根據 F5 首份 2024 年亞太區 API 安全戰略洞察報告,亞太區企業越來越依賴 AI 和 ML 支持的解決方案來應對 API 安全挑戰。API 在推動數位體驗的同時,也帶來了新的安全挑戰和機遇。
隨著 API 成為網絡犯罪的主要目標,五分之一的亞太區企業已採用 AI/ML 技術來檢測並降低傳統安全措施可能忽略的威脅,如伺服器端請求偽造(SSRF)。API 閘道在該地區被廣泛採用,用於強化存取控制和減少各種漏洞,如不受限制的存取敏感業務流程。
F5 亞太、中國及日本區首席技術官 Mohan Veloo 表示:「應用程式已成為網絡犯罪的前門,犯罪分子越來越多使用 API 作為鑰匙。隨著 AI 驅動的工具增加,我們看到攻擊的速度、規模和複雜性不斷提高。保護 API 連接及透過它傳輸的數據成為企業面臨的關鍵挑戰。」
Twimbit 創始人兼首席執行官 Manoj Menon 指出:「亞太區企業面臨獨特的 API 安全挑戰,與全球 OWASP 排名有顯著差異。針對特定風險,如身份認證失敗、伺服器端偽造請求和安全配置錯誤,企業需要量身訂做的安全措施。馬來西亞、紐西蘭、韓國和印度等國家正在優先處理這些問題,顯示出該地區多樣化的 API 採用模式。」
亞太區企業在運作期間保護 API 的同時,也越來越認識到從開發階段保護 API 的重要性。擁有健全的程式碼安全標準和實踐已成為該地區企業的基本策略,保護 API 免於遭受各種漏洞。
Mohan Veloo 表示:「API 安全變得比以往更加重要,但也更複雜。我們的報告顯示,企業已經向左移,在 API 生命週期的開發階段採取安全措施,並在後期保護。F5 將先進的 API 程式碼測試和遙測分析導入 F5 Distributed Cloud Services,打造最全面且支持 AI 的 API 安全解決方案。」
報告的其他發現包括:
- 亞太區企業面臨獨特的 API 安全挑戰,與全球 OWASP 排名有所不同,主要關注身份認證失敗、伺服器端偽造請求和安全配置錯誤。
- 亞太區企業認為安全測試和存取控制是 API 安全生命週期的首要任務,以降低未經授權存取的風險。
- 亞太區的 API 安全測試方法日趨成熟,結合了靜態應用安全測試(SAST)和動態應用安全測試(DAST)等傳統方法以及主動 API 安全測試等新興策略。
- 外部用戶的存取控制是 API 安全的主要關注點,企業對來自外部實體的潛在風險高度關注。
- 亞太區企業高度重視資料保護,特別是防止數據外洩和篡改。
- 企業專注於發現高風險 API 和監控 API 使用狀況,以識別可能暴露敏感資料或漏洞的 API。
這份研究由 Twimbit 在 2024 年上半年代表 F5 進行,受訪者來自亞太區 11 個市場的 297 位專業人士,包括安全、DevOps、SecOps 和應用開發領域。