報告中提到����,OWASP API Top 10相關攻擊月增32%。如果用MITRE標記分析����,其月度增長也達到了30%。此外�,2024年���,Akamai平臺觀測到全球Web攻擊量達3110億次,同比增長33%�,其中,亞太以及日本地區(qū)Web攻擊同比暴增73%�。
全球網(wǎng)絡攻擊呈現(xiàn)出明顯的上升趨勢,Web攻擊量兩年總量增長65%�,API攻擊年增速達到24%,兩者的增長幅度都很大����。其中,API請求約束的違規(guī)是最常見的API攻擊,它會導致性能下降甚至服務中斷����。
此外,針對Web和API的“主動攻擊會話”的增長非?�??�,2024年增長了63%��。它在一段連續(xù)的時間里持續(xù)對目標發(fā)起Web和API攻擊�����。針對這類攻擊,Akamai建議用“懲罰箱”的模式進行快速的攔截�����,這也是目前廣泛使用的一種有效應對方式��。
針對Web和API的DDoS攻擊總量在兩年內(nèi)增長了94%�����。從2023年初的5萬億次猛增到了2024年12月超過11萬億次���。在DDoS攻擊當中Akamai發(fā)現(xiàn)�����,AI技術被廣泛地使用�����,并且推動了這些增長�����。
Akamai大中華區(qū)解決方案技術經(jīng)理 馬俊
Akamai大中華區(qū)解決方案技術經(jīng)理馬俊表示����,這種增長的很大一部分原因是由于企業(yè)使用新興AI服務以及新業(yè)務所帶來的攻擊面增加�。以備受關注的AI應用為例,許多AI應用都是通過API來實現(xiàn)功能的���,這些API接口也成了攻擊者的新目標���。
報告還介紹了企業(yè)在API安全方面面臨的突出風險。第一大類是API濫用����,API被過度調(diào)用、繞過正常使用限制���。第二大類是API測試頻率顯著下降��,第三大類是缺乏事前測試��,這都會埋下很多安全隱患�����。
第四大類問題是僵尸API與影子API���,這類API很容易成為攻擊者的目標�����。Akamai統(tǒng)計顯示�,2024年全球約1/3的API攻擊都是針對這些“影子”或“僵尸”API發(fā)起的���,而47%的企業(yè)對自家API總量都沒有全面掌握�,更談不上有效管理����。
從馬俊的介紹中了解到,過去一年里�,API相關的安全問題,在全球范圍內(nèi)造成的經(jīng)濟損失已經(jīng)高達870億美元�����,如果按照這樣的發(fā)展趨勢��,預計2026年會超過1000億美元�。
重點行業(yè)和不同地區(qū)的安全趨勢概況
在過去一年中�,不同行業(yè)面臨的網(wǎng)絡攻擊類型和攻擊強度有明顯不同�����。報告指出���,電商零售、高科技�����、金融服務與社交媒體成為黑客的主要攻擊目標�,不同類型的攻擊在行業(yè)間也呈現(xiàn)出不同特點。
電商��、零售行業(yè)幾乎承受了全球近一半的Web攻擊量��,同比增長超過31%��,這是目前Web攻擊最集中的行業(yè)��。因為電商�����、零售行業(yè)的賬戶價值高、交易頻繁�,黑客通過盜用賬號來刷信用卡、套現(xiàn)禮品卡等方式竊取真金白銀�����。
高科技行業(yè)飽受DDoS攻擊���。2024年高科技行業(yè)遭受了超過817億次Web/API攻擊��,DDoS攻擊量更是超過7萬億次����。攻擊頻次之高�,遠超其他行業(yè)。主要是因為該行業(yè)擁有大量核心資產(chǎn)��,而且會大量使用物聯(lián)網(wǎng)設備���。
從地區(qū)分部來看�,亞太地區(qū)成了全球網(wǎng)絡攻擊增長最快的區(qū)域之一�����。2024年,亞太地區(qū)的Web與API攻擊總量達到了510億次�����,相比去年的290億次增長了73%��。這些攻擊最主要的是金融行業(yè)�,其次才是電商和零售業(yè)�。
在國家維度上,澳大利亞���、印度和新加坡是亞太地區(qū)Web攻擊最多的三個國家����,其次是日本�����、中國�、韓國和新西蘭。在DDoS攻擊方面��,亞太地區(qū)過去一年的攻擊量也增長了66%��,新加坡成為DDoS攻擊最密集的國家。
面對日益嚴峻的網(wǎng)絡攻擊態(tài)勢�����,全球各地區(qū)紛紛加快網(wǎng)絡安全立法步伐�����,特別是在數(shù)據(jù)隱私與關鍵基礎設施保護方面�����,合規(guī)監(jiān)管持續(xù)升級��。
北美地區(qū)�,美國將正式實施《關鍵基礎設施網(wǎng)絡事件報告法》(CIRCIA);亞太地區(qū)��,多國對網(wǎng)絡安全立法進行了更新����;歐洲地區(qū),歐盟的NIS2網(wǎng)絡安全指令�,《數(shù)字運營韌性法案》(DORA)的監(jiān)管將逐步落地。
一項案例顯示,某企業(yè)在處理郵件退訂功能時�����,API接口在與后臺交互中會暴露用戶的完整隱私信息�����。這類操作雖然技術上看似正常�����,實際上卻有重大隱患���,極易觸發(fā)數(shù)據(jù)安全事故,甚至引發(fā)跨國監(jiān)管問責�����。
