F5 研究：25% 亞太企業尋求 AI/ML 解決 API 安全

根據 F5 首份 2024 年亞太區 API 安全戰略洞察報告顯示，亞太區的企業越來越依賴由人工智慧和機器學習（AI/ML）支援的解決方案，以應對應用介面（API）的各種安全挑戰。 API 持續推動亞太區數位體驗的同時，這份報告也揭示亞太區 API 安全的挑戰和機遇。

隨著 API 逐漸成為網絡犯罪分子的攻擊目標，五分之一的亞太區企業已採用 AI/ML 技術來偵測並降低傳統安全措施可能忽略的複雜威脅，例如伺服器端請求偽造（SSRF）。 API 閘道（20%）也在該地區的企業中被廣泛採用，用於強化存取控制安全並減少各種漏洞，例如不受限制存取的敏感業務流程。

F5 亞太、中國及日本區的首席技術官 Mohan Veloo 表示：「應用程式已成為網絡犯罪的前門，網絡犯罪分子越來越多以 API 作為鑰匙。在亞太區，隨著網路犯罪分子利用人工智慧驅動的工具，我們看到更多的攻擊，且攻擊的速度、規模和複雜性不斷提高。因此，如何保護 API 連接及透過它傳輸的資料，已經成為亞太區企業面臨的關鍵安全挑戰，特別是現階段許多企業正在尋找實現 AI 的技術應用。」

Twimbit 的創始人兼首席執行官 Manoj Menon 指出：「亞太區企業正面臨獨特的 API 安全挑戰，這些挑戰與全球 OWASP 排名有顯著差異。在 F5 研究報告中發現，針對特定風險，例如身份認證失敗、伺服器端偽造請求和安全配置錯誤等，企業迫切需要量身訂做的安全措施，以應對挑戰。馬來西亞、紐西蘭、韓國和印度等國家正在優先處理這些問題，反映了該地區多樣化的 API 採用模式。顯然，為了實現亞太區全面的 API 安全，專注在穩健的測試、嚴格的存取控制和持運作時持續的保護方法是至關重要。」

亞太區企業致力於在運作期間保其 API 的同時，許多企業也越來越認知到從開發階段就保護 API 的重要性。擁有健全的程式碼安全標準和實踐（17.5%）已成為該地區企業的一項基本策略，保護 API 免於遭受各種複雜的漏洞，包括特定對象存取權限漏洞、安全配置錯誤問題到 SSRF 。

Mohan Veloo 近一步表示：「現今 API 安全比以往更加重要，但也更加複雜。我們的報告明確的發現，企業已經向左移，在 API 生命周期的開發階段就採取安去措施，也努力保護後期階段。 F5 將先進的 API 程式碼測試和遙測分析導入 F5 Distributed Cloud Services，打造業界最全面且支援 AI 的 API 安全解決方案。 F5 Distributed Cloud Services 可以在單一平台上提供 API 發現、測試、狀態管理和運作時的保護，使企業能夠從程式碼到雲端獲得真正的可視性和安全性。」

《2024 戰略洞察：亞太地區 API 安全報告》的其他主要發現包括：

• 與世界其他地區相比，亞太區面臨獨特的 API 安全挑戰。亞太區企業的安全挑戰排名與全球 OWASP 排名有所不同，其中身份認證失敗、伺服器端偽造請求和安全配置錯誤成為最關注的問題。這主要是由於廣泛使用的 REST/RPC 技術、內部 API 的大量使用以及該地區的多樣化部署所造成。
• 亞太區企業將安全測試和存取控制認為是API 安全生命週期中的首要任務。這彰顯預防措施的重要性，以降低未經授權存取的相關風險，並確保在部署之前具有強大的 API 安全性。亞太區企業在運作時對保護和發現採取了平衡的方法，而狀態管理是最低的考慮級別。
• 亞太區的API安全測試方法日趨成熟。亞太地區企業在傳統方法如靜態應用安全測試（SAST）（54%）和動態應用安全測試（DAST）（51%），與新興策略如主動 API 安全測試（51%）的採用很平均，這反映出整個業界對多樣化測試策略重要性的認可。
• 控制外部用戶是API存取控制的首要關注點。亞太區企業對來自外部實體的潛在風險（59%）表示高度擔憂。其次是遵守既定標準（54%）和確保應用間的安全互動（49%）。這反映了增強的連接性，也突顯全面性安全架構對於有效解決不斷變化的 API 風險的重要性。
• 高度重視資料保護免於外洩和篡改。亞太區企業對 API 運作時對於資料保護的優先關注分別是，資料外洩（3%），維護資料完整性（27.7%）、透過檢測及遮罩技術保護敏感資料（23.4%），突顯了保護敏感資訊的迫切性。
• 專注於發現高風險API和監控API使用狀況。亞太區的企業最關注的 API 分險分別是，識別可能暴露敏感資料或漏洞的 API (63%)，了解 API 使用模式，以檢測可能顯示外洩或濫用的異常模式（56%）。殭屍 API (42%) 和影子 API (39%) 的關心度稍低，但仍然是重大問題。

這份研究是為進一步瞭解亞太區 API 安全的現狀，Twimbit 在 2024 年上半年代表 F5 進行調查，受訪者來自安全、 DevOps 、 SecOps 和應用開發等不同領域的 297 位專業人士，分佈在 11 個亞太區市場：澳洲、中國、印度、印尼、日本、韓國、馬來西亞、紐西蘭、新加坡、台灣和泰國。

如需瞭解更多調查報告的資訊，請下載完整的《2024 戰略洞察：亞太區 API 安全報告》：https://www.f5.com/c/apcj-2024/asset/2024-strategic-insights-api-security-in-apac