盡管技術不斷進步,企業在API安全方面的準備工作卻未能跟上步伐。API作為現代數字經濟的支柱,其安全性直接影響到企業的運營穩定性和財務健康。然而,許多企業在制定安全策略時,往往低估了API的復雜性和潛在風險。
Akamai亞太地區及日本安全技術與戰略總監 Reuben Koh 表示:“API 已成為一項關鍵技術,為從移動銀行業務到聯網車輛的一切提供支持。但我們的研究表明,亞太地區的企業在保護 API 方面仍然捉襟見肘。對各企業來說,就 API 安全事件的根本原因、影響和優先級達成共識至關重要,這樣他們才能實施全面的安全戰略,在從開發到運行時的各個階段保護關鍵 API。”
該研究邀請中國、印度、日本和澳大利亞的 800 多位 IT 及安全專業人士參與了調查,描繪了企業因不安全的 API 而面臨的日益嚴重的風險。API 現已成為現代數字基礎架構的支柱,該地區 85% 的企業表示,在過去 12 個月內至少經歷過一起與 API 相關的安全事件。財務影響也同樣令人擔憂,在接受調查的市場中,解決 API 安全事件的平均估計成本超過 58 萬美元。盡管如此,很多企業仍然缺乏對其 API 生態系統和所暴露的敏感數據的監測能力。
風險與應對措施脫節
該研究發現,在所有四個國家中,認知與現實之間存在巨大差距:
● 高管層的相關意識較高,但運營監測能力較低:亞太地區 92% 的企業高層領導表示其企業在過去 12 個月內經歷過 API 事件,但只有 37% 的受訪者確認他們知道哪些 API 會暴露敏感數據。
● 測試開展情況參差不齊:雖然事件發生率較高,但該地區只有很少一部分受訪者表示會進行實時 API 測試,中國、印度、日本和澳大利亞的相關受訪者占比分別為 22%、15%、11% 和 6%。
這些脫節問題反映出企業面臨更大的挑戰:企業保護 API 的速度趕不上部署 API 的速度,給攻擊者留下了可乘之機。Koh 補充道:“這個問題已從理論轉變為現實。API 濫用正在發生,并造成了實際的財務和聲譽損失。領導團隊必須縮小與安全和應用程序安全專業人員之間的認識差距,和他們密切合作并投資于正確的工具、流程,齊心協力保護這項關鍵技術。”
合規性敲響了警鐘
該研究還發現,雖然大多數企業將 API 納入了其合規計劃,但只有少數企業會全面實施此計劃。只有 41% 的受訪者會將 API 納入風險評估,只有 40% 的受訪者會將 API 納入報告要求。此外,日本對 API 相關合規性要求的認知也落后于該地區的其他國家,有 22% 的受訪者表示他們并未將 API 安全納入合規工作中。
從中國的《數據安全法》到澳大利亞的《消費者數字權利法規》,在合規和安全框架中考慮 API 風險的需求正在迅速增長。隨著 API 成為數字業務的連接紐帶,保護它們需要采取深思熟慮的端到端方法。該報告建議,亞太地區的企業應當優先考慮構建持久的恢復能力,包括全面清點 API、定期進行測試以確保 API 編碼正確、實施運行時檢測以區分“正常”和“異常”API 活動等。
