文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

F5全新报告显示, AI/ML及API网关成为应对中国市场API安全风险的关键

2024-11-29 20:41

关注
  1. API安全关注点主要集中在身份验证和访问控制
  2. API安全全生命周期将访问控制和态势管理置于优先事项
  3. API安全解决方案聚焦于API网关以及人工智能/机器学习解决方案,以解决关键安全问题

F5(NASDAQ:FFIV)近期在亚太地区发布全新研究报告《2024策略洞察:亚太地区API安全报告》(以下简称为“报告”),调查显示亚太地区企业正愈加依赖基于人工智能/机器学习(AI/ML)驱动的解决方案应对应用程序接口(API)带来的广泛复杂安全挑战。随着API持续成为推动数字化体验的关键,该报告全面检视了当前在亚太地区范围内面临的API安全挑战与机遇。

随着网络犯罪分子越来越多地将API作为攻击目标,五分之一的亚太地区受访企业已开始采用AI/ML技术来检测和缓解传统安全措施可能忽略的复杂威胁,例如服务端请求伪造 (SSRF)。而在中国,由于SOAP等传统API协议的广泛应用及其复杂的授权需求,13%的受访者表示优先关注具有更细粒度访问控制的 “功能级别授权失效” 。此外,API网关因可提供访问控制等强大安全功能,并缓解敏感业务访问无限制等安全漏洞,而在亚太地区(20%)企业中被广泛采用。同时,API网关的部署与中国普遍使用的传统协议(例如REST和SOAP)的安全性需求相契合,可确保对API流量和访问进行稳健控制,而备受中国受访者(25.4%)重视。

尽管亚太地区企业希望在运行时保护其API,但他们也更加意识到从开发阶段就开始保护API的重要性,因此拥有稳健的代码安全标准和实践(17.5%)已成为该地区企业抵御复杂漏洞的根本策略,例如对象级别授权失效、安全配置错误,以及 SSRF等。在中国,将代码安全置于优先位置已成为降低API风险的关键策略,因为确保API在代码层面没有漏洞对于防止安全缺陷被利用至关重要,特别是代码安全解决方案在缓解OWASP提出的安全风险方面发挥着重要作用,例如安全配置错误和未受限制的资源消耗。

F5亚太地区、中国和日本首席技术官Mohan Veloo表示,“应用已成为网络犯罪的前沿阵地,网络犯罪分子越来越多地将API视为突破口。在亚太地区,随着网络犯罪分子利用AI驱动的工具,我们目睹到攻击数量不断增加,速度、规模和复杂性也日益提高。正因如此,对于亚太地区企业,尤其是寻求提供AI驱动服务的企业而言,保护API连接及其承载的数据已成为至关重要的安全挑战。”

如今,API 安全的重要性与日俱增,但其复杂性也达到前所未有的程度。报告发现,越来越多企业正将安全左移融入API全生命周期管理,同时增强在部署后实施的安全防护。F5通过将先进的 API 代码测试和遥测分析技术引入F5分布式云服务(F5 Distributed Cloud Services),以打造业界最全面的AI就绪型API安全解决方案。F5分布式云服务通过在单一平台上提供API发现、测试、态势管理和运行时保护,助力企业从代码到云端实现真正的可见性和安全性。


《2024策略洞察:亚太地区API安全报告》中的关键洞察:

  1. 亚太地区面临着独特 API 安全挑战:与全球 OWASP 排名相比,亚太地区企业API安全挑战排名存在差异。身份认证失效、服务端请求伪造,以及安全配置错误成为亚太地区首要关注点。对安全配置错误的持续担忧是中国(9%)和亚太地区(13%)共同面临的问题。这一持续存在的问题表明,企业在维护安全的API配置方面正面临着严峻挑战。
  2. 亚太地区 API 安全全生命周期侧重于安全测试和访问控制:这一侧重凸显了预防措施的重要性,旨在减轻与未经授权访问相关的风险,并在部署之前确保稳健的API安全。另一方面,在中国,企业将访问控制(58%)、API态势管理(44%),以及API发现和映射(56%)置于优先事项,以确保API始终符合安全策略和最佳实践。
  3. 亚太地区API安全测试方法日趋成熟:企业正将传统方法,例如静态应用安全测试(SAST)(54%)和动态应用安全测试(DAST)(51%)与新兴策略,例如动态API安全测试(51%)相结合。这一做法充分反映了行业对多样化测试策略重要性的广泛认可。
  4. 外部用户控制成为亚太地区API访问控制的首要关注点:亚太地区企业对外部用户控制(59%)的潜在风险表示出高度担忧。其他优先事项包括遵守既定标准(54%)以及安全的应用间交互(49%)。这反映了在如今互联互通日益增长的趋势下,构建全面的安全框架的重要性,确保企业能够有效应对不断演变的API风险。
  5. 高度重视数据保护免遭泄露和篡改:数据泄露(53.3%)是亚太地区企业在API运行时保护方面最为关注的问题,这突出了保护敏感信息的重要性。此外,业界还广泛重视维护数据完整性(27.7%),并通过检测和掩码技术(23.4%)保护敏感信息。
  6. 重点强调发现高风险API和监控API的使用情况:亚太地区企业最关注识别可能暴露敏感数据或漏洞的API(63%),并通过理解API使用模式检测可能导致泄露或误用的异常模式(56%)。僵尸API(42%)和影子API(39%)的优先级稍低,但仍是关注重点。
阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