Akamai的最新安全研究探讨了全球API安全状况；揭示了2020至2021年间的攻击流量趋势

负责保护和交付数字化体验且深受全球企业信赖的解决方案提供商阿卡迈技术公司（Akamai Technologies, Inc.，以下简称：Akamai）（NASDAQ：AKAM）今天发布了最新研究报告，其中分析了与应用程序编程接口（API）有关的、不断变化的威胁态势。Gartner曾指出，API到2022年将成为使用最频繁的在线攻击向量。作为Akamai《互联网安全状况》系列报告中的最新一期报告，《API：与每个人息息相关的攻击》（API: The Attack Surface That Connects Us All）这份新报告的特别之处在于Akamai和Veracode研究人员合作贡献的内容，其中包括Veracode首席研究官Chris Eng撰写的一篇特邀文章。

API本质上充当了不同平台之间的快速简易管道。便利性和用户体验的重要性导致API成为了许多企业必不可少的工具，但这也使它们成为了对于网络犯罪分子极具吸引力的目标。Akamai的报告重点介绍了破坏性的API漏洞模式，尽管其在软件开发生命周期（SDLC）和测试工具方面已经有了改进，但情况仍不容乐观。当企业急于推出API时，往往要到事后才会考虑API安全性，而许多企业依赖于传统的网络安全解决方案，但这些解决方案无法充分保护API可能引入的广泛攻击面。

Akamai安全研究员兼《互联网安全状况报告》作者Steve Ragan指出：“从遭到破坏的身份验证和注入缺陷，到简单的错误配置，任何构建联网应用程序的人都会面临不计其数的API安全问题。企业无法充分检测API攻击，即使检测到此类攻击，也可能会被漏报。DDoS攻击和勒索软件都是企业关注的重要问题，而API攻击并没有得到同等程度的关注，这在很大程度上是因为，犯罪分子使用API发起的攻击无法像执行到位的勒索软件攻击那样引发轰动效应，但这并不意味着应该忽视API攻击。”

企业并不总是能够知晓API漏洞位于何处。例如，API经常隐藏在移动应用程序中，导致人们认为它们无法被犯罪分子操纵。开发人员假设用户只会通过移动用户界面（UI）与API进行交互，但正如本报告所指出的，情况并非如此。

Veracode首席研究官Chris Eng表示：“将OWASP十大漏洞与OWASP十大API安全漏洞进行比较。后者声称体现了API的‘独特漏洞和安全风险’，但仔细看，您会看到其中列出了完全相同的Web漏洞，顺序稍有不同，并采用了略微不同的文字描述。为了提高效率，API调用经过了专门设计，使得用户可以更轻松、更快地自动执行调用——这是一把双刃剑，既有利于开发人员，也有利于攻击者。”

攻击流量激增表明API漏洞持续存在

报告中还详细提到，Akamai审查了2020年1月至2021年6月间（18个月）的攻击流量，发现总攻击次数超过110亿次。凭借记录到的62亿次攻击，SQL注入（SQLi）仍然在Web攻击趋势列表中排在首位，其次是本地文件包含（LFI）（33亿次）、跨站点脚本攻击（XSS）（10.19亿次）。

Akamai发现API漏洞对全球公司和个人均具有很高的风险-RadeBit瑞安全

虽然很难在上述攻击中确定纯粹的API攻击所占的比例，但致力于提高软件安全性的非营利性基金会——开放Web应用程序安全项目（OWASP）最近发布了一份10大API安全漏洞清单，该清单基本与Akamai的调查结果一致。

其他报告要点包括：

在2020年1月至2021年6月的18个月中，追踪到的撞库攻击保持稳定，在2021年1月和2021年5月记录到了超过10亿次攻击的单日峰值。
在此观察期内，美国是Web应用程序攻击的首要目标，其遭遇的攻击流量是排名第二的英国的近六倍。
- 美国也在攻击来源清单中名列前茅，它从俄罗斯手中夺走了第一名，其发出的攻击流量几乎是俄罗斯的四倍。
到目前为止，2021年的DDoS流量一直保持稳定，在2021年第一季度早期记录到了峰值。2021年1月，Akamai在一天内记录了190起DDoS事件，随后在3月记录了183起。