环球网财经中心《环球问策》系列报道
近日,Akamai发布了《2025 年 Web 应用与 API 安全态势分享》(以下简称《报告》)。Akamai 大中华区解决方案技术经理马俊向记者详细解读了此《报告》。马俊着重指出,AI 技术正在对互联网安全的格局产生深刻影响。
Akamai大中华区解决方案技术经理马俊
他指出,AI 已在互联网的自动化攻击、漏洞预测及使用方面得到广泛应用,同时也在代码编程上被广泛利用。因此,对于 AI 新技术带来的网络攻击威胁,最好的办法是利用 AI 技术进行治理。
《报告》表明,2024 年全球的 Web 攻击次数达到了 3110 亿次,并且相较于去年同期增长了 33%。尤其在亚太地区,Web 攻击出现了急剧增长,增长幅度达到 73%,次数达到了 510 亿次。API 攻击也不能被忽视,与 OWASP API Top 10 相关的攻击,其月增长率达到了 32%。预计 API 的风险损失在 2026 年将会超过 1000 亿美元。
马俊对 Web 攻击与 API 攻击的区别与联系进行了进一步解释:“Web 是我们在网页上能够看到的那部分内容,而 API 攻击是针对软件之间通信接口展开的攻击。这两者既存在相同的地方,也有着诸多不一样的地方。”
他指出,不恰当的授权是导致系统渗透的主要原因。
在 API 安全领域,《报告》指出了以下四大风险:其一,API 被滥用;其二,测试频率有所下降;其三,缺少预先的测试;其四,存在僵尸 API 和影子 API。马俊举例进行说明:“我们留意到某一电子商务企业,由于其 API 未进行充分的校验,从而使得在同一时间,从不同的 IP 地址发起了大量的请求,进而造成了虚假用户的注册以及短信的发送,给该企业带来了直接的经济损失。”
全球各地区对互联网安全和数据隐私保护的要求越来越严格,这使得合规性成为企业不能忽视的重要方面。《报告》表明,违反 OWASP 和 MITRE 框架的 API 安全事件使得企业的合规风险显著增加。马俊强调,OWASP API3 存在身份认证漏洞,此漏洞会过度暴露用户隐私数据,进而导致大规模数据泄露,给企业带来了极大的安全风险;OWASP API5 也存在身份认证漏洞,同样会过度暴露用户隐私数据并引发大规模数据泄露,给企业带来巨大的安全风险;OWASP API2 同样存在身份认证漏洞,会过度暴露用户隐私数据从而导致大规模数据泄露,给企业带来很大的安全风险。
不同行业面临 API 安全风险时,有其特异性和共性。马俊分析说:电子商务行业在购物季、促销季等时段,攻击水平会显著提升。金融行业可能会因地缘政治事件而引发针对性攻击。然而,不管是哪个行业,都要面对复杂性 Web 攻击以及 AI 驱动的新攻击模式。
《报告》提及,AI 技术被攻击者运用在战略性选择目标等模式中,包括攻击自动化、流量型攻击以及基于行为的攻击等。马俊作出警告,他表示 AI 能够通过自动化来编写钓鱼邮件,在诱导点击之后,会窃取设备信息并且挖掘企业系统的漏洞,从而形成一种复杂性得以增强的攻击链。
据介绍,在亚太地区,Web 攻击的总量每年增加 73%,达到 510 亿次。金融业是 Web 攻击的主要目标,其年增长率超过 52%。在 DDoS 攻击方面,新加坡的情况尤为严重,2024 年遭受了 4.7 万亿次攻击,在全球处于前列。马俊指出,印尼是 DDoS 攻击的主要受害国家,12 月峰值达 5040 亿次,创历史新高。
当前面临安全挑战,Akamai 在《报告》里提出了六项安全策略,这些策略能助力企业构建起全面的防护体系。
马俊总结说,我们得建立起全面的安全计划,要实施稳健的互联网安全措施,需采取主动防御的策略,能缓解 API 漏洞,可抵御勒索软件的威胁,还要积极应对 AI 带来的新挑战。
具体而言,策略包含以下方面:把安全需求融合到开发环节中;借助 AI 来对抗 AI 攻击;部署 DDoS 防护类工具;强化 API 的测试以及态势管理;着重防控内部的渗透风险;全面运用 AI 防控技术等。马俊着重指出:“我们需利用 AI 技术提高安全运维的效率,与此同时,要加强对安全人员的 AI 技能培训,从而能更好地应对未来的安全挑战。”
马俊展望未来,他认为 AI 技术会持续对 API 安全防护模式产生深刻影响。他透露说,Akamai 即将发布一种针对 AI 模型具备防护能力的 AI 防火墙,以此来应对 AI 本身成为攻击目标的新趋势。他还强调,企业应当提前规划 AI 安全防护能力,借助 AI 来加快安全运维,抵御 AI 攻击,并且保护自身的 AI 系统安全。马俊在构建 API 安全生态时,倡导安全厂商、云服务商与用户之间建立起一种合作模式,这种模式是共享责任的。
