報告中提到,OWASP API Top 10相關攻擊月增32%。如果用MITRE標記分析,其月度增長也達到了30%。此外,2024年,Akamai平臺觀測到全球Web攻擊量達3110億次,同比增長33%,其中,亞太以及日本地區(qū)Web攻擊同比暴增73%。
全球網(wǎng)絡攻擊呈現(xiàn)出明顯的上升趨勢,Web攻擊量兩年總量增長65%,API攻擊年增速達到24%,兩者的增長幅度都很大。其中,API請求約束的違規(guī)是最常見的API攻擊,它會導致性能下降甚至服務中斷。
此外,針對Web和API的“主動攻擊會話”的增長非???,2024年增長了63%。它在一段連續(xù)的時間里持續(xù)對目標發(fā)起Web和API攻擊。針對這類攻擊,Akamai建議用“懲罰箱”的模式進行快速的攔截,這也是目前廣泛使用的一種有效應對方式。
針對Web和API的DDoS攻擊總量在兩年內(nèi)增長了94%。從2023年初的5萬億次猛增到了2024年12月超過11萬億次。在DDoS攻擊當中Akamai發(fā)現(xiàn),AI技術被廣泛地使用,并且推動了這些增長。
Akamai大中華區(qū)解決方案技術經(jīng)理馬俊表示,這種增長的很大一部分原因是由于企業(yè)使用新興AI服務以及新業(yè)務所帶來的攻擊面增加。以備受關注的AI應用為例,許多AI應用都是通過API來實現(xiàn)功能的,這些API接口也成了攻擊者的新目標。
報告還介紹了企業(yè)在API安全方面面臨的突出風險。第一大類是API濫用,API被過度調(diào)用、繞過正常使用限制。第二大類是API測試頻率顯著下降,第三大類是缺乏事前測試,這都會埋下很多安全隱患。
第四大類問題是僵尸API與影子API,這類API很容易成為攻擊者的目標。Akamai統(tǒng)計顯示,2024年全球約1/3的API攻擊都是針對這些“影子”或“僵尸”API發(fā)起的,而47%的企業(yè)對自家API總量都沒有全面掌握,更談不上有效管理。
從馬俊的介紹中了解到,過去一年里,API相關的安全問題,在全球范圍內(nèi)造成的經(jīng)濟損失已經(jīng)高達870億美元,如果按照這樣的發(fā)展趨勢,預計2026年會超過1000億美元。
重點行業(yè)和不同地區(qū)的安全趨勢概況
在過去一年中,不同行業(yè)面臨的網(wǎng)絡攻擊類型和攻擊強度有明顯不同。報告指出,電商零售、高科技、金融服務與社交媒體成為黑客的主要攻擊目標,不同類型的攻擊在行業(yè)間也呈現(xiàn)出不同特點。
電商、零售行業(yè)幾乎承受了全球近一半的Web攻擊量,同比增長超過31%,這是目前Web攻擊最集中的行業(yè)。因為電商、零售行業(yè)的賬戶價值高、交易頻繁,黑客通過盜用賬號來刷信用卡、套現(xiàn)禮品卡等方式竊取真金白銀。
高科技行業(yè)飽受DDoS攻擊。2024年高科技行業(yè)遭受了超過817億次Web/API攻擊,DDoS攻擊量更是超過7萬億次。攻擊頻次之高,遠超其他行業(yè)。主要是因為該行業(yè)擁有大量核心資產(chǎn),而且會大量使用物聯(lián)網(wǎng)設備。
從地區(qū)分部來看,亞太地區(qū)成了全球網(wǎng)絡攻擊增長最快的區(qū)域之一。2024年,亞太地區(qū)的Web與API攻擊總量達到了510億次,相比去年的290億次增長了73%。這些攻擊最主要的是金融行業(yè),其次才是電商和零售業(yè)。
在國家維度上,澳大利亞、印度和新加坡是亞太地區(qū)Web攻擊最多的三個國家,其次是日本、中國、韓國和新西蘭。在DDoS攻擊方面,亞太地區(qū)過去一年的攻擊量也增長了66%,新加坡成為DDoS攻擊最密集的國家。
面對日益嚴峻的網(wǎng)絡攻擊態(tài)勢,全球各地區(qū)紛紛加快網(wǎng)絡安全立法步伐,特別是在數(shù)據(jù)隱私與關鍵基礎設施保護方面,合規(guī)監(jiān)管持續(xù)升級。
北美地區(qū),美國將正式實施《關鍵基礎設施網(wǎng)絡事件報告法》(CIRCIA);亞太地區(qū),多國對網(wǎng)絡安全立法進行了更新;歐洲地區(qū),歐盟的NIS2網(wǎng)絡安全指令,《數(shù)字運營韌性法案》(DORA)的監(jiān)管將逐步落地。
一項案例顯示,某企業(yè)在處理郵件退訂功能時,API接口在與后臺交互中會暴露用戶的完整隱私信息。這類操作雖然技術上看似正常,實際上卻有重大隱患,極易觸發(fā)數(shù)據(jù)安全事故,甚至引發(fā)跨國監(jiān)管問責。
