根据Cequence Security最新发布的2022年度API安全报告,API已成为主要攻击媒介,而自动化攻击则是API安全的主要威胁。
报告显示,2022年下半年是安全领域的一个重要转折点,在多起重大安全事件中,应用程序编程接口(API)成为主要的攻击媒介,对企业的安全态势构成新的重大威胁。
自动化攻击成API头号威胁
“近几个月来,API漏洞一直困扰着众多知名组织,CISO优先考虑API保护的需求随之增长。”Cequence Security首席执行官Ameya Talwalkar表示:“攻击者的策略越来越有创意,传统的保护技术已经不够用了。”
报告指出:随着攻击自动化成为针对API的日益普遍的威胁,企业拥有实时防御工具、知识和专业知识至关重要。
API威胁态势
影子API激增900%,近七成(68%)的受访企业暴露了影子API,凸显了API可见性的缺乏。仅在2022年下半年,就有约450亿次搜索影子API的尝试,比2022年上半年的50亿次尝试增加了900%。
节日期间攻击者使用的TTP数量增加了550%,从6月的大约2000个增加到2022年底的惊人的11000个。
攻击者越来越多地将API和Web应用程序安全策略结合起来——从2022年6月到2022年10月,攻击者偏爱传统的应用安全策略;然而,随着假期的临近,API安全策略激增了220%。
攻击面蔓延凸显了电信API保护面临的挑战——电信行业中的大多数重组工具攻击尝试都是全新的TTP,这表明所攻击者使用的威胁策略是多样的、复杂的和持久的。
调查结果证明OWASP API威胁类别新增的API8(缺乏对自动威胁的保护),是很有必要的。企业需要将bot缓解功能添加到API安全程序中。
总结
API威胁形势在不断发展,企业必须保持警惕,保护其API和Web应用程序免受自动化攻击(bot)和漏洞利用。攻击者的策略变得越来越老练,API成为主要攻击目标,而传统的安全技术难以提供有效的防护。
文章来源:GoUpSec
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
多一个点在看多一条小鱼干