在 AI 赋能下重启防御：重新思考 Web 应用程序和 API 防御策略

在变革之时，知识至关重要。本着知识共享的精神，我们发布了新的互联网现状 (SOTI) 报告《2025 年应用程序与 API 安全现状 ：AI 如何改变数字格局》。在该报告中，Akamai 对正在影响 Web 应用程序和 API 的趋势进行了分析。我们将探讨这一新环境的整体格局，并解释安全专业人员如何在此期间保护其关键系统和数据。

尽管针对 Web 应用程序和 API 的攻击彼此关联，但它们并非相互依赖。Web 应用程序攻击和 API 攻击各自都有大量独立存在的案例。漏洞利用方法和策略取决于攻击者的动机和技术能力。

• Web 应用程序攻击的目标是 Web 应用程序中面向用户的组件，例如面向公众的登录页面，并且通常使用不太复杂的技术。

• API 攻击的重点是利用应用程序 API 端点中的漏洞，包括系统到系统的链接，并且需要对每个 API 的结构和行为有较深入的了解。

如果攻击本身并非相互依赖，那么针对这些攻击的防御措施也不能相互依赖。现代应用程序的正常运行越来越依赖 API，因此开发能支持未来应用场景的网络安全策略来应对 Web 和 API 攻击至关重要。

如果对这些方面不加以重视，您就会很容易受到复杂的多媒介攻击，而这些攻击往往会利用应用程序前端和后端的漏洞。大语言模型 (LLM) 和生成式 AI 提供的自动化功能，使攻击者比以往更容易执行大规模僵尸网络或网络钓鱼活动。

Akamai 安全情报组 (SIG) 深知，要做好数据科学和研究工作，一方面要严格审查数据输出结果，另一方面也要考察原始数据究竟从何而来。我们也敏锐地意识到，目前 API 已成为攻击者青睐的狩猎场。基于这两点洞察，我们最近优化了报告数据集，强化了对 API 威胁的研究与分析，并由此得出了一些有趣的发现。在 2024 年：

• 与 OWASP 十大 API 安全风险相关的事件增加了 32%，揭示了暴露敏感数据和功能的身份验证和授权漏洞。

• 随着攻击者利用 AI 与自动化技术规模化利用 API 漏洞，与 MITRE 安全框架相关的安全告警数量增长了 30%   

• 在欧洲、中东及非洲 (EMEA) 地区监测到的 1160 亿次网络攻击中，37% 的攻击流量指向 API，比例超过了全球其他地区

事实证明，AI 驱动的 API 甚至比人工驱动的 API 更不安全。这些 API 中的大多数都可以通过弱身份验证机制从外部访问，并且没有经过适当的测试，从而使它们更容易受到攻击。

这可能会导致一些可怕的后果，而其后果完全取决于 API 所连接的对象。还记得吗？曾有攻击者利用电子签名提供商的 API 发送欺诈性发票。最终造成了极其严重的后果。😬

我们仍在学习如何应对各种 API 攻击，而现实则是在“实战”中不断积累经验。用户渴望创新，要盈利则必须加快创新步伐。 

安全应是代码审查中最需慎重考量的一环，但也因此常常成为产品上市过程中阻力最大的一步。遗憾的是，这种情况往往导致测试工作被压缩，越来越多的代码建立在未经测试的代码之上。 

安全检查本质上与开发人员追求高效交付的目标存在冲突，但过度压缩测试工作，可能会带来一些不尽如人意的后果。  

• 安全告警增加：我们的分析显示，与支付卡行业数据安全标准 (PCI DSS) 、通用数据保护条例 (GDPR) 以及国际标准化组织 (ISO)–27001 相关的安全告警分别增长了 16%、21% 和 22%。

• 检测 API 滥用情况所面临的挑战：这些挑战凸显了实时异常和行为监控的重要性，以便能够预先识别威胁。

• 不受管控的僵尸 API 和影子 API：这两个是导致 API 安全事件的主要原因，使得安全团队难以维护全面的 API 清单。

如前所述，针对 Web 应用程序和 API 的攻击彼此关联，但它们并非相互依赖。“彼此关联”是指：我们的研究显示，在过去两年里全球范围内针对 Web 应用程序和 API 的网络攻击显著增加。

由于不同地区面临着各自的挑战，我们对特定行业、地区和攻击趋势进行了分析，以多角度展示第 7 层滥用的影响。报告中的一些重要发现包括：

• 从 2023 年第一季度到 2024 年第四季度，针对 Web 应用程序和 API 的网络攻击增长了 65%，从 140 亿次攻击增加到超过 290 亿次。

• 在同一时期，第 7 层分布式拒绝服务 (DDoS) 攻击增长了 94%，从每月略超过 5000 亿次攻击激增至超过 1.1 万亿次。

• 针对亚太及日本地区的网络攻击增加了 73%，从 2023 年的 290 亿次上升到 2024 年的 510 亿次。

• 商业领域依然是主要目标，2024 年遭遇了超过 2300 亿次网络攻击，几乎是排名第二的高科技行业所受攻击次数的三倍。 

攻击者利用 AI 能够做什么，一直是一个热门话题。说到对 AI 系统的恶意使用，攻击者基本上可以像点餐一样有多种选项：

• 以过去难以想象的速度进行自动化漏洞扫描
• AI 生成的恶意代码
• 利用 AI 驱动的爬虫程序自动执行攻击
• 自动化容积 DDoS 攻击
• 基于行为的攻击（能够绕过检测和针对常见 API 漏洞的低速缓慢攻击）

值得欣慰的是，享受 AI 带来的便利的不只是网络犯罪分子。AI 也正在反过来助力防御，借助新兴的 AI 驱动型 Web 应用程序防火墙 (WAF) 系统，帮助识别并缓解诸如爬虫程序、DDoS 攻击、抓取程序和扫描器等网络威胁。

合规对企业整体风险管理态势具有重大影响，因此我们也在本 SOTI 报告中重点探讨了相关法规。企业面临的威胁并非都来自网络攻击——在全球不断演变的各类安全法规中保持合规，本身就是一项长期工作。

我们在本 SOTI 报告中探讨了多个地区最新出台或更新的网络安全要求，例如美国的《关键基础架构网络事件报告法案》（CIRCIA） 以及欧洲的《网络与信息系统 (NIS2) 指令》。 不同地区在法规成熟度上存在差异，进而带来了全球性影响。

例如，北美专注于全面的风险管理和强制性事件报告，而欧洲则在扩展法规以涵盖移动服务。

• 防御者不仅要跟上攻击者的速度与水平，从而实现自动化和创新，还需遵守政府标准、处理安全事件，并完成团队托付的各项任务。  

• 监管机构正在积极应对不断增加的应用程序和 API 威胁，因此，越是能够做好未来防范工作，越有利。这也是为什么专注于主动防御能帮助您保持合规和提升安全性（当然，这一切的前提是相关法规得当）。

在 AI 时代保持安全的关键是制定一个全面的安全计划，重点是假设已经发生泄露，并确保基础防护到位。即使不是出于满足监管要求，现在也是重新审视当前审查实践并巩固基础防护的最佳时机。

有多少大规模的泄露和攻击是由于点击了网络钓鱼邮件而导致的？攻击者之所以利用基础防护中的漏洞，正是因为这些攻击依然屡屡得手。

一再强调强化输入验证、安全开发实践和定期安全审计的重要性毫不为过，因为这些措施能提供长期的安全保障，而不是依赖反应性和追随潮流的保护措施，后者可能会带来意外的后果。