近日,网络安全领域的一项研究显示,中国在过去一年中在应对应用程序编程接口(API)安全事件上的花费位居全球之首,总额高达77.8万美元(折合人民币约568万)。这一数据出自Akamai发布的《API安全影响研究》报告,揭示了API安全已成为企业不可忽视的重大挑战。
API攻击并非新鲜事物,其历史可追溯至互联网发展的早期阶段。从最初的计算机单机时代,API主要用于软件模块间的内部交互,安全问题尚未浮出水面,到CGI(通用网关接口)的出现,API攻击开始崭露头角,攻击者通过篡改参数、简单注入等手段试图突破接口限制。
进入2000年至2010年间,随着Web2.0的兴起,SOAP协议推动了企业对外API的标准化,但复杂的协议设计也引入了新的安全风险,如XML注入和中间人劫持。随后,RESTful API因其简洁性而广受欢迎,却也因此暴露了会话劫持和令牌泄露等问题。
自2010年后,云计算的崛起使API成为企业的核心数字资产,然而,企业API清单管理的滞后导致了大量影子API的存在,为攻击者提供了可乘之机。利用这些未记录或过时的接口,攻击者能够发起DDoS攻击和敏感数据窃取,如2017年Equifax因API漏洞导致1.4亿用户数据泄露的事件。
随着Bot技术的成熟,恶意爬虫通过批量调用API接口,进一步加剧了安全威胁。例如,2019年某社交平台因缺乏反爬机制,导致5亿用户信息在暗网上流通。在此期间,API攻击流量的增速达到了普通流量的三倍。
如今,以生成式AI为代表的新AI时代已经到来,企业通过API调用大模型已成为趋势。在此背景下,云服务商承担了大模型底座安全、应用访问以及数据合规安全的责任,但企业仍需关注API调用和数据外发的安全问题。
Akamai的研究显示,2023年1月至2024年6月间,亚太地区记录到1080亿次API攻击,占所有Web攻击的15%。在中国,企业对API安全的重视程度极高,将“保护API免受攻击”列为网络安全的第一要务,远超其他国家。
然而,尽管中国企业对API安全的重视程度较高,但在实际操作中仍存在诸多挑战。例如,API错误配置、网络防火墙和API网关未能有效拦截攻击、授权漏洞以及生成式AI工具暴露等问题频发。其中,API错误配置漏洞最为常见,占比达到22.3%。
从API攻击类型来看,注入攻击、越权/未授权访问以及DDoS攻击是当前主要的攻击手段。以DeepSeek为例,该大模型在火爆出圈后不到一个月内就遭遇了多次大规模DDoS攻击,包括HTTP代理攻击和僵尸网络攻击等。
面对日益复杂的API攻击手段,企业应如何应对?Akamai北亚区技术总监刘烨建议,企业首先需要就API安全事件的原因、影响及处理优先级达成共识,并在此基础上分步构建持久的API安全策略。
具体来说,企业应从API发现和监测能力入手,利用自动化工具全面清查API资产。同时,完善API测试,确保API编码能够实现预期功能,并在部署前和生产环境中进行测试。对API进行充分记录,审核API环境以识别配置错误或其他问题,并确保每个API都得到充分记录,以满足合规要求。
在运行时检测方面,企业应利用API安全解决方案的自动运行时检测功能,区分正常和异常的API活动,并实时检测威胁行为。通过与现有的安全产品组合(如WAF或Web应用程序和API保护)集成,企业能够发现高风险行为并在可疑流量抵达关键资源之前进行拦截。
在API安全防护更为成熟的阶段,企业还应对过往的威胁数据进行取证分析,了解系统是否正确识别不同的威胁并触发相应的告警,并确认是否出现了新型攻击模式。通过结合先进工具与人类智慧,企业能够主动搜寻威胁,确保API安全。
