AI 技術(shù)增強(qiáng)了威脅檢測(cè)和響應(yīng)能力,正在改變 Web 應(yīng)用程序和 API 的安全格局,同時(shí)也帶來(lái)了新的安全挑戰(zhàn)。據(jù)記錄,2024 年,亞太地區(qū)及日本共遭受了 510 億次 Web 應(yīng)用程序攻擊,相比 2023 年的 290 億次,數(shù)量明顯增加。攻擊激增與 AI 應(yīng)用程序的快速普及密切相關(guān),它擴(kuò)大了攻擊面,增加了網(wǎng)絡(luò)攻擊的復(fù)雜性。
亞太地區(qū)及日本遭受 Web 應(yīng)用程序和 API 攻擊最多的國(guó)家/地區(qū)包括,澳大利亞(203 億次)、印度(173 億次)和新加坡(159 億次);其次是日本(63 億次)、中國(guó)(62 億次)、韓國(guó)(49 億次)、新西蘭(29 億次)以及中國(guó)香港特別行政區(qū)(22 億次)。
在亞太地區(qū)及日本,遭受攻擊最多的行業(yè)是金融服務(wù)業(yè),總計(jì)遭受了超過(guò) 270 億次 Web 攻擊,其次是商業(yè),遭受了超過(guò) 180 億次 Web 攻擊,這與這些行業(yè)快速采用 AI 等新興技術(shù)有關(guān)。
2024 年,全球總計(jì)遭受 3110 億次 Web 應(yīng)用程序攻擊,年同比增長(zhǎng) 33%。而這其中,亞太地區(qū)及日本遭受的 Web 和 API 攻擊次數(shù)就占據(jù)了很大比例。今年調(diào)查結(jié)果的核心是 API 面臨的威脅日益加劇,API 越來(lái)越多地用于將 AI 驅(qū)動(dòng)的工具與核心平臺(tái)集成。由于 AI 驅(qū)動(dòng)的 API 易于從外部訪問(wèn)且身份驗(yàn)證措施大多不完善,因此風(fēng)險(xiǎn)尤其高。
Akamai亞太地區(qū)及日本安全技術(shù)與戰(zhàn)略總監(jiān) Reuben Koh 表示:“亞太地區(qū)及日本遭受的 Web 和 API 攻擊激增不僅反映了該地區(qū)數(shù)字化應(yīng)用的快速發(fā)展,也凸顯了隨著 AI 技術(shù)日益融入企業(yè)生態(tài)系統(tǒng),網(wǎng)絡(luò)安全亟需快速發(fā)展。隨著攻擊者的攻擊規(guī)模和復(fù)雜程度不斷升級(jí),安全策略也必須做出相應(yīng)調(diào)整。這份 SOTI 報(bào)告還將深入探討切實(shí)可行的緩解策略,幫助企業(yè)更好地保護(hù)自身免受不斷變化的威脅侵害。”
其他重要的全球調(diào)查結(jié)果包括:
● 同期全球第 7 層(應(yīng)用層)DDoS 攻擊次數(shù)增長(zhǎng)了 94%,達(dá)到 7 萬(wàn)億次,其中高科技行業(yè)受到的影響最為嚴(yán)重。HTTP 泛洪攻擊仍然是最主要的第 7 層 DDoS 威脅,其攻擊目標(biāo)是 Web 應(yīng)用程序和 API。亞太地區(qū)及日本的這種增長(zhǎng)趨勢(shì)也很明顯,該地區(qū)第 7 層 DDoS 攻擊次數(shù)年同比增長(zhǎng)了 66%,是全球第二大攻擊目標(biāo)地區(qū)
● 針對(duì)商業(yè)企業(yè)的 Web 攻擊超過(guò) 2300 億次,使其成為全球受攻擊最嚴(yán)重的行業(yè)。這一數(shù)字接近高科技行業(yè)(受攻擊第二嚴(yán)重的行業(yè))所受攻擊量的三倍。
● 與 OWASP 十大 API 安全風(fēng)險(xiǎn)相關(guān)的事件增加了 32%,揭示了暴露敏感數(shù)據(jù)和功能的身份驗(yàn)證和授權(quán)漏洞。
● 與 MITRE 安全框架相關(guān)的安全告警問(wèn)題增加了 30%,這與攻擊者使用自動(dòng)化和 AI 等先進(jìn)技術(shù)來(lái)利用 API 密不可分。
● 在日益復(fù)雜的 API 生態(tài)系統(tǒng)中,影子 API 和僵尸 API 成為特別脆弱的攻擊媒介。
加強(qiáng)合規(guī)性要求,抵御未來(lái)攻擊
為了應(yīng)對(duì) Web 和 API 攻擊的指數(shù)級(jí)增長(zhǎng),全球監(jiān)管機(jī)構(gòu)(包括亞太地區(qū)及日本各國(guó)政府)正在實(shí)施更嚴(yán)格的網(wǎng)絡(luò)安全合規(guī)性要求和準(zhǔn)則。新加坡已擴(kuò)大其網(wǎng)絡(luò)安全法案的覆蓋范圍,以加大監(jiān)管力度;日本已加強(qiáng)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略和法律;印度通過(guò)了《數(shù)字個(gè)人數(shù)據(jù)保護(hù)法案》;澳大利亞則頒布了《2024 年網(wǎng)絡(luò)安全法案》,對(duì)處理敏感數(shù)據(jù)的 API 和應(yīng)用程序進(jìn)行了更嚴(yán)格的監(jiān)管。
隨著合規(guī)期限的臨近和執(zhí)法力度的加大,企業(yè)如果延誤安全改進(jìn),不僅會(huì)面臨監(jiān)管處罰的風(fēng)險(xiǎn),還可能面臨聲譽(yù)受損、數(shù)據(jù)丟失和服務(wù)中斷的風(fēng)險(xiǎn)。Akamai 建議采用左移安全方法,加強(qiáng) API 治理,并部署基于 AI 的防御措施,以檢測(cè)和應(yīng)對(duì)不斷變化的威脅。
