最大的 API 安全危险信号
API 安全漏洞现在已经很常见且公开。 人工智能应用和互联的生态系统正在增加风险和复杂性。 攻击者转向目标 API 端点并非巧合。
企业需要重新评估其 API安全策略,以确保他们已准备好保护基于 API 的应用。 但他们应该从哪里开始呢?
在此信息图中,我们深入探讨了每个组织都应该注意的五大 API 安全危险信号。 通过更好地了解这些迹象,企业可以识别主要风险并主动解决这些风险,以改善其 API 安全的整体方法。
点击标签了解 API 安全危险信号
-
标记 1
-
标记 2
-
标记 3
-
标记 4
-
标记 5
你不知道所有 API 都在哪里
- API 蔓延极其普遍。 根据Datos API 安全解决方案评估指南,到 2030 年,使用的 API 数量将超过 20 亿,而组织平均已经在使用超过 20,000 个 API。
- API 端点代表着一个独特的挑战。 根据 F5 的2024 年application战略状况报告,“单个 API 可以有数十或数百个端点。” 事情变得更加复杂的是,组织可能无法完全控制与其系统接触的所有 API。
- Postman 的 2023 年 API 状况报告指出了使用 API 的以下障碍:
- 缺乏文件(52%)
- 发现 API 困难(32%)
贵组织的攻击面存在不确定性
- Datos API 安全解决方案评估指南解释了核心问题: “枚举 API 攻击面对于保护 API 至关重要。 CISO 无法保护未知的内容。 需要进行 API 发现来识别影子 API、孤立 API、过时 API 和过期 API。”
- API 对于任何现代企业都至关重要。 正如Venture Beat所描述的,“API 占所有网络流量的 91%,它们符合微服务架构的趋势以及对快速变化的市场条件进行动态响应的需求。”
- 由于 API 发挥着关键作用,因此成为网络犯罪分子的热门目标。 90% 的基于 Web 的网络攻击以 API 端点为目标,泄露的 API 源攻击记录数量已超过 10 亿。
您的安全堆栈太复杂
- 当今的应用程序和 API 正在部署到混合、多云环境中。 据《2024 年application战略状况报告》报道,近 90% 的组织采用混合部署模式运营,包括 SaaS、公共云/IaaS、本地(传统)、本地(私有云)、主机托管和边缘。
- 来自同一报告:从 2023 年到 2024 年,采用六种不同模式运行的组织数量增加了近 20%。
- 66% 的大型企业(拥有 10,000 多名员工)通常使用60-80 种安全工具- 部分原因是需要专用工具来满足跨多个云环境的特定需求。
维护安全态势过于手动
- 由于 API 和端点如此之多,手动安全更新是不可持续的。 自动化 API 保护可以大大减少手动更新的需要,正如McGraw Hill 案例研究中所证明的那样,该研究记录了他们为降低管理每月 1800 万个 API 请求的复杂性所做的努力。
- application策略状况调查的受访者报告称,在应对零日攻击时,手动修补和更新速度不够快,许多决策者报告称,成功攻击的成本很高,因此应用程序和 API 安全自动化必不可少。 为此,应用程序和 API 自动化在过去一年中从 33% 增加到 43%。 发布的 CVE 数量正在加速增长, F5 实验室的研究人员预计,2025 年通常每周就会发布 500 个新的 CVE 。
- 生成式人工智能的日益普及也对应用程序和 API 安全性产生了影响;生成式人工智能在安全性方面的主要用例是自动调整安全策略并针对检测到的威胁生成安全配置。
您担心 AI 应用的安全问题
- 生成式人工智能的安全始于良好的应用程序和 API 安全的基础。 谷歌云开发者倡导者Mete Atamel 对此进行了简洁的描述: “无论您如何使用 gen AI,最终您都会使用 SDK 或库或通过 REST API 来调用端点。”
- OpenAI GPT Store推出两个月后,用户已经创建了超过 300 万个 ChatGPT 自定义版本,这表明保护第三方提供商的安全挑战规模巨大。
- IDC报告称,“66% 的受访者指出 GenAI 以及广泛的公共和私人 AI 工作负载是他们的主要用例之一。” 他们发现,“大多数企业人工智能应用在实施上都是高度分散的,需要数十到数百个 API 交互,这些交互需要以高度可用和安全的方式遍历各种公共云、专用云和内部部署基础设施和应用环境。 F5 研究人员还发现,大多数组织希望在混合和多云环境中部署 AI 应用程序,应用战略状况调查的受访者表示,他们将在公共云(80%)和本地(54%)维护 AI 应用程序。
了解 F5 如何帮助改善您的组织的整体API 安全方法。