API漏洞對(duì)全球公司和個(gè)人均具有高風(fēng)險(xiǎn),api接口泄露漏洞-ESG跨境

API漏洞對(duì)全球公司和個(gè)人均具有高風(fēng)險(xiǎn),api接口泄露漏洞

API漏洞對(duì)全世界的公司和個(gè)人來說都是高風(fēng)險(xiǎn)的。

北京時(shí)間10月28日，Akamai最新報(bào)告《API:與每個(gè)人息息相關(guān)的攻擊》分析了與應(yīng)用編程接口(API)相關(guān)的不斷變化的威脅態(tài)勢(shì)。本質(zhì)上，API充當(dāng)不同平臺(tái)之間快速簡(jiǎn)單的管道。便利性和用戶體驗(yàn)的重要性使API成為許多企業(yè)不可或缺的工具，但這也使它們成為網(wǎng)絡(luò)罪犯的誘人目標(biāo)。

Akamai的報(bào)告主要關(guān)注破壞性API漏洞模型。雖然在軟件開發(fā)生命周期(SDLC)和測(cè)試工具上有所改進(jìn)，但情況依然不容樂觀。當(dāng)企業(yè)急于推出API時(shí)，他們往往在事后才考慮API的安全性。許多企業(yè)依賴于傳統(tǒng)的網(wǎng)絡(luò)安全解決方案，但這些解決方案不能完全保護(hù)API可能引入的廣泛攻擊面。

此外，報(bào)告還強(qiáng)調(diào)了Gartner的觀點(diǎn)，即到2022年，API將成為最常用的在線攻擊載體。Akamai安全研究員、《互聯(lián)網(wǎng)安全狀況報(bào)告》作者史蒂夫·拉岡(Steve Schmidt)指出:“從妥協(xié)的認(rèn)證和注入缺陷到簡(jiǎn)單的錯(cuò)誤配置，任何構(gòu)建聯(lián)網(wǎng)應(yīng)用的人都會(huì)面臨無(wú)數(shù)的API安全問題。企業(yè)無(wú)法完全檢測(cè)到API攻擊，即使檢測(cè)到這種攻擊，也可能會(huì)被遺漏。DDoS攻擊和勒索軟件都是企業(yè)關(guān)注的重要問題，而API攻擊卻沒有得到同等程度的重視。這很大程度上是因?yàn)榉缸锓肿永肁PI發(fā)動(dòng)的攻擊無(wú)法像勒索病毒攻擊那樣就地執(zhí)行而引起轟動(dòng)，但這并不意味著API攻擊應(yīng)該被忽略?！?/p>

報(bào)告中詳細(xì)提到，Akamai查閱了2020年1月至2021年6月(18個(gè)月)的攻擊流量，發(fā)現(xiàn)攻擊總數(shù)超過110億次。SQL注入(SQLi)記錄了62億次攻擊，在Web攻擊趨勢(shì)列表中仍然排名第一，其次是本地文件包含(LFI)(33億)和跨站點(diǎn)腳本攻擊(XSS)(10.19億)。

雖然很難確定純API攻擊在上述攻擊中所占的比例，但致力于提高軟件安全性的非營(yíng)利基金會(huì)開放Web應(yīng)用安全項(xiàng)目(OWASP)近日發(fā)布了一份10大API安全漏洞名單，與Akamai的調(diào)查結(jié)果基本一致。

報(bào)告的其他要點(diǎn)包括:

在2020年1月至2021年6月的18個(gè)月中，跟蹤的庫(kù)碰撞攻擊保持穩(wěn)定，2021年1月和2021年5月記錄的單日峰值超過10億次。

在此觀察期內(nèi)，美國(guó)是Web應(yīng)用攻擊的首要目標(biāo)，其攻擊流量是排名第二的英國(guó)的近6倍。

o美國(guó)也位于攻擊來源列表的首位。它從俄羅斯手中奪走了第一名，它的攻擊流量幾乎是俄羅斯的4倍。

到目前為止，2021年的DDoS流量保持穩(wěn)定，峰值出現(xiàn)在2021年第一季度初。2021年1月，Akamai在一天內(nèi)記錄了190起DDoS事件，隨后在3月記錄了183起。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。