攻擊者的“武器庫(kù)”已由簡(jiǎn)單的腳本工具升級(jí)為具備自我進(jìn)化能力的AI代理,它們能像職業(yè)滲透測(cè)試員般思考,分析漏洞庫(kù)中的歷史數(shù)據(jù),生成針對(duì)特定行業(yè)API的定制化攻擊鏈,甚至利用強(qiáng)化學(xué)習(xí)在對(duì)抗中優(yōu)化攻擊策略。而防御者面臨的不僅是技術(shù)迭代的挑戰(zhàn),更是一場(chǎng)與合規(guī)監(jiān)管的賽跑、與商業(yè)利益博弈的復(fù)雜“戰(zhàn)爭(zhēng)”。
AI重塑攻防格局
Akamai發(fā)布的最新《2025年Web應(yīng)用與API安全態(tài)勢(shì)報(bào)告》(以下簡(jiǎn)稱報(bào)告)揭示了一個(gè)關(guān)鍵矛盾:AI技術(shù)的爆發(fā)式應(yīng)用既加速了數(shù)字經(jīng)濟(jì)發(fā)展,也為網(wǎng)絡(luò)安全帶來(lái)顛覆性挑戰(zhàn),攻擊者已形成完整的AI化鏈條。
目標(biāo)選擇精準(zhǔn)化:AI通過(guò)自動(dòng)化掃描企業(yè)公開(kāi)數(shù)據(jù),快速識(shí)別高價(jià)值目標(biāo)。
攻擊工具智能化:生成式AI可批量編寫混淆代碼的釣魚郵件,甚至模仿企業(yè)高管通信風(fēng)格進(jìn)行社會(huì)工程攻擊。
攻擊模式復(fù)雜化:利用AI驅(qū)動(dòng)的“行為模擬引擎”,攻擊者能繞過(guò)傳統(tǒng)簽名檢測(cè),例如通過(guò)機(jī)器學(xué)習(xí)動(dòng)態(tài)調(diào)整SQL注入語(yǔ)句結(jié)構(gòu),使注入攻擊檢測(cè)難度增加三倍。
AI對(duì)攻擊效率的提升呈現(xiàn)指數(shù)級(jí)躍遷。但AI對(duì)防御體系的革新更具革命性,面對(duì)AI驅(qū)動(dòng)的“零日漏洞利用?自動(dòng)化滲透?數(shù)據(jù)竊取”攻擊鏈,企業(yè)需構(gòu)建以AI對(duì)抗AI的動(dòng)態(tài)防御體系。
• 持續(xù)發(fā)現(xiàn):利用AI從海量用戶網(wǎng)絡(luò)流量中識(shí)別API,判斷其是否為新API、是否有變化,以及其合規(guī)性和潛在漏洞。這種識(shí)別有助于制定治理和策略。
• 高級(jí)檢測(cè):通過(guò)AI快速發(fā)現(xiàn)異常攻擊和不合規(guī)情況,減少誤判和漏判。AI分析語(yǔ)義層面的攻擊意圖,有效識(shí)別高級(jí)混淆攻擊,提升檢測(cè)準(zhǔn)確性。
• 態(tài)勢(shì)感知與響應(yīng):使用AI和大數(shù)據(jù)分析評(píng)估API風(fēng)險(xiǎn)等級(jí),識(shí)別高危漏洞。通過(guò)自然語(yǔ)言交互,提升“發(fā)現(xiàn)、治理、響應(yīng)”及“復(fù)盤”的效率。
值得關(guān)注的是,Akamai還將推出的AI模型防火墻,旨在保護(hù)企業(yè)使用的大型語(yǔ)言模型(LLMs),標(biāo)志著防御技術(shù)進(jìn)入新時(shí)代。
API的新安全危機(jī)
2023至2024年全球API攻擊量突破1500億次,年增長(zhǎng)24%的背后,暴露出企業(yè)數(shù)字化轉(zhuǎn)型中的三大致命短板。
影子API失控:47%的企業(yè)無(wú)法完整統(tǒng)計(jì)API資產(chǎn),導(dǎo)致攻擊者通過(guò)未文檔化的“僵尸API”和“影子API”竊取數(shù)據(jù)。
授權(quán)機(jī)制失效:OWASP API Top 10中,身份認(rèn)證類漏洞是API漏洞中最具威脅的攻擊向量之一(OWASP API2/ OWASP API3/ OWASP API5)
測(cè)試體系崩塌:每日進(jìn)行API安全測(cè)試的企業(yè)從37%驟降至13%。
更為嚴(yán)峻的是,API風(fēng)險(xiǎn)正在向物理世界滲透。
某智能建筑管理平臺(tái)的溫度控制API漏洞,曾被攻擊者用于制造數(shù)據(jù)中心過(guò)熱警報(bào),迫使運(yùn)維人員手動(dòng)關(guān)閉安全系統(tǒng),這為后續(xù)的數(shù)據(jù)竊取打開(kāi)了致命窗口。此類“數(shù)字?物理”混合攻擊的案例在2024年增長(zhǎng)217%,預(yù)示著關(guān)鍵基礎(chǔ)設(shè)施面臨前所未有的威脅,API安全已從技術(shù)問(wèn)題演變?yōu)橄到y(tǒng)性風(fēng)險(xiǎn)。
合規(guī)風(fēng)暴下的新安全法則
在這場(chǎng)席卷全球的合規(guī)監(jiān)管革命中,企業(yè)正在面臨重新定義安全投入的性價(jià)比公式。
