報(bào)告中提到，OWASP API Top 10相關(guān)攻擊月增32%。如果用MITRE標(biāo)記分析，其月度增長(zhǎng)也達(dá)到了30%。此外，2024年，Akamai平臺(tái)觀測(cè)到全球Web攻擊量達(dá)3110億次，同比增長(zhǎng)33%，其中，亞太以及日本地區(qū)Web攻擊同比暴增73%。

全球網(wǎng)絡(luò)攻擊呈現(xiàn)出明顯的上升趨勢(shì)，Web攻擊量?jī)赡昕偭吭鲩L(zhǎng)65%，API攻擊年增速達(dá)到24%，兩者的增長(zhǎng)幅度都很大。其中，API請(qǐng)求約束的違規(guī)是最常見(jiàn)的API攻擊,它會(huì)導(dǎo)致性能下降甚至服務(wù)中斷。

此外，針對(duì)Web和API的“主動(dòng)攻擊會(huì)話”的增長(zhǎng)非常快，2024年增長(zhǎng)了63%。它在一段連續(xù)的時(shí)間里持續(xù)對(duì)目標(biāo)發(fā)起Web和API攻擊。針對(duì)這類攻擊，Akamai建議用“懲罰箱”的模式進(jìn)行快速的攔截，這也是目前廣泛使用的一種有效應(yīng)對(duì)方式。

針對(duì)Web和API的DDoS攻擊總量在兩年內(nèi)增長(zhǎng)了94%。從2023年初的5萬(wàn)億次猛增到了2024年12月超過(guò)11萬(wàn)億次。在DDoS攻擊當(dāng)中Akamai發(fā)現(xiàn)，AI技術(shù)被廣泛地使用，并且推動(dòng)了這些增長(zhǎng)。

Akamai大中華區(qū)解決方案技術(shù)經(jīng)理馬俊表示，這種增長(zhǎng)的很大一部分原因是由于企業(yè)使用新興AI服務(wù)以及新業(yè)務(wù)所帶來(lái)的攻擊面增加。以備受關(guān)注的AI應(yīng)用為例，許多AI應(yīng)用都是通過(guò)API來(lái)實(shí)現(xiàn)功能的，這些API接口也成了攻擊者的新目標(biāo)。

報(bào)告還介紹了企業(yè)在API安全方面面臨的突出風(fēng)險(xiǎn)。第一大類是API濫用，API被過(guò)度調(diào)用、繞過(guò)正常使用限制。第二大類是API測(cè)試頻率顯著下降，第三大類是缺乏事前測(cè)試，這都會(huì)埋下很多安全隱患。

第四大類問(wèn)題是僵尸API與影子API，這類API很容易成為攻擊者的目標(biāo)。Akamai統(tǒng)計(jì)顯示，2024年全球約1/3的API攻擊都是針對(duì)這些“影子”或“僵尸”API發(fā)起的，而47%的企業(yè)對(duì)自家API總量都沒(méi)有全面掌握，更談不上有效管理。

從馬俊的介紹中了解到，過(guò)去一年里，API相關(guān)的安全問(wèn)題，在全球范圍內(nèi)造成的經(jīng)濟(jì)損失已經(jīng)高達(dá)870億美元，如果按照這樣的發(fā)展趨勢(shì)，預(yù)計(jì)2026年會(huì)超過(guò)1000億美元。

重點(diǎn)行業(yè)和不同地區(qū)的安全趨勢(shì)概況

在過(guò)去一年中，不同行業(yè)面臨的網(wǎng)絡(luò)攻擊類型和攻擊強(qiáng)度有明顯不同。報(bào)告指出，電商零售、高科技、金融服務(wù)與社交媒體成為黑客的主要攻擊目標(biāo)，不同類型的攻擊在行業(yè)間也呈現(xiàn)出不同特點(diǎn)。

電商、零售行業(yè)幾乎承受了全球近一半的Web攻擊量，同比增長(zhǎng)超過(guò)31%，這是目前Web攻擊最集中的行業(yè)。因?yàn)殡娚?、零售行業(yè)的賬戶價(jià)值高、交易頻繁，黑客通過(guò)盜用賬號(hào)來(lái)刷信用卡、套現(xiàn)禮品卡等方式竊取真金白銀。

高科技行業(yè)飽受DDoS攻擊。2024年高科技行業(yè)遭受了超過(guò)817億次Web/API攻擊，DDoS攻擊量更是超過(guò)7萬(wàn)億次。攻擊頻次之高，遠(yuǎn)超其他行業(yè)。主要是因?yàn)樵撔袠I(yè)擁有大量核心資產(chǎn)，而且會(huì)大量使用物聯(lián)網(wǎng)設(shè)備。

