Akamai釋出了一項新的調查結果,調查的對象是應用程式安全專業人員,主題是「與應用程式編程界面(APIs)相關的頂級安全風險」。
這份名為「2023 SANS Survey on API Security」的調查顯示,不到50%的受訪者已經採用了API安全測試工具,甚至更少的人使用API測試工具(僅有29%)。此外,報告還指出,許多人對於DDoS和負載平衡服務中包含的API安全控制措施使用得「不夠充分」,只有29%的受訪者表示他們在使用這些功能。
這項調查由Akamai與SANS Institute合作進行,於2023年第一季度進行,共有來自全球的231名受訪者,他們主要是應用程式安全專業人員。
如今,現代應用程式越來越多地使用API來捕捉業務流程並高效地與合作夥伴和客戶進行溝通。Akamai最近的《互聯網狀況報告》指出,2022年是應用程式和API攻擊創下紀錄的一年。
在這份調查中,參與者將釣魚(38.3%)和缺少漏洞修補(24%)排名為前兩個API安全關注點。其後是對弱點應用程式/API的利用(12%)和意外洩露敏感信息(9.1%)。
其他重要發現包括:
- 62%的受訪者在API風險緩解中使用網路應用程式防火牆。
- 大多數(57.1%)受訪者報告API清單的準確率在25%至75%之間。
- 大多數受訪者將OWASP(Open Web Application Security Project)應用程式安全和API十大風險以及MITRE ATT&CK框架作為定義應用程式和API風險的基礎。
- 76%的調查參與者報告對開發人員進行應用程式安全培訓。
Akamai應用程式安全高級副總裁兼總經理Rupesh Chokshi表示:「這項新調查提供了行業對一個在2023年及以後將持續成為頂級安全問題的議題的看法。結果顯示企業需要更加關注API運行的位置和數量,因為弱點API正在成為攻擊的最常見入口。」
SANS的新興安全趨勢總監John Pescatore表示:「這項調查的關鍵結論是,安全防護控制措施,如強大的身份驗證、資產清單、漏洞管理和變更控制,需要解決API安全問題。防止和檢測需要升級以應對以API為中心的攻擊,並且需要使用基礎架構服務(例如內容遞送網路和DDoS過濾)。」