Akamai與SANS Institute合作於2023年第一季度針對231名應用程式安全專業人員進行調查,發表「2023 SANS Survey on API Security」報告。調查顯示,不到50%的受訪者已經採用了API安全測試工具,甚至更少的人使用API測試工具(僅有29%)。此外,報告還指出,許多人對於DDoS和負載平衡服務中包含的API安全控制措施使用「不夠充分」,只有29%的受訪者表示他們在使用這些功能。
現代應用程式越來越多使用API來掌握業務流程並高效地與合作夥伴和客戶進行溝通。Akamai最近的《互聯網狀況報告》指出,2022年是應用程式和API攻擊創下紀錄的一年。
在「2023 SANS Survey on API Security」調查中,受訪者將釣魚(38.3%)和缺少漏洞修補(24%)排名為前兩個API安全關注點。其次是對弱點應用程式/API的利用(12%)和意外洩露敏感信息(9.1%)。
其他重要發現包括:
- 62%的受訪者在API風險緩解中使用網路應用程式防火牆。
- 57.1%受訪者報告API清單的準確率在25%至75%之間。
- 大多數受訪者將OWASP(Open Web Application Security Project)應用程式安全和API十大風險以及MITRE ATT&CK框架作為定義應用程式和API風險的基礎。
- 76%的調查參與者報告對開發人員進行應用程式安全培訓。
Akamai表示,這項調查顯示企業需要更加關注API運行的位置和數量,因為弱點API正在成為攻擊的最常見入口。
SANS調查公司解釋,從這項調查可以導出關鍵結論是,
待解決的API安全問題包含強大的身份驗證、資產清單、漏洞管理和變更控制。同時要應對以API為中心的攻擊,無論是防護措施或檢測技術都需要升級,範圍應涵蓋基礎架構服務,如內容遞送網路和DDoS過濾。