北美:美國(guó)CIRCIA法案要求關(guān)鍵基礎(chǔ)設(shè)施企業(yè)對(duì)其信息系統(tǒng)(如API)進(jìn)行清點(diǎn)、分類網(wǎng)絡(luò)風(fēng)險(xiǎn),違規(guī)企業(yè)或個(gè)人將面臨處罰。
歐盟:DORA法案強(qiáng)制金融機(jī)構(gòu)對(duì)第三方API服務(wù)商進(jìn)行穿透式監(jiān)管,并要求金融機(jī)構(gòu)建立強(qiáng)大的ICT風(fēng)險(xiǎn)管理框架、事件報(bào)告機(jī)制和數(shù)字運(yùn)營(yíng)韌性測(cè)試計(jì)劃。
亞太:新加坡《網(wǎng)絡(luò)安全法》將API安全納入關(guān)鍵信息基礎(chǔ)設(shè)施(CII)保護(hù)范圍。
在AI威脅與合規(guī)壓力疊加的背景下,《報(bào)告》提出下一代安全架構(gòu)構(gòu)建的六項(xiàng)安全策略。
建立全面的安全計(jì)劃: 把安全需求放到整個(gè)開(kāi)發(fā)的環(huán)節(jié)當(dāng)中,例如“開(kāi)發(fā)左移”、踐行DevSecOps,提高可見(jiàn)性、提高持續(xù)的發(fā)現(xiàn)能力,并且要把合規(guī)性要求納入計(jì)劃當(dāng)中。
實(shí)施穩(wěn)健的互聯(lián)網(wǎng)安全措施:用AI來(lái)對(duì)抗AI,用持續(xù)性的監(jiān)控能力去應(yīng)對(duì)復(fù)雜的互聯(lián)網(wǎng)安全態(tài)勢(shì);同時(shí),注重動(dòng)態(tài)安全測(cè)試的重要性。很多漏洞可能會(huì)在開(kāi)發(fā)和測(cè)試階段無(wú)法避免,只有在后期動(dòng)態(tài)測(cè)試的角度才能夠有效的解決,特別是API的風(fēng)險(xiǎn)。
采取主動(dòng)防御策略:積極主動(dòng)地采取安全措施防護(hù)手段應(yīng)對(duì)風(fēng)險(xiǎn),比如設(shè)立DDoS防護(hù)工具、關(guān)注漏洞補(bǔ)丁,積極地采取漏洞管理。同時(shí),也要對(duì)基礎(chǔ)設(shè)施,比如容易忽視的DNS、網(wǎng)絡(luò)出口等等進(jìn)行充分評(píng)估,然后選擇合適的方案應(yīng)對(duì)。
緩解API漏洞:盡早發(fā)現(xiàn),在開(kāi)發(fā)階段、測(cè)試階段,就發(fā)現(xiàn)潛在的安全漏洞。同時(shí),用一些成熟的框架幫助安全人員和運(yùn)維人員有效地治理這些安全風(fēng)險(xiǎn)。
抵御勒索軟件威脅:要考慮到抵御勒索軟件威脅,當(dāng)勒索軟件在企業(yè)內(nèi)部被復(fù)制和啟用之后,很多安全漏洞都難以有效防控,所以需要重點(diǎn)關(guān)注勒索軟件的內(nèi)部滲透。
積極面對(duì)人工智能并做好準(zhǔn)備:要全面地利用AI技術(shù)做防控的策略,同時(shí)也要做好人員的培訓(xùn),要讓安全人員提前利用好、準(zhǔn)備好這些AI技術(shù),出現(xiàn)風(fēng)險(xiǎn)的時(shí)候能夠利用對(duì)應(yīng)的技術(shù)做有效的應(yīng)對(duì)。
結(jié)語(yǔ):在技術(shù)奇點(diǎn)與安全重構(gòu)之間尋找確定性
當(dāng)AI技術(shù)以月為單位迭代進(jìn)化,當(dāng)API成為數(shù)字經(jīng)濟(jì)的“神經(jīng)網(wǎng)絡(luò)”,當(dāng)合規(guī)要求跨越國(guó)界,企業(yè)安全建設(shè)已進(jìn)入“三維博弈”的新紀(jì)元。
Akamai《報(bào)告》揭示的不僅僅是冰冷的攻擊數(shù)據(jù),更在于指明要將AI的自我進(jìn)化能力轉(zhuǎn)化為防御體系的免疫系統(tǒng),讓API的開(kāi)放性與安全性達(dá)成動(dòng)態(tài)平衡,在合規(guī)框架內(nèi)重建商業(yè)創(chuàng)新的安全基線。
馬俊 Akamai大中華區(qū)解決方案技術(shù)經(jīng)理
正如Akamai大中華區(qū)解決方案技術(shù)經(jīng)理馬俊所言:針對(duì)AI新技術(shù)的網(wǎng)絡(luò)攻擊威脅,最好的辦法是利用AI技術(shù)進(jìn)行治理,用AI來(lái)加速安全運(yùn)維,充分利用AI能力去應(yīng)對(duì)API及其他安全所帶來(lái)的新挑戰(zhàn)。
此刻,也許你的企業(yè)距離下一次AI驅(qū)動(dòng)的網(wǎng)絡(luò)攻擊倒計(jì)時(shí)已經(jīng)開(kāi)始。問(wèn)題是,你的防御體系,是否比攻擊者的算法跑得更快?
