Akamai：API漏洞對全球公司和個人均具有高風險

北京時間10月28日消息，Akamai最新報告《API：與每個人息息相關的攻擊》分析了與應用程序編程接口（API）有關的、不斷變化的威脅態(tài)勢。API本質上充當了不同平臺之間的快速簡易管道。便利性和用戶體驗的重要性導致API成為了許多企業(yè)必不可少的工具，但這也使它們成為了對于網絡犯罪分子極具吸引力的目標。

Akamai的報告重點介紹了破壞性的API漏洞模式，盡管其在軟件開發(fā)生命周期（SDLC）和測試工具方面已經有了改進，但情況仍不容樂觀。當企業(yè)急于推出API時，往往要到事后才會考慮API安全性，而許多企業(yè)依賴于傳統的網絡安全解決方案，但這些解決方案無法充分保護API可能引入的廣泛攻擊面。

此外，報告還強調了Gartner的觀點，即API到2022年將成為使用最頻繁的在線攻擊向量。Akamai安全研究員兼《互聯網安全狀況報告》作者Steve Ragan指出：“從遭到破壞的身份驗證和注入缺陷，到簡單的錯誤配置，任何構建聯網應用程序的人都會面臨不計其數的API安全問題。企業(yè)無法充分檢測API攻擊，即使檢測到此類攻擊，也可能會被漏報。DDoS攻擊和勒索軟件都是企業(yè)關注的重要問題，而API攻擊并沒有得到同等程度的關注，這在很大程度上是因為，犯罪分子使用API發(fā)起的攻擊無法像執(zhí)行到位的勒索軟件攻擊那樣引發(fā)轟動效應，但這并不意味著應該忽視API攻擊?！?/p>

報告中詳細提到，Akamai審查了2020年1月至2021年6月間（18個月）的攻擊流量，發(fā)現總攻擊次數超過110億次。憑借記錄到的62億次攻擊，SQL注入（SQLi）仍然在Web攻擊趨勢列表中排在首位，其次是本地文件包含（LFI）（33億次）、跨站點腳本攻擊（XSS）（10.19億次）。

雖然很難在上述攻擊中確定純粹的API攻擊所占的比例，但致力于提高軟件安全性的非營利性基金會——開放Web應用程序安全項目（OWASP）最近發(fā)布了一份10大API安全漏洞清單，該清單基本與Akamai的調查結果一致。

其他報告要點包括：

-在2020年1月至2021年6月的18個月中，追蹤到的撞庫攻擊保持穩(wěn)定，在2021年1月和2021年5月記錄到了超過10億次攻擊的單日峰值。

-在此觀察期內，美國是Web應用程序攻擊的首要目標，其遭遇的攻擊流量是排名第二的英國的近六倍。

o美國也在攻擊來源清單中名列前茅，它從俄羅斯手中奪走了第一名，其發(fā)出的攻擊流量幾乎是俄羅斯的四倍。

-到目前為止，2021年的DDoS流量一直保持穩(wěn)定，在2021年第一季度早期記錄到了峰值。2021年1月，Akamai在一天內記錄了190起DDoS事件，隨后在3月記錄了183起。