【專家教路】Akamai報告揭示最新攻擊趨勢 近三成網絡攻擊以API為目標

全球領先的雲端服務提供商 Akamai 發現，API 正成爲攻擊目標，相關攻擊不但可能持續增加，更出現越來越多針對 API 設計的特定攻擊技術，因此企業需要採取多種保護措施。Akamai 最新網絡安全報告更揭示了 API 最新攻擊趨勢、講解組織需了解的新興法規及合規要求、如何建立 API 安全策略及實際案例等，值得組織或企業人員參考。

從設計角度來看，API 是數據管道。因此，一旦攻擊者通過漏洞利用或針對業務邏輯的攻擊等常用手段，實現未經授權的訪問，API 便可能將數據暴露給攻擊者。

2022 年，Gartner 預測 API 濫用和數據泄露到 2024 年幾乎將會翻倍增長。時間如梭，現況是備受矚目的 API 事件比以往更加常見。開放式 Web 應用程序安全項目（OWASP）是以其十大安全風險清單而聞名的非營利組織，去年他們發佈了一份專門關於 API 風險的單獨清單，名爲「OWASP 十大 API 安全風險」，以幫助企業辨識 API 所帶來的特有威脅。

Akamai 的研究發現，API 正在成爲攻擊目標，攻擊手段不僅包括傳統攻擊方式，還有針對 API 設計的特定攻擊技術，因而需要採取多種保護措施。

實際上 Akamai 發現從 2023 年 1 月到 12 月，近 30% 的網絡攻擊以 API 爲目標（圖 1）。除非企業能夠正確地保護其 API，或摸清其環境中使用的所有 API，否則隨着 API 使用需求的增加，這些攻擊也很可能會繼續增加。瞭解攻擊面的完整範圍，首先應從一份全面準確的 API 清單開始。

Akamai 最新的「互聯網現況-網絡安全報告」揭示了 API 的最新攻擊趨勢，包括組織需要了解的新興法規和合規性要求。

• 在 2023 年 1 月至 12 月這 12 個月期間，共有 29% 的 Web 攻擊以 API 爲目標，這表明 API 是網絡犯罪分子的重點攻擊目標。

• 對 API 的攻擊包括開放式 Web 應用程序安全項目（OWASP）十大 API 安全風險清單，以及 OWASP 十大 Web 應用程序安全風險中強調的風險，還有使用結構化查詢語言注入（SQLi）和跨站點腳本攻擊（XSS）等屢試不爽的方法，來滲透其目標的攻擊者所帶來的風險。

• 業務邏輯濫用成爲一個嚴重問題，因爲在缺乏 API 行爲基線的情況下，識別異常的 API 活動變得尤爲困難。企業若缺乏解決方案來監視 API 活動中的異常情況，將面臨運行時攻擊的風險。例如數據抓取作爲一種新興的數據泄露媒介，可利用經身分驗證的 API，從企業內部緩慢竊取數據。

• API 已成爲當今大多數數字化轉型的核心。因此必須瞭解行業趨勢以及相關應用場景，例如會員欺詐、濫用、授權問題和盜刷攻擊。

• 企業在安全策略流程中，應儘早考慮合規要求和新興的法規，以避免未來可能需要重新設計策略。

此外，該網絡安全報告更詳細解釋了 API 攻擊預計會增加的原因，為什麼不能只依賴 OWASP API 安全十大指南來建立 API 安全性策略。還有 API 攻擊的區域趨勢，包括北美、歐洲、中東和非洲和亞太地區，以及有關 API 保護和 API 安全策略的實際課程和案例研究等等。

歡迎閱讀詳細報告- 2024 State of the Internet Report：
https://www.akamai.com/lp/soti/lurking-in-the-shadows

您亦可電郵 [email protected] 索取中文報告。