中国遭遇API攻击损失亚太区第一，企业高管与一线员工认知脱节丨ToB产业观察

中国遭遇API攻击损失亚太区第一，企业高管与一线员工认知脱节丨ToB产业观察

日前，Akamai发布的《API安全影响研究》（以下简称《API研究》）中显示，过去一年的时间内，中国在解决API安全事件上花费的成本最高，达到了77.8万美元（约合568万人民币），且在企业内部，管理层预估API安全事件造成的成本约为51.7万美元，而一线员工则认为将达到92万美元。

苦API攻击久已

针对API的攻击手段已经不是时代的新词，在传统互联网时代，API安全事件就屡见不鲜。具体来看，API攻击的历史可以分为四个阶段。

第一阶段大概时间节点在2000之前，在计算机单机时代（如大型机、Windows 95时期），软件模块间的交互已出现类似API的机制，但此时接口多用于内部功能调用，安全问题尚未凸显。攻击主要集中于底层系统漏洞，例如Windows 95的API漏洞。

但随着互联网的兴起，基于CGI（通用网关接口）的Web交互接口出现，成为早期API攻击的雏形。攻击者通过参数篡改、简单注入等方式尝试突破接口限制。

第二阶段大致时间节点在2000到2010年前后，随着Web2.0时代的到来，SOAP协议推动企业对外API的标准化，但复杂协议设计引入了XML注入和中间人劫持风险。随后RESTful API因简洁性被广泛采用，却也因无状态特性导致会话劫持和令牌泄露问题频发

第三阶段是在2010年之后，随着云计算的崛起，云计算推动API成为核心数字资产，但企业API清单管理滞后，出现大量影子API（未记录或过时接口）。攻击者利用此类接口发起DDoS攻击和敏感数据窃取，例如2017年Equifax因API漏洞泄露1.4亿用户数据。

另一方面，随着Bot技术的成熟，攻击者通过恶意爬虫批量调用API接口，例如2019年某社交平台因未设反爬机制导致5亿用户信息在暗网流通。同期，API攻击流量增速达普通流量的3倍。

第四阶段就来到了以生成式AI为代表的新AI时代。企业应用大模型赋能业务已经是不可逆的趋势，从当前企业应用大模型的方式来看，通过API调用的方式显然是最好的方式之一。

企业通过API调用大模型的模式下，云服务商承担了的大模型底座安全、应用访问，以及数据合规安全责任，“对于企业来说，这个阶段，只解决API调用和数据外发安全等部分安全问题就可以了，更多的安全责任是由云服务商承担的。”绿盟科技集团副总裁宫智曾对笔者表示。

《API研究》中显示，2023年1月至2024年6月间，亚太地区记录到1080亿次API攻击，API攻击占所有Web攻击的15%。

而在此背景下，企业应当更为注重API安全事件的防护。Akamai北亚区技术总监刘烨告诉笔者，在API免受攻击方面，中国企业的重视程度很高，中国将“保护API免受攻击”列为网络安全第一要务（27.6%），远超其他国家（日本、印度以及澳大利亚均将其列为第四项），“在调研中，所有受访者都需要对明年的网络安全优先事项进行排序。中国在这个问题上的回答有些与众不同，也是唯一一个将‘保护 API 免受攻击’列为第一要务的国家。”刘烨指出。

另一方面，刘烨表示，在中国、印度和澳大利亚，将近 90% 的受访者表示他们会在满足法规要求时考虑API安全性。只有41%的受访者会将API纳入风险评估中，并且只有40%的受访者会将API纳入报告要求。

从技术角度出发，目前企业侧应用API仍存在一些“缺陷”，比如，API错误配置、网络防火墙没有拦截、API网关没有拦截、授权漏洞，以及生成式AI工具暴露等，“这其中，根据Akamai统计，以API错误配置漏洞最为常见，占比达到22.3%。”刘烨进一步指出，“除此之外，在大模型时代，企业还面临防护工具不足，传统的防火墙、WAF难以应对当下复杂的API攻击。”

从API攻击类型上看，目前主要以注入攻击、越权/未授权访问、DDOS攻击为主。以年初火爆的DeepSeek为例，在年初DeepSeek火出圈后，不到一个月的时间内，DeepSeek就接连遭遇了大规模DDoS攻击，先后经历了轻微的HTTP代理攻击、大量HTTP代理攻击、僵尸网络攻击等行为，参与攻击的两个僵尸网络分别为HailBot和RapperBot。

无独有偶，包括ChatGPT、Kimi等在内的多家大模型厂商也在不同时间段内遭受过大量的DDOS攻击。

企业如何应对？

在盛邦安全服务产品线总经理&研发总监郝龙看来，与传统的互联网巨头相比，初创型的科技企业的安全体系建设能力，远不如已经在互联网摸爬滚打多年的巨头，且安全属于企业成本支出类，对于资金、资源有限的初创企业，更愿意将更多的资源用在模型技术的研发和迭代上，这也就造成了，虽然模型能力很强，但是防护能力不足，极容易成为攻击目标。

无独有偶，奇安信安全专家也对钛媒体APP表示，在防御机制建设层面，大模型需要通过严密的安全技术保障和运行监测，确保自身的安全性、可靠性和稳定性。而目前绝大多数大模型的安全建设是非常欠缺的。

面对越来越复杂的API攻击手段，企业应该如何应用呢？刘烨给出了些许建议，他表示，面对当下复杂的API攻击情况，企业首先需要再API安全事件发生原因、影响，以及处理优先级上达成共识。

进而，在此基础上，分步固件持久的API安全策略。基于此，刘烨给出了几点建议：

从API发现和监测能力入手：为了对所有 API 资产进行全面清查，您需要寻找能够用自动化方法发现 API 及其支持的微服务的工具。覆盖广度至关重要，因为不受管 API 是攻击者的主要目标。完善API测试：选择一种 API 安全解决方案，让您能够轻松测试 API 的编码是否能够实现其预期功能。理想的做法是在部署之前进行测试，但对生产环境中的所有 API 进行测试也很重要，包括对流量进行实时分析，来识别潜在的漏洞。对API进行充分记录：审核整个 API 环境以识别 API 配置错误或其他错误非常重要。审核过程还应确保对每个 API 进行充分记录，并确定 API 是否包含敏感数据或缺乏适当的安全控制。这也有助于您做好必要的准备，确保满足与 API 安全直接或间接相关的合规要求。使用运行时检测工具：利用 API 安全解决方案的自动运行时检测功能，您将能够区分正常和异常的 API 活动。通过这种方式监控 API 交互，您可以实时检测威胁行为并采取行动。应对可疑行为，提前拦截：通过将 API 安全解决方案与现有的安全产品组合（例如 WAF 或 Web 应用程序和 API 保护）进行集成，您将能够发现高风险行为并在可疑流量抵达关键资源之前进行拦截。调查和搜寻威胁：在 API 安全防护更为成熟的阶段，您将能够对过往的威胁数据进行取证分析，了解系统 是否正确识别不同的威胁并触发相应的告警，并确认是否出现了新型攻击模式，然后使用将先进工具与人类智慧相结合的主动威胁搜寻功能。（本文首发于钛媒体APP，作者｜张申宇，编辑丨盖虹达）

相关推荐：男女边添边摸边做边爱喷水 宋雨琦❌❌喷水好爽69 JavapHD学生