《Akamai：2024潜伏在阴影之中-攻击趋势揭示了API威胁报告（34页）.pdf》由会员分享，可在线阅读，更多相关《Akamai：2024潜伏在阴影之中-攻击趋势揭示了API威胁报告（34页）.pdf（34页珍藏版）》请在三个皮匠报告上搜索。

1、潜伏在 阴影之中攻击趋势揭示了 API 威胁互联网现状/安全性第 10 卷，第 01 期目录2 为何监测能力很重要4 API：重要的攻击媒介 10 行业趋势突显出供应链攻击的危险性14 合规考虑因素16 亚太地区及日本概况20 欧洲、中东和非洲地区概况25 提升监测能力：企业 API 资产一年回顾29 保护 API 领域30 方法 31 附录33 致谢名单为何监测能力很重要今年是 Akamai 发布互联网现状(SOTI)报告并通过该报告来分享安全研究见解的第 10 年。多年来，随着企业运营方式和威胁形势的演变，这些报告的关注点也发生了变化。从 2024 年开始，我们不再将 Web 应用程序攻击

2、和 API 攻击视为一个主题，而是使用新的数据集，以便 Akamai 研究人员可以将这两种类型的攻击分开研究。在本报告中，我们将关注以 API 为目标的 Web 攻击所占百分比（如需了解更多详细信息，请阅读“方法”部分）。这将有助于我们更好地了解攻击者对 API 进行攻击的方式，并制定行之有效的抵御策略。很多公司最近的一些变革都是基于 API，这些变革改善了员工和客户体验。但遗憾的是，数字化创新和 API 经济的迅猛发展也为网络犯罪分子提供了新的可乘之机。因此，监测能力是 API 安全中一个至关重要的方面。一旦影子 API 或恶意 API 等盲点得以揭示，安全团队就可以开始解决先前未察觉到的漏

3、洞。在 2024 年的第一期 SOTI 报告中，我们将重点介绍以 API 为目标的各种攻击（包括传统 Web 攻击），并通过常见问题领域（例如，可通过数据进行监测的安全态势和运行时挑战）来应对 API 滥用带来的危险。此外，我们将按行业和区域说明这些危险，以便您更准确地评估您公司面临的风险。我们还会提供一些真实案例分析，强化合规要求，并说明法规趋势如何影响您的安全策略。在本报告结尾部分，我们将介绍有助您提升对 API 环境的监测能力的措施，以便增强您的整体安全态势。潜伏在阴影之中：攻击趋势揭示了 API 威胁|第 10 卷，第 01 期 22024 年|报告的关键见解 在 2023 年 1 月

4、至 12 月这 12 个月期间，共有 29%的 Web 攻击以 API 为目标，这表明 API 是网络犯罪分子的重点攻击目标。对 API 的攻击包括开放式 Web 应用程序安全项目(OWASP)十大 API 安全风险清单以及 OWASP 十大 Web 应用程序安全风险中强调的风险，还有使用结构化查询语言注入(SQLi)和跨站点脚本攻击(XSS)等屡试不爽的方法来渗透其目标的攻击者所带来的风险。业务逻辑滥用成为一个严重问题，因为在缺乏 API 行为基线的情况下，识别异常的 API 活动变得尤为困难。企业若缺乏解决方案来监视 API 活动中的异常情况，将面临运行时攻击的风险。例如，数据抓取作为一种

5、新兴的数据泄露媒介，可利用经身份验证的 API 从企业内部缓慢窃取数据。API 已成为当今大多数数字化转型的核心。因此必须了解行业趋势以及相关应用场景，例如会员欺诈、滥用、授权问题和盗刷攻击。企业在安全策略流程中应尽早考虑合规要求和新出台的法规，以避免未来可能需要重新设计策略。潜伏在阴影之中：攻击趋势揭示了 API 威胁|第 10 卷，第 01 期 32024 年|API：重要的攻击媒介 从设计角度来看，API 是数据管道。因此，一旦攻击者通过漏洞利用或针对业务逻辑的攻击等常用手段实现未经授权的访问，API 便可能将数据暴露给攻击者。2022 年，Gartner 预测 API 滥用和数据泄露到

6、 2024 年几乎将会翻倍增长。时间如梭，现在的情况是备受瞩目的 API 事件比以往更加常见。开放式 Web 应用程序安全项目(OWASP)是以其十大安全风险清单而闻名的非营利组织。实际上，去年他们发布了一份专门关于 API 风险的单独清单，名为“OWASP 十大 API 安全风险”，以帮助企业辨识 API 所带来的特有威胁。Akamai 的研究发现，API 正在成为攻击目标，攻击手段不仅包括传统攻击方式，还有针对 API 设计的特定攻击技术，因而需要采取多种保护措施。实际上，我们发现，从 2023 年 1 月到 12 月，近 30%的网络攻击以 API 为目标（图 1）。除非企业能够正确地保