不安全的API和爬虫攻击导致企业每年损失高达1860亿美元

API 不安全和爬虫程序的自动滥用导致全球高达 11.8% 的网络事件和损失，与 Bot 相关的安全事件数量在 2022 年和 2023 年分别增长了 88% 和 28%，与 2021 年相比，不安全的 API 造成的损失高达 120 亿美元。

作为全球领先的网络安全解决方案提供商，泰雷兹（Thales）发布了一份题为《API与爬虫程序攻击的经济影响》的报告。通过对超过161,000起独特网络安全事件的深入分析，报告揭示了因API安全性不足及爬虫程序自动滥用导致的全球防护成本持续攀升，这两大安全挑战正变得日益紧密且广泛存在。据报告估算，API安全性问题和爬虫程序攻击已给全球企业带来了高达1861亿美元的经济损失。

该报告源自 Marsh McLennan 网络风险情报中心的研究成果，揭示了大型组织在涉及不安全 API 及爬虫程序攻击方面的安全事件中更为频发。具体而言，对于年收入超过 10 亿美元的企业而言，其遭遇爬虫程序自动化滥用 API 的概率是中小型企业同类事件的 2 至 3 倍之多。研究进一步指出，大型企业因其复杂的、覆盖面广的 API 生态系统中往往存在暴露或安全性不足的 API 接口，这使得它们在面对由机器人自动化操作引发的 API 滥用相关的安全威胁时显得尤为脆弱。

企业严重依赖API来实现不同应用程序和服务间的无缝交互。据Imperva威胁研究团队的数据，去年企业平均管理着613个API端点。随着企业需以更高敏捷性和效率提供数字化服务的压力增大，这一数字正迅速攀升。

鉴于API依赖度的提升及其对敏感信息的直接访问权限，API已成为机器人操作者的诱人目标。Imperva威胁研究数据显示，截至2023年，机器人生成的自动化威胁占所有API攻击的30%。当前，自动化API滥用每年给组织带来约179亿美元的损失。随着生产环境中API数量的增长，网络罪犯将更频繁地运用自动化爬虫寻找并利用API业务逻辑漏洞、绕过安全防护措施及泄露敏感信息。

“全球企业必须应对由不安全API和机器人攻击引发的安全挑战，否则将面临沉重的经济负担。”Imperva应用安全总经理Nanhi Singh表示，“鉴于这些威胁的相互关联性，公司应采取综合策略，针对爬虫和API攻击制定全面的安全方案。”

报告揭示了几项关键趋势：

• API普及率上升扩大了攻击范围：API快速普及、部分API开发者缺乏经验以及安全与开发团队间沟通不足，使得不安全API造成的年度损失达到870亿美元，较2021年增长120亿美元。
• 爬虫对机构财务状况产生负面影响：攻击工具与生成式AI模型的广泛应用提升了爬虫规避技术的能力，即便是技术水平较低的攻击者也能发动复杂攻击。由此产生的年度损失估计高达1160亿美元。
• API与Bot相关安全事件频发：2022年，API相关安全事件增长40%，Bot相关安全事件激增88%。数字交易增加、API广泛使用及地缘政治紧张局势加剧等因素促成了这些增长。进入2023年后，尽管数字流量趋于平稳且疫情引发的互联网活动激增有所缓解，但安全事件发生率依然保持高位。API相关安全事件增长9%，Bot相关安全事件增长28%。这表明上述威胁仍将持续存在且频率不断增加。
• 大型企业面临重大威胁：对于年收入超过1000亿美元的企业而言，其遭遇的安全事件中有26%与不安全API或Bot攻击有关。
• 各国均面临API与Bot攻击风险：巴西遭受此类攻击的比例最高，占所有观察到的安全事件的32%；法国（28%）、日本（28%）和印度（26%）紧随其后。尽管美国在此类事件中的占比相对较低，但与脆弱API或Bot自动滥用相关的所有已报告事件中有66%发生在该国境内。
• “未来，对API的依赖将呈指数级增长，特别是在连接生成式AI应用和大规模语言模型方面。”Singh补充道，“然而，生成式AI也将赋予网络犯罪分子更快地构建复杂机器人的能力。随着API生态系统的扩张和爬虫技术的进步，除非采取有效措施，否则我们预计爬虫自动滥用API所带来的经济损失将大幅增加。”

如何找到更多同类API？

幂简集成是国内领先的API集成管理平台，专注于为开发者提供全面、高效、易用的API集成解决方案。幂简API平台可以通过以下两种方式找到所需API：通过关键词搜索API、或者从API Hub分类页进入寻找。

原文链接：https://apicoding.com/vulnerable-api/