作者 | 褚杏娟
F5(NASDAQ: FFIV)日前发布《2024 年应用策略现状报告:API 安全》(以下简称为“报告”),揭示了跨行业 API 安全面临的严峻现状。该报告强调了企业 API 保护方面的重大漏洞,这些漏洞可能迫使它们面临危及企业安全和运营的潜在威胁。而这些挑战正因当今数字领域中 API 的迅速扩散而不断加剧。
此次报告调查发现,不到 70% 的面向客户的 API 使用 HTTPS(超文本传输安全协议)进行安全保护,这表明近三分之一的 API 完全未受保护。这与过去十年推动安全网络通信后,现在 90% 的网页通过 HTTPS 访问形成了鲜明对比。
“API 正在成为数字化转型工作的支柱,连接企业组织内部的关键服务和应用。然而,正如我们的报告所指出的,许多企业组织并没有跟上保护这些宝贵资产所需的安全要求,尤其是在新兴的人工智能(AI)驱动的威胁背景下。”F5 工程师 Lori MacVittie 表示。
《2024 年应用策略现状报告:API 安全》的关键洞察包括:
快速增长和多元化的环境。目前,平均每个企业组织正管理着 421 个不同的 API,其中大部分托管在公共云环境中。尽管有所增长,当前仍有大量 API,尤其是面向客户的 API,未受到安全保护。
不断演进的 API 使用和安全需求。随着 API 越来越多地连接到 AI 服务,例如 OpenAI 等,安全模型必须适应覆盖入站和出站 API 流量。当前做法主要集中在入站流量上,从而导致出站 API 调用易受到攻击。
分散的 API 安全责任。报告揭示了企业组织内部对 API 安全的职责分配较为分散,其中 53% 由应用安全团队负责,而 31% 则由 API 管理和集成平台承担。这种职责划分可能导致安全措施的不全面和不一致,进而引发潜在的安全风险。
对可编程安全解决方案的高需求。受访者将可编程性评为最有价值的 API 安全能力,强调了对 API 流量和威胁进行实时检查和响应的必要性。
快速增长和多元化的环境。目前,平均每个企业组织正管理着 421 个不同的 API,其中大部分托管在公共云环境中。尽管有所增长,当前仍有大量 API,尤其是面向客户的 API,未受到安全保护。
不断演进的 API 使用和安全需求。随着 API 越来越多地连接到 AI 服务,例如 OpenAI 等,安全模型必须适应覆盖入站和出站 API 流量。当前做法主要集中在入站流量上,从而导致出站 API 调用易受到攻击。
分散的 API 安全责任。报告揭示了企业组织内部对 API 安全的职责分配较为分散,其中 53% 由应用安全团队负责,而 31% 则由 API 管理和集成平台承担。这种职责划分可能导致安全措施的不全面和不一致,进而引发潜在的安全风险。
对可编程安全解决方案的高需求。受访者将可编程性评为最有价值的 API 安全能力,强调了对 API 流量和威胁进行实时检查和响应的必要性。
为解决这些安全漏洞,报告建议企业组织采取全面的安全策略,以覆盖从设计到部署的 API 全生命周期,从而有效填补安全漏洞。通过将 API 安全集成到开发和运营阶段,企业组织可以更好地保护其数字资产免受不断增长的威胁。
MacVittie 补充表示,“API 是 AI 时代不可或缺的一部分,但必须确保它们的安全,以确保 AI 和数字服务能够安全有效地运行。这份报告呼吁企业组织重新评估其 API 安全策略,并采取必要的措施来保护其数据和服务。”
完整《2024 年应用策略现状报告:API 安全》可以点击:https://www.f5.com/go/report/state-of-application-strategy-report-api-security#
李彦宏:大模型幻觉基本消除,这是只靠想法就能赚钱时代
一个周末重写所有代码,性能提升10倍!没有这个1000 倍工程师,就没有现在的谷歌地图
Linus 大佬展现恐怖业务实力:只改动 21 行代码,Linux 性能狂升 2.6%
Kubernetes 是一条“死胡同”!?6 年挣扎后,Gitpod 另辟蹊径打造全新开发环境
会议推荐
就在 12 月 13 日 -14 日,AICon 将汇聚 70+ 位 AI 及技术领域的专家,深入探讨大模型与推理、AI Agent、多模态、具身智能等前沿话题。此外,还有丰富的圆桌论坛、以及展区活动,满足你对大模型实践的好奇与想象。现在正值 9 折倒计时,名额有限,快扫码咨询了解详情,别错过这次绝佳的学习与交流机会!
企业策略漏洞2024报告发布于:北京市声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。