2024 年API 安全影響報(bào)告

{$};010010011{$};101000011010100101010011001101010001100100101安全336八個(gè)行業(yè)：金融服務(wù)、零售/電子商務(wù)、醫(yī)療保健、政府/公共部門、制造業(yè)、能源/公2024年API安全影響研究Akamai?2024年5月的Gartner?《API保護(hù)市場(chǎng)指南》提到，“當(dāng)前數(shù)據(jù)表明，常規(guī)Akamai應(yīng)用程序防火墻(WAF)、API網(wǎng)關(guān)和已經(jīng)因?yàn)槠渌o迫的威脅而不堪重負(fù)，那些威脅很可能也占據(jù)了大￡420,103￡420,103€403,453$591,404€403,453領(lǐng)導(dǎo)和/或董事會(huì)中的聲成本引發(fā)了高層的關(guān)注和審查，可能導(dǎo)致董事會(huì)等重要利團(tuán)隊(duì)沒有做好本職工作。這給團(tuán)隊(duì)造成了壓力。事實(shí)上，2024年API安全影響研究Akamai某些職位的受訪者認(rèn)為實(shí)際成本要高得多，特別是美國(guó)的首席——Akamai發(fā)了高層的關(guān)注和審查，可能導(dǎo)致董事會(huì)等重要利益相關(guān)者認(rèn)為安全團(tuán)隊(duì)沒給團(tuán)隊(duì)造成了壓力。事實(shí)上，根據(jù)各地區(qū)受訪者的反饋，“壓力”（具體排在第三位的影響是“修復(fù)成本”。值得注意的是，排在主要影響中最靠后的），按行業(yè)分類的調(diào)查結(jié)果與此相似：在我們調(diào)查的八事件導(dǎo)致團(tuán)隊(duì)的壓力增加”是最顯著的影響（2.損害了部門在高層領(lǐng)導(dǎo)和/或董事會(huì)中的聲譽(yù)—26.6%（最多選擇3項(xiàng)）；受訪人數(shù)為1,207人9.導(dǎo)致企業(yè)加強(qiáng)了對(duì)團(tuán)隊(duì)/部門的內(nèi)部審查—23.5%2024年API安全影響研究Akamai），去客戶信任和客戶流失”）可以看出，認(rèn)為人力影響最突出和認(rèn)為財(cái)務(wù)件惡劣、預(yù)算超支、客戶不滿，那會(huì)怎么樣？這些領(lǐng)導(dǎo)者不愿意看到優(yōu)秀人才?AppSec團(tuán)隊(duì)，31%，“導(dǎo)致團(tuán)隊(duì)/部門的壓力增加”20242024年API安全影響研究Akamai能源/公用事業(yè)政府/公共部門零售/電子商務(wù)（最多選擇3項(xiàng)）；受訪人數(shù)為1,207人2024年API安全影響研究20242023—上述數(shù)據(jù)基于的調(diào)查問題：您是否擁有完整的API清單，是）；2024年API安全影響研究Akamai），高的單項(xiàng)比例。有將近一半的人表示他們擁有完整的清單，但不具備敏感數(shù)據(jù)認(rèn)知。APIAPI清單和敏感數(shù)據(jù)認(rèn)知的當(dāng)前狀態(tài)（按職位細(xì)分）。上述數(shù)據(jù)基于的調(diào)查問題：您是否擁有完整的）；Akamai從不同職位的受訪者對(duì)于API清單和API漏洞監(jiān)測(cè)能力的反饋中，我們至少可以得出這樣的安全通常缺少獲取預(yù)算分配所必要的關(guān)注和支持，因此安全團(tuán)隊(duì)很難將保護(hù)范圍進(jìn)一步擴(kuò)展到防火墻之外，建立更Akamai誤或者暗藏其他可預(yù)防的風(fēng)險(xiǎn)，對(duì)于攻擊者來(lái)說剛好是他們要找的目標(biāo)中給安全團(tuán)隊(duì)增加了未來(lái)的工作負(fù)擔(dān)（這樣的工作無(wú)疑都將是緊迫的，測(cè)試，那么企業(yè)、開發(fā)人員和安全團(tuán)隊(duì)都將占得先機(jī)。這樣做的好處是非常顯而易見可以降低未知漏洞造成的壓力，并確保生產(chǎn)環(huán)境中不會(huì)出現(xiàn)錯(cuò)誤，因?2023年，美國(guó)和英國(guó)受訪者中有37%表示他們每天至少測(cè)試一次。2024年，只Akamai），許多數(shù)據(jù)保護(hù)法規(guī)均未提及API，但法規(guī)要求明確側(cè)重于應(yīng)用程序和基礎(chǔ)架構(gòu)（API運(yùn)行環(huán)境）的保護(hù)。合規(guī)要求一直在不斷變化，更多與API相關(guān)的法規(guī)已在制定中，其中包括《美國(guó)隱私權(quán)法案》（目前為草案）和《歐盟網(wǎng)絡(luò)彈性法案》。目前對(duì)API安全有直接影響的法規(guī)和框架包括：2024年API安全影響研究Akamai會(huì)信任度下降等一系列問題，為什么安全團(tuán)隊(duì)沒有采取更果斷的行動(dòng)？受訪者我們邀請(qǐng)了受訪者確定未來(lái)12個(gè)月內(nèi)網(wǎng)絡(luò)安但是，在某些行業(yè)，API排位的差異卻說明了另一種情況。例如，相比所有其他行業(yè)，能源/公用事（請(qǐng)選擇最多3項(xiàng)）；受訪人數(shù)為1,207人Akamai但主要原因可能也是最簡(jiǎn)單的原因：自上而下和自下而上的溝通不型企業(yè)中），導(dǎo)致高層領(lǐng)導(dǎo)者的優(yōu)先事項(xiàng)與一線團(tuán)隊(duì)每天必須處理的優(yōu)先事項(xiàng)之間出現(xiàn)行比較。如第17頁(yè)所示，他們提及最多Akamai7.微軟等知名的技術(shù)工具/服務(wù)—19.2%（最多選擇3項(xiàng)）；受訪人數(shù)為1,207人2024年API安全影響研究Akamai的是，按職位和地區(qū)進(jìn)行細(xì)分必然會(huì)導(dǎo)致樣本量變小。不過，各子集中約為73.7萬(wàn)美元，而資深安全專業(yè)人士和AppSec員工報(bào)告的成本分本最高為37.4萬(wàn)英鎊，最低為22.2萬(wàn)英鎊。）德國(guó)受訪者