作者: 刘炅 Akamai大中华区产品市场经理
网上购物平台PandaBuy超过130万客户的数据被泄露。据称该起事件是两名黑客利用多个漏洞入侵系统后造成的。PandaBuy允许国际用户从中国的各种电子商务平台购买产品,包括天猫、淘宝和京东。一个名叫“Sanggiero”的威胁者声称与另一名叫“IntelBoker”的威胁者一起入侵了PandBuy。而据威胁参与者表示,他们是通过利用平台API中的几个关键漏洞来窃取数据的。
随着互联网的发展和演进,各种技术应运而生。微服务架构的采用,开发过程对于创新和敏捷性的要求,开放的生态对于接口开放的需求、以及AI中大预言模型(LLM)对于API调用的依赖,都促成了API的广泛的采用和高速的发展。 API流量已经统治了互联网,近30%的互联网流量为API的流量。
API流量承载着企业重要的、甚至是敏感的数据,已经成为了企业重要的资产。也正因为如此,API也成为了黑客攻击的主要目标。据统计,互联网的攻击中,有31%的攻击目标都是企业的API资产,有78%的企业在过去的12个月中都受到过API的攻击。许多基于API攻击导致的数据流失、系统不可用,使得企业对于API安全愈加重视,很多安全标准化组织、行业安全标准也都把API安全的检测和防护纳入到标准中,也使得企业对于API的安全建设有据可依。
API的安全建设和防护已经是企业安全架构中最重要的一环,API作为流动的数据,是企业最需要保护的资产之一。
API安全现状概览
Akamai 的《2024 年互联网 API 威胁状况报告》显示,2023年全年,针对API的网络攻击占比高达29%,凸显了API已成为网络犯罪分子的重点攻击对象。尤为值得关注的是,业务逻辑滥用问题日益凸显,因缺乏明确的API行为基线,异常活动难以被及时察觉。此外,根据Gartner研究:《API保护市场指南》,API漏洞导致的数据泄露规模远超一般安全漏洞。
从数据层面来看,Akamai的SOTI报告《数字堡垒被围攻:现代应用程序架构面临的威胁》也揭示了一个更为惊人的事实:从2023年第一季度至2024年第一季度,全球范围内针对应用程序和API的攻击数量激增了49%,而在亚太地区,这一数字更是攀升至65%。在短短一年半的时间内,全球范围内记录的API攻击次数竟高达1080亿次。
API滥用现象的多元化与严峻性
对于企业而言,API的滥用已成为不容忽视的隐忧。滥用形式层出不穷,包括但不限于内部人员的未授权访问、数据泄露以及DDoS攻击等。其中,本地文件包含(LFI)、跨站脚本(XSS)、SQL注入(SQLi)、命令注入(CMDi)以及服务器端请求伪造(SSRF)等攻击手段尤为猖獗,且从2023年第一季度至2024年第一季度均呈现显著上升趋势。
尤为值得注意的是,第7层DDoS攻击在亚太地区迅速崛起,成为新的安全威胁。高科技、商业和社交媒体成为其主要攻击目标。据统计,以网站和在线服务应用层为目标的第7层DDoS攻击在过去一年中激增了五倍,总攻击次数高达5.1万亿次。这类攻击通过海量请求使目标网站和服务不堪重负,导致响应迟缓甚至完全瘫痪。
API安全威胁的根源探析
亚太地区频繁遭受的API和网络攻击,与其经济的快速数字化转型密不可分。在激烈的市场竞争中,企业为抢占市场先机,纷纷加速线上运营转型步伐,导致开发和安全资源捉襟见肘,安全流程往往被置于次要地位。与此同时,API经济的蓬勃发展也为网络犯罪分子提供了可乘之机,他们利用漏洞和滥用业务逻辑的手段层出不穷。据预测,至2027年,API将对全球经济产生高达14.2万亿美元的经济影响。然而,这一巨大利益背后,也隐藏着API安全复杂性的加剧。因此,构建一套可靠的最佳实践体系,以妥善保护企业敏感数据、确保API安全,显得尤为迫切和重要。
防御策略建议
面对API安全的严峻挑战,企业应如何构建有效的防护体系?企业可以参考以下几点建议:
1.提升可视性:企业应首先确保对API的全面掌控和清晰认知。这包括对所有API的存在、端点及功能进行详尽梳理和记录。通过增强API的透明度,企业能够及时发现并处理潜在的安全隐患。
2.强化漏洞管理:从设计和构建阶段开始,企业应建立一套完整的漏洞管理体系。利用OWASP安全风险清单等工具为开发人员提供良好编码实践的指导;同时,与专业的安全厂商合作,共同推进跨部门、跨团队的协作机制,以实现对潜在风险的及时识别和有效防御。
3.加强业务逻辑保护:鉴于攻击手段的多样化,企业需高度重视业务逻辑的安全性。通过建立业务逻辑基线、实施严格的访问控制和审计机制等措施,企业能够有效抵御针对业务逻辑的攻击行为,确保关键业务数据的安全与完整。
API已成为现代企业数字化转型的核心驱动力。在高度依赖API的数字环境中,企业必须建立并执行强大的安全策略以确保API的安全。通过保护API,企业将能够发掘新的收入增长点,提升运营效率并优化客户体验,以成功驾驭不断变化的数字环境。