從地區(qū)分部來(lái)看，亞太地區(qū)成了全球網(wǎng)絡(luò)攻擊增長(zhǎng)最快的區(qū)域之一。2024年，亞太地區(qū)的Web與API攻擊總量達(dá)到了510億次，相比去年的290億次增長(zhǎng)了73%。這些攻擊最主要的是金融行業(yè)，其次才是電商和零售業(yè)。

在國(guó)家維度上，澳大利亞、印度和新加坡是亞太地區(qū)Web攻擊最多的三個(gè)國(guó)家，其次是日本、中國(guó)、韓國(guó)和新西蘭。在DDoS攻擊方面，亞太地區(qū)過(guò)去一年的攻擊量也增長(zhǎng)了66%，新加坡成為DDoS攻擊最密集的國(guó)家。

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)攻擊態(tài)勢(shì)，全球各地區(qū)紛紛加快網(wǎng)絡(luò)安全立法步伐，特別是在數(shù)據(jù)隱私與關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面，合規(guī)監(jiān)管持續(xù)升級(jí)。

北美地區(qū)，美國(guó)將正式實(shí)施《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法》（CIRCIA）；亞太地區(qū)，多國(guó)對(duì)網(wǎng)絡(luò)安全立法進(jìn)行了更新；歐洲地區(qū)，歐盟的NIS2網(wǎng)絡(luò)安全指令，《數(shù)字運(yùn)營(yíng)韌性法案》（DORA）的監(jiān)管將逐步落地。

一項(xiàng)案例顯示，某企業(yè)在處理郵件退訂功能時(shí)，API接口在與后臺(tái)交互中會(huì)暴露用戶的完整隱私信息。這類操作雖然技術(shù)上看似正常，實(shí)際上卻有重大隱患，極易觸發(fā)數(shù)據(jù)安全事故，甚至引發(fā)跨國(guó)監(jiān)管問(wèn)責(zé)。

馬俊建議廣大出海企業(yè)關(guān)注OWASP與MITRE兩大國(guó)際主流安全框架。根據(jù)Akamai平臺(tái)觀測(cè)，過(guò)去一年中，違反OWASP和MITRE規(guī)范的API安全事件顯著增長(zhǎng)，出海企業(yè)應(yīng)主動(dòng)對(duì)照國(guó)際主流框架來(lái)治理API漏洞，從源頭上減少合規(guī)風(fēng)險(xiǎn)。

AI對(duì)安全已經(jīng)造成了實(shí)質(zhì)性影響

在分析DDoS攻擊增長(zhǎng)的原因時(shí)，馬俊重點(diǎn)提到了AI技術(shù)。Akamai發(fā)現(xiàn)，許多攻擊行為由AI生成的自動(dòng)化工具或腳本發(fā)起，導(dǎo)致攻擊數(shù)量迅速增長(zhǎng)。同時(shí)，AI工具也被廣泛用于攻擊前的偵查、信息收集，甚至在進(jìn)行社會(huì)工程攻擊時(shí)也發(fā)揮了作用。

馬俊表示，這種趨勢(shì)值得高度警惕。隨著AI技術(shù)不斷普及，攻擊者也開(kāi)始“借力打力”，將AI用作攻擊工具，形成了一套更高效、更智能的攻擊流程。報(bào)告中總結(jié)了當(dāng)前AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊所呈現(xiàn)的四種典型特征。

AI能戰(zhàn)略性選擇目標(biāo)，不僅能自動(dòng)偵察，還能生成代碼。攻擊者利用AI的自動(dòng)識(shí)別和分析能力，快速篩選出有潛在漏洞的目標(biāo)系統(tǒng)。AI還能自動(dòng)生成惡意代碼，精準(zhǔn)匹配系統(tǒng)弱點(diǎn)，實(shí)現(xiàn)“量產(chǎn)式滲透”。

AI可以實(shí)現(xiàn)攻擊自動(dòng)化，攻擊成本更低，效率更高。過(guò)去黑客要寫代碼、測(cè)試腳本，如今借助AI，他們能快速生成可執(zhí)行的攻擊腳本或機(jī)器人程序，尤其針對(duì)API接口的漏洞，進(jìn)行規(guī)?；?，大幅降低技術(shù)門檻和時(shí)間成本。

AI發(fā)起流量型攻擊，拖垮系統(tǒng)負(fù)載。AI還能驅(qū)動(dòng)流量型攻擊，即向目標(biāo)系統(tǒng)發(fā)起超出其承載能力的海量請(qǐng)求，使系統(tǒng)資源耗盡甚至宕機(jī)。尤其對(duì)新上線的生成式AI服務(wù)，這種攻擊方式影響更大，因?yàn)榇祟愊到y(tǒng)對(duì)計(jì)算資源要求高，抗壓能力較弱。

