新研究揭示API安全已成为业务风险 - Imperva

《API的攻击数量显著增加，尤其是业务逻辑攻击和账户接管（ATO）攻击的比例大幅上升。这些趋势表明，API安全问题已成为企业面临的重大业务风险。

API流量已超越传统Web流量

应用程序开发中扮演着至关重要的角色。根据报告数据，API流量已占到去年网络流量的71%以上。这种广泛的应用虽然带来了无缝连接、创新驱动和更佳的用户体验，但也为企业引入了新的安全挑战。许多组织在应对这些挑战时，往往缺乏足够的能力和资源。

API调用与自动化攻击的威胁

报告指出，企业站点的API调用数量平均达到15亿次，其中大量流量来自非人工自动化操作。这种现象与自动化攻击的增加密切相关，例如分布式拒绝服务（DDoS）攻击和账户接管（ATO）攻击。数据显示，46%的账户接管攻击直接针对API端点。此外，28%的API DDoS攻击以金融服务行业为目标，使其成为受攻击最严重的领域。

随着企业对API的依赖程度不断加深，了解API可能带来的潜在风险变得尤为重要。报告强调了影子API、业务逻辑滥用、数据泄露等关键问题，同时指出API安全技能短缺是当前面临的主要挑战之一。

API发现：强化安全的第一步

为了建立强大的API安全防护体系，报告建议企业首先需要全面了解其破碎的对象级别授权（BOLA）等风险，而BOLA已被列为2023年OWASP API十大安全风险之一。

掌握API资产的基础上，企业才能制定有效的安全策略。

自动化攻击与业务逻辑滥用的挑战

由于API的设计本质上是面向自动化的，攻击者可以利用这一特性，通过自动化攻击或恶意机器人来针对API的业务逻辑或核心功能。2023年，27%的API攻击以业务逻辑为目标。攻击者通过模仿正常的API流量，能够持续进行恶意活动，而不易被传统安全工具检测到。

传统安全措施的局限性

传统的安全工具（如Web应用程序防火墙，WAF）在应对API攻击时显得力不从心。这是因为API攻击通常伪装成正常流量，难以被传统工具识别和阻止。因此，尽管API为数字服务和用户体验带来了诸多好处，但也引入了一种更复杂的安全挑战。

防止恶意机器人：关键的安全措施

Imperva威胁研究团队发现，API滥用与恶意机器人程序之间的关联性日益增强。提高对API基础设施的可见性，成为全面评估和实施安全解决方案的关键步骤。例如，使用Imperva Advanced Bot Protection和API风险评估工具，可以有效应对恶意机器人的威胁。

综合API安全策略的重要性

报告强调，面对API安全的复杂挑战，企业需要采用综合性的安全策略。这种策略应结合Web应用程序防火墙（WAF）、API发现、高级Bot保护以及高级API安全措施，包括风险评估、异常检测和缓解机制。通过多层次的防护体系，企业可以更好地确保API的安全性。

总结

《API 2024年安全状况报告》全面分析了API安全领域的最新趋势和挑战。随着API流量的持续增长，企业需要更加重视API安全问题，并采取综合性的安全策略来应对不断变化的威胁格局。通过API发现、风险评估和高级防护措施，企业可以有效降低API相关的安全风险，为业务发展提供坚实的保障。

原文链接: https://www.imperva.com/blog/state-of-api-security-in-2024/