在 AI 赋能下重启防御:重新思考 Web 应用程序和 API 防御策略

Tricia Howard

寫於

Tricia Howard

April 22, 2025

Tricia Howard

寫於

Tricia Howard

Tricia Howard 是一名离经叛道的艺术家,她最终投身于网络安全研究工作。她拥有戏剧艺术学士学位,兴趣广泛,从《星球大战》到歌剧,都有涉猎,她热衷于为网络世界注入一些活力。工作中,她会帮助研究人员高效且有效地讲述他们的故事,同时不会削弱文章的技术敏锐度,而在工作之余,您会发现她在创作并 演唱关于网络安全的讽刺歌曲;戏剧性地阅读冷邮件;快速拼图;和她的 Pomsky 犬 Darth 一起闲逛;以及恳求人们露出微笑。您还可以在 Tricia 的每月直播节目中捕捉到她的身影: Monthly Threat Brief: The SIG Download

针对 Web 应用程序的攻击正以极其迅猛的速度增加。
针对 Web 应用程序的攻击正以极其迅猛的速度增加。

在人工智能 (AI) 的推动下,网络安全领域在短时间内发生了翻天覆地的变革。从前所未有的新型威胁,到借助新型攻击媒介“改头换面”的旧漏洞,防御者被迫迅速掌握 AI 技术,既要应对 AI 驱动的恶意攻击,又要善用 AI 资源强化自身防线。

对于专注于抵御第 7 层攻击的蓝队而言,这一要求显得尤为紧迫。民族国家攻击者和情绪化的青少年黑客群体,均已开始部署基于 AI 的新一代自动化精密工具来实施网络犯罪。

针对 Web 应用程序的攻击正以极其迅猛的速度增加——我们的分析师观察到,2024 年该类攻击量年同比激增 33%。其中,API 正逐渐成为攻击者的狩猎场,2024 年记录在案的 API 攻击事件就高达 1500 亿次

然而,我们不能把这一切都归咎于 AI;因为恶意活动的演进往往涉及多个原因。云服务规模的扩张、微服务架构的采用,以及攻击者技术能力的跃迁,再加上一系列其他因素,共同加剧了这一冲击,造就了一个异常复杂的数字生态系统。

全新 SOTI 报告:应用程序风格

在变革之时,知识至关重要。本着知识共享的精神,我们发布了新的互联网现状 (SOTI) 报告《2025 年应用程序与 API 安全现状 :AI 如何改变数字格局》。在该报告中,Akamai 对正在影响 Web 应用程序和 API 的趋势进行了分析。我们将探讨这一新环境的整体格局,并解释安全专业人员如何在此期间保护其关键系统和数据。

针对应用程序和 API 的攻击策略

尽管针对 Web 应用程序和 API 的攻击彼此关联,但它们并非相互依赖。Web 应用程序攻击和 API 攻击各自都有大量独立存在的案例。漏洞利用方法和策略取决于攻击者的动机和技术能力。

  • Web 应用程序攻击的目标是 Web 应用程序中面向用户的组件,例如面向公众的登录页面,并且通常使用不太复杂的技术。

  • API 攻击的重点是利用应用程序 API 端点中的漏洞,包括系统到系统的链接,并且需要对每个 API 的结构和行为有较深入的了解。

独立的防御措施

如果攻击本身并非相互依赖,那么针对这些攻击的防御措施也不能相互依赖。现代应用程序的正常运行越来越依赖 API,因此开发能支持未来应用场景的网络安全策略来应对 Web 和 API 攻击至关重要

如果对这些方面不加以重视,您就会很容易受到复杂的多媒介攻击,而这些攻击往往会利用应用程序前端和后端的漏洞。大语言模型 (LLM) 和生成式 AI 提供的自动化功能,使攻击者比以往更容易执行大规模僵尸网络或网络钓鱼活动。

针对 API 的攻击:新洞察

Akamai 安全情报组 (SIG) 深知,要做好数据科学和研究工作,一方面要严格审查数据输出结果,另一方面也要考察原始数据究竟从何而来。我们也敏锐地意识到,目前 API 已成为攻击者青睐的狩猎场。基于这两点洞察,我们最近优化了报告数据集,强化了对 API 威胁的研究与分析,并由此得出了一些有趣的发现。在 2024 年:

  • 与 OWASP 十大 API 安全风险相关的事件增加了 32%,揭示了暴露敏感数据和功能的身份验证和授权漏洞。

  • 随着攻击者利用 AI 与自动化技术规模化利用 API 漏洞,与 MITRE 安全框架相关的安全告警数量增长了 30%   

  • 在欧洲、中东及非洲 (EMEA) 地区监测到的 1160 亿次网络攻击中,37% 的攻击流量指向 API,比例超过了全球其他地区

事实证明,AI 驱动的 API 甚至比人工驱动的 API 更不安全。这些 API 中的大多数都可以通过弱身份验证机制从外部访问,并且没有经过适当的测试,从而使它们更容易受到攻击。

这可能会导致一些可怕的后果,而其后果完全取决于 API 所连接的对象。还记得吗?曾有攻击者利用电子签名提供商的 API 发送欺诈性发票。最终造成了极其严重的后果。😬

安全代码审查的重要性不容忽视

我们仍在学习如何应对各种 API 攻击,而现实则是在“实战”中不断积累经验。用户渴望创新,要盈利则必须加快创新步伐。 

安全是代码审查中最需慎重考量的一环,但也因此常常成为产品上市过程中阻力最大的一步。遗憾的是,这种情况往往导致测试工作被压缩,越来越多的代码建立在未经测试的代码之上。 

