F5全新报告显示， AI/ML及API网关成为应对中国市场API安全风险的关键

中国市场关键洞察：

API安全关注点主要集中在身份验证和访问控制API安全全生命周期将访问控制和态势管理置于优先事项API安全解决方案聚焦于API网关以及人工智能/机器学习解决方案 ，新报以解决关键安全问题

F5（NASDAQ：FFIV）近期在亚太地区发布全新研究报告《2024策略洞察：亚太地区API安全报告》（以下简称为“报告”） ，告显关成国市调查显示亚太地区企业正愈加依赖基于人工智能/机器学习（AI/ML）驱动的及键解决方案应对应用程序接口（API）带来的广泛复杂安全挑战。随着API持续成为推动数字化体验的对中的关关键，该报告全面检视了当前在亚太地区范围内面临的安全API安全挑战与机遇。

随着网络犯罪分子越来越多地将API作为攻击目标
 ，风险五分之一的新报亚太地区受访企业已开始采用AI/ML技术来检测和缓解传统安全措施可能忽略的复杂威胁 ，例如服务端请求伪造 (SSRF)。告显关成国市而在中国
，及键由于SOAP等传统API协议的高防服务器对中的关广泛应用及其复杂的授权需求，13%的安全受访者表示优先关注具有更细粒度访问控制的 “功能级别授权失效”  。此外，风险API网关因可提供访问控制等强大安全功能，新报并缓解敏感业务访问无限制等安全漏洞，告显关成国市而在亚太地区（20%）企业中被广泛采用 。及键同时，API网关的部署与中国普遍使用的传统协议（例如REST和SOAP）的安全性需求相契合  ，可确保对API流量和访问进行稳健控制 ，香港云服务器而备受中国受访者（25.4%）重视 。

尽管亚太地区企业希望在运行时保护其API，但他们也更加意识到从开发阶段就开始保护API的重要性，因此拥有稳健的代码安全标准和实践（17.5%）已成为该地区企业抵御复杂漏洞的根本策略 ，例如对象级别授权失效、安全配置错误，以及 SSRF等。在中国 ，将代码安全置于优先位置已成为降低API风险的关键策略，因为确保API在代码层面没有漏洞对于防止安全缺陷被利用至关重要 ，特别是代码安全解决方案在缓解OWASP提出的云计算安全风险方面发挥着重要作用，例如安全配置错误和未受限制的资源消耗。

F5亚太地区 、中国和日本首席技术官Mohan Veloo表示 ，“应用已成为网络犯罪的前沿阵地 ，网络犯罪分子越来越多地将API视为突破口 。在亚太地区，随着网络犯罪分子利用AI驱动的工具，我们目睹到攻击数量不断增加 ，速度
、规模和复杂性也日益提高
。正因如此 
，对于亚太地区企业，服务器租用尤其是寻求提供AI驱动服务的企业而言  ，保护API连接及其承载的数据已成为至关重要的安全挑战 。”

如今，API 安全的重要性与日俱增 ，但其复杂性也达到前所未有的程度。报告发现 ，越来越多企业正将安全左移融入API全生命周期管理 ，同时增强在部署后实施的安全防护。F5通过将先进的模板下载 API 代码测试和遥测分析技术引入F5分布式云服务（F5 Distributed Cloud Services）
，以打造业界最全面的AI就绪型API安全解决方案 。F5分布式云服务通过在单一平台上提供API发现 、测试
、态势管理和运行时保护
，助力企业从代码到云端实现真正的可见性和安全性。

《2024策略洞察：亚太地区API安全报告》中的关键洞察：

亚太地区面临着独特 API 安全挑战：与全球 OWASP 排名相比，亚太地区企业API安全挑战排名存在差异 。身份认证失效、服务端请求伪造，以及安全配置错误成为亚太地区首要关注点。对安全配置错误的持续担忧是源码库中国（9%）和亚太地区（13%）共同面临的问题。这一持续存在的问题表明 ，企业在维护安全的API配置方面正面临着严峻挑战 。亚太地区 API 安全全生命周期侧重于安全测试和访问控制
 ：这一侧重凸显了预防措施的重要性，旨在减轻与未经授权访问相关的风险
，并在部署之前确保稳健的API安全 。另一方面
，在中国，企业将访问控制（58%）、API态势管理（44%），以及API发现和映射（56%）置于优先事项，以确保API始终符合安全策略和最佳实践。亚太地区API安全测试方法日趋成熟：企业正将传统方法 ，例如静态应用安全测试（SAST）（54%）和动态应用安全测试（DAST）（51%）与新兴策略，例如动态API安全测试（51%）相结合。这一做法充分反映了行业对多样化测试策略重要性的广泛认可。外部用户控制成为亚太地区API访问控制的首要关注点：亚太地区企业对外部用户控制（59%）的潜在风险表示出高度担忧。其他优先事项包括遵守既定标准（54%）以及安全的应用间交互（49%）。这反映了在如今互联互通日益增长的趋势下 ，构建全面的安全框架的重要性 ，确保企业能够有效应对不断演变的API风险。高度重视数据保护免遭泄露和篡改
：数据泄露（53.3%）是亚太地区企业在API运行时保护方面最为关注的问题，这突出了保护敏感信息的重要性
。此外 ，业界还广泛重视维护数据完整性（27.7%） 
，并通过检测和掩码技术（23.4%）保护敏感信息。重点强调发现高风险API和监控API的使用情况：亚太地区企业最关注识别可能暴露敏感数据或漏洞的API（63%），并通过理解API使用模式检测可能导致泄露或误用的异常模式（56%）
。僵尸API（42%）和影子API（39%）的优先级稍低，但仍是关注重点。