Akamai 近日发布了新一期的互联网现状(SOTI) 报告——《潜伏在阴影之中：攻击趋势揭示了 API 威胁》。该报告着重指出，随着网络犯罪分子不断利用 API 发动攻击，导致企业面临巨大的风险，其中亚太地区及日本 (APJ) 的制造商更是如此。

《潜伏在阴影之中：攻击趋势揭示了 API 威胁》重点指出，从 2023 年 1 月至 12 月期间，针对 API 的攻击非常多，其中 APJ 地区有高达 15% 的 Web 攻击都是针对 API 发起的。在 APJ 地区的所有行业中，制造业面临的 API 攻击风险最为严峻并已成为重灾区，占所有 Web 攻击的比例将近三分之一 (31.2%)。Akamai 预测，随着 API 使用量的增加，针对 API 的攻击将急剧增加。因此，Akamai 强烈建议各企业优先考虑和保护其 API安全，以防范潜在的攻击风险。

由于 API 能够使软件、系统和设备之间进行通信并有助于提升员工和客户的体验，因此对于大多数企业而言 API 都至关重要。对于制造商来说，API 的价值尤为突出，因为制造商可通过 API 来利用工业物联网设备，这样不仅提高了效率，加快了生产速度，而且实现了对工厂和库存的实时管理。然而，数字化创新和 API 经济的迅猛发展也为网络犯罪分子提供了新的可乘之机。亚洲是全球重要的制造业中心，一旦针对 APJ 制造商的攻击得逞，可能会对全球造成严重影响。

Akamai 亚太地区及日本安全技术和战略总监 Reuben Koh 解释道：“企业越来越依赖 API，但同时也面临有效保护 API 方面的挑战，因为企业在快速开发与部署 API 等新技术时往往难以兼顾安全方面的因素。随着制造商使用越来越多的 API 来实时监控生产情况、进行预测性维护及优化成本，他们必须更加警惕潜在的风险。”

该报告分析了一些关于安全态势和运行挑战的常见问题。报告的其他重要发现包括：

• 遭受 API Web 攻击比例最高的行业是制造业，占比达到了2%，紧随其后的是游戏行业 (25.2%)、高科技行业 (24.4%)、视频媒体行业 (24.0%) 和商业行业 (22.3%)。
• 遭受 API Web 攻击比例最高的前五大地区依次为：韩国 (47.9%)、印度尼西亚 (39.6%)、中国香港特别行政区 (38.7%)、马来西亚 (26.4%) 和日本 (23.4%)。其次是印度 (19.0%)、澳大利亚 (15.6%)、新加坡 (5.8%)、菲律宾 (5.5%) 和新西兰 (4.8%)。
• 在 APJ 地区，最常见的攻击方法包括本地文件包含 (LFI) (16.8%)、服务器端请求伪造 (SSRF) (11.8%) 以及 Web 攻击工具 (WAT) (10.4%)。攻击者还倾向于利用新出现的媒介，例如1% 的攻击涉及到命令注入(CMDi)攻击，这显示出攻击者始终在寻找新的方法和途径来实施攻击。
• 业务逻辑滥用成为一个严重问题，因为在缺乏 API 行为基线的情况下，识别异常的 API 活动变得尤为困难。APJ 地区的企业若缺乏解决方案来监视 API 活动中的异常情况，将面临运行时攻击的风险。例如，数据抓取作为一种新兴的数据泄露媒介，可利用经身份验证的 API 从企业内部缓慢窃取数据。
• 在 APJ 地区爬虫程序请求也令人担忧，其中超过两万亿的可疑爬虫程序请求中，有近一半是针对 API 的。
• API 已成为当今大多数数字化转型的核心。因此 APJ 地区的企业必须了解行业趋势以及相关威胁，例如忠诚度欺诈、滥用、授权问题和刷卡攻击。
• APJ 地区的企业在安全策略流程中应尽早考虑合规要求和新出台的法规，以避免未来可能需要重新设计策略。例如，支付卡行业数据安全标准 (PCI DSS) v4.0 中第 6节的新 API 标准即将生效。

Koh 表示：“APJ 地区的公司必须确保其使用的 API 得到妥善发现与记录，并全面监控其用途与潜在风险。企业还需持续了解 API 威胁趋势，特别是 API 业务逻辑滥用等新兴威胁，同时遵循行业指导原则，防范配置错误和漏洞。随着 API 在各行业的广泛应用，我们新一期的报告提供了关键见解，帮助企业运用专业的防护方法来提升安全性。”

如需阅读《潜伏在阴影之中：攻击趋势揭示了 API 威胁》报告，请点击此处。