在 AI 赋能下重启防御:重新思考 Web 应用程序和 API 防御策略
在人工智能 (AI) 的推动下,网络安全领域在短时间内发生了翻天覆地的变革。从前所未有的新型威胁,到借助新型攻击媒介“改头换面”的旧漏洞,防御者被迫迅速掌握 AI 技术,既要应对 AI 驱动的恶意攻击,又要善用 AI 资源强化自身防线。
对于专注于抵御第 7 层攻击的蓝队而言,这一要求显得尤为紧迫。民族国家攻击者和情绪化的青少年黑客群体,均已开始部署基于 AI 的新一代自动化精密工具来实施网络犯罪。
针对 Web 应用程序的攻击正以极其迅猛的速度增加——我们的分析师观察到,2024 年该类攻击量年同比激增 33%。其中,API 正逐渐成为攻击者的狩猎场,2024 年记录在案的 API 攻击事件就高达 1500 亿次。
然而,我们不能把这一切都归咎于 AI;因为恶意活动的演进往往涉及多个原因。云服务规模的扩张、微服务架构的采用,以及攻击者技术能力的跃迁,再加上一系列其他因素,共同加剧了这一冲击,造就了一个异常复杂的数字生态系统。
全新 SOTI 报告:应用程序风格
在变革之时,知识至关重要。本着知识共享的精神,我们发布了新的互联网现状 (SOTI) 报告《2025 年应用程序与 API 安全现状 :AI 如何改变数字格局》。在该报告中,Akamai 对正在影响 Web 应用程序和 API 的趋势进行了分析。我们将探讨这一新环境的整体格局,并解释安全专业人员如何在此期间保护其关键系统和数据。
针对应用程序和 API 的攻击策略
尽管针对 Web 应用程序和 API 的攻击彼此关联,但它们并非相互依赖。Web 应用程序攻击和 API 攻击各自都有大量独立存在的案例。漏洞利用方法和策略取决于攻击者的动机和技术能力。
Web 应用程序攻击的目标是 Web 应用程序中面向用户的组件,例如面向公众的登录页面,并且通常使用不太复杂的技术。
API 攻击的重点是利用应用程序 API 端点中的漏洞,包括系统到系统的链接,并且需要对每个 API 的结构和行为有较深入的了解。
独立的防御措施
如果攻击本身并非相互依赖,那么针对这些攻击的防御措施也不能相互依赖。现代应用程序的正常运行越来越依赖 API,因此开发能支持未来应用场景的网络安全策略来应对 Web 和 API 攻击至关重要。
如果对这些方面不加以重视,您就会很容易受到复杂的多媒介攻击,而这些攻击往往会利用应用程序前端和后端的漏洞。大语言模型 (LLM) 和生成式 AI 提供的自动化功能,使攻击者比以往更容易执行大规模僵尸网络或网络钓鱼活动。
针对 API 的攻击:新洞察
Akamai 安全情报组 (SIG) 深知,要做好数据科学和研究工作,一方面要严格审查数据输出结果,另一方面也要考察原始数据究竟从何而来。我们也敏锐地意识到,目前 API 已成为攻击者青睐的狩猎场。基于这两点洞察,我们最近优化了报告数据集,强化了对 API 威胁的研究与分析,并由此得出了一些有趣的发现。在 2024 年:
与 OWASP 十大 API 安全风险相关的事件增加了 32%,揭示了暴露敏感数据和功能的身份验证和授权漏洞。
随着攻击者利用 AI 与自动化技术规模化利用 API 漏洞,与 MITRE 安全框架相关的安全告警数量增长了 30%
在欧洲、中东及非洲 (EMEA) 地区监测到的 1160 亿次网络攻击中,37% 的攻击流量指向 API,比例超过了全球其他地区
事实证明,AI 驱动的 API 甚至比人工驱动的 API 更不安全。这些 API 中的大多数都可以通过弱身份验证机制从外部访问,并且没有经过适当的测试,从而使它们更容易受到攻击。
这可能会导致一些可怕的后果,而其后果完全取决于 API 所连接的对象。还记得吗?曾有攻击者利用电子签名提供商的 API 发送欺诈性发票。最终造成了极其严重的后果。😬
安全代码审查的重要性不容忽视
我们仍在学习如何应对各种 API 攻击,而现实则是在“实战”中不断积累经验。用户渴望创新,要盈利则必须加快创新步伐。
安全应是代码审查中最需慎重考量的一环,但也因此常常成为产品上市过程中阻力最大的一步。遗憾的是,这种情况往往导致测试工作被压缩,越来越多的代码建立在未经测试的代码之上。
