日前,Akamai 发布的 《API 安全影响研究》(以下简称 《API 研究》) 中显示,过去一年的时间内,中国在解决 API 安全事件上花费的成本最高,达到了 77.8 万美元 (约合 568 万人民币),且在企业内部,管理层预估 API 安全事件造成的成本约为 51.7 万美元,而一线员工则认为将达到 92 万美元。
苦 API 攻击久已
针对 API 的攻击手段已经不是时代的新词,在传统互联网时代,API 安全事件就屡见不鲜。具体来看,API 攻击的历史可以分为四个阶段。
第一阶段大概时间节点在 2000 之前,在计算机单机时代 (如大型机、Windows 95 时期),软件模块间的交互已出现类似 API 的机制,但此时接口多用于内部功能调用,安全问题尚未凸显。攻击主要集中于底层系统漏洞,例如 Windows 95 的 API 漏洞。
但随着互联网的兴起,基于 CGI(通用网关接口) 的 Web 交互接口出现,成为早期 API 攻击的雏形。攻击者通过参数篡改、简单注入等方式尝试突破接口限制。
第二阶段大致时间节点在 2000 到 2010 年前后,随着 Web2.0 时代的到来,SOAP 协议推动企业对外 API 的标准化,但复杂协议设计引入了 XML 注入和中间人劫持风险。随后 RESTful API 因简洁性被广泛采用,却也因无状态特性导致会话劫持和令牌泄露问题频发
第三阶段是在 2010 年之后,随着云计算的崛起,云计算推动 API 成为核心数字资产,但企业 API 清单管理滞后,出现大量影子 API(未记录或过时接口)。攻击者利用此类接口发起 DDoS 攻击和敏感数据窃取,例如 2017 年 Equifax 因 API 漏洞泄露 1.4 亿用户数据。
另一方面,随着 Bot 技术的成熟,攻击者通过恶意爬虫批量调用 API 接口,例如 2019 年某社交平台因未设反爬机制导致 5 亿用户信息在暗网流通。同期,API 攻击流量增速达普通流量的 3 倍。
第四阶段就来到了以生成式 AI 为代表的新 AI 时代。企业应用大模型赋能业务已经是不可逆的趋势,从当前企业应用大模型的方式来看,通过 API 调用的方式显然是最好的方式之一。
企业通过 API 调用大模型的模式下,云服务商承担了的大模型底座安全、应用访问,以及数据合规安全责任,「对于企业来说,这个阶段,只解决 API 调用和数据外发安全等部分安全问题就可以了,更多的安全责任是由云服务商承担的。」 绿盟科技集团副总裁宫智曾对笔者表示。
《API 研究》 中显示,2023 年 1 月至 2024 年 6 月间,亚太地区记录到 1080 亿次 API 攻击,API 攻击占所有 Web 攻击的 15%。
而在此背景下,企业应当更为注重 API 安全事件的防护。Akamai 北亚区技术总监刘烨告诉笔者,在 API 免受攻击方面,中国企业的重视程度很高,中国将 「保护 API 免受攻击」 列为网络安全第一要务 (27.6%),远超其他国家 (日本、印度以及澳大利亚均将其列为第四项),「在调研中,所有受访者都需要对明年的网络安全优先事项进行排序。中国在这个问题上的回答有些与众不同,也是唯一一个将 『保护 API 免受攻击』 列为第一要务的国家。」 刘烨指出。
另一方面,刘烨表示,在中国、印度和澳大利亚,将近 90% 的受访者表示他们会在满足法规要求时考虑 API 安全性。只有 41% 的受访者会将 API 纳入风险评估中,并且只有 40% 的受访者会将 API 纳入报告要求。
从技术角度出发,目前企业侧应用 API 仍存在一些 「缺陷」,比如,API 错误配置、网络防火墙没有拦截、API 网关没有拦截、授权漏洞,以及生成式 AI 工具暴露等,「这其中,根据 Akamai 统计,以 API 错误配置漏洞最为常见,占比达到 22.3%。」 刘烨进一步指出,「除此之外,在大模型时代,企业还面临防护工具不足,传统的防火墙、WAF 难以应对当下复杂的 API 攻击。」
从 API 攻击类型上看,目前主要以注入攻击、越权/未授权访问、DDOS 攻击为主。以年初火爆的 DeepSeek 为例,在年初 DeepSeek 火出圈后,不到一个月的时间内,DeepSeek 就接连遭遇了大规模 DDoS 攻击,先后经历了轻微的 HTTP 代理攻击、大量 HTTP 代理攻击、僵尸网络攻击等行为,参与攻击的两个僵尸网络分别为 HailBot 和 RapperBot。
无独有偶,包括 ChatGPT、Kimi 等在内的多家大模型厂商也在不同时间段内遭受过大量的 DDOS 攻击。
企业如何应对?
在盛邦安全服务产品线总经理& 研发总监郝龙看来,与传统的互联网巨头相比,初创型的科技企业的安全体系建设能力,远不如已经在互联网摸爬滚打多年的巨头,且安全属于企业成本支出类,对于资金、资源有限的初创企业,更愿意将更多的资源用在模型技术的研发和迭代上,这也就造成了,虽然模型能力很强,但是防护能力不足,极容易成为攻击目标。
无独有偶,奇安信安全专家也对钛媒体 APP 表示,在防御机制建设层面,大模型需要通过严密的安全技术保障和运行监测,确保自身的安全性、可靠性和稳定性。而目前绝大多数大模型的安全建设是非常欠缺的。
面对越来越复杂的 API 攻击手段,企业应该如何应用呢?刘烨给出了些许建议,他表示,面对当下复杂的 API 攻击情况,企业首先需要再 API 安全事件发生原因、影响,以及处理优先级上达成共识。
进而,在此基础上,分步固件持久的 API 安全策略。基于此,刘烨给出了几点建议:
- 从 API 发现和监测能力入手:为了对所有 API 资产进行全面清查,您需要寻找能够用自动化方法发现 API 及其支持的微服务的工具。覆盖广度至关重要,因为不受管 API 是攻击者的主要目标。
- 完善 API 测试:选择一种 API 安全解决方案,让您能够轻松测试 API 的编码是否能够实现其预期功能。理想的做法是在部署之前进行测试,但对生产环境中的所有 API 进行测试也很重要,包括对流量进行实时分析,来识别潜在的漏洞。
- 对 API 进行充分记录:审核整个 API 环境以识别 API 配置错误或其他错误非常重要。审核过程还应确保对每个 API 进行充分记录,并确定 API 是否包含敏感数据或缺乏适当的安全控制。这也有助于您做好必要的准备,确保满足与 API 安全直接或间接相关的合规要求。
- 使用运行时检测工具:利用 API 安全解决方案的自动运行时检测功能,您将能够区分正常和异常的 API 活动。通过这种方式监控 API 交互,您可以实时检测威胁行为并采取行动。
- 应对可疑行为,提前拦截:通过将 API 安全解决方案与现有的安全产品组合 (例如 WAF 或 Web 应用程序和 API 保护) 进行集成,您将能够发现高风险行为并在可疑流量抵达关键资源之前进行拦截。
- 调查和搜寻威胁:在 API 安全防护更为成熟的阶段,您将能够对过往的威胁数据进行取证分析,了解系统 是否正确识别不同的威胁并触发相应的告警,并确认是否出现了新型攻击模式,然后使用将先进工具与人类智慧相结合的主动威胁搜寻功能。(本文首发于钛媒体 APP,作者|张申宇,编辑丨盖虹达)
