不安全的API和爬蟲攻擊導致企業每年損失高達1860億美元

作者:han, yifei · 2024-11-16 · 閱讀時間:5分鐘

API 不安全和爬蟲程序的自動濫用導致全球高達 11.8% 的網絡事件和損失,與 Bot 相關的安全事件數量在 2022 年和 2023 年分別增長了 88% 和 28%,與 2021 年相比,不安全的 API 造成的損失高達 120 億美元。

作為全球領先的網絡安全解決方案提供商,泰雷茲(Thales)發布了一份題為《API與爬蟲程序攻擊的經濟影響》的報告。通過對超過161,000起獨特網絡安全事件的深入分析,報告揭示了因API安全性不足及爬蟲程序自動濫用導致的全球防護成本持續攀升,這兩大安全挑戰正變得日益緊密且廣泛存在。據報告估算,API安全性問題和爬蟲程序攻擊已給全球企業帶來了高達1861億美元的經濟損失。

該報告源自 Marsh McLennan 網絡風險情報中心的研究成果,揭示了大型組織在涉及不安全 API 及爬蟲程序攻擊方面的安全事件中更為頻發。具體而言,對于年收入超過 10 億美元的企業而言,其遭遇爬蟲程序自動化濫用 API 的概率是中小型企業同類事件的 2 至 3 倍之多。研究進一步指出,大型企業因其復雜的、覆蓋面廣的 API 生態系統中往往存在暴露或安全性不足的 API 接口,這使得它們在面對由機器人自動化操作引發的 API 濫用相關的安全威脅時顯得尤為脆弱。

企業嚴重依賴API來實現不同應用程序和服務間的無縫交互。據Imperva威脅研究團隊的數據,去年企業平均管理著613個API端點。隨著企業需以更高敏捷性和效率提供數字化服務的壓力增大,這一數字正迅速攀升。

鑒于API依賴度的提升及其對敏感信息的直接訪問權限,API已成為機器人操作者的誘人目標。Imperva威脅研究數據顯示,截至2023年,機器人生成的自動化威脅占所有API攻擊的30%。當前,自動化API濫用每年給組織帶來約179億美元的損失。隨著生產環境中API數量的增長,網絡罪犯將更頻繁地運用自動化爬蟲尋找并利用API業務邏輯漏洞、繞過安全防護措施及泄露敏感信息。

“全球企業必須應對由不安全API和機器人攻擊引發的安全挑戰,否則將面臨沉重的經濟負擔。”Imperva應用安全總經理Nanhi Singh表示,“鑒于這些威脅的相互關聯性,公司應采取綜合策略,針對爬蟲和API攻擊制定全面的安全方案。”

報告揭示了幾項關鍵趨勢:

  • API普及率上升擴大了攻擊范圍:API快速普及、部分API開發者缺乏經驗以及安全與開發團隊間溝通不足,使得不安全API造成的年度損失達到870億美元,較2021年增長120億美元。
  • 爬蟲對機構財務狀況產生負面影響:攻擊工具與生成式AI模型的廣泛應用提升了爬蟲規避技術的能力,即便是技術水平較低的攻擊者也能發動復雜攻擊。由此產生的年度損失估計高達1160億美元。
  • API與Bot相關安全事件頻發:2022年,API相關安全事件增長40%,Bot相關安全事件激增88%。數字交易增加、API廣泛使用及地緣政治緊張局勢加劇等因素促成了這些增長。進入2023年后,盡管數字流量趨于平穩且疫情引發的互聯網活動激增有所緩解,但安全事件發生率依然保持高位。API相關安全事件增長9%,Bot相關安全事件增長28%。這表明上述威脅仍將持續存在且頻率不斷增加。
  • 大型企業面臨重大威脅:對于年收入超過1000億美元的企業而言,其遭遇的安全事件中有26%與不安全API或Bot攻擊有關。
  • 各國均面臨API與Bot攻擊風險:巴西遭受此類攻擊的比例最高,占所有觀察到的安全事件的32%;法國(28%)、日本(28%)和印度(26%)緊隨其后。盡管美國在此類事件中的占比相對較低,但與脆弱API或Bot自動濫用相關的所有已報告事件中有66%發生在該國境內。
  • “未來,對API的依賴將呈指數級增長,特別是在連接生成式AI應用和大規模語言模型方面。”Singh補充道,“然而,生成式AI也將賦予網絡犯罪分子更快地構建復雜機器人的能力。隨著API生態系統的擴張和爬蟲技術的進步,除非采取有效措施,否則我們預計爬蟲自動濫用API所帶來的經濟損失將大幅增加。”

如何找到更多同類API?

冪簡集成是國內領先的API集成管理平臺,專注于為開發者提供全面、高效、易用的API集成解決方案。冪簡API平臺可以通過以下兩種方式找到所需API:通過關鍵詞搜索API、或者從API Hub分類頁進入尋找。

原文鏈接:https://apicoding.com/vulnerable-api/