近四分之一的企业遭API相关攻击

全球250名岗位、行业和所在公司规模不同的人员填写了调查报告，Salt Security 公司基于这些数据编写了《2024年API安全现状报告》。

除了数据泄露事件外，几乎所有 (95%) 的受访人员声称在过去的12个月中遭受了API安全问题，包括漏洞 (37%)、敏感数据暴露 (38%)、认证问题 (38%)、拒绝服务 (21%) 和账户滥用 (24%)。

部分API问题的增长速度和组织机构中API的增长速度一致。

报告指出，在过去的12个月中，API的数量增长了167%，三分之二 (66%) 的受访人员表示管理100多个API。然而，他们并未同步提升管理这一扩大的攻击面的安全性。

仅有8%的受访者认为自身的API安全策略是“高阶的”，近五分之二 (37%) 的受访者甚至并未配置API安全策略。仅有58%的受访者具备发现环境中所有API的流程，尽管近一半 (46%) 的受访者声称API安全是所在组织机构管理层的讨论话题。

Salt Security 公司的联合创始人兼首席执行官 Roey Eliyahu 指出，“攻击者正在继续利用API中的弱点执行恶意攻击并获得对企业和客户数据的访问权限。随着恶意人员经常通过合法方法不断优化发动API攻击的技术，组织机构必须采取更加深入的方式保护API的安全，这种方式应该结合强大的API发现能力、态势治理策略和快速有效地检测活跃威胁和恶意API流量的能力。”

仅有五分之一 (21%) 的受访者表示当前的API安全方法如 web app 防火墙和API网关能够有效抵御攻击。约70%的受访者强调称“僵尸”API是最令人担心的问题，而在2023年这一数字为54%。