2021年10月28日消息:Akamai发布了最新研究报告,分析了API有关的威胁态势。Gartner曾指出,API到2022年将成为使用最频繁的在线攻击向量。
作为Akamai《互联网安全状况》系列报告中的最新一期报告,《API:与每个人息息相关的攻击》(API: The Attack Surface That Connects Us All)这份新报告的特别之处在于Akamai和Veracode研究人员合作贡献的内容,其中包括Veracode首席研究官Chris Eng撰写的一篇特邀文章。
API有较强的便利性,对于用户体验非常重要,许多企业都在用,因此也成了网络犯罪分子的目标。Akamai的报告重点介绍了破坏性的API漏洞模式,尽管其在软件开发生命周期(SDLC)和测试工具方面已经有了改进,但情况仍不容乐观。
当企业急于推出API时,往往要到事后才会考虑API安全性,而许多企业依赖于传统的网络安全解决方案,但这些解决方案无法充分保护API可能引入的广泛攻击面。
企业并不总是能够知晓API漏洞位于何处。例如,API经常隐藏在移动应用程序中,导致人们认为它们无法被犯罪分子操纵。开发人员假设用户只会通过移动用户界面(UI)与API进行交互,但正如本报告所指出的,情况并非如此。
攻击流量激增表明API漏洞持续存在
报告中还详细提到,Akamai审查了2020年1月至2021年6月间(18个月)的攻击流量,发现总攻击次数超过110亿次。凭借记录到的62亿次攻击,SQL注入(SQLi)仍然在Web攻击趋势列表中排在首位,其次是本地文件包含(LFI)(33亿次)、跨站点脚本攻击(XSS)(10.19亿次)。
虽然很难在上述攻击中确定纯粹的API攻击所占的比例,但致力于提高软件安全性的非营利性基金会——开放Web应用程序安全项目(OWASP)最近发布了一份10大API安全漏洞清单,该清单基本与Akamai的调查结果一致。
其他报告要点包括:
在2020年1月至2021年6月的18个月中,追踪到的撞库攻击保持稳定,在2021年1月和2021年5月记录到了超过10亿次攻击的单日峰值。
在此观察期内,美国是Web应用程序攻击的首要目标,其遭遇的攻击流量是排名第二的英国的近六倍。美国也在攻击来源清单中名列前茅,它从俄罗斯手中夺走了第一名,其发出的攻击流量几乎是俄罗斯的四倍。
到目前为止,2021年的DDoS流量一直保持稳定,在2021年第一季度早期记录到了峰值。2021年1月,Akamai在一天内记录了190起DDoS事件,随后在3月记录了183起。