近日,Imperva 发布的《API和机器人攻击的经济影响报告》 ,指出组织每年因脆弱或不安全的API(应用程序编程接口)和机器人自动化滥用而损失940亿至1860亿美元。该报告强调,这些安全威胁占全球网络事件和损失的11.8%,强调了它们对全球企业日益加剧的风险。
根据Marsh McLennan网络安全情报中心进行的一项全面研究,该报告分析了超过161000起独特的网络安全事件。研究结果显示了一个令人担忧的趋势:脆弱或不安全的API和机器人自动化滥用所构成的威胁日益相互关联且普遍存在。
API已成为现代业务运营不可或缺的一部分,实现了跨应用程序和服务的无缝通信和数据交换。它们支持从移动应用程序到电子商务平台和开放银行等一切应用,但其广泛采用也带来了重大的安全挑战。根据Imperva威胁研究的数据,去年平均每家企业管理的生产环境中的API端点数量为613个,随着公司更加依赖API来推动数字化转型和创新,这一数字预计还会增长。
对API的高度依赖显著扩大了攻击面,与API相关的安全事件在2022年增加了40%,并在2023年又增加了9%。这些攻击尤其危险,因为API通常作为通往组织底层基础设施和敏感数据的直接路径。报告估计,API不安全性每年导致高达870亿美元的损失,比2021年增加了120亿美元。这可以归因于多种原因,包括API的快速采用、许多API开发人员的经验不足、缺乏标准化的安全实践以及开发和安全团队之间的有限协作。
与API攻击的增加同步,机器人攻击已成为一种普遍且代价高昂的威胁,每年导致高达1160亿美元的损失。机器人是设计用于执行特定任务的自动化软件程序,经常被武器化用于恶意活动,如凭证填充、网页抓取、在线欺诈和分布式拒绝服务(DDoS)攻击。
2022年,与机器人相关的安全事件激增了88%,随后在2023年又增加了28%。这种令人震惊的增长是由多种因素共同推动的,包括数字交易的增加、API的普及以及地缘政治紧张局势,如俄罗斯-乌克兰冲突。攻击工具和生成型AI模型的广泛可用性也显著提高了机器人规避技术,并使即使是低技能攻击者也能执行复杂的机器人攻击。
根据Imperva的说法,机器人现在已成为API安全面临的最关键威胁之一。去年,30%的所有API攻击都是由自动化威胁驱动的,其中17%特别与利用业务逻辑漏洞的机器人有关。对API的日益依赖——以及它们对敏感数据的直接访问——使它们成为机器人操作者的主要目标。仅自动化API滥用一项就使企业每年损失高达179亿美元。随着机器人变得更加复杂,攻击者越来越多地使用它们来利用API业务逻辑,绕过安全措施,并窃取敏感数据,使组织更难以检测和缓解。
特别是年收入超过10亿美元的大型企业,面临API和机器人攻击的风险不成比例地更高。根据该报告,这些组织经历机器人自动化API滥用的可能性是小型或中型企业的2-3倍。这种高度暴露主要是由于其数字基础设施的复杂性和规模。
这些公司通常管理着数百甚至数千个跨多个部门和服务的API,创建了庞大且难以监控和保护的API生态系统。在这样的环境中,影子API、未经身份验证的API和已弃用的API呈现出重大漏洞。这些管理不善的API往往缺乏关键的安全措施,如定期更新、身份验证和持续监控,使它们容易被利用。
同样,由于其广泛的数字存在和宝贵资产,大型企业成为机器人攻击的主要目标。数字环境越复杂,机器人可以利用的潜在入口点就越多,从登录页面到结账系统。随着大量敏感数据通过其应用程序和API流动,这些公司对机器人操作者来说是一个利润丰厚的目标。
对于年收入超过1000亿美元的企业来说,风险更加明显,其中API不安全和机器人攻击占所有安全事件的26%。这一严峻的数字突显了在大型企业中实施全面的API安全和机器人管理策略的迫切需要,在这些企业中,一次安全事件可能导致重大的运营中断、巨大的财务损失和长期的声誉损害。
https://thehackernews.com/2024/10/vulnerable-apis-and-bot-attacks-costing.html
