Akamai API安全調查揭示:儘管風險不斷增加,但大多數公司公司並未充分利用測試工具

【2023年7月30日,台北訊】

Akamai釋出了一項新的調查結果,調查的對象是應用程式安全專業人員,主題是「與應用程式編程界面(APIs)相關的頂級安全風險」。

這份名為「2023 SANS Survey on API Security」的調查顯示,不到50%的受訪者已經採用了API安全測試工具,甚至更少的人使用API測試工具(僅有29%)。此外,報告還指出,許多人對於DDoS和負載平衡服務中包含的API安全控制措施使用得「不夠充分」,只有29%的受訪者表示他們在使用這些功能。

這項調查由Akamai與SANS Institute合作進行,於2023年第一季度進行,共有來自全球的231名受訪者,他們主要是應用程式安全專業人員。

如今,現代應用程式越來越多地使用API來捕捉業務流程並高效地與合作夥伴和客戶進行溝通。Akamai最近的《互聯網狀況報告》指出,2022年是應用程式和API攻擊創下紀錄的一年。

在這份調查中,參與者將釣魚(38.3%)和缺少漏洞修補(24%)排名為前兩個API安全關注點。其後是對弱點應用程式/API的利用(12%)和意外洩露敏感信息(9.1%)。

其他重要發現包括:

  • 62%的受訪者在API風險緩解中使用網路應用程式防火牆。
  • 大多數(1%)受訪者報告API清單的準確率在25%至75%之間。
  • 大多數受訪者將OWASP(Open Web Application Security Project)應用程式安全和API十大風險以及MITRE ATT&CK框架作為定義應用程式和API風險的基礎。
  • 76%的調查參與者報告對開發人員進行應用程式安全培訓。

Akamai應用程式安全高級副總裁兼總經理Rupesh Chokshi表示:「這項新調查提供了行業對一個在2023年及以後將持續成為頂級安全問題的議題的看法。結果顯示企業需要更加關注API運行的位置和數量,因為弱點API正在成為攻擊的最常見入口。」

SANS的新興安全趨勢總監John Pescatore表示:「這項調查的關鍵結論是,安全防護控制措施,如強大的身份驗證、資產清單、漏洞管理和變更控制,需要解決API安全問題。防止和檢測需要升級以應對以API為中心的攻擊,並且需要使用基礎架構服務(例如內容遞送網路和DDoS過濾)。」

下載報告https://www.akamai.com/……/sans-analyst-report-on……

關於Akamai

Akamai為線上生活提供動力和保護。全球領先的公司選擇Akamai構建、遞送和保護其數位體驗,幫助數十億人每天的生活、工作和娛樂。Akamai Connected Cloud是一個大規模分佈式邊緣和雲平台,將應用程式和體驗更接近用戶,並遠離威脅。了解更多關於Akamai的安全、運算和遞送解決方案,請訪問akamai.comakamai.com/blog,或在TwitterLinkedIn上關注Akamai Technologies。