APIsecurity仍然是一個主要問題，在過去12個月中，攻擊增加瞭681%，影響瞭95%的組織。

Tracup，API攻擊在過去12個月增加瞭681%，影響瞭95%的組織

Salt Security的研究部門Salt Labs發佈瞭2022年第一季度API安全狀況報告，該報告表明API攻擊在過去12個月中使API流量的總體增長翻瞭一番多，95%的運行生產API的組織經歷瞭API安全事件。

然而，大多數組織沒有準備好應對這些挑戰，超過三分之一（34%）沒有API安全策略。同樣，傳統的安全措施繼續失敗，給組織一種虛假的安全感。

API安全問題減緩瞭新應用程序的推出

Salt Security API安全報告顯示，惡意API流量增加瞭681%，而總體API流量增加瞭321%。

同樣，Salt Security客戶經歷瞭API攻擊的頻率增加，12%的客戶每月平均記錄500次API攻擊。根據Salt Labs的數據，94%的漏洞影響瞭經過身份驗證的API的客戶。

因此，出於API安全考慮，62%的組織減緩瞭新應用程序的推出。

Salt Security的聯合創始人兼首席執行官Roey Eliyahu表示，鑒於API安全的現狀，每個組織都必須成為一個軟件組織。同樣，鹽安全技術傳教士Michael Isbitski表示，API為威脅行為者提供瞭一種有吸引力的攻擊載體。

大多數組織沒有準備好處理API攻擊

由於API安全性位居榜首，40%的受訪者擔心公司的API計劃。近四分之一（22%）的人引用瞭生產前安全性，18%的運行時或生產安全性，19%的人表示對要求和文檔的投資不足。

API安全的主要障礙是缺乏專業知識或資源（35%）和預算限制（20%）。因此，34%的組織沒有API安全策略，而27%的組織隻有基本策略。隻有11%的受訪者擁有強大的API安全性，包括API測試和保護。

缺乏戰略和資源阻礙瞭大多數組織阻止API攻擊的能力。這種情況導致大量組織遭受API攻擊。

組織還缺乏所有權，誰應該對API安全負責。因此，超過一半的受訪者認為API安全是開發人員、DevOps或DevSecOps的責任，而31%的受訪者認為AppSec或InfoSec團隊有責任。

為瞭克服所有權挑戰，更多的組織正在應用程序安全和DevOps團隊之間分擔責任。”超過三分之一的受訪者（34%）表示，由於解決API安全問題，安全團隊與DevOps進行瞭更多的合作，另有30%的人表示，DevOps尋求安全團隊的意見，以制定API指南，”研究人員寫道。“另外25%的組織正在DevOps團隊中嵌入安全工程師，以應對這一挑戰。”

然而，該報告警告說，由於運行時保護對API保護至關重要，“左移”策略正在失敗。

WAF和API網關未能阻止API攻擊，使組織面臨風險

Isbitski說：“鑒於傳統的安全和API管理平臺無法抵禦針對API獨特業務邏輯的復雜攻擊，攻擊者繼續取得成功，使企業面臨風險也就不足為奇瞭。”

報告發現，55%的受訪者依賴網關警報，37%依賴Web應用程序防火墻（WAF），45%依賴日志文件分析。

然而，85%的人指出，他們目前的工具在阻止API攻擊方面無效，而另外83%的人對其API庫存缺乏完全信心。

報告指出，傳統的安全和API管理工具，包括WAF和API網關，未能捕捉到API攻擊，使許多組織具有虛假的安全感。

例如，依賴日志文件分析可以確保攻擊者在檢測到漏洞之前已經訪問瞭有價值的數據。

他們寫道：“也許我們能從最新研究中吸取的最大教訓是，2022年必須是組織認真保護API的一年。”

Tracup API connect 鏈接生產力工具，這僅僅是開始……

隨著數字化進程的不斷加快，加之後疫情當下，企業、組織、政府，越來越多的工作需要多線程遠程協作才能完成，各種生產力工具得到瞭快速發展。Tracup API connect讓程序員、知識工作者的生產力工具、API切換自動化，幫助團隊卓有成效地組織工作，讓每一項結果都沉淀、貫穿於工作流當中，同時也大大節省分別使用不同工具和服務的時間和成本。