F5全新报告显示， AI/ML及API网关成为应对中国市场API安全风险的关键

中国市场关键洞察：

API安全关注点主要集中在身份验证和访问控制API安全全生命周期将访问控制和态势管理置于优先事项API安全解决方案聚焦于API网关以及人工智能/机器学习解决方案 ，新报以解决关键安全问题

F5（NASDAQ：FFIV）近期在亚太地区发布全新研究报告《2024策略洞察：亚太地区API安全报告》（以下简称为“报告”），告显关成国市调查显示亚太地区企业正愈加依赖基于人工智能/机器学习（AI/ML）驱动的及键解决方案应对应用程序接口（API）带来的广泛复杂安全挑战 。随着API持续成为推动数字化体验的对中的关关键，该报告全面检视了当前在亚太地区范围内面临的安全API安全挑战与机遇 。

随着网络犯罪分子越来越多地将API作为攻击目标，风险五分之一的新报亚太地区受访企业已开始采用AI/ML技术来检测和缓解传统安全措施可能忽略的复杂威胁，例如服务端请求伪造 (SSRF)。告显关成国市而在中国，及键由于SOAP等传统API协议的模板下载对中的关广泛应用及其复杂的授权需求，13%的安全受访者表示优先关注具有更细粒度访问控制的 “功能级别授权失效”  。此外 ，风险API网关因可提供访问控制等强大安全功能，新报并缓解敏感业务访问无限制等安全漏洞
，告显关成国市而在亚太地区（20%）企业中被广泛采用。及键同时，API网关的部署与中国普遍使用的传统协议（例如REST和SOAP）的安全性需求相契合，可确保对API流量和访问进行稳健控制，源码库而备受中国受访者（25.4%）重视
。

尽管亚太地区企业希望在运行时保护其API ，但他们也更加意识到从开发阶段就开始保护API的重要性，因此拥有稳健的代码安全标准和实践（17.5%）已成为该地区企业抵御复杂漏洞的根本策略，例如对象级别授权失效、安全配置错误，以及 SSRF等 。在中国，将代码安全置于优先位置已成为降低API风险的关键策略，因为确保API在代码层面没有漏洞对于防止安全缺陷被利用至关重要 ，特别是代码安全解决方案在缓解OWASP提出的亿华云安全风险方面发挥着重要作用 ，例如安全配置错误和未受限制的资源消耗 。

F5亚太地区 、中国和日本首席技术官Mohan Veloo表示 ，“应用已成为网络犯罪的前沿阵地 ，网络犯罪分子越来越多地将API视为突破口 。在亚太地区，随着网络犯罪分子利用AI驱动的工具，我们目睹到攻击数量不断增加，速度 、规模和复杂性也日益提高。正因如此 ，对于亚太地区企业 ，免费模板尤其是寻求提供AI驱动服务的企业而言，保护API连接及其承载的数据已成为至关重要的安全挑战 。”

如今，API 安全的重要性与日俱增，但其复杂性也达到前所未有的程度。报告发现
，越来越多企业正将安全左移融入API全生命周期管理，同时增强在部署后实施的安全防护。F5通过将先进的源码下载 API 代码测试和遥测分析技术引入F5分布式云服务（F5 Distributed Cloud Services） ，以打造业界最全面的AI就绪型API安全解决方案。F5分布式云服务通过在单一平台上提供API发现 、测试、态势管理和运行时保护
，助力企业从代码到云端实现真正的可见性和安全性 。

《2024策略洞察 ：亚太地区API安全报告》中的关键洞察 ：

亚太地区面临着独特 API 安全挑战：与全球 OWASP 排名相比，亚太地区企业API安全挑战排名存在差异 。身份认证失效 、服务端请求伪造，以及安全配置错误成为亚太地区首要关注点 。对安全配置错误的持续担忧是高防服务器中国（9%）和亚太地区（13%）共同面临的问题。这一持续存在的问题表明，企业在维护安全的API配置方面正面临着严峻挑战。亚太地区 API 安全全生命周期侧重于安全测试和访问控制 ：这一侧重凸显了预防措施的重要性 ，旨在减轻与未经授权访问相关的风险 ，并在部署之前确保稳健的API安全 。另一方面，在中国，企业将访问控制（58%） 、API态势管理（44%） ，以及API发现和映射（56%）置于优先事项，以确保API始终符合安全策略和最佳实践。亚太地区API安全测试方法日趋成熟：企业正将传统方法，例如静态应用安全测试（SAST）（54%）和动态应用安全测试（DAST）（51%）与新兴策略，例如动态API安全测试（51%）相结合。这一做法充分反映了行业对多样化测试策略重要性的广泛认可。外部用户控制成为亚太地区API访问控制的首要关注点：亚太地区企业对外部用户控制（59%）的潜在风险表示出高度担忧。其他优先事项包括遵守既定标准（54%）以及安全的应用间交互（49%）。这反映了在如今互联互通日益增长的趋势下，构建全面的安全框架的重要性，确保企业能够有效应对不断演变的API风险。高度重视数据保护免遭泄露和篡改：数据泄露（53.3%）是亚太地区企业在API运行时保护方面最为关注的问题，这突出了保护敏感信息的重要性 。此外，业界还广泛重视维护数据完整性（27.7%） ，并通过检测和掩码技术（23.4%）保护敏感信息。重点强调发现高风险API和监控API的使用情况 ：亚太地区企业最关注识别可能暴露敏感数据或漏洞的API（63%），并通过理解API使用模式检测可能导致泄露或误用的异常模式（56%） 。僵尸API（42%）和影子API（39%）的优先级稍低
，但仍是关注重点。