2025年 5月14日 – Akamai今日发布最新的针对亚太地区的深度研究报告《 2025 年 API 安全影响研究》。该研究报告探讨了该地区各大经济体中应用程序编程接口 (API) 安全事件造成的隐藏漏洞、财务影响和运营挑战。研究显示,尽管人们对 API 漏洞的认识不断提高,但整个亚太地区的高层领导和安全团队对 API 安全的重视程度并未相应提升,从而导致了代价高昂的 API 攻击的发生,各企业迫切需要就 API 安全在网络安全优先事项中的地位达成共识。
该研究邀请中国、印度、日本和澳大利亚的 800 多位 IT 及安全专业人士参与了调查,描绘了企业因不安全的 API 而面临的日益严重的风险。API 现已成为现代数字基础架构的支柱,该地区 85% 的企业表示,在过去 12 个月内至少经历过一起与 API 相关的安全事件。财务影响也同样令人担忧,在接受调查的市场中,解决 API 安全事件的平均估计成本超过 58 万美元。尽管如此,很多企业仍然缺乏对其 API 生态系统和所暴露的敏感数据的监测能力。
Akamai亚太地区及日本安全技术与战略总监 Reuben Koh 表示:“API 已成为一项关键技术,为从移动银行业务到联网车辆的一切提供支持。但我们的研究表明,亚太地区的企业在保护 API 方面仍然捉襟见肘。对各企业来说,就 API 安全事件的根本原因、影响和优先级达成共识至关重要,这样他们才能实施全面的安全战略,在从开发到运行时的各个阶段保护关键 API。”
亚太地区调查的重要发现:
- 中国在重视 API 安全方面处于领先地位,但仍存在认知差异:中国的受访者是唯一将“保护 API 免受攻击”列为网络安全第一要务的群体。尽管如此,成本认知存在很大差异,高管层估计的 API 事件成本为 375 万元人民币(51.7 万美元),而一线安全人员估计的成本接近 670 万元人民币(92.5 万美元)。
- 印度的企业存在严重的内部脱节:虽然有 77% 的印度企业高管层声称拥有完整的 API 清单,但只有 41% 的应用程序安全专业人士持有相同看法。敏感数据安全意识方面也存在这种脱节,只有 11% 的应用程序安全团队确信他们知道哪些 API 会返回敏感数据。
- 尽管行业面临风险,但日本企业不会优先考虑 API 风险:在日本,尽管能源和零售行业有 96% 的企业都表示近期经历过 API 事件,但 API 安全在网络安全优先事项列表中仅位列第四。日本的应用程序安全团队将在董事会和高层领导中的声誉受损视为最严重的后果。
- 澳大利亚遭受的事件最为严重,但响应速度最慢:澳大利亚的事件发生率最高 (95%) 并且受到了严重的财务影响(平均损失为 49.3 万澳元),但定期进行全面 API 漏洞测试的企业所占比例最低 (6%)。
风险与应对措施脱节
该研究发现,在所有四个国家中,认知与现实之间存在巨大差距:
- 高管层的相关意识较高,但运营监测能力较低:亚太地区 92% 的企业高层领导表示其企业在过去 12 个月内经历过 API 事件,但只有 37% 的受访者确认他们知道哪些 API 会暴露敏感数据。
- 测试开展情况参差不齐:虽然事件发生率较高,但该地区只有很少一部分受访者表示会进行实时 API 测试,中国、印度、日本和澳大利亚的相关受访者占比分别为 22%、15%、11% 和 6%。
这些脱节问题反映出企业面临更大的挑战:企业保护 API 的速度赶不上部署 API 的速度,给攻击者留下了可乘之机。Koh 补充道:“这个问题已从理论转变为现实。API 滥用正在发生,并造成了实际的财务和声誉损失。领导团队必须缩小与安全和应用程序安全专业人员之间的认识差距,和他们密切合作并投资于正确的工具、流程,齐心协力保护这项关键技术。”
合规性敲响了警钟
该研究还发现,虽然大多数企业将 API 纳入了其合规计划,但只有少数企业会全面实施此计划。只有 41% 的受访者会将 API 纳入风险评估,只有 40% 的受访者会将 API 纳入报告要求。此外,日本对 API 相关合规性要求的认知也落后于该地区的其他国家,有 22% 的受访者表示他们并未将 API 安全纳入合规工作中。
从中国的《数据安全法》到澳大利亚的《消费者数字权利法规》,在合规和安全框架中考虑 API 风险的需求正在迅速增长。随着 API 成为数字业务的连接纽带,保护它们需要采取深思熟虑的端到端方法。该报告建议,亚太地区的企业应当优先考虑构建持久的恢复能力,包括全面清点 API、定期进行测试以确保 API 编码正确、实施运行时检测以区分“正常”和“异常”API 活动等。
