2025年应用程序与API安全现状

AI如何改变数字格局 引言 2025年初，Web应用程序安全领域呈现出前所未有的复杂态势，攻击手段也愈发精密。企业遭遇的Web应用程序攻击急剧增长——单单2024年，Akamai便观察到超过3110亿次的Web应用程序攻击和API攻击，同比增加33%。而此类攻击的激增，与云服务、微服务架构以及人工智能(AI)驱动的应用程序的加速采用密切相关。地缘政治因素进一步加剧了这种状况，高科技、商业和社交媒体行业遭受的第7层（应用层）分布式拒绝服务(DDoS)攻击最为严重。值得注意的是，攻击者现在正在部署由AI生成的杀伤链，使其整个攻击生命周期实现自动化。 与此同时，API已成为主要攻击目标。Akamai记录显示，2023年1月到2024年12月期间，共发生超过1500亿次API攻击。AI驱动的软件即服务(SaaS)工具通过API与核心平台的集成显著扩大了攻击面。由此带来的财务影响非常严重。目前，API安全问题每年会给企业造成大约870亿美元的损失，并且预测表明，如果不采取足够的干预措施，到2026年此数字可能会超过1000亿美元。在日益复杂的API生态系统中，影子API和僵尸API成为特别脆弱的攻击媒介。 AI对Web应用程序和API安全防护的作用 AI技术增强了威胁检测和响应能力，在改变Web应用程序和API安全形势的同时也带来了新的挑战。在Web应用程序中，AI用于自动完成威胁检测、预测潜在的漏洞以及缩短事件响应时间。然而，AI也使得攻击者能够生成AI驱动的恶意软件和复杂的网络内容抓取手段，并利用动态攻击方法实现攻击生命周期的自动化。 对于API来说，AI在管理和保护大量的API交互方面发挥着至关重要的作用。AI驱动的工具对于检测异常情况、识别滥用模式以及实时自动应对威胁必不可少。AI驱动的API管理将通过整合预测性分析和自动安全措施来持续发展演变，以抵御日渐复杂的攻击。尽管取得了这些进步，但撞库攻击和业务逻辑利用等依托AI技术对API进行的攻击仍然是一个重大问题，需要强大的安全框架来有效应对这些威胁。 存在分歧又相互关联：Web应用程序和API攻击策略 虽然Web应用程序攻击和API攻击是相关的，但这两类攻击针对的是应用程序基础架构的不同方面： Web应用程序攻击针对Web应用程序中面向用户的组件（例如面向公众的登录页面），并且往往采用不太复杂的技术。 API端点和后端逻辑中的漏洞，这需要更深入地了解API的结构和行为。 API攻击则侧重于利用应用程序的 两者的主要区别在于其攻击面和复杂性。Web应用程序攻击通常以应用程序的可见部分为目标，而API攻击会利用不同软件组件之间的通信渠道。但是，一旦成功，它们都可以使攻击者在未经授权的情况下访问敏感数据和系统资源。 同时了解针对Web应用程序攻击和API攻击的网络安全措施至关重要，因为现代应用程序的功能越来越多依赖于API。企业预计两年内Web应用程序的数量将增加39%，因此Web和API安全的相互依赖关系将变得更加明显。忽视任何一方面都会导致企业容易受到利用应用程序前后端漏洞的复杂、多媒介攻击的威胁。 Akamai的独特视角：揭示威胁模式 Akamai的网络基础架构处理着全球超过三分之一的Web流量，所以Akamai能够深入分析当前复杂局面，并对威胁模式提供独特见解。这种视角与来自Akamai研究和数据科学团队的见解相结合，使Akamai能够提供既全面又具备可操作性的情报。其分析结果可以为安全负责人提供必要的战略性见解，帮助他们确定降低风险的重点领域，从而最大限度地提高安全投资回报率。 报告的关键见解 AI驱动的API比传统API风险更高。 大多数人工智能(AI)驱动的API皆可通过外部访问，并且许多API依赖不完善的身份验证机制，这一漏洞随着AI驱动的API攻击量不断增加而加剧。 AI为攻击者的技术进步推波助澜。 