F5全新報(bào)告揭示AI時(shí)代API安全面臨嚴(yán)峻挑戰(zhàn)

西雅圖–F5（NASDAQ:FFIV）日前發(fā)布《2024年應(yīng)用策略現(xiàn)狀報(bào)告：API安全》（以下簡(jiǎn)稱(chēng)為“報(bào)告”），揭示了跨行業(yè)API安全面臨的嚴(yán)峻現(xiàn)狀。該報(bào)告強(qiáng)調(diào)了企業(yè)API保護(hù)方面的重大漏洞，這些漏洞可能迫使它們面臨危及企業(yè)安全和運(yùn)營(yíng)的潛在威脅。而這些挑戰(zhàn)正因當(dāng)今數(shù)字領(lǐng)域中API的迅速擴(kuò)散而不斷加劇。

此次報(bào)告調(diào)查發(fā)現(xiàn)，不到70%的面向客戶(hù)的API使用HTTPS（超文本傳輸安全協(xié)議）進(jìn)行安全保護(hù)，這表明近三分之一的API完全未受保護(hù)。這與過(guò)去十年推動(dòng)安全網(wǎng)絡(luò)通信后，現(xiàn)在90%的網(wǎng)頁(yè)通過(guò)HTTPS訪(fǎng)問(wèn)形成了鮮明對(duì)比。

F5杰出工程師Lori MacVittie表示，“API正在成為數(shù)字化轉(zhuǎn)型工作的支柱，連接企業(yè)組織內(nèi)部的關(guān)鍵服務(wù)和應(yīng)用。然而，正如我們的報(bào)告所指出的，許多企業(yè)組織并沒(méi)有跟上保護(hù)這些寶貴資產(chǎn)所需的安全要求，尤其是在新興的人工智能（AI）驅(qū)動(dòng)的威脅背景下?！?/p>

《2024年應(yīng)用策略現(xiàn)狀報(bào)告：API安全》的關(guān)鍵洞察：

-快速增長(zhǎng)和多元化的環(huán)境：目前，平均每個(gè)企業(yè)組織正管理著421個(gè)不同的API，其中大部分托管在公共云環(huán)境中。盡管有所增長(zhǎng)，當(dāng)前仍有大量API，尤其是面向客戶(hù)的API，未受到安全保護(hù)。

-不斷演進(jìn)的API使用和安全需求：隨著API越來(lái)越多地連接到AI服務(wù)，例如OpenAI等，安全模型必須適應(yīng)覆蓋入站和出站API流量。當(dāng)前做法主要集中在入站流量上，從而導(dǎo)致出站API調(diào)用易受到攻擊。

-分散的API安全責(zé)任：報(bào)告揭示了企業(yè)組織內(nèi)部對(duì)API安全的職責(zé)分配較為分散，其中53%由應(yīng)用安全團(tuán)隊(duì)負(fù)責(zé)，而31%則由API管理和集成平臺(tái)承擔(dān)。這種職責(zé)劃分可能導(dǎo)致安全措施的不全面和不一致，進(jìn)而引發(fā)潛在的安全風(fēng)險(xiǎn)。

-對(duì)可編程安全解決方案的高需求：受訪(fǎng)者將可編程性評(píng)為最有價(jià)值的API安全能力，強(qiáng)調(diào)了對(duì)API流量和威脅進(jìn)行實(shí)時(shí)檢查和響應(yīng)的必要性。

全面提升API安全性，以應(yīng)對(duì)日益嚴(yán)峻的威脅

為解決這些安全漏洞，報(bào)告建議企業(yè)組織采取全面的安全策略，以覆蓋從設(shè)計(jì)到部署的API全生命周期，從而有效填補(bǔ)安全漏洞。通過(guò)將API安全集成到開(kāi)發(fā)和運(yùn)營(yíng)階段，企業(yè)組織可以更好地保護(hù)其數(shù)字資產(chǎn)免受不斷增長(zhǎng)的威脅。

MacVittie補(bǔ)充表示，“API是AI時(shí)代不可或缺的一部分，但必須確保它們的安全，以確保AI和數(shù)字服務(wù)能夠安全有效地運(yùn)行。這份報(bào)告呼吁企業(yè)組織重新評(píng)估其API安全策略，并采取必要的措施來(lái)保護(hù)其數(shù)據(jù)和服務(wù)?！?/p>

關(guān)于報(bào)告

本報(bào)告中呈現(xiàn)的數(shù)據(jù)反映了年度F5應(yīng)用策略現(xiàn)狀調(diào)查，以及對(duì)額外的API決策者進(jìn)行的針對(duì)性后續(xù)研究，其中超過(guò)三分之二的受訪(fǎng)者擔(dān)任高級(jí)管理職務(wù)——涵蓋了全球不同規(guī)模的企業(yè)，涉及科技、制造、金融、零售、醫(yī)療健康和教育等多個(gè)行業(yè)。