Akamai今日发布最新的针对亚太地区的深度研究报告《 2025 年 API 安全影响研究》。该研究报告探讨了该地区各大经济体中应用程序编程接口 (API) 安全事件造成的隐藏漏洞、财务影响和运营挑战。研究表明,中国在重视 API 安全方面处于领先地位,但仍存在认知差异。中国的受访者是唯一将“保护 API 免受攻击”列为网络安全第一要务的群体。尽管如此,成本认知存在很大差异,高管层估计的 API 事件成本为 375 万元人民币(51.7 万美元),而一线安全人员估计的成本接近670 万元人民币(92.5 万美元)。
尽管技术不断进步,企业在API安全方面的准备工作却未能跟上步伐。API作为现代数字经济的支柱,其安全性直接影响到企业的运营稳定性和财务健康。然而,许多企业在制定安全策略时,往往低估了API的复杂性和潜在风险。
Akamai亚太地区及日本安全技术与战略总监 Reuben Koh 表示:“API 已成为一项关键技术,为从移动银行业务到联网车辆的一切提供支持。但我们的研究表明,亚太地区的企业在保护 API 方面仍然捉襟见肘。对各企业来说,就 API 安全事件的根本原因、影响和优先级达成共识至关重要,这样他们才能实施全面的安全战略,在从开发到运行时的各个阶段保护关键 API。”
该研究邀请中国、印度、日本和澳大利亚的 800 多位 IT 及安全专业人士参与了调查,描绘了企业因不安全的 API 而面临的日益严重的风险。API 现已成为现代数字基础架构的支柱,该地区 85% 的企业表示,在过去 12 个月内至少经历过一起与 API 相关的安全事件。财务影响也同样令人担忧,在接受调查的市场中,解决 API 安全事件的平均估计成本超过 58 万美元。尽管如此,很多企业仍然缺乏对其 API 生态系统和所暴露的敏感数据的监测能力。
风险与应对措施脱节
该研究发现,在所有四个国家中,认知与现实之间存在巨大差距:
- 高管层的相关意识较高,但运营监测能力较低:亚太地区 92% 的企业高层领导表示其企业在过去 12 个月内经历过API 事件,但只有 37% 的受访者确认他们知道哪些 API 会暴露敏感数据。
- 测试开展情况参差不齐:虽然事件发生率较高,但该地区只有很少一部分受访者表示会进行实时 API 测试,中国、印度、日本和澳大利亚的相关受访者占比分别为 22%、15%、11% 和 6%。
这些脱节问题反映出企业面临更大的挑战:企业保护 API 的速度赶不上部署 API 的速度,给攻击者留下了可乘之机。Koh 补充道:“这个问题已从理论转变为现实。API 滥用正在发生,并造成了实际的财务和声誉损失。领导团队必须缩小与安全和应用程序安全专业人员之间的认识差距,和他们密切合作并投资于正确的工具、流程,齐心协力保护这项关键技术。”
合规性敲响了警钟
该研究还发现,虽然大多数企业将 API 纳入了其合规计划,但只有少数企业会全面实施此计划。只有 41% 的受访者会将API 纳入风险评估,只有 40% 的受访者会将 API 纳入报告要求。此外,日本对 API 相关合规性要求的认知也落后于该地区的其他国家,有 22% 的受访者表示他们并未将 API 安全纳入合规工作中。
从中国的《数据安全法》到澳大利亚的《消费者数字权利法规》,在合规和安全框架中考虑 API 风险的需求正在迅速增长。随着 API 成为数字业务的连接纽带,保护它们需要采取深思熟虑的端到端方法。该报告建议,亚太地区的企业应当优先考虑构建持久的恢复能力,包括全面清点 API、定期进行测试以确保 API 编码正确、实施运行时检测以区分“正常”和“异常”API 活动等。
京公网安备 11010202008829号