馬俊建議廣大出海企業(yè)關注OWASP與MITRE兩大國際主流安全框架。根據(jù)Akamai平臺觀測,過去一年中,違反OWASP和MITRE規(guī)范的API安全事件顯著增長,出海企業(yè)應主動對照國際主流框架來治理API漏洞,從源頭上減少合規(guī)風險。
AI對安全已經(jīng)造成了實質(zhì)性影響
在分析DDoS攻擊增長的原因時,馬俊重點提到了AI技術。Akamai發(fā)現(xiàn),許多攻擊行為由AI生成的自動化工具或腳本發(fā)起,導致攻擊數(shù)量迅速增長。同時,AI工具也被廣泛用于攻擊前的偵查、信息收集,甚至在進行社會工程攻擊時也發(fā)揮了作用。
馬俊表示,這種趨勢值得高度警惕。隨著AI技術不斷普及,攻擊者也開始“借力打力”,將AI用作攻擊工具,形成了一套更高效、更智能的攻擊流程。報告中總結了當前AI驅(qū)動的網(wǎng)絡攻擊所呈現(xiàn)的四種典型特征。
AI能戰(zhàn)略性選擇目標,不僅能自動偵察,還能生成代碼。攻擊者利用AI的自動識別和分析能力,快速篩選出有潛在漏洞的目標系統(tǒng)。AI還能自動生成惡意代碼,精準匹配系統(tǒng)弱點,實現(xiàn)“量產(chǎn)式滲透”。
AI可以實現(xiàn)攻擊自動化,攻擊成本更低,效率更高。過去黑客要寫代碼、測試腳本,如今借助AI,他們能快速生成可執(zhí)行的攻擊腳本或機器人程序,尤其針對API接口的漏洞,進行規(guī)?;簦蠓档图夹g門檻和時間成本。
AI發(fā)起流量型攻擊,拖垮系統(tǒng)負載。AI還能驅(qū)動流量型攻擊,即向目標系統(tǒng)發(fā)起超出其承載能力的海量請求,使系統(tǒng)資源耗盡甚至宕機。尤其對新上線的生成式AI服務,這種攻擊方式影響更大,因為此類系統(tǒng)對計算資源要求高,抗壓能力較弱。
AI進行基于行為的攻擊。相比傳統(tǒng)攻擊只依賴“特征碼”或簽名,AI可以更聰明地模仿正常用戶行為,深度探測訪問控制層是否存在權限越界、數(shù)據(jù)泄露等問題。而且還能批量、多線程執(zhí)行,造成更大影響。
馬俊表示,AI如今早已不是“未來技術”,而是已經(jīng)深入企業(yè)日常運營、開發(fā)、交付等多個環(huán)節(jié)的“現(xiàn)實工具”。因此,企業(yè)在制定安全策略時,不能只防AI帶來的攻擊風險,也要積極利用AI技術提升自身安全能力。
Akamai給到企業(yè)的六大安全建議
馬俊表示,在當前網(wǎng)絡威脅持續(xù)升級的大背景下,企業(yè)必須構建一套更加系統(tǒng)、主動的安全策略。在報告中,Akamai給了企業(yè)六大安全建議。
首先,應該建立全面的安全計劃。安全要前置,貫穿整個開發(fā)生命周期。這就要求企業(yè)落實“開發(fā)左移”的理念,推動DevSecOps實踐。同時,提升系統(tǒng)可見性和持續(xù)發(fā)現(xiàn)能力,將國際合規(guī)要求同步納入安全規(guī)劃之中。
實施穩(wěn)健的網(wǎng)絡安全措施。面對越來越復雜的網(wǎng)絡安全環(huán)境,報告建議企業(yè)主動使用AI等新技術來提升防護能力。同時,報告特別強調(diào)“動態(tài)安全測試”的作用,通過動態(tài)方式檢測并修復開發(fā)和測試階段沒有發(fā)現(xiàn)的安全問題。
采取主動防御策略。安全不能只靠被動響應。企業(yè)應主動部署DDoS防護、定期補丁更新,同時關注基礎設施層面的風險點,如DNS配置和網(wǎng)絡出口策略,確保整體防御體系穩(wěn)固。
緩解API安全漏洞。從開發(fā)和測試階段就著手識別潛在風險,借助成熟的工具與框架,幫助安全團隊高效應對API安全挑戰(zhàn),減少系統(tǒng)暴露面。馬俊提到,AI在管理和保護大量API交互方面發(fā)揮著關鍵作用。
提防勒索軟件的內(nèi)部擴散。雖然勒索軟件未在報告中重點提及,但其風險不容忽視。尤其當病毒在企業(yè)內(nèi)部傳播后,許多常規(guī)的防護手段將失效。因此,提前設防、強化內(nèi)部監(jiān)控依然是關鍵。
企業(yè)應該主動擁抱AI,做好安全準備。報告中建議企業(yè)應主動應用AI技術強化防御能力,同時加強安全人員的AI技能培訓,確保在面對智能化攻擊時能夠快速應對、精準處置。
結束語
Web與API攻擊激增的一大原因就是AI。在AI全面滲透的時代,安全攻防的速度、復雜度和對抗性都在升級。企業(yè)唯有主動擁抱智能化防御體系,筑牢API防線,才能在全球合規(guī)與安全挑戰(zhàn)中立于不敗之地。