官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

近日，Imperva 发布的《API和机器人攻击的经济影响报告》 ，指出组织每年因脆弱或不安全的API（应用程序编程接口）和机器人自动化滥用而损失940亿至1860亿美元。该报告强调，这些安全威胁占全球网络事件和损失的11.8%，强调了它们对全球企业日益加剧的风险。

根据Marsh McLennan网络安全情报中心进行的一项全面研究，该报告分析了超过161000起独特的网络安全事件。研究结果显示了一个令人担忧的趋势：脆弱或不安全的API和机器人自动化滥用所构成的威胁日益相互关联且普遍存在。

API不断扩大的攻击面

API已成为现代业务运营不可或缺的一部分，实现了跨应用程序和服务的无缝通信和数据交换。它们支持从移动应用程序到电子商务平台和开放银行等一切应用，但其广泛采用也带来了重大的安全挑战。根据Imperva威胁研究的数据，去年平均每家企业管理的生产环境中的API端点数量为613个，随着公司更加依赖API来推动数字化转型和创新，这一数字预计还会增长。

对API的高度依赖显著扩大了攻击面，与API相关的安全事件在2022年增加了40%，并在2023年又增加了9%。这些攻击尤其危险，因为API通常作为通往组织底层基础设施和敏感数据的直接路径。报告估计，API不安全性每年导致高达870亿美元的损失，比2021年增加了120亿美元。这可以归因于多种原因，包括API的快速采用、许多API开发人员的经验不足、缺乏标准化的安全实践以及开发和安全团队之间的有限协作。

机器人攻击：持续且不断演变的威胁

与API攻击的增加同步，机器人攻击已成为一种普遍且代价高昂的威胁，每年导致高达1160亿美元的损失。机器人是设计用于执行特定任务的自动化软件程序，经常被武器化用于恶意活动，如凭证填充、网页抓取、在线欺诈和分布式拒绝服务（DDoS）攻击。

2022年，与机器人相关的安全事件激增了88%，随后在2023年又增加了28%。这种令人震惊的增长是由多种因素共同推动的，包括数字交易的增加、API的普及以及地缘政治紧张局势，如俄罗斯-乌克兰冲突。攻击工具和生成型AI模型的广泛可用性也显著提高了机器人规避技术，并使即使是低技能攻击者也能执行复杂的机器人攻击。

根据Imperva的说法，机器人现在已成为API安全面临的最关键威胁之一。去年，30%的所有API攻击都是由自动化威胁驱动的，其中17%特别与利用业务逻辑漏洞的机器人有关。对API的日益依赖——以及它们对敏感数据的直接访问——使它们成为机器人操作者的主要目标。仅自动化API滥用一项就使企业每年损失高达179亿美元。随着机器人变得更加复杂，攻击者越来越多地使用它们来利用API业务逻辑，绕过安全措施，并窃取敏感数据，使组织更难以检测和缓解。

大型企业面临更大风险

特别是年收入超过10亿美元的大型企业，面临API和机器人攻击的风险不成比例地更高。根据该报告，这些组织经历机器人自动化API滥用的可能性是小型或中型企业的2-3倍。这种高度暴露主要是由于其数字基础设施的复杂性和规模。

这些公司通常管理着数百甚至数千个跨多个部门和服务的API，创建了庞大且难以监控和保护的API生态系统。在这样的环境中，影子API、未经身份验证的API和已弃用的API呈现出重大漏洞。这些管理不善的API往往缺乏关键的安全措施，如定期更新、身份验证和持续监控，使它们容易被利用。

同样，由于其广泛的数字存在和宝贵资产，大型企业成为机器人攻击的主要目标。数字环境越复杂，机器人可以利用的潜在入口点就越多，从登录页面到结账系统。随着大量敏感数据通过其应用程序和API流动，这些公司对机器人操作者来说是一个利润丰厚的目标。

对于年收入超过1000亿美元的企业来说，风险更加明显，其中API不安全和机器人攻击占所有安全事件的26%。这一严峻的数字突显了在大型企业中实施全面的API安全和机器人管理策略的迫切需要，在这些企业中，一次安全事件可能导致重大的运营中断、巨大的财务损失和长期的声誉损害。

来源：https://thehackernews.com/2024/10/vulnerable-apis-and-bot-attacks-costing.html

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022