[調研]：網絡攻擊盯上API

針對1629名網絡安全專業人員的調查發現，近四分之三（74%）的受訪者所屬企業在過去兩年間遭遇了不少於三起的應用編程接口（API）相關數據泄露事件。

API安全平臺提供商Traceable AI委託波耐蒙研究所進行的調查研究發現，61%的受訪者預計未來兩年內API相關威脅會增加。超過半數（58%）的受訪者認爲API大幅擴大了需防護的攻擊面。

調查發現，企業平均擁有127個第三方API連接，但僅三分之一（33%）的企業對自身管理外部威脅的能力充滿信心。近半數（48%）受訪者難以適應API的擴張。超過三分之一（39%）的企業在跟蹤自身API清單方面存在困難。

Traceable AI首席安全官Richard Bird稱，儘管API相關數據泄露的數量不斷增長，足夠重視這一威脅的企業仍舊不多。僅52%的受訪者感受到了在安全風險概況的基礎上了解最易受攻擊API的緊迫性。54%的受訪者則將識別處理敏感數據的API端點視爲重中之重。

Bird補充道，太多企業誤以爲Web應用防火牆（WAF）之類現有工具就足以保護其API。但事實上，57%的受訪者指出，WAF等傳統安全解決方案無法將真實API活動與欺騙性API活動區分開來。僅38%能夠辨別API活動、用戶行爲和數據流間的複雜上下文。

至於現有應用安全方法解決API安全問題的效果，以及是否需要專門的平臺處理該特定任務，網絡安全界還存在爭論。很多情況下，API都是由於實際應用開發無關的開發團隊創建的。Traceable AI及其他API安全平臺提供商認爲，API安全已成爲獨立的學科，企業需要相關工具來發現流氓API和殭屍API，識別網絡犯罪分子操縱業務邏輯滲漏數據的異常行爲。

調查發現，平均而言，只有40%的API持續接受測試以發現漏洞。因此，企業只有信心預防26%的攻擊，僅能有效檢測和控制21%的API攻擊。總體上看，最常見的攻擊途徑涉及分佈式拒絕服務（DDoS）攻擊（38%）。

當然，如果開發人員在創建之初就保護好API安全，那網絡安全團隊的壓力就會小一些。然而現實很骨感，開發人員的網絡安全專業知識水平往往參差不齊，所以總有API是不夠安全的。隨着應用程序紛紛自帶面向外部的API，網絡安全團隊需要預防數據泄露的概率也越來越高了。

每家企業都需要確定自己的API風險承受度，因爲網絡犯罪分子越來越善於利用API安全缺陷了。

Traceable AI《2023年API安全狀況》https://www.traceable.ai/2023-state-of-api-security