API 安全公司 Salt Security 發布的一份《State of API Security Report, Q3 2021》報告指出，針對應用程序編程接口的攻擊流量正在以普通 API 流量的三倍速度增長。該報告基于六個月的數據，揭示了解決 API 安全性的重大挑戰。報告發現，安全問題在 API 項目關注的名單中名列前茅，很少有受訪者認為他們有信心識別和阻止 API 攻擊。

[[415102]]

在過去的六個月中，Salt 客戶數據顯示整體 API 流量增長了 141%;與此同時，API 攻擊流量則增長了 348%。這一發現揭示了由數字化轉型和信息技術現代化項目推動的 API 使用快速增長的安全后果。

Salt Security 聯合創始人兼首席執行官 Roey Eliyahu 稱，“API 及其訪問的寶貴數據是當今以數據和應用為中心的經濟的關鍵所在。然而，API 仍然是任何組織的應用程序或軟件堆棧中最脆弱的元素之一。據了解，我們在我們支持的 90% 的潛在客戶的 API 中發現了關鍵的安全漏洞。這份報告對這些傳聞進行了量化，強調了企業每天面臨的 API 安全風險。隨著 API 的采用和流量的加快，安全風險也在增加。正如我們在這份報告中所看到的那樣，API 旨在促進創新，而不是扼殺創新。”

報告分析了 API 的最常見用途，發現有 61% 的受訪者將 API 用于平臺或系統集成，52% 的人使用它們來推動數字化轉型，47% 的人使用它們來標準化或提高應用程序和軟件開發的效率。但所有人都遇到了問題，其中 64% 的受訪者由于 API 安全問題而推遲了應用程序的推出。

46% 的受訪者在談到 API 時將安全問題列為他們最擔心的問題。對缺乏預生產安全性的擔憂是最高的反應 (26%)，緊隨其后的是對程序沒有充分解決運行時安全性的擔憂 (20%)，沒有驅動足夠的可觀察性和控制以 14% 的比例排在前三名。

近一半的受訪者表示他們試圖通過他們的 WAF 或 API 網關識別 API 攻擊者，而 12% 的受訪者承認他們無法識別 API 攻擊者。大約 62% 的組織被發現沒有針對 API 安全的策略或只有基本的策略。

報告中的一些其他發現包括有：

• 40% 的受訪者將“僵尸 API”的風險列為他們最關心的問題，幾乎是第二大關注領域(帳戶接管)的三倍。
• 85% 的受訪者對其 API 清單的完整性存在疑問。
• 55% 的受訪者將運行時保護列為 API 安全的重中之重，也是 API 安全平臺最受重視的屬性。
• 85% 的受訪者對他們知道哪些 API 會暴露敏感數據缺乏信心。

詳情可查看完整報告：https://salt.security/api-security-trends

本文轉自OSCHINA

本文標題：API 攻擊流量增長速度是整體 API 流量的三倍

本文地址：https://www.oschina.net/news/153469/api-attack-traffic-growing