1、010010011101000011010100101010011001101010001100100101$;API 安全影响研究API 事件对您和团队的影响Akamai互联网现状(SOTI)报告的姊妹篇 3 前言 6 API 安全现状 API 攻击是否会对企业及其安全团队产生重大影响？对 API 及潜在风险的监测能力是否足够？API 测试是否足够频繁，可以降低滥用或漏洞风险？15 API 安全受到关注，但仍缺乏足够重视 企业内不同职位的人员如何看待 API 安全的重要性？对 API 安全事件的看法不一是否表明企业没有统一的权威信息来源？18 如何实现更成熟的 API 安全态势 可以采取的措

2、施20 结论目录执行摘要API 安全影响研究（原API 安全认知脱节报告）现已进入第三年，今年的研究对美国、英国和德国（2024 年新增）的 1,207 名领导者和从业人员进行了调查，并根据调查结果探讨了 API 保护的现状。此研究调查的内容包括企业发生 API 安全事件的情况，包括发生的频率、原因和影响；以及安全部门如何应对 API 相关的攻击风险。为了获得全面的信息，我们调查了不同行业和不同职位的人员，包括：CISO、CIO、CTO、资深安全专业人士和 AppSec 团队成员，这些人员来自不同规模的企业，从 500 人以下到 1,000 人以上都有八个行业：金融服务、零售/电子商务、医疗保

3、健、政府/公共部门、制造业、能源/公用事业，以及（2024 年新增）汽车和保险2024 年 API 安全影响研究|前言尽管有数据显示 API 攻击十分普遍而且极具破坏性，API 仍然经常被视为一种新兴攻击媒介。我们不妨看看以下数据：根据 Akamai 最近的一份互联网现状(SOTI)报告，2023 年 1 月到 2024 年 6 月，有记录的 API 攻击达到了 1,080 亿次。2024 年 5 月的 GartnerAPI 保护市场指南提到，“当前数据表明，常规 API 漏洞导致的数据泄露至少是常规安全漏洞的 10 倍。”*攻击活动也日益增多。SOTI 报告还指出，2023 年第一季度至 2

4、024 年第一季度期间，Web 应用程序和 API 攻击合计增加了 49%。这样的增长并不令人意外。其背后的原因在于，几乎所有推动数字化项目（生成式 AI 工具、面向客户的应用程序、云服务等）的技术都使用 API 来实现通信和数据交换，然而许多 API 并未得到充分的保护，存在身份验证缺失、配置错误甚至彻底被遗忘等问题。这使得 API 成为网络犯罪分子眼中极富吸引力而且经济高效的攻击媒介。攻击者只需要找到一个存在漏洞的 API，然后很快就可以直接获取调用 API 时返回的所有数据，这些数据可能会达到成千上万条记录。总体而言，我们的研究表明，API 安全尚未成为综合安全策略的重要组成部分。大多数

5、企业将 API 攻击视为新兴威胁，然后从攻击数据来看，API 攻击数量正在不断增加，而且攻击者往往会得逞。另外，调查发现 API 攻击造成的财务影响和团队压力也不容忽视。从我们 2024 年的调查结果中，您可以了解 API 安全事件对同行及他们所在企业的影响。我们希望这些数据能帮助您的团队更好地评估 API 保护措施并进行必要的改进。*GARTNER 是 Gartner,Inc.和/或其附属机构在美国和全球的注册商标和服务标志，已获许可在本文中使用。保留所有权利。许多 API 未得到充分的保护，使得 API 成为网络犯罪分子眼中极富吸引力而且经济高效的攻击媒介。2024 年 API 安全影响研

6、究|总体发现：API 事件影响企业正常运营并给团队造成压力我们 2024 年的研究结果表明，API 是一个日益突出的攻击媒介，给安全团队带来了很大的挑战。受访者在以下几个方面表现出惊人的一致：连续三年见证 API 安全事件增多 为解决 API 相关事件并恢复业务正常运行，平均耗费的成本超过五十万（美国首席高管层受访者反馈的平均成本则达到了 943,162 美元）感受到 API 事件给团队成员造成的严重影响，团队遭受的压力和声誉损失（尤其是内部审查加剧了这种压力）严重性排位甚至高于事件处理所耗费的成本受访者对 API 清单完整性的看法不一，在不同职位人员的反馈中，这种差异更加明显（请参见第 11