API NEWS | Radware 2022年API安全状态报告

技术博客

2023-03-31阅读：320

欢迎大家围观小阑精心整理的API安全最新资讯，在这里你能看到最专业、最前沿的API安全技术和产业资讯，我们提供关于全球API安全资讯与信息安全深度观察。

本周，我们带来的分享如下：

Radware的2022年API安全状态报告

Radware最近发布了2022年API安全状况研究报告。该报告表示，超过一半的组织认为他们的API没有得到适当的保护，即使是那些感受到保护的人，也可能只是带着虚假的安全感进行操作。

以下关键数据直接取自报告：

• 59%的受访者在云端运行他们的大部分应用程序。

• 92%的API使用量有所增加。

• 62%的受访者表示，超过三分之一的API没有记录。

• 74%的受访者认为，容器和微服务在默认情况下更安全。

• 65%的受访者认为，开源代码更安全。

• 70%的受访者认为，他们能够处理好具有敏感数据的应用程序。

• 44%的受访者表示，他们的API已经得到了很好的保护。

打破 myths of API security

BankGround是一个银行游乐场，是一个学习REST/OpenAPI和GraphQL API的开源项目。该项目是Karel Husa的创意，提供API安全培训和测试服务，可以使用简单易懂的API开设账户并像在银行一样进行交易。

第一个要点是，未记录的API对组织构成了重大威胁。虽然92%的受访组织认为他们对API的安全防护做到位了；70%的组织认为他们可以查看处理敏感数据的应用程序；但62%的大多数人承认他们的API是无记录的。

第二个要点是，API攻击在很大程度上未被发现。一半的受访公司认为其现有工具在保护其API方面效果甚微；7%的公司表示，这些解决方案根本没有识别任何攻击。这种检测差距可能会导致组织严重低估API攻击给企业带来的真正风险。

最后，三分之一的公司报告表明，基于机器人的攻击是他们最关心的问题。他们更关心传统的保护防御机制，无法针对复杂的分布式机器人攻击提供足够的保护，比如API网关和WAF。

作者总结了以下与API安全性相关的错误假设：

• WAF将保护大家的API；

• API网关将管理和保护大家的API；

• 使用的API有据可查，可实现有效的保护；

API安全性需要深入了解多种环境和平台，有效的API安全解决方案包含：

• 与现有的安全和可视化工具集成；

• 利用先进的机器学习算法来检测新出现的威胁，并自动创建和优化API安全策略；

• 实现准确且自动化的API发现、API保护和API安全策略；

• 针对各种威胁全面保护API所有部分，包括访问违规、数据泄露、拒绝服务、自动威胁（机器人）和嵌入式攻击；

• 防范基于机器人的自动化威胁；

• 支持正负安全模型，同时支持可持续性自动安全策略优化和调整，用以纠正和消除误报事件。

感谢 APIsecurity.io 提供相关内容