本文作者:访客

中国遭遇API攻击损失亚太区第一,企业高管与一线员工认知脱节丨ToB产业观察

访客 2025-05-26 16:26:25 11
中国遭遇API攻击损失亚太区第一,企业高管与一线员工认知脱节丨ToB产业观察摘要: 日前,Akamai发布的《API安全影响研究》(以下简称《API研究》)中显示,过去一年的时间内,中国在解决API安全事...

中国遭遇API攻击损失亚太区第一,企业高管与一线员工认知脱节丨ToB产业观察

日前,Akamai发布的《API安全影响研究》(以下简称《API研究》)中显示,过去一年的时间内,中国在解决API安全事件上花费的成本最高,达到了77.8万美元(约合568万人民币),且在企业内部,管理层预估API安全事件造成的成本约为51.7万美元,而一线员工则认为将达到92万美元。

苦API攻击久已

针对API的攻击手段已经不是时代的新词,在传统互联网时代,API安全事件就屡见不鲜。具体来看,API攻击的历史可以分为四个阶段。

第一阶段大概时间节点在2000之前,在计算机单机时代(如大型机、Windows 95时期),软件模块间的交互已出现类似API的机制,但此时接口多用于内部功能调用,安全问题尚未凸显。攻击主要集中于底层系统漏洞,例如Windows 95的API漏洞。

但随着互联网的兴起,基于CGI(通用网关接口)的Web交互接口出现,成为早期API攻击的雏形。攻击者通过参数篡改、简单注入等方式尝试突破接口限制。

第二阶段大致时间节点在2000到2010年前后,随着Web2.0时代的到来,SOAP协议推动企业对外API的标准化,但复杂协议设计引入了XML注入和中间人劫持风险。随后RESTful API因简洁性被广泛采用,却也因无状态特性导致会话劫持和令牌泄露问题频发

第三阶段是在2010年之后,随着云计算的崛起,云计算推动API成为核心数字资产,但企业API清单管理滞后,出现大量影子API(未记录或过时接口)。攻击者利用此类接口发起DDoS攻击和敏感数据窃取,例如2017年Equifax因API漏洞泄露1.4亿用户数据。

另一方面,随着Bot技术的成熟,攻击者通过恶意爬虫批量调用API接口,例如2019年某社交平台因未设反爬机制导致5亿用户信息在暗网流通。同期,API攻击流量增速达普通流量的3倍。

第四阶段就来到了以生成式AI为代表的新AI时代。企业应用大模型赋能业务已经是不可逆的趋势,从当前企业应用大模型的方式来看,通过API调用的方式显然是最好的方式之一。

企业通过API调用大模型的模式下,云服务商承担了的大模型底座安全、应用访问,以及数据合规安全责任,“对于企业来说,这个阶段,只解决API调用和数据外发安全等部分安全问题就可以了,更多的安全责任是由云服务商承担的。”绿盟科技集团副总裁宫智曾对笔者表示。

《API研究》中显示,2023年1月至2024年6月间,亚太地区记录到1080亿次API攻击,API攻击占所有Web攻击的15%。

而在此背景下,企业应当更为注重API安全事件的防护。Akamai北亚区技术总监刘烨告诉笔者,在API免受攻击方面,中国企业的重视程度很高,中国将“保护API免受攻击”列为网络安全第一要务(27.6%),远超其他国家(日本、印度以及澳大利亚均将其列为第四项),“在调研中,所有受访者都需要对明年的网络安全优先事项进行排序。中国在这个问题上的回答有些与众不同,也是唯一一个将‘保护 API 免受攻击’列为第一要务的国家。”刘烨指出。

另一方面,刘烨表示,在中国、印度和澳大利亚,将近 90% 的受访者表示他们会在满足法规要求时考虑API安全性。只有41%的受访者会将API纳入风险评估中,并且只有40%的受访者会将API纳入报告要求。

从技术角度出发,目前企业侧应用API仍存在一些“缺陷”,比如,API错误配置、网络防火墙没有拦截、API网关没有拦截、授权漏洞,以及生成式AI工具暴露等,“这其中,根据Akamai统计,以API错误配置漏洞最为常见,占比达到22.3%。”刘烨进一步指出,“除此之外,在大模型时代,企业还面临防护工具不足,传统的防火墙、WAF难以应对当下复杂的API攻击。”

从API攻击类型上看,目前主要以注入攻击、越权/未授权访问、DDOS攻击为主。以年初火爆的DeepSeek为例,在年初DeepSeek火出圈后,不到一个月的时间内,DeepSeek就接连遭遇了大规模DDoS攻击,先后经历了轻微的HTTP代理攻击、大量HTTP代理攻击、僵尸网络攻击等行为,参与攻击的两个僵尸网络分别为HailBot和RapperBot。

无独有偶,包括ChatGPT、Kimi等在内的多家大模型厂商也在不同时间段内遭受过大量的DDOS攻击。

企业如何应对?

在盛邦安全服务产品线总经理&研发总监郝龙看来,与传统的互联网巨头相比,初创型的科技企业的安全体系建设能力,远不如已经在互联网摸爬滚打多年的巨头,且安全属于企业成本支出类,对于资金、资源有限的初创企业,更愿意将更多的资源用在模型技术的研发和迭代上,这也就造成了,虽然模型能力很强,但是防护能力不足,极容易成为攻击目标。

无独有偶,奇安信安全专家也对钛媒体APP表示,在防御机制建设层面,大模型需要通过严密的安全技术保障和运行监测,确保自身的安全性、可靠性和稳定性。而目前绝大多数大模型的安全建设是非常欠缺的。

面对越来越复杂的API攻击手段,企业应该如何应用呢?刘烨给出了些许建议,他表示,面对当下复杂的API攻击情况,企业首先需要再API安全事件发生原因、影响,以及处理优先级上达成共识。

进而,在此基础上,分步固件持久的API安全策略。基于此,刘烨给出了几点建议:

  • 从API发现和监测能力入手:为了对所有 API 资产进行全面清查,您需要寻找能够用自动化方法发现 API 及其支持的微服务的工具。覆盖广度至关重要,因为不受管 API 是攻击者的主要目标。
  • 完善API测试:选择一种 API 安全解决方案,让您能够轻松测试 API 的编码是否能够实现其预期功能。理想的做法是在部署之前进行测试,但对生产环境中的所有 API 进行测试也很重要,包括对流量进行实时分析,来识别潜在的漏洞。
  • 对API进行充分记录:审核整个 API 环境以识别 API 配置错误或其他错误非常重要。审核过程还应确保对每个 API 进行充分记录,并确定 API 是否包含敏感数据或缺乏适当的安全控制。这也有助于您做好必要的准备,确保满足与 API 安全直接或间接相关的合规要求。
  • 使用运行时检测工具:利用 API 安全解决方案的自动运行时检测功能,您将能够区分正常和异常的 API 活动。通过这种方式监控 API 交互,您可以实时检测威胁行为并采取行动。
  • 应对可疑行为,提前拦截:通过将 API 安全解决方案与现有的安全产品组合(例如 WAF 或 Web 应用程序和 API 保护)进行集成,您将能够发现高风险行为并在可疑流量抵达关键资源之前进行拦截。
  • 调查和搜寻威胁:在 API 安全防护更为成熟的阶段,您将能够对过往的威胁数据进行取证分析,了解系统 是否正确识别不同的威胁并触发相应的告警,并确认是否出现了新型攻击模式,然后使用将先进工具与人类智慧相结合的主动威胁搜寻功能。(本文首发于钛媒体APP,作者|张申宇,编辑丨盖虹达)

标签:

海报
阅读
分享