馬俊建議廣大出海企業(yè)關注OWASP與MITRE兩大國際主流安全框架����。根據(jù)Akamai平臺觀測,過去一年中�,違反OWASP和MITRE規(guī)范的API安全事件顯著增長,出海企業(yè)應主動對照國際主流框架來治理API漏洞,從源頭上減少合規(guī)風險����。
AI對安全已經(jīng)造成了實質(zhì)性影響
在分析DDoS攻擊增長的原因時,馬俊重點提到了AI技術�����。Akamai發(fā)現(xiàn)����,許多攻擊行為由AI生成的自動化工具或腳本發(fā)起,導致攻擊數(shù)量迅速增長��。同時����,AI工具也被廣泛用于攻擊前的偵查、信息收集��,甚至在進行社會工程攻擊時也發(fā)揮了作用��。
馬俊表示�����,這種趨勢值得高度警惕�����。隨著AI技術不斷普及���,攻擊者也開始“借力打力”�����,將AI用作攻擊工具����,形成了一套更高效�����、更智能的攻擊流程�。報告中總結了當前AI驅(qū)動的網(wǎng)絡攻擊所呈現(xiàn)的四種典型特征���。
AI能戰(zhàn)略性選擇目標��,不僅能自動偵察�,還能生成代碼。攻擊者利用AI的自動識別和分析能力���,快速篩選出有潛在漏洞的目標系統(tǒng)�����。AI還能自動生成惡意代碼����,精準匹配系統(tǒng)弱點��,實現(xiàn)“量產(chǎn)式滲透”�。
AI可以實現(xiàn)攻擊自動化,攻擊成本更低��,效率更高����。過去黑客要寫代碼、測試腳本����,如今借助AI,他們能快速生成可執(zhí)行的攻擊腳本或機器人程序��,尤其針對API接口的漏洞,進行規(guī)?���;簦蠓档图夹g門檻和時間成本���。
AI發(fā)起流量型攻擊����,拖垮系統(tǒng)負載���。AI還能驅(qū)動流量型攻擊��,即向目標系統(tǒng)發(fā)起超出其承載能力的海量請求��,使系統(tǒng)資源耗盡甚至宕機�����。尤其對新上線的生成式AI服務���,這種攻擊方式影響更大���,因為此類系統(tǒng)對計算資源要求高��,抗壓能力較弱��。
AI進行基于行為的攻擊���。相比傳統(tǒng)攻擊只依賴“特征碼”或簽名�����,AI可以更聰明地模仿正常用戶行為�,深度探測訪問控制層是否存在權限越界���、數(shù)據(jù)泄露等問題����。而且還能批量�、多線程執(zhí)行,造成更大影響���。
馬俊表示���,AI如今早已不是“未來技術”���,而是已經(jīng)深入企業(yè)日常運營、開發(fā)�、交付等多個環(huán)節(jié)的“現(xiàn)實工具”。因此�����,企業(yè)在制定安全策略時�����,不能只防AI帶來的攻擊風險����,也要積極利用AI技術提升自身安全能力。
Akamai給到企業(yè)的六大安全建議
馬俊表示��,在當前網(wǎng)絡威脅持續(xù)升級的大背景下����,企業(yè)必須構建一套更加系統(tǒng)、主動的安全策略��。在報告中��,Akamai給了企業(yè)六大安全建議��。
首先��,應該建立全面的安全計劃����。安全要前置,貫穿整個開發(fā)生命周期�。這就要求企業(yè)落實“開發(fā)左移”的理念,推動DevSecOps實踐�����。同時����,提升系統(tǒng)可見性和持續(xù)發(fā)現(xiàn)能力,將國際合規(guī)要求同步納入安全規(guī)劃之中��。
實施穩(wěn)健的網(wǎng)絡安全措施�。面對越來越復雜的網(wǎng)絡安全環(huán)境,報告建議企業(yè)主動使用AI等新技術來提升防護能力�����。同時,報告特別強調(diào)“動態(tài)安全測試”的作用��,通過動態(tài)方式檢測并修復開發(fā)和測試階段沒有發(fā)現(xiàn)的安全問題��。
采取主動防御策略����。安全不能只靠被動響應。企業(yè)應主動部署DDoS防護�、定期補丁更新,同時關注基礎設施層面的風險點���,如DNS配置和網(wǎng)絡出口策略����,確保整體防御體系穩(wěn)固�。
緩解API安全漏洞。從開發(fā)和測試階段就著手識別潛在風險�,借助成熟的工具與框架,幫助安全團隊高效應對API安全挑戰(zhàn)���,減少系統(tǒng)暴露面�����。馬俊提到��,AI在管理和保護大量API交互方面發(fā)揮著關鍵作用����。
提防勒索軟件的內(nèi)部擴散�����。雖然勒索軟件未在報告中重點提及��,但其風險不容忽視��。尤其當病毒在企業(yè)內(nèi)部傳播后����,許多常規(guī)的防護手段將失效。因此���,提前設防�、強化內(nèi)部監(jiān)控依然是關鍵����。
企業(yè)應該主動擁抱AI���,做好安全準備。報告中建議企業(yè)應主動應用AI技術強化防御能力��,同時加強安全人員的AI技能培訓���,確保在面對智能化攻擊時能夠快速應對��、精準處置�����。
結束語
Web與API攻擊激增的一大原因就是AI�����。在AI全面滲透的時代��,安全攻防的速度���、復雜度和對抗性都在升級。企業(yè)唯有主動擁抱智能化防御體系���,筑牢API防線����,才能在全球合規(guī)與安全挑戰(zhàn)中立于不敗之地。
