F5全新报告显示，AI/ML及API网关成为应对中国市场API安全风险的关键

中国市场关键洞察：

1. API安全关注点主要集中在身份验证和访问控制
2. API安全全生命周期将访问控制和态势管理置于优先事项
3. API安全解决方案聚焦于API网关以及人工智能/机器学习解决方案，以解决关键安全问题

北京 – 2024年7月24日 – F5（NASDAQ：FFIV）近期在亚太地区发布全新研究报告《2024策略洞察：亚太地区API安全报告》（以下简称为“报告”），调查显示亚太地区企业正愈加依赖基于人工智能/机器学习（AI/ML）驱动的解决方案应对应用程序接口（API）带来的广泛复杂安全挑战。随着API持续成为推动数字化体验的关键，该报告全面检视了当前在亚太地区范围内面临的API安全挑战与机遇。

随着网络犯罪分子越来越多地将API作为攻击目标，五分之一的亚太地区受访企业已开始采用AI/ML技术来检测和缓解传统安全措施可能忽略的复杂威胁，例如服务端请求伪造 (SSRF)。而在中国，由于SOAP等传统API协议的广泛应用及其复杂的授权需求，13%的受访者表示优先关注具有更细粒度访问控制的 “功能级别授权失效” 。此外，API网关因可提供访问控制等强大安全功能，并缓解敏感业务访问无限制等安全漏洞，而在亚太地区（20%）企业中被广泛采用。同时，API网关的部署与中国普遍使用的传统协议（例如REST和SOAP）的安全性需求相契合，可确保对API流量和访问进行稳健控制，而备受中国受访者（25.4%）重视。

尽管亚太地区企业希望在运行时保护其API，但他们也更加意识到从开发阶段就开始保护API的重要性，因此拥有稳健的代码安全标准和实践（17.5%）已成为该地区企业抵御复杂漏洞的根本策略，例如对象级别授权失效、安全配置错误，以及 SSRF等。在中国，将代码安全置于优先位置已成为降低API风险的关键策略，因为确保API在代码层面没有漏洞对于防止安全缺陷被利用至关重要，特别是代码安全解决方案在缓解OWASP提出的安全风险方面发挥着重要作用，例如安全配置错误和未受限制的资源消耗。

F5亚太地区、中国和日本首席技术官Mohan Veloo表示，“应用已成为网络犯罪的前沿阵地，网络犯罪分子越来越多地将API视为突破口。在亚太地区，随着网络犯罪分子利用AI驱动的工具，我们目睹到攻击数量不断增加，速度、规模和复杂性也日益提高。正因如此，对于亚太地区企业，尤其是寻求提供AI驱动服务的企业而言，保护API连接及其承载的数据已成为至关重要的安全挑战。”

如今，API 安全的重要性与日俱增，但其复杂性也达到前所未有的程度。报告发现，越来越多企业正将安全左移融入API全生命周期管理，同时增强在部署后实施的安全防护。F5通过将先进的 API 代码测试和遥测分析技术引入F5分布式云服务（F5 Distributed Cloud Services），以打造业界最全面的AI就绪型API安全解决方案。F5分布式云服务通过在单一平台上提供API发现、测试、态势管理和运行时保护，助力企业从代码到云端实现真正的可见性和安全性。

《2024策略洞察：亚太地区API安全报告》中的关键洞察：

• 亚太地区面临着独特 API 安全挑战：与全球 OWASP 排名相比，亚太地区企业API安全挑战排名存在差异。身份认证失效、服务端请求伪造，以及安全配置错误成为亚太地区首要关注点。对安全配置错误的持续担忧是中国（9%）和亚太地区（13%）共同面临的问题。这一持续存在的问题表明，企业在维护安全的API配置方面正面临着严峻挑战。
• 亚太地区 API 安全全生命周期侧重于安全测试和访问控制：这一侧重凸显了预防措施的重要性，旨在减轻与未经授权访问相关的风险，并在部署之前确保稳健的API安全。另一方面，在中国，企业将访问控制（58%）、API态势管理（44%），以及API发现和映射（56%）置于优先事项，以确保API始终符合安全策略和最佳实践。
• 亚太地区API安全测试方法日趋成熟：企业正将传统方法，例如静态应用安全测试（SAST）（54%）和动态应用安全测试（DAST）（51%）与新兴策略，例如动态API安全测试（51%）相结合。这一做法充分反映了行业对多样化测试策略重要性的广泛认可。
• 外部用户控制成为亚太地区API访问控制的首要关注点：亚太地区企业对外部用户控制（59%）的潜在风险表示出高度担忧。其他优先事项包括遵守既定标准（54%）以及安全的应用间交互（49%）。这反映了在如今互联互通日益增长的趋势下，构建全面的安全框架的重要性，确保企业能够有效应对不断演变的API风险。
• 高度重视数据保护免遭泄露和篡改：数据泄露（3%）是亚太地区企业在API运行时保护方面最为关注的问题，这突出了保护敏感信息的重要性。此外，业界还广泛重视维护数据完整性（27.7%），并通过检测和掩码技术（23.4%）保护敏感信息。
• 重点强调发现高风险API和监控API的使用情况：亚太地区企业最关注识别可能暴露敏感数据或漏洞的API（63%），并通过理解API使用模式检测可能导致泄露或误用的异常模式（56%）。僵尸API（42%）和影子API（39%）的优先级稍低，但仍是关注重点。