跳到主要內容區
 

- 常見的 API 安全問題:從機密曝光到未授權存取

API 在串聯應用程式和推動創新方面扮演重要的角色,卻經常存在嚴重的安全漏洞。近期調查顯示,攻擊者經常濫用密碼和 API 金鑰等資訊,導致許多組織面臨機密曝光的問題。不斷被發掘的API漏洞,加上過時的安全措施,讓人日益擔憂其嚴重性。
35% 遭曝光的 API 金鑰仍有效,構成重大安全風險
Nightfall AI | 機密現況報告 | 2024 年 8 月
GitHub 上最常發現密碼和 API 金鑰等機密資訊,平均每 100 名員工,每年就會曝光近 350 個機密資訊。
35% 被揭露的 API 金鑰仍然有效,對越權(privilege escalation)攻擊、惡意資料洩露、意外資料外洩構成重大風險。
所有偵測到的機密資訊中,密碼佔一半以上(59%),API 金鑰緊隨其後(39%)。
使用過時的方法來保護 API
Cloudflare | 2024 應用程式安全現狀 | 2024 年 7 月
DDoS 攻擊仍然是針對網頁應用程式和 API 的最常見威脅,佔 Cloudflare 所保護之所有應用程式流量的 37.1%。
隨著企業管理數以千計的 API,安全挑戰日益嚴峻
F5 | 應用程式策略報告 | 2024 年 6 月
有 90% 的受訪者表示,他們管理的 app少於 200 個,雖然隨著數位轉型有減少的趨勢,但管理的 API 數量卻不斷增加。超過 41% 的受訪者表示,他們管理的 API 至少和 app一樣多。
API 的快速增長讓公司開始採用新的管理和保護方法,有 95% 的受訪者表示已採用 API 閘道來進行身份驗證、要求驗證和流量限制。
此外,有 43% 的受訪者已經將 App和 API 的安全基礎設施進行了自動化。
95% 的公司面臨 API 安全問題
Fastly | 2024 年 API 安全研究 | 2024 年 3 月
84% 的受訪者承認尚未採用更進階的 API 安全措施。
95% 的受訪者提到他們在過去十二個月內遇過 API 的安全問題。
79% 的受訪者因為考量 API 的安全性,推遲了新應用程式的推出或整合。
API 成為被攻擊的熱門目標
Akamai | 潛藏在陰影中的威脅:API 攻擊趨勢分析 | 2024 年 3 月
在過去一年(2023 年 1 月至 12 月),有 29% 的網路攻擊是針對 API,顯示 API 已成為網路犯罪者的主要目標。
在各個行業中,商業領域受到攻擊最頻繁,佔所有 API 攻擊的 44%,其次是商業服務,占近 32%。
研究揭露 API 機密外洩,影響大型科技公司
Escape | API 機密外洩研究 | 2024 年 2 月
Escape 的安全研究團隊掃描了 1.895 億個 URL,發現超過 18,000 個 API 機密外洩。其中有 41% 屬於高風險,可能對企業造成財務損失。本文轉載自HelpNetSecurity。

迎戰AI數位威脅,打造API零信任安全研討會​

隨著容器化、微服務和API的出現,企業越來越依賴API來支援所有的服務,API的數量和種類也呈現爆發性增長。當API 成為企業數位轉型的關鍵優先選項,越來越多的API介面被部署和使用,API 成為網路攻擊和資料外洩的重要入口,也成為駭客新的攻擊目標,專家預測, 2024年針對API 的攻擊數量恐將大幅增加。

透過本次研討會,我們將深度探討 API 攻擊的最新趨勢與駭客最新攻擊手法,我們也將分享透過AI 學習,主動的API監控與防禦機制,全盤控管API流量,協助企業秒變安全專家,掌握企業安全優勢助攻業務成長。點我看活動資訊!

新聞來源:https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=11193&mod=1
發布日期:2024/8/20


 

瀏覽數: