北京時間10月28日消息，Akamai最新報告《API：與每個人息息相關(guān)的攻擊》分析了與應(yīng)用程序編程接口(API)有關(guān)的、不斷變化的威脅態(tài)勢。API本質(zhì)上充當(dāng)了不同平臺之間的快速簡易管道。便利性和用戶體驗的重要性導(dǎo)致API成為了許多企業(yè)必不可少的工具，但這也使它們成為了對于網(wǎng)絡(luò)犯罪分子極具吸引力的目標(biāo)。

Akamai的報告重點介紹了破壞性的API漏洞模式，盡管其在軟件開發(fā)生命周期(SDLC)和測試工具方面已經(jīng)有了改進，但情況仍不容樂觀。當(dāng)企業(yè)急于推出API時，往往要到事后才會考慮API安全性，而許多企業(yè)依賴于傳統(tǒng)的網(wǎng)絡(luò)安全解決方案，但這些解決方案無法充分保護API可能引入的廣泛攻擊面。

此外，報告還強調(diào)了Gartner的觀點，即API到2022年將成為使用最頻繁的在線攻擊向量。Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報告》作者Steve Ragan指出：“從遭到破壞的身份驗證和注入缺陷，到簡單的錯誤配置，任何構(gòu)建聯(lián)網(wǎng)應(yīng)用程序的人都會面臨不計其數(shù)的API安全問題。企業(yè)無法充分檢測API攻擊，即使檢測到此類攻擊，也可能會被漏報。DDoS攻擊和勒索軟件都是企業(yè)關(guān)注的重要問題，而API攻擊并沒有得到同等程度的關(guān)注，這在很大程度上是因為，犯罪分子使用API發(fā)起的攻擊無法像執(zhí)行到位的勒索軟件攻擊那樣引發(fā)轟動效應(yīng)，但這并不意味著應(yīng)該忽視API攻擊。”

報告中詳細提到，Akamai審查了2020年1月至2021年6月間(18個月)的攻擊流量，發(fā)現(xiàn)總攻擊次數(shù)超過110億次。憑借記錄到的62億次攻擊，SQL注入(SQLi)仍然在Web攻擊趨勢列表中排在首位，其次是本地文件包含(LFI)(33億次)、跨站點腳本攻擊(XSS)(10.19億次)。

雖然很難在上述攻擊中確定純粹的API攻擊所占的比例，但致力于提高軟件安全性的非營利性基金會——開放Web應(yīng)用程序安全項目(OWASP)最近發(fā)布了一份10大API安全漏洞清單，該清單基本與Akamai的調(diào)查結(jié)果一致。

其他報告要點包括：

● 在2020年1月至2021年6月的18個月中，追蹤到的撞庫攻擊保持穩(wěn)定，在2021年1月和2021年5月記錄到了超過10億次攻擊的單日峰值。

● 在此觀察期內(nèi)，美國是Web應(yīng)用程序攻擊的首要目標(biāo)，其遭遇的攻擊流量是排名第二的英國的近六倍。

o 美國也在攻擊來源清單中名列前茅，它從俄羅斯手中奪走了第一名，其發(fā)出的攻擊流量幾乎是俄羅斯的四倍。

● 到目前為止，2021年的DDoS流量一直保持穩(wěn)定，在2021年第一季度早期記錄到了峰值。2021年1月，Akamai在一天內(nèi)記錄了190起DDoS事件，隨后在3月記錄了183起。