阿卡邁技術(shù)公司（Akamai Technologies, Inc.，以下簡(jiǎn)稱：Akamai）（NASDAQ：AKAM），于近日發(fā)布了一份新的互聯(lián)網(wǎng)現(xiàn)狀報(bào)告，報(bào)告標(biāo)題為《鉆過(guò)安全漏洞：應(yīng)用程序和 API 攻擊呈上升趨勢(shì)》。這份報(bào)告顯示，金融服務(wù)業(yè)仍是亞太地區(qū)及日本 (APJ) 遭受攻擊最嚴(yán)重的行業(yè)，Web 應(yīng)用程序和 API 攻擊量增幅創(chuàng)下歷史新高，攻擊次數(shù)比上一年增加了 248%。

APJ 區(qū)域金融業(yè) Web 應(yīng)用程序和 API 攻擊量增幅達(dá) 248%，明顯高于全球近 169% 的增幅，這表明該區(qū)域的金融服務(wù)企業(yè)是攻擊者的主要目標(biāo)，而隨著攻擊者增加攻擊量、攻擊頻率和復(fù)雜程度，這些企業(yè)將面臨嚴(yán)重風(fēng)險(xiǎn)。  

Akamai 亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān)Reuben Koh 解釋道：“APJ 區(qū)域的金融服務(wù)企業(yè)持續(xù)投入大量資金來(lái)推進(jìn)數(shù)字化轉(zhuǎn)型，擴(kuò)展以客戶為中心的數(shù)字產(chǎn)品和服務(wù)，攻擊量激增將近 250% 與這些資本投入密切相關(guān)。這對(duì)于金融服務(wù)企業(yè)來(lái)說(shuō)是一個(gè)嚴(yán)重問(wèn)題，因?yàn)殡S著數(shù)字化程度的增加，整體攻擊面也會(huì)擴(kuò)大，攻擊者將有更多機(jī)會(huì)發(fā)起網(wǎng)絡(luò)攻擊?！?/p>

在過(guò)去 24 個(gè)月內(nèi)，整個(gè) APJ 區(qū)域 Web 應(yīng)用程序和 API 攻擊總量穩(wěn)步增加，平均每天大約發(fā)生 1000 萬(wàn)次攻擊。此外，Akamai 還觀察到日攻擊次數(shù)超過(guò) 6000 萬(wàn)，這表明該區(qū)域的企業(yè)繼續(xù)面臨著高強(qiáng)度、高針對(duì)性攻擊的風(fēng)險(xiǎn)。

報(bào)告表明，本地文件包含 (LFI) 攻擊成為 APJ 區(qū)域最常見(jiàn)的攻擊媒介，同比增加約 154%，攻擊數(shù)量超過(guò)了 XSS 和 SQLi 攻擊。在 LFI 攻擊中，攻擊者會(huì)利用 Web 服務(wù)器上不安全的編碼實(shí)踐或?qū)嶋H漏洞來(lái)遠(yuǎn)程執(zhí)行代碼或者訪問(wèn)本地存儲(chǔ)的敏感信息。

基于 PHP 的 Web 服務(wù)器特別容易遭受 LFI 攻擊，因?yàn)楝F(xiàn)有的方法會(huì)繞過(guò)其輸入篩選器。包括 Facebook、WordPress 和維基百科在內(nèi)的大多數(shù)熱門網(wǎng)站都運(yùn)行 PHP，這增加了攻擊者利用 LFI 漏洞的可能性。APJ 區(qū)域 LFI 攻擊的增長(zhǎng)表明，攻擊者為了獲得更大的回報(bào)，正不斷改進(jìn)攻擊技術(shù)并將目標(biāo)轉(zhuǎn)移到利用消費(fèi)者行為上。

另外，Akamai 的報(bào)告還揭示了 APJ 區(qū)域當(dāng)?shù)厥袌?chǎng)上 Web 攻擊和 API 攻擊模式的差異化趨勢(shì)。具體如下：

●       2022 年 APJ 區(qū)域遭受 Web 應(yīng)用程序和 API 攻擊最多的前三大行業(yè)是金融服務(wù)業(yè)（20 億次）、商業(yè)（9.8 億次）和數(shù)字媒體行業(yè)（3.93 億次）。

●       澳大利亞和日本是 APJ 區(qū)域公認(rèn)的著名金融中心，這兩個(gè)國(guó)家的金融業(yè) Web 應(yīng)用程序和 API 攻擊增幅最大，同比增加分別達(dá)到 259% 和 1,635%。

●       然而，2022 年澳大利亞經(jīng)歷了持續(xù)不斷增加的 Web 應(yīng)用程序和 API 攻擊，同時(shí)出現(xiàn)了幾次大爆炸式攻擊，而日本所經(jīng)歷的攻擊類型主要是大爆炸式攻擊。這表明在這兩個(gè)國(guó)家，攻擊者正將特定行業(yè)和企業(yè)作為主要目標(biāo)。

●       2022 年，日本高科技產(chǎn)業(yè)遭受的攻擊同比增加也超過(guò)了 116%，這很可能與日本在研發(fā)和先進(jìn)技術(shù)領(lǐng)域投入了大量資金有關(guān)。

●       印度的零售業(yè)和商業(yè)經(jīng)歷了更加持久、穩(wěn)定的攻擊活動(dòng)，2022 年 Web 應(yīng)用程序和 API 攻擊同比增加近 90%。印度線上零售業(yè)的興旺和電子商務(wù)支出的不斷增長(zhǎng)使得該行業(yè)成為網(wǎng)絡(luò)犯罪分子有利可圖的目標(biāo)。印度金融服務(wù)業(yè)發(fā)生的攻擊同比增加 56%。

●       2021 年到 2022 年，APJ 區(qū)域攻擊增加最快的前三大行業(yè)是金融服務(wù)業(yè) (248%)、制造業(yè) (162%) 和公共部門 (139%)。

Koh 表示：“網(wǎng)絡(luò)犯罪分子不斷利用 Web 應(yīng)用程序和 API 發(fā)起攻擊，而為了獲得最大的投資回報(bào)率，他們會(huì)繼續(xù)使用新的攻擊技術(shù)。APJ 區(qū)域的金融業(yè)、制造業(yè)和商業(yè)是數(shù)字化創(chuàng)新的中心，因此也成為攻擊者眼中非常有利可圖的目標(biāo)?！?/p>

 他總結(jié)道：“當(dāng)前的威脅形勢(shì)表明攻擊者正轉(zhuǎn)向遠(yuǎn)程代碼執(zhí)行，并且出現(xiàn)了新的攻擊媒介，包括服務(wù)器端請(qǐng)求偽造 (SSRF)、服務(wù)器端模板注入 (SSTI) 和服務(wù)器端代碼注入。由于攻擊者會(huì)繼續(xù)發(fā)起無(wú)休止的攻擊，企業(yè)需要隨時(shí)了解最新的攻擊趨勢(shì)和最佳實(shí)踐，才能根據(jù)形勢(shì)及時(shí)調(diào)整防御策略?！?