随着AI的发展，恶意软件、漏洞扫描、针对AI集成系统的攻击和先进的网络内容抓取功能等方面也出现了长足进步。 32% 30% OWASP十大API安全风险相关事件的增幅API安全事件在不断增加，开放全球应用程序安全项目(OWASP)十大API安全问题揭示了会暴露敏感数据和功能的身份验证及授权漏洞。 与MITRE安全框架相关的安全告警增幅 攻击者正在使用自动化和AI等先进技术来利用API。MITRE框架可以帮助防御者更快、更准确地识别这些攻击。 2300多亿次 33% 全球Web攻击量的同比增幅攻击量的激增与云服务、微服务以及AI应用程序的快速采用密切相关，这些服务和应用程序会扩大攻击面并带来新的安全挑战。 商业企业遭受的Web攻击量，这使得该行业成为受影响最大的行业，其遭受的攻击量几乎是高科技行业（遭受攻击第二多的行业）的三倍。 37% 73% 亚太地区及日本(APJ)遭受的Web攻击总数的同比增幅，从2023年的290亿次飙升至2024年的510亿次。 欧洲、中东和非洲(EMEA)地区以API为目标的Web攻击量占比，该地区是所有地区中遭受此类攻击最为密集的地区。 11.9万亿次 94% 第7层分布式拒绝服务(DDoS)攻击的季度增幅（2023年第一季度到2024年第四季度）。 北美地区遭受的第7层DDoS攻击的数量，从2023年第一季度到2024年第四季度的两年内。 7万亿次 高科技行业遭受的第7层DDoS攻击量（2023年1月到2024年12月），使其成为受攻击最严重的行业。 7.4万亿次 20% EMEA地区遭受的与API相关的第7层DDoS攻击量占比，表示此地区在所有地区中遭受的此类攻击最为密集。 APJ地区遭受的第7层DDoS攻击量，从2023年第一季度到2024年第四季度的两年内。 不断改进我们的API威胁情报 Akamai与Noname Security的整合显著增强了我们对API威胁的研究与报告能力，并为API特有的风险提供了全新的视角。Akamai正在使用这个新的数据集（仍处于数据集成的早期阶段）来改进我们现有的威胁情报，并提供对API安全问题的深入分析。 关联告警与安全框架 随着时间的推移，这个新的数据集会将更深层次的安全告警细节与以下重要网络安全框架及合规标准关联起来： ŹMITRE对抗性战术、技术与通用知识库(ATT&CK)Ź通用数据保护条例(GDPR)Ź支付卡行业数据安全标准(PCI DSS)Ź国际标准化组织(ISO)Ź开放全球应用程序安全项目(OWASP) 这些改进显著增强了Akamai为客户提供强大保护措施的能力。通过与这些框架接轨，各企业可以更清楚地了解自身的安全态势、遵守法规要求以及有效地优先处理其安全工作。这种全面的方法让企业能够战略性地分配资源，并制定有针对性的策略来保护其API和敏感数据。 分析30天的数据样本 为了撰写本报告，我们分析了30天的数据样本，以突出攻击者在各类网络安全框架和合规标准下的普遍活动特征（图1）。我们也提供了对MITRE和OWASP告警更深层次的见解。此外，我们还将研究这些风险和安全事件如何影响合规标准。 MITRE告警 在30天的时间内，我们发现客户中与MITRE技术相关的事件增加了30%。值得注意的是，攻击者经常使用T1078（有效帐户），利用合法凭据对系统或网络进行未经授权的访问。由于API往往依赖令牌进行授权，因此获得这些令牌的攻击者可以在不被发现的情况下访问敏感数据。 我们还发现了T1566（网络钓鱼），其中攻击者发起了网络钓鱼活动，窃取了可用于未来攻击的API令牌或凭据。由于API扩大了攻击面，因此越来越多的攻击者开始利用它们实施入侵。此外，与T1190（利用面向公众的应用程序）相关的告警揭示了攻击者使用应用程序缺陷来渗透网络。所观察到的另一种技术是T1580（云基础架构发现），其中攻击者通过API调用探测暴露的云端点，以此利用API进行侦察。 虽然MITRE没有专门的API安全矩阵，但其框架对于希望了解针对API的攻击者技术的安全团队和企业来说仍然至关重要。