API協(xié)議的廣泛應(yīng)用及其復(fù)雜的授權(quán)需求，13%的受訪者表示優(yōu)先關(guān)注具有更細(xì)粒度訪問控制的“功能級別授權(quán)失效”。此外，API網(wǎng)關(guān)因可提供訪問控制等強(qiáng)大安全功能，并緩解敏感業(yè)務(wù)訪問無限制等安全漏洞，而在亞太地區(qū)（20%）企業(yè)中被廣泛采用。同時(shí)，API網(wǎng)關(guān)的部署與中國普遍使用的傳統(tǒng)協(xié)議（例如REST和SOAP）的安全性需求相契合，可確保對API流量和訪問進(jìn)行穩(wěn)健控制，而備受中國受訪者（25.4%）重視。

盡管亞太地區(qū)企業(yè)希望在運(yùn)行時(shí)保護(hù)其API，但他們也更加意識到從開發(fā)階段就開始保護(hù)API的重要性，因此擁有穩(wěn)健的代碼安全標(biāo)準(zhǔn)和實(shí)踐（17.5%）已成為該地區(qū)企業(yè)抵御復(fù)雜漏洞的根本策略，例如對象級別授權(quán)失效、安全配置錯(cuò)誤，以及SSRF等。在中國，將代碼安全置于優(yōu)先位置已成為降低API風(fēng)險(xiǎn)的關(guān)鍵策略，因?yàn)榇_保API在代碼層面沒有漏洞對于防止安全缺陷被利用至關(guān)重要，特別是代碼安全解決方案在緩解OWASP提出的安全風(fēng)險(xiǎn)方面發(fā)揮著重要作用，例如安全配置錯(cuò)誤和未受限制的資源消耗。

Mohan Veloo

F5亞太地區(qū)、中國和日本首席技術(shù)官

“應(yīng)用已成為網(wǎng)絡(luò)犯罪的前沿陣地，網(wǎng)絡(luò)犯罪分子越來越多地將API視為突破口。在亞太地區(qū)，隨著網(wǎng)絡(luò)犯罪分子利用AI驅(qū)動(dòng)的工具，我們目睹到攻擊數(shù)量不斷增加，速度、規(guī)模和復(fù)雜性也日益提高。正因如此，對于亞太地區(qū)企業(yè)，尤其是尋求提供AI驅(qū)動(dòng)服務(wù)的企業(yè)而言，保護(hù)API連接及其承載的數(shù)據(jù)已成為至關(guān)重要的安全挑戰(zhàn)?！?/p>

如今，API安全的重要性與日俱增，但其復(fù)雜性也達(dá)到前所未有的程度。報(bào)告發(fā)現(xiàn)，越來越多企業(yè)正將安全左移融入API全生命周期管理，同時(shí)增強(qiáng)在部署后實(shí)施的安全防護(hù)。F5通過將先進(jìn)的API代碼測試和遙測分析技術(shù)引入F5分布式云服務(wù)（F5 Distributed Cloud Services），以打造業(yè)界最全面的AI就緒型API安全解決方案。F5分布式云服務(wù)通過在單一平臺上提供API發(fā)現(xiàn)、測試、態(tài)勢管理和運(yùn)行時(shí)保護(hù)，助力企業(yè)從代碼到云端實(shí)現(xiàn)真正的可見性和安全性。

《2024策略洞察：亞太地區(qū)API安全報(bào)告》中的關(guān)鍵洞察：

-亞太地區(qū)面臨著獨(dú)特API安全挑戰(zhàn)：與全球OWASP排名相比，亞太地區(qū)企業(yè)API安全挑戰(zhàn)排名存在差異。身份認(rèn)證失效、服務(wù)端請求偽造，以及安全配置錯(cuò)誤成為亞太地區(qū)首要關(guān)注點(diǎn)。對安全配置錯(cuò)誤的持續(xù)擔(dān)憂是中國（9%）和亞太地區(qū)（13%）共同面臨的問題。這一持續(xù)存在的問題表明，企業(yè)在維護(hù)安全的API配置方面正面臨著嚴(yán)峻挑戰(zhàn)。

-亞太地區(qū)API安全全生命周期側(cè)重于安全測試和訪問控制：這一側(cè)重凸顯了預(yù)防措施的重要性，旨在減輕與未經(jīng)授權(quán)訪問相關(guān)的風(fēng)險(xiǎn)，并在部署之前確保穩(wěn)健的API安全。另一方面，在中國，企業(yè)將訪問控制（58%）、API態(tài)勢管理（44%），以及API發(fā)現(xiàn)和映射（56%）置于優(yōu)先事項(xiàng)，以確保API始終符合安全策略和最佳實(shí)踐。

-亞太地區(qū)API安全測試方法日趨成熟：企業(yè)正將傳統(tǒng)方法，例如靜態(tài)應(yīng)用安全測試（SAST）（54%）和動(dòng)態(tài)應(yīng)用安全測試（DAST）（51%）與新興策略，例如動(dòng)態(tài)API安全測試（51%）相結(jié)合。這一做法充分反映了行業(yè)對多樣化測試策略重要性的廣泛認(rèn)可。

-外部用戶控制成為亞太地區(qū)API訪問控制的首要關(guān)注點(diǎn)：亞太地區(qū)企業(yè)對外部用戶控制（59%）的潛在風(fēng)險(xiǎn)表示出高度擔(dān)憂。其他優(yōu)先事項(xiàng)包括遵守既定標(biāo)準(zhǔn)（54%）以及安全的應(yīng)用間交互（49%）。這反映了在如今互聯(lián)互通日益增長的趨勢下，構(gòu)建全面的安全框架的重要性，確保企業(yè)能夠有效應(yīng)對不斷演變的API風(fēng)險(xiǎn)。

-高度重視數(shù)據(jù)保護(hù)免遭泄露和篡改：數(shù)據(jù)泄露（53.3%）是亞太地區(qū)企業(yè)在API運(yùn)行時(shí)保護(hù)方面最為關(guān)注的問題，這突出了保護(hù)敏感信息的重要性。此外，業(yè)界還廣泛重視維護(hù)數(shù)據(jù)完整性（27.7%），并通過檢測和掩碼技術(shù)（23.4%）保護(hù)敏感信息。

-重點(diǎn)強(qiáng)調(diào)發(fā)現(xiàn)高風(fēng)險(xiǎn)API和監(jiān)控API的使用情況：亞太地區(qū)企業(yè)最關(guān)注識別可能暴露敏感數(shù)據(jù)或漏洞的API（63%），并通過理解API使用模式檢測可能導(dǎo)致泄露或誤用的異常模式（56%）。僵尸API（42%）和影子API（39%）的優(yōu)先級稍低，但仍是關(guān)注重點(diǎn)。