2024年API安全影响研究报告
AI智能总结
API事件对您和团队的影响 Akamai《互联网现状》(SOTI)报告的姊妹篇 目录 3前言 API攻击是否会对企业及其安全团队产生重大影响?对API及潜在风险的监测能力是否足够?API测试是否足够频繁,可以降低滥用或漏洞风险? 15API安全受到关注,但仍缺乏足够重视 企业内不同职位的人员如何看待API安全的重要性?对API安全事件的看法不一是否表明企业没有统一的权威信息来源? 执行摘要 API安全影响研究(原《API安全认知脱节》报告)现已进入第三年,今年的研究对美国、英国和德国(2024年新增)的1,207名领导者和从业人员进行了调查,并根据调查结果探讨了API保护的现状。此研究调查的内容包括企业发生API安全事件的情况,包括发生的频率、原因和影响;以及安全部门如何应对API相关的攻击风险。 为了获得全面的信息,我们调查了不同行业和不同职位的人员,包括: CISO、CIO、CTO、资深安全专业人士和AppSec团队成员,这些人员来自不同规模的企业,从500人以下到1,000人以上都有 八个行业:金融服务、零售/电子商务、医疗保健、政府/公共部门、制造业、能源/公用事业,以及(2024年新增)汽车和保险 前言 尽管有数据显示API攻击十分普遍而且极具破坏性,API仍然经常被视为一种新兴攻击媒介。我们不妨看看以下数据: •根据Akamai最近的一份《互联网现状》(SOTI)报告,2023年1月到2024年6月,有记录的API攻击达到了1,080亿次。•2024年5月的Gartner®《API保护市场指南》提到,“当前数据表明,常规API漏洞导致的数据泄露至少是常规安全漏洞的10倍。”*•攻击活动也日益增多。SOTI报告还指出,2023年第一季度至2024年第一季度期间,Web应用程序和API攻击合计增加了49%。 这样的增长并不令人意外。其背后的原因在于,几乎所有推动数字化项目(生成式AI工具、面向客户的应用程序、云服务等)的技术都使用API来实现通信和数据交换,然而许多API并未得到充分的保护,存在身份验证缺失、配置错误甚至彻底被遗忘等问题。这使得API成为网络犯罪分子眼中极富吸引力而且经济高效的攻击媒介。攻击者只需要找到一个存在漏洞的API,然后很快就可以直接获取调用API时返回的所有数据,这些数据可能会达到成千上万条记录。 许多API未得到充分的保护,使得API成为网络犯罪分子眼中极富吸引力而且经济高效的攻击媒介。 总体而言,我们的研究表明,API安全尚未成为综合安全策略的重要组成部分。大多数企业将API攻击视为新兴威胁,然后从攻击数据来看,API攻击数量正在不断增加,而且攻击者往往会得逞。另外,调查发现API攻击造成的财务影响和团队压力也不容忽视。从我们2024年的调查结果中,您可以了解API安全事件对同行及他们所在企业的影响。我们希望这些数据能帮助您的团队更好地评估API保护措施并进行必要的改进。 总体发现:API事件影响企业正常运营并给团队造成压力 我们2024年的研究结果表明,API是一个日益突出的攻击媒介,给安全团队带来了很大的挑战。受访者在以下几个方面表现出惊人的一致: •连续三年见证API安全事件增多•为解决API相关事件并恢复业务正常运行,平均耗费的成本超过五十万(美国首席高管层受访者反馈的平均成本则达到了943,162美元)•感受到API事件给团队成员造成的严重影响,团队遭受的压力和声誉损失(尤其是内部审查加剧了这种压力)严重性排位甚至高于事件处理所耗费的成本 受访者对API清单完整性的看法不一,在不同职位人员的反馈中,这种差异更加明显(请参见第11页)。值得注意的是,拥有完整API清单并且知道哪些API会返回敏感数据的企业占比从2023年已经不高的40%下降到了2024年的27%。 受访者还指出,他们所使用的传统API保护工具无法覆盖所有风险。