安全检查本质上与开发人员追求高效交付的目标存在冲突,但过度压缩测试工作,可能会带来一些不尽如人意的后果。  

  • 安全告警增加:我们的分析显示,与支付卡行业数据安全标准 (PCI DSS) 、通用数据保护条例 (GDPR) 以及国际标准化组织 (ISO)–27001 相关的安全告警分别增长了 16%、21% 和 22%。

  • 检测 API 滥用情况所面临的挑战:这些挑战凸显了实时异常和行为监控的重要性,以便能够预先识别威胁。

  • 不受管控的僵尸 API 和影子 API:这两个是导致 API 安全事件的主要原因,使得安全团队难以维护全面的 API 清单。

针对 Web 应用程序的攻击:新发现

如前所述,针对 Web 应用程序和 API 的攻击彼此关联,但它们并非相互依赖。“彼此关联”是指:我们的研究显示,在过去两年里全球范围内针对 Web 应用程序和 API 的网络攻击显著增加。

由于不同地区面临着各自的挑战,我们对特定行业、地区和攻击趋势进行了分析,以多角度展示第 7 层滥用的影响。报告中的一些重要发现包括:

  • 从 2023 年第一季度到 2024 年第四季度,针对 Web 应用程序和 API 的网络攻击增长了 65%,从 140 亿次攻击增加到超过 290 亿次。

  • 在同一时期,第 7 层分布式拒绝服务 (DDoS) 攻击增长了 94%,从每月略超过 5000 亿次攻击激增至超过 1.1 万亿次。

  • 针对亚太及日本地区的网络攻击增加了 73%,从 2023 年的 290 亿次上升到 2024 年的 510 亿次。

  • 商业领域依然是主要目标,2024 年遭遇了超过 2300 亿次网络攻击,几乎是排名第二的高科技行业所受攻击次数的三倍。 

AI 在这场攻防战中的角色

攻击者利用 AI 能够做什么,一直是一个热门话题。说到对 AI 系统的恶意使用,攻击者基本上可以像点餐一样有多种选项:

  • 以过去难以想象的速度进行自动化漏洞扫描
  • AI 生成的恶意代码
  • 利用 AI 驱动的爬虫程序自动执行攻击
  • 自动化容积 DDoS 攻击
  • 基于行为的攻击(能够绕过检测和针对常见 API 漏洞的低速缓慢攻击)

值得欣慰的是,享受 AI 带来的便利的不只是网络犯罪分子。AI 也正在反过来助力防御,借助新兴的 AI 驱动型 Web 应用程序防火墙 (WAF) 系统,帮助识别并缓解诸如爬虫程序、DDoS 攻击、抓取程序和扫描器等网络威胁。

主动防御推动合规进程

合规对企业整体风险管理态势具有重大影响,因此我们也在本 SOTI 报告中重点探讨了相关法规。企业面临的威胁并非都来自网络攻击——在全球不断演变的各类安全法规中保持合规,本身就是一项长期工作。

我们在本 SOTI 报告中探讨了多个地区最新出台或更新的网络安全要求,例如美国的《关键基础架构网络事件报告法案》(CIRCIA) 以及欧洲的《网络与信息系统 (NIS2) 指令》。 不同地区在法规成熟度上存在差异,进而带来了全球性影响。

例如,北美专注于全面的风险管理和强制性事件报告,而欧洲则在扩展法规以涵盖移动服务。

  • 防御者不仅要跟上攻击者的速度与水平,从而实现自动化和创新,还需遵守政府标准、处理安全事件,并完成团队托付的各项任务。  

  • 监管机构正在积极应对不断增加的应用程序和 API 威胁,因此,越是能够做好未来防范工作,越有利。这也是为什么专注于主动防御能帮助您保持合规和提升安全性(当然,这一切的前提是相关法规得当)。

假设已经发生泄露,确保基础防护到位

在 AI 时代保持安全的关键是制定一个全面的安全计划,重点是假设已经发生泄露,并确保基础防护到位。即使不是出于满足监管要求,现在也是重新审视当前审查实践并巩固基础防护的最佳时机。

有多少大规模的泄露和攻击是由于点击了网络钓鱼邮件而导致的?攻击者之所以利用基础防护中的漏洞,正是因为这些攻击依然屡屡得手。

一再强调强化输入验证、安全开发实践和定期安全审计的重要性毫不为过,因为这些措施能提供长期的安全保障,而不是依赖反应性和追随潮流的保护措施,后者可能会带来意外的后果。

结论:下载 SOTI

获取完整案例:下载新的互联网现状 (SOTI) 报告《2025 年应用程序与 API 安全现状 :AI 如何改变数字格局》



Tricia Howard

寫於

Tricia Howard

April 22, 2025

Tricia Howard

寫於

Tricia Howard

Tricia Howard 是一名离经叛道的艺术家,她最终投身于网络安全研究工作。她拥有戏剧艺术学士学位,兴趣广泛,从《星球大战》到歌剧,都有涉猎,她热衷于为网络世界注入一些活力。工作中,她会帮助研究人员高效且有效地讲述他们的故事,同时不会削弱文章的技术敏锐度,而在工作之余,您会发现她在创作并 演唱关于网络安全的讽刺歌曲;戏剧性地阅读冷邮件;快速拼图;和她的 Pomsky 犬 Darth 一起闲逛;以及恳求人们露出微笑。您还可以在 Tricia 的每月直播节目中捕捉到她的身影: Monthly Threat Brief: The SIG Download