Akamai：API漏洞對(duì)全球公司和個(gè)人均具有高風(fēng)險(xiǎn)

北京時(shí)間10月28日消息，Akamai最新報(bào)告《API：與每個(gè)人息息相關(guān)的攻擊》分析了與應(yīng)用程序編程接口（API）有關(guān)的、不斷變化的威脅態(tài)勢(shì)。API本質(zhì)上充當(dāng)了不同平臺(tái)之間的快速簡(jiǎn)易管道。便利性和用戶體驗(yàn)的重要性導(dǎo)致API成為了許多企業(yè)必不可少的工具，但這也使它們成為了對(duì)于網(wǎng)絡(luò)犯罪分子極具吸引力的目標(biāo)。

Akamai的報(bào)告重點(diǎn)介紹了破壞性的API漏洞模式，盡管其在軟件開(kāi)發(fā)生命周期（SDLC）和測(cè)試工具方面已經(jīng)有了改進(jìn)，但情況仍不容樂(lè)觀。當(dāng)企業(yè)急于推出API時(shí)，往往要到事后才會(huì)考慮API安全性，而許多企業(yè)依賴于傳統(tǒng)的網(wǎng)絡(luò)安全解決方案，但這些解決方案無(wú)法充分保護(hù)API可能引入的廣泛攻擊面。

此外，報(bào)告還強(qiáng)調(diào)了Gartner的觀點(diǎn)，即API到2022年將成為使用最頻繁的在線攻擊向量。Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報(bào)告》作者Steve Ragan指出：“從遭到破壞的身份驗(yàn)證和注入缺陷，到簡(jiǎn)單的錯(cuò)誤配置，任何構(gòu)建聯(lián)網(wǎng)應(yīng)用程序的人都會(huì)面臨不計(jì)其數(shù)的API安全問(wèn)題。企業(yè)無(wú)法充分檢測(cè)API攻擊，即使檢測(cè)到此類攻擊，也可能會(huì)被漏報(bào)。DDoS攻擊和勒索軟件都是企業(yè)關(guān)注的重要問(wèn)題，而API攻擊并沒(méi)有得到同等程度的關(guān)注，這在很大程度上是因?yàn)?，犯罪分子使用API發(fā)起的攻擊無(wú)法像執(zhí)行到位的勒索軟件攻擊那樣引發(fā)轟動(dòng)效應(yīng)，但這并不意味著應(yīng)該忽視API攻擊?！?/p>

報(bào)告中詳細(xì)提到，Akamai審查了2020年1月至2021年6月間（18個(gè)月）的攻擊流量，發(fā)現(xiàn)總攻擊次數(shù)超過(guò)110億次。憑借記錄到的62億次攻擊，SQL注入（SQLi）仍然在Web攻擊趨勢(shì)列表中排在首位，其次是本地文件包含（LFI）（33億次）、跨站點(diǎn)腳本攻擊（XSS）（10.19億次）。

雖然很難在上述攻擊中確定純粹的API攻擊所占的比例，但致力于提高軟件安全性的非營(yíng)利性基金會(huì)——開(kāi)放Web應(yīng)用程序安全項(xiàng)目（OWASP）最近發(fā)布了一份10大API安全漏洞清單，該清單基本與Akamai的調(diào)查結(jié)果一致。

其他報(bào)告要點(diǎn)包括：

-在2020年1月至2021年6月的18個(gè)月中，追蹤到的撞庫(kù)攻擊保持穩(wěn)定，在2021年1月和2021年5月記錄到了超過(guò)10億次攻擊的單日峰值。

-在此觀察期內(nèi)，美國(guó)是Web應(yīng)用程序攻擊的首要目標(biāo)，其遭遇的攻擊流量是排名第二的英國(guó)的近六倍。

o美國(guó)也在攻擊來(lái)源清單中名列前茅，它從俄羅斯手中奪走了第一名，其發(fā)出的攻擊流量幾乎是俄羅斯的四倍。

-到目前為止，2021年的DDoS流量一直保持穩(wěn)定，在2021年第一季度早期記錄到了峰值。2021年1月，Akamai在一天內(nèi)記錄了190起DDoS事件，隨后在3月記錄了183起。