这些工具(例如Web应用程序防火墙(WAF)、API网关和网络防火墙)常被指责为导致攻击得逞的首要原因(请参见第17页API事件原因的完整列表,以及第12页关于WAF和WAAP的注释)。 安全专业人员感受到了API事件给团队成员造成的严重影响,团队遭受的压力和声誉损失严重性排位甚至高于处理事件所耗费的成本。 从调查结果中,我们还可以推断API安全策略尚未受到重视(尽管有证据表明值得重视)的几个主要原因。其中一个重要原因是,担任重要安全职位的人员对于需要保护的API的数量、位置和风险属性没有一致的认识,这很可能是因为对API的监测能力较低和缺乏统一的权威信息来源。 我们还发现,安全领导者和从业人员之间对于API攻击的原因缺乏共识。问题是出在使用的工具上,还是程序员在开发过程中出现错误,或者生成式AI创新产品中的漏洞给攻击者带来可乘之机?不同的受访者有不同的答案。 当然,API安全在企业安全策略中没有占据更重要的地位还有一个原因,那就是安全团队已经因为其他紧迫的威胁而不堪重负,那些威胁很可能也占据了大部分的财务预算和团队成员的精力。下面我们来深入分析调查结果。 API安全影响研究—2024重要发现简况 的受访者在过去12个月内经历了API安全事件 过去12个月解决API事件平均耗费的成本: 德国€403,453 英国£420,103 美国$591,404 低监测能力 高压力 测试不足 拥有完整API清单并且知道哪些API会返回敏感数据的企业只占27%,2023年这个比例为40%。 API事件的最大影响CISO:损害了部门在高层领导和/或董事会中的声誉。CIO:导致团队/部门的压力增加。 从API开发到生产,对API进行实时测试和每日测试的受访者分别只占13%和18%。 API安全事件的财务成本加剧了团队和领导者所受的影响。事件产生的高额成本引发了高层的关注和审查,可能导致董事会等重要利益相关者认为安全团队没有做好本职工作。这给团队造成了压力。事实上,各地区的受访者均提到,团队遭受的压力是API安全事件造成的最大影响。 API安全现状 过去三年里,报告API安全事件的企业越来越多,2024年这些企业所占的比例达到了84%(参见下方数据)。这些API攻击对企业有何影响?企业为降低风险采取了哪些措施?或者,哪些方面尚待改进?为了解答这些问题,我们对调查结果进行了细分整理。 API攻击是否会对企业及其安全团队产生重大影响? 简单来说,答案是肯定的。这是我们收集API安全事件的财务影响数据的第一个年度,数据结果十分引人注目:根据过去12个月内经历了API安全事件的那84%的企业所报告,处理这些事件所耗费的平均成本(包括系统修复、停机、律师费用、罚款和其他相关的费用)如下所示: •$591,404(美国)•£420,103(英国)•€403,453(德国) 某些职位的受访者认为实际成本要高得多,特别是美国的首席高管层受访者,他们所报告的成本高达943,162美元,与美国受访者所报告的平均成本相比,高出将近60%。 不管确切数据如何,API安全事件的财务成本都加剧了人力方面的影响。事件产生的高额成本引发了高层的关注和审查,可能导致董事会等重要利益相关者认为安全团队没有做好本职工作。这给团队造成了压力。事实上,根据各地区受访者的反馈,“压力”(具体而言指团队受到的压力)是API安全事件造成的最大影响,其次是“损害了部门在高层领导和/或董事会中的声誉”,排在第三位的影响是“修复成本”。值得注意的是,排在主要影响中最靠后的三位又全部是内部影响(内部影响最有损团队士气),三者的占比几乎持平(参见下方数据)。 按行业分类的调查结果与此相似:在我们调查的八大行业中,有四个行业的受访者也认为“API事件导致团队的压力增加”是最显著的影响(请参见第9页的侧栏)。这四个行业中包括金融服务业,报告的财务损失高达832,801美元,是所有行业中最高的。 受访者提及最多的API安全事件影响 1.