信息化观察网

本文来自微信公众号“数世咨询”，作者/nana。

针对1629名网络安全专业人员的调查发现，近四分之三（74%）的受访者所属企业在过去两年间遭遇了不少于三起的应用编程接口（API）相关数据泄露事件。

API安全平台提供商Traceable AI委托波耐蒙研究所进行的调查研究发现，61%的受访者预计未来两年内API相关威胁会增加。超过半数（58%）的受访者认为API大幅扩大了需防护的攻击面。

调查发现，企业平均拥有127个第三方API连接，但仅三分之一（33%）的企业对自身管理外部威胁的能力充满信心。近半数（48%）受访者难以适应API的扩张。超过三分之一（39%）的企业在跟踪自身API清单方面存在困难。

Traceable AI首席安全官Richard Bird称，尽管API相关数据泄露的数量不断增长，足够重视这一威胁的企业仍旧不多。仅52%的受访者感受到了在安全风险概况的基础上了解最易受攻击API的紧迫性。54%的受访者则将识别处理敏感数据的API端点视为重中之重。

Bird补充道，太多企业误以为Web应用防火墙（WAF）之类现有工具就足以保护其API。但事实上，57%的受访者指出，WAF等传统安全解决方案无法将真实API活动与欺骗性API活动区分开来。仅38%能够辨别API活动、用户行为和数据流间的复杂上下文。

至于现有应用安全方法解决API安全问题的效果，以及是否需要专门的平台处理该特定任务，网络安全界还存在争论。很多情况下，API都是由于实际应用开发无关的开发团队创建的。Traceable AI及其他API安全平台提供商认为，API安全已成为独立的学科，企业需要相关工具来发现流氓API和僵尸API，识别网络犯罪分子操纵业务逻辑渗漏数据的异常行为。

调查发现，平均而言，只有40%的API持续接受测试以发现漏洞。因此，企业只有信心预防26%的攻击，仅能有效检测和控制21%的API攻击。总体上看，最常见的攻击途径涉及分布式拒绝服务（DDoS）攻击（38%）。

当然，如果开发人员在创建之初就保护好API安全，那网络安全团队的压力就会小一些。然而现实很骨感，开发人员的网络安全专业知识水平往往参差不齐，所以总有API是不够安全的。随着应用程序纷纷自带面向外部的API，网络安全团队需要预防数据泄露的概率也越来越高了。

每家企业都需要确定自己的API风险承受度，因为网络犯罪分子越来越善于利用API安全缺陷了。