【API安全】深度解读2022全网最权威【API安全状况报告】，10大结论触目惊心，现在是组织认真对待其 API 安全的时候了！

API 是每个现代应用程序的核心，攻击者以前所未有的速度通过 API 攻破企业过去20年努力建立的安全防护边界。传统应用安全产品和 API 管理工具根本无法提供足够的 API 保护，再加上大多数企业依赖手动流程来记录 API......客户调查结果压倒性地表明，现在是组织认真对待其 API 安全的时候了！提炼报告10大结论如下：

1、过去一年中，客户对 API 的依赖达到历史最高水平，从 2021 年的89个增加到 2022 年的162个以上，每个客户的平均 API 数量比去年增长了 82%，他们的总体 API 流量增长了 168%，表明 API 使用率也正在暴增

2、API 恶意攻击流量在过去一年翻了一番，激增 117%，从平均每月 1222 万次恶意调用增加到平均 2646 万次调用，恶意流量占 API 总流量达 2.1%

3、除了攻击量不断增加之外，受访者还面临着他们自己的 API 日益复杂的挑战。API 变化的速度猛增，42% 的人至少每周更新一次 API，11% 的人每天更新一次。此外，97% 的受访者依赖多种 API 协议，这无疑增加了他们 API 环境的复杂性

4、94% 的受访者在生产 API 中遇到过安全问题，事实上，34% 的客户每月经历 100 多次攻击未遂，高于一年前的 30%。最令人不安的是，这种攻击活动引起了真正的业务担忧，超过一半的调查受访者表示，由于 API 安全问题，他们不得不推迟推出新应用程序

5、受访者承认，91% 的 API 会暴露 PII 或敏感数据，因此必须了解敏感数据的传输位置和方式，并格外努力地保护这些 API

6、失活或“僵尸”API，最令人担忧。僵尸 API 在过去调查中一直被评为第一大关注点，当组织构建新的 API 时，他们通常无法弃用以前的版本，从而使它们容易受到攻击，因为没有人修补或记录这些过时的 API。人们对“影子”或未知 API 的关注度越来越高，仅六个月后，将其列为头等大事的比例就从 5% 上升到 11%。这个消息表明组织越来越意识到与这些未知和不安全的 API 相关的潜在风险

7、组织继续“左移”，但未能保护他们。“左移”安全在过去一年中一直是许多行业对话的主题，调查回复表明组织正在倾听。但大多数成功的 API 攻击都以逻辑流中的漏洞为目标，而生产前的 API 测试和扫描永远无法发现这些漏洞——找到它们需要运行流量

8、越来越少的受访者表示，他们将 OWASP API 安全 Top 10 列表作为其 API 安全计划的重点领域。共有 62% 的受访者认为“防御 OWASP API 安全 Top 10”非常重要 (30%) 或重要 (32%)

9、大多数人依赖手动流程来记录 API，86% 的人对其 API 清单的完整性缺乏信心，14% 的人承认他们完全不知道哪些 API 公开了 PII 数据

10、大多数受访者依靠 API 网关 (54%) 和 WAF (44%) 来识别 API 攻击，但 82% 的人认为他们现有的工具不是很有效

观点提炼于Salt Security(国外著名API安全厂商)的【State of API Security】是目前API安全领域最早、最为客观的一份关于 API 安全风险、挑战和策略的报告