API 在串聯應用程式和推動創新方面扮演重要的角色，卻經常存在嚴重的安全漏洞。近期調查顯示，攻擊者經常濫用密碼和 API 金鑰等資訊，導致許多組織面臨機密曝光的問題。不斷被發掘的API漏洞，加上過時的安全措施，讓人日益擔憂其嚴重性。
35% 遭曝光的 API 金鑰仍有效，構成重大安全風險
Nightfall AI | 機密現況報告 | 2024 年 8 月
GitHub 上最常發現密碼和 API 金鑰等機密資訊，平均每 100 名員工，每年就會曝光近 350 個機密資訊。
35% 被揭露的 API 金鑰仍然有效，對越權(privilege escalation)攻擊、惡意資料洩露、意外資料外洩構成重大風險。
所有偵測到的機密資訊中，密碼佔一半以上（59%），API 金鑰緊隨其後（39%）。
使用過時的方法來保護 API
Cloudflare | 2024 應用程式安全現狀 | 2024 年 7 月
DDoS 攻擊仍然是針對網頁應用程式和 API 的最常見威脅，佔 Cloudflare 所保護之所有應用程式流量的 37.1%。
隨著企業管理數以千計的 API，安全挑戰日益嚴峻
F5 | 應用程式策略報告 | 2024 年 6 月
有 90% 的受訪者表示，他們管理的 app少於 200 個，雖然隨著數位轉型有減少的趨勢，但管理的 API 數量卻不斷增加。超過 41% 的受訪者表示，他們管理的 API 至少和 app一樣多。
API 的快速增長讓公司開始採用新的管理和保護方法，有 95% 的受訪者表示已採用 API 閘道來進行身份驗證、要求驗證和流量限制。
此外，有 43% 的受訪者已經將 App和 API 的安全基礎設施進行了自動化。
95% 的公司面臨 API 安全問題
Fastly | 2024 年 API 安全研究 | 2024 年 3 月
84% 的受訪者承認尚未採用更進階的 API 安全措施。
95% 的受訪者提到他們在過去十二個月內遇過 API 的安全問題。
79% 的受訪者因為考量 API 的安全性，推遲了新應用程式的推出或整合。
API 成為被攻擊的熱門目標
Akamai | 潛藏在陰影中的威脅：API 攻擊趨勢分析 | 2024 年 3 月
在過去一年（2023 年 1 月至 12 月），有 29% 的網路攻擊是針對 API，顯示 API 已成為網路犯罪者的主要目標。
在各個行業中，商業領域受到攻擊最頻繁，佔所有 API 攻擊的 44%，其次是商業服務，占近 32%。
研究揭露 API 機密外洩，影響大型科技公司
Escape | API 機密外洩研究 | 2024 年 2 月
Escape 的安全研究團隊掃描了 1.895 億個 URL，發現超過 18,000 個 API 機密外洩。其中有 41% 屬於高風險，可能對企業造成財務損失。本文轉載自HelpNetSecurity。

迎戰AI數位威脅，打造API零信任安全研討會​

隨著容器化、微服務和API的出現，企業越來越依賴API來支援所有的服務，API的數量和種類也呈現爆發性增長。當API 成為企業數位轉型的關鍵優先選項，越來越多的API介面被部署和使用，API 成為網路攻擊和資料外洩的重要入口，也成為駭客新的攻擊目標，專家預測， 2024年針對API 的攻擊數量恐將大幅增加。

透過本次研討會，我們將深度探討 API 攻擊的最新趨勢與駭客最新攻擊手法，我們也將分享透過AI 學習，主動的API監控與防禦機制，全盤控管API流量，協助企業秒變安全專家，掌握企業安全優勢助攻業務成長。點我看活動資訊!

新聞來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11193&mod=1
發布日期：2024/8/20