导致团队或部门的压力增加—27.0%2.损害了部门在高层领导和/或董事会中的声誉—26.6%3.为解决问题而产生的成本—25.8%4.监管机构的罚款—25.4%5.失去客户信任和客户流失—25.0%6.生产力损失—24.1% 7.信任和声誉损失—23.8%8.失去员工信任—23.8%9.导致企业加强了对团队/部门的内部审查—23.5% 上述数据基于的调查问题:API安全事件给您的企业带来了哪些成本和/或影响(如果有)?(最多选择3项);受访人数为1,207人 从IT部门领导者和安全领导者对事件影响的反馈中(每个受访者最多可以选择三个选项),还可以清楚地看到API攻击的财务成本和人力成本之间的关系。所有地区不同职位受访者的一个普遍共识是,API安全事件最大的影响是对员工的影响。 •从CISO报告的两个最突出影响(“损害了部门在高层领导和/或董事会中的声誉”和“失去客户信任和客户流失”)可以看出,认为人力影响最突出和认为财务影响最突出的受访者比例刚好持平,均为31%。•同样,从CIO报告的主要影响可以看到,认为“导致团队/部门的压力增加”最明显和认为“修复成本”最明显的受访者比例持平,为34%。 这些结果对于CISO和CIO来说不难理解:如果他们领导的团队不断遭遇安全事件,导致工作条件恶劣、预算超支、客户不满,那会怎么样?这些领导者不愿意看到优秀人才流失或者部门声誉一落千丈。再加上修复成本和/或客户流失等造成的财务压力,CISO和CIO承担的压力显著增加。事实上,保险和汽车行业的受访者均认为,“失去客户信任和客户流失”是API安全事件的最大影响(请参见下一页的侧栏,了解更多行业调查结果)。 其余职位受访者的热门反馈如下所示: •CTO,30%,“失去员工信任”•资深安全专业人士,27%,“损害了部门在高层领导/董事会中的声誉”•AppSec团队,31%,“导致团队/部门的压力增加” 上述数据基于的调查问题:API安全事件给您的企业带来了哪些成本和/或影响(如果有)?(最多选择3项);受访人数为1,207人 对API及潜在风险的监测能力是否足够? 答案是否定的。更确切来说,实际上情况变得更糟了。今年,拥有完整API清单并且知道哪些API会交换敏感数据的受访者比例从2023年已经不高的40%下降到了2024年的27%。(如果考虑到更多企业正尝试进行全面清查,只是缺少必要的工具来查找API并识别每个API中的活动,这个结果可能暗含好的一面。) 拥有完整API清单并且知道哪些API会交换敏感数据的受访者比例从2023年已经不高的40%下降到了2024年的27%。 API清单和敏感数据认知的当前状态(所有受访者) 上述数据基于的调查问题:您是否拥有完整的API清单,是否知道哪些API会返回敏感数据?(从五个选项中选择);受访人数为1,207人 在参与调查的三个国家/地区和八个行业的领导者中,CIO倾向于认为他们的企业拥有完整的API清单,而CISO的看法相去甚远。在从业人员之中,资深安全专业人士和AppSec团队成员与大部分CIO的看法基本一致,认为所有API都已纳入清单。 但是,对于是否了解哪些API在调用时会返回敏感数据,五个职位的受访者有什么样的反馈?答案很重要,因为很多此类调用都来自试图利用常见API漏洞的恶意方。 攻击者利用以下四类不受管API来获取数据 1.影子API(也称为“未明确记录的API”)存在并运行于企业官方监控的渠道之外。2.恶意API是未经授权或恶意的API,会对系统或网络构成安全风险。3.僵尸API包含被新版本或其他API完全取代后仍处于运行状态的任何API。4.已弃用的API是由于API发生了变化而不再推荐使用的API。 从这些反馈结果中,我们可以发现关于API风险监测能力的一些有趣事实。大多数CISO和CTO的反馈表明,他们要么拥有完整的清单但不知道哪些API会返回敏感信息(我们将知道API返回哪种敏感数据称为“具备敏感数据认知”),要么拥有不