通过将攻击者的策略与API的特定行为进行关联，安全团队可以确定攻击阶段及相关的策略、技术和程序，从而增强事件响应和威胁检测能力。此方法使防御者能够更有效地降低风险。 OWASP告警 OWASP十大API安全风险是一项重要资源，提供针对漏洞影响和严重性的具备可操作性的见解。它使开发人员和安全团队可以有效地确定各项计划的优先顺序，并通过更新来确保信息能够在不断快速演变的威胁形势下保持相关性。 在30天的样本期内，我们的分析发现，与OWASP相关的事件增加了32%。值得注意的是，失效的对象属性级授权(BOPLA)、失效的功能级授权和失效的身份验证等漏洞会将敏感数据或关键功能直接暴露给攻击者。授权机制不足使攻击者能够升级权限、接管帐户并访问机密信息，这使其成为针对API的最危险的攻击媒介之一。 失效的对象级授权(BOLA)仍然是一项严重的API安全漏洞，但由于它依赖于业务逻辑缺陷，因此难以进行检测。这通常会导致漏报或检测率低。为了解决此问题，企业应采用在用户与其通常访问的资源之间建立明确关系的API安全解决方案。这需要通过能够识别异常访问模式的先进机器学习算法来设置行为基准。 BOPLA会利用API中细微的字段级访问问题，而这些问题在安全测试过程中经常会被忽视。与需要更改整个对象ID的BOLA不同，BOPLA攻击以对象内的特定属性为目标。例如，在其响应中暴露敏感个人身份信息(PII)的DELETE API调用构成了一个BOPLA漏洞。这种细微之处使得BOPLA问题比BOLA攻击更为普遍。 与PCI DSS和GDPR相关的安全告警分别增加了16%和21%，而与ISO 27001相关的告警增加了22%。 一个实际的例子是，在仅使用电子邮件地址的取消订阅请求中，API响应无意间包含了用户的全名和地址。这种将敏感数据暴露给未授权方的问题之所以会发生，是因为安全测试通常关注的是整个对象而不是单个属性。此疏忽会导致API安全评估中检测到的BOPLA漏洞增加。 另一个严重漏洞是不受限制的资源消耗，攻击者可以利用此漏洞来通过耗尽资源或类似于DDoS的攻击导致服务中断。此漏洞会带来服务影响之外的其他风险，包括由于过度使用云资源而导致运营成本增加以及暴力破解攻击风险增加。如果不进行适当的速率限制，攻击者便能够快速探测API，进而可能危及安全。此外，这些攻击会产生大量流量，导致企业的成本大幅增加。 在第三方API集成过程中，由于验证不充分、数据过滤和缺乏安全机制而导致的不安全的API使用是另一个重要的威胁媒介。随着企业在数字化转型中越来越多地依赖第三方API，这个问题越来越令人担忧。近期的一项研究表明，超过80%的受访企业遇到了与第三方API相关的问题，这凸显出采用Zero Trust安全模式的重要性。虽然此漏洞本身可能不会直接造成灾难性后果，但如果与验证不完善或不安全的依赖关系等其他薄弱环节相结合，它便会成为一个重大安全威胁。例如，金融API对未经验证的第三方交易的信任可能会导致安全漏洞。 确保API合规性 用于确保API合规性的最佳实践包括，为每个告警标记其违反的具体合规标准和监管标准、让企业直接了解关键的合规问题以及提供具备可操作性的指导来解决这些问题。这种主动方法可帮助企业保持法规合规性，从而降低风险，减少发生监管罚款、法律后果和声誉受损等会造成严重经济损失的情况。例如，在API漏洞导致40万客户的数据被暴露之后，一家航空公司面临2000万英镑的罚款，这凸显出在GDPR监管下API安全防护措施不足所带来的严重后果。 合规标准是企业保护敏感数据、保障客户安全以及履行法律和监管义务的重要保障。PCIDSS、GDPR和《健康保险流通与责任法案》(HIPAA)等法规和标准要求安全地处理支付数据和PII等敏感信息。我们的数据分析结果表明，与PCI DSS和GDPR相关的安全告警分别增加了16%和21%，而与ISO 27001