AI進(jìn)行基于行為的攻擊。相比傳統(tǒng)攻擊只依賴“特征碼”或簽名，AI可以更聰明地模仿正常用戶行為，深度探測(cè)訪問(wèn)控制層是否存在權(quán)限越界、數(shù)據(jù)泄露等問(wèn)題。而且還能批量、多線程執(zhí)行，造成更大影響。

馬俊表示，AI如今早已不是“未來(lái)技術(shù)”，而是已經(jīng)深入企業(yè)日常運(yùn)營(yíng)、開(kāi)發(fā)、交付等多個(gè)環(huán)節(jié)的“現(xiàn)實(shí)工具”。因此，企業(yè)在制定安全策略時(shí)，不能只防AI帶來(lái)的攻擊風(fēng)險(xiǎn)，也要積極利用AI技術(shù)提升自身安全能力。

Akamai給到企業(yè)的六大安全建議

馬俊表示，在當(dāng)前網(wǎng)絡(luò)威脅持續(xù)升級(jí)的大背景下，企業(yè)必須構(gòu)建一套更加系統(tǒng)、主動(dòng)的安全策略。在報(bào)告中，Akamai給了企業(yè)六大安全建議。

首先，應(yīng)該建立全面的安全計(jì)劃。安全要前置，貫穿整個(gè)開(kāi)發(fā)生命周期。這就要求企業(yè)落實(shí)“開(kāi)發(fā)左移”的理念，推動(dòng)DevSecOps實(shí)踐。同時(shí)，提升系統(tǒng)可見(jiàn)性和持續(xù)發(fā)現(xiàn)能力，將國(guó)際合規(guī)要求同步納入安全規(guī)劃之中。

實(shí)施穩(wěn)健的網(wǎng)絡(luò)安全措施。面對(duì)越來(lái)越復(fù)雜的網(wǎng)絡(luò)安全環(huán)境，報(bào)告建議企業(yè)主動(dòng)使用AI等新技術(shù)來(lái)提升防護(hù)能力。同時(shí)，報(bào)告特別強(qiáng)調(diào)“動(dòng)態(tài)安全測(cè)試”的作用，通過(guò)動(dòng)態(tài)方式檢測(cè)并修復(fù)開(kāi)發(fā)和測(cè)試階段沒(méi)有發(fā)現(xiàn)的安全問(wèn)題。

采取主動(dòng)防御策略。安全不能只靠被動(dòng)響應(yīng)。企業(yè)應(yīng)主動(dòng)部署DDoS防護(hù)、定期補(bǔ)丁更新，同時(shí)關(guān)注基礎(chǔ)設(shè)施層面的風(fēng)險(xiǎn)點(diǎn)，如DNS配置和網(wǎng)絡(luò)出口策略，確保整體防御體系穩(wěn)固。

緩解API安全漏洞。從開(kāi)發(fā)和測(cè)試階段就著手識(shí)別潛在風(fēng)險(xiǎn)，借助成熟的工具與框架，幫助安全團(tuán)隊(duì)高效應(yīng)對(duì)API安全挑戰(zhàn)，減少系統(tǒng)暴露面。馬俊提到，AI在管理和保護(hù)大量API交互方面發(fā)揮著關(guān)鍵作用。

提防勒索軟件的內(nèi)部擴(kuò)散。雖然勒索軟件未在報(bào)告中重點(diǎn)提及，但其風(fēng)險(xiǎn)不容忽視。尤其當(dāng)病毒在企業(yè)內(nèi)部傳播后，許多常規(guī)的防護(hù)手段將失效。因此，提前設(shè)防、強(qiáng)化內(nèi)部監(jiān)控依然是關(guān)鍵。

企業(yè)應(yīng)該主動(dòng)擁抱AI，做好安全準(zhǔn)備。報(bào)告中建議企業(yè)應(yīng)主動(dòng)應(yīng)用AI技術(shù)強(qiáng)化防御能力，同時(shí)加強(qiáng)安全人員的AI技能培訓(xùn)，確保在面對(duì)智能化攻擊時(shí)能夠快速應(yīng)對(duì)、精準(zhǔn)處置。

結(jié)束語(yǔ)

Web與API攻擊激增的一大原因就是AI。在AI全面滲透的時(shí)代，安全攻防的速度、復(fù)雜度和對(duì)抗性都在升級(jí)。企業(yè)唯有主動(dòng)擁抱智能化防御體系，筑牢API防線，才能在全球合規(guī)與安全挑戰(zhàn)中立于不敗之地。

zhupb