F5 最新报告揭示人工智能时代 API 安全的可怕真相

F5 的《2024 年应用战略状况报告》： 应用程序接口安全揭示了应用程序接口保护方面的差距以及对全面安全措施的迫切需求

西雅图 - F5（NASDAQ： FFIV）今天宣布了其 2024 年应用战略状况报告》： API 安全》，揭示了各行业 API 安全现状的真相。 报告强调了应用程序接口（API）保护方面的重大漏洞，使其面临可能危及企业安全和运营的潜在威胁。 在当今的数字环境中，应用程序接口（API）的迅速普及加剧了这些挑战。

调查发现，只有不到 70% 面向客户的应用程序接口使用了 HTTPS（超文本传输协议安全）来确保安全，导致近三分之一的应用程序接口完全不受保护。 这与过去十年来推动安全网络通信后，现在 90% 的网页通过 HTTPS 访问形成了鲜明对比。

"F5 杰出工程师 Lori MacVittie 表示："API 正在成为数字化转型工作的支柱，连接着各组织的关键服务和应用。 "然而，正如我们的报告所指出的，许多组织并没有跟上保护这些宝贵资产所需的安全要求，尤其是在人工智能驱动的新兴威胁背景下。"

报告的主要结论包括

• 增长迅速，环境多样： 目前，平均每个组织管理着 421 个不同的应用程序接口，其中大部分托管在公共云环境中。 尽管如此，大量的应用程序接口（尤其是面向客户的应用程序接口）仍未受到保护。
• 不断变化的应用程序接口用途和安全需求： 随着 API 越来越多地连接到 OpenAI 等人工智能服务，安全模式必须进行调整，以涵盖入站和出站 API 流量。 目前的做法主要集中于入站（inbound）流量，而出站（outbound）API 调用则容易受到攻击。
• API 安全责任分散： 报告显示 分工负责 53%的企业通过应用程序安全来管理 API 安全，31%的企业通过 API 管理和集成平台来管理 API 安全。 这种划分可能会导致覆盖范围的空白和安全实践的不一致。
• 对可编程安全解决方案的高需求： 受访者将可编程性列为最有价值的 API 安全能力，强调了对 API 流量和威胁进行实时检测和响应的必要性。

弥补应用程序接口安全漏洞

为了弥补这些安全漏洞，报告建议企业采用全面的安全解决方案，涵盖从设计到部署的整个应用程序接口生命周期。 通过将应用程序接口安全纳入开发和运营阶段，企业可以更好地保护其数字资产免受日益增多的威胁。

"MacVittie 补充说："API 是人工智能时代不可或缺的一部分，但必须确保其安全，以确保人工智能和数字服务能够安全有效地运行。 "这份报告呼吁各组织采取行动，重新评估其 API 安全战略，并采取必要措施保护其数据和服务"。

全文 2024 年应用战略状况报告》： API Security可供下载。

关于本报告

本报告中提供的数据反映了 F5 应用战略现状年度调查的结果，以及对更多 API 决策者（其中三分之二以上为 C 级角色）进行的有针对性的后续研究结果，这些 API 决策者来自不同行业的各种规模的全球组织，包括技术、制造、金融和零售业，以及医疗保健和教育领域的组织。