安全检查本质上与开发人员追求高效交付的目标存在冲突,但过度压缩测试工作,可能会带来一些不尽如人意的后果。
安全告警增加:我们的分析显示,与支付卡行业数据安全标准 (PCI DSS) 、通用数据保护条例 (GDPR) 以及国际标准化组织 (ISO)–27001 相关的安全告警分别增长了 16%、21% 和 22%。
检测 API 滥用情况所面临的挑战:这些挑战凸显了实时异常和行为监控的重要性,以便能够预先识别威胁。
不受管控的僵尸 API 和影子 API:这两个是导致 API 安全事件的主要原因,使得安全团队难以维护全面的 API 清单。
针对 Web 应用程序的攻击:新发现
如前所述,针对 Web 应用程序和 API 的攻击彼此关联,但它们并非相互依赖。“彼此关联”是指:我们的研究显示,在过去两年里全球范围内针对 Web 应用程序和 API 的网络攻击显著增加。
由于不同地区面临着各自的挑战,我们对特定行业、地区和攻击趋势进行了分析,以多角度展示第 7 层滥用的影响。报告中的一些重要发现包括:
从 2023 年第一季度到 2024 年第四季度,针对 Web 应用程序和 API 的网络攻击增长了 65%,从 140 亿次攻击增加到超过 290 亿次。
在同一时期,第 7 层分布式拒绝服务 (DDoS) 攻击增长了 94%,从每月略超过 5000 亿次攻击激增至超过 1.1 万亿次。
针对亚太及日本地区的网络攻击增加了 73%,从 2023 年的 290 亿次上升到 2024 年的 510 亿次。
商业领域依然是主要目标,2024 年遭遇了超过 2300 亿次网络攻击,几乎是排名第二的高科技行业所受攻击次数的三倍。
AI 在这场攻防战中的角色
攻击者利用 AI 能够做什么,一直是一个热门话题。说到对 AI 系统的恶意使用,攻击者基本上可以像点餐一样有多种选项:
- 以过去难以想象的速度进行自动化漏洞扫描
- AI 生成的恶意代码
- 利用 AI 驱动的爬虫程序自动执行攻击
- 自动化容积 DDoS 攻击
- 基于行为的攻击(能够绕过检测和针对常见 API 漏洞的低速缓慢攻击)
值得欣慰的是,享受 AI 带来的便利的不只是网络犯罪分子。AI 也正在反过来助力防御,借助新兴的 AI 驱动型 Web 应用程序防火墙 (WAF) 系统,帮助识别并缓解诸如爬虫程序、DDoS 攻击、抓取程序和扫描器等网络威胁。
主动防御推动合规进程
合规对企业整体风险管理态势具有重大影响,因此我们也在本 SOTI 报告中重点探讨了相关法规。企业面临的威胁并非都来自网络攻击——在全球不断演变的各类安全法规中保持合规,本身就是一项长期工作。
我们在本 SOTI 报告中探讨了多个地区最新出台或更新的网络安全要求,例如美国的《关键基础架构网络事件报告法案》(CIRCIA) 以及欧洲的《网络与信息系统 (NIS2) 指令》。 不同地区在法规成熟度上存在差异,进而带来了全球性影响。
例如,北美专注于全面的风险管理和强制性事件报告,而欧洲则在扩展法规以涵盖移动服务。
防御者不仅要跟上攻击者的速度与水平,从而实现自动化和创新,还需遵守政府标准、处理安全事件,并完成团队托付的各项任务。
监管机构正在积极应对不断增加的应用程序和 API 威胁,因此,越是能够做好未来防范工作,越有利。这也是为什么专注于主动防御能帮助您保持合规和提升安全性(当然,这一切的前提是相关法规得当)。
假设已经发生泄露,确保基础防护到位
在 AI 时代保持安全的关键是制定一个全面的安全计划,重点是假设已经发生泄露,并确保基础防护到位。即使不是出于满足监管要求,现在也是重新审视当前审查实践并巩固基础防护的最佳时机。
有多少大规模的泄露和攻击是由于点击了网络钓鱼邮件而导致的?攻击者之所以利用基础防护中的漏洞,正是因为这些攻击依然屡屡得手。
一再强调强化输入验证、安全开发实践和定期安全审计的重要性毫不为过,因为这些措施能提供长期的安全保障,而不是依赖反应性和追随潮流的保护措施,后者可能会带来意外的后果。
结论:下载 SOTI
获取完整案例:下载新的互联网现状 (SOTI) 报告《2025 年应用程序与 API 安全现状 :AI 如何改变数字格局》。