3月份,Akamai发布了最新一期的的安全情报报告《潜伏在阴影之中:攻击趋势揭示了 API 威胁》。该报告通过一系列数据分析,揭示了新时期API威胁的发展趋势。在近日Akamai举办的媒体沟通会上,Akamai北亚区技术总监刘烨针对报告内容向媒体进行了解读。相信,这些信息也必将对中国企业用户应对API攻击威胁发挥及时的警示和启迪作用。
Akamai北亚区技术总监 刘烨
报告揭示API攻击成企业网安新焦点
随着全球数字化转型的加速,API已经成为现代企业业务运行的重要纽带,但随之而来的网络安全挑战也不容忽视。刘烨介绍,2023年针对API的Web攻击比例已达到近30%,相较于其他Web攻击形式,API成为了黑客攻击的新焦点。
尽管API攻击多年来一直存在,但其近来势头可谓来势汹汹。Akamai最新一期安全报告显示,API遭受攻击的比例近年来一直在持续攀升。特别是在欧洲地区,由于高度规范化并鼓励API的使用,使得该地区API流量比例高,针对API的攻击事件也更多。在此背景下,同样对于API广泛应用的中国企业用户不得不加强防范。
Akamai的网络安全报告,可谓是网安领域的风向标。熟悉Akamai的业界人士都知道,此前Akamai作为全球CDN巨头拥有分布广阔的网络边缘节点以及海量的互联网数据资源,而这也为有效捕捉网络攻击威胁行为及洞察发展趋势提供了坚实的基础。如今,Akamai的互联网安全情报部门已经连续十年发布互联网安全趋势报告,也在网络安全领域引发广泛关注。
API攻击为何难以防范?
为何API攻击如此难以防范?据刘烨介绍,API攻击之所以难以防范,主要基于以下两大方面原因。
一方面,API在企业内部应用间、面向客户端的移动应用交互以及第三方服务调用等多个应用场景中发挥着关键作用,广泛而复杂的API调用环境为攻击者提供了丰富的切入点。
例如移动应用几乎大部分的流量都通过API进行交互,这就意味着一旦API存在安全漏洞,攻击者就能轻易地通过各种手段,如利用HTTP协议漏洞、窃取活动会话Token等方式发起攻击,从而对企业数据造成泄露,甚至直接影响企业声誉和运营安全。
另一方面,传统的防护手段往往侧重于基于签名的注入攻击和DoS攻击的防御,然而,近年来的API攻击趋势显示出攻击者愈发倾向于利用业务逻辑缺陷进行渗透。
诸如OWASP的API Top10安全隐患列表反映了这一变化,针对API的新型攻击更多聚焦于不当使用API资源、未经授权访问敏感数据等与业务逻辑紧密相关的环节,这些攻击手法更加隐蔽,常规的防护措施很难有效拦截。
Akamai助中国企业应对API安全挑战
刘烨表示,面对API攻击的日益严峻,Akamai通过提供一系列高级安全解决方案来帮助企业强化API安全防护能力。例如,Akamai通过收购的Neosec(已整合至API Security),旨在发现并解决API攻击的各种问题,包括检测未知的“影子API”、识别易受攻击的API接口,以及监控并防止API滥用。
通过Data Lake进行行为分析,Akamai能实时捕捉并解析企业API流量,从中发现潜在的风险点和异常行为,为用户提供即时警报并联动其他安全产品进行防御。
此外,Akamai鼓励企业采取三大策略来提高API安全性。首先,提升API的可视性,确保企业清楚掌握所有API接口及其调用逻辑;其次,加强对API漏洞的排查和修复,遵循安全开发最佳实践;最后,建立并完善针对业务逻辑的基线,以便更好地检测并抵御那些针对业务逻辑漏洞的攻击行为。
不难看出,Akamai凭借其敏锐的网络安全情报洞察,为国内企业用户提供了全面且具有前瞻性、有效性的API安全防护方案,帮助企业在API攻击风险日益严重的时代可以有效抵御网络安全挑战,确保业务安全稳定运行。
