Cloudflare：2024年API安全和管理报告（34页）.pdf

1、2024 年 API 安全和管理报告2Cloudflare|2024 年 API 安全和管理报告目录03摘要04快照：全球 API 相关流量05主要结果06隐藏的攻击面07影子 API 的风险08常见 API 错误09误判 API 错误的风险10最常见的 API 安全漏洞11 API 漏洞在一次 MDM 攻击中的角色12缓解常见 API 漏洞的两种方法13以 API 为中心的世界13地区趋势14中东流量峰值15API 会减慢吗？16各行业的 API 流量17行业基准18对 2024 年及以后的预测23建议30附录30API 安全术语表32HTTP 状态码描述33尾注目录点击章节标题以跳转所在页

2、面3Cloudflare|2024 年 API 安全和管理报告目录互联网是计算机之间无穷无尽的对话流。这些对话通常使用应用程序编程接口(API)进行，让我们能够以新的方式与软件和应用程序进行交互。例如，OpenAI 的 ChatGPT API 赋能 Slack 简化基于聊天的工作流程，B 提供更个性化的行程规划体验。今天，API 超过了其他互联网流量，在去年 Cloudflare1 处理的动态互联网流量中占 57%。然而，正如这份 2024 年 API 安全和管理报告 中所探讨的那样，API 的管理和滥用防范变得越来越复杂。例如，许多组织缺乏关于其 API 的准确信息。Cloudflare 通

3、过机器学习发现的 API 端点比组织自行报告的数量多出 30.7%。2 不幸的是，组织无法有效地保护他们看不到的东西。如果组织在没有准确、实时了解其 API 信息的情况下 实施 API 安全，可能会无意中阻止合法的流量。以“请求过多”(429)错误代码为例 这是 Cloudflare 在 2023 年缓解的头号 API 客户端错误类别。429 代码并不总是意味着来自攻击者的请求过多。如果因一次分布式拒绝服务(DDoS)攻击而针对这种错误设置的速率限制范围过于广泛，就有可能阻止合法用户。（值得注意的是，DDoS 防护是 Cloudflare 客户的第一大 API 缓解方法。）本报告的目标是为组织

4、提供一个有价值的基准，以全面评估其 API 端点管理的健康状况。毕竟，API 安全还必须结合数据来管理可见性、性能和风险。摘要方法 本报告中的数据发现基于 Cloudflare 全球网络（包括 Cloudflare 的 Web 应用程序防火墙、DDoS 防护、机器人管理和 API 网关服务）在 2022 年 10 月 1 日至 2023 年 8 月 31 日期间观察到的汇总流量模式。Cloudflare 平均每秒处理超过 5000 万个 HTTP 请求，每天阻止约 1700 亿个网络威胁。更多 API 端点30.7%4Cloudflare|2024 年 API 安全和管理报告目录快照：全球 A

5、PI 相关流量全球 API 流量随时间增长的情况基线高亮显示，仅包括 200 响应代码和动态缓存2022 年 10 月 1 日至 2023 年 8 月 31 日，成功响应（状态码为 200）的 API 流量占 Cloudflare 动态 HTTP 流量的 53.1%至 60.1%。动态内容是根据用户特定因素而变化的内容，例如访问时间、位置和设备。2022 年 11 月-10%-5%0%5%10%15%2023 年 1 月2023 年 3 月2023 年 5 月2023 年 7 月5Cloudflare|2024 年 API 安全和管理报告目录主要结果头号缓解方法：DDoS 防护三分之一(33%

6、)的 API 缓解包含分布式拒绝服务(DDoS)攻击。4分行业统计API 流量占比最高的行业包括物联网平台、轨道/公交/出租车、法律服务、多媒体/游戏以及物流/供应链行业。5地区变化API 流量占比最高的是非洲和亚洲。API 流量变化最大的是中东。6API 流量增速超过了其他互联网流量成功的 API 调用占 Cloudflare 处理的互联网流量（动态 HTTP 流量）的 57%。1未知攻击面机器学习模型发现的 API 端点数量比组织自行报告的多出近三分之一(30.7%)。2头号错误：请求过多超过一半(51.6%)的 API 错误包括“请求过多”（429 错误）。3可见性检查今天如何发现和编录