API正成为令人担忧的安全目标

Imperva的最新报告称，随着API成为更具吸引力和可实现的目标，针对API的攻击数量显著增加。

API，即应用程序编程接口，是一种软件中介，允许两个应用程序相互通信。API最大的好处包括无缝连接、改善用户体验和创新。多年来，API流量一直超过人类流量，研究人员表示，去年API流量占所有网络流量的71%以上。这引起了网络犯罪分子的注意，他们试图利用这一趋势来达到不同的目的。

话虽如此，针对API业务逻辑的攻击占去年所有攻击的27%，与2022年相比也增长了10%。针对API的帐户接管(ATO)攻击也从2022年的35%上升到2023年的46%。

有利可图的攻击

此外，该报告还称，企业网站的平均API调用次数为15亿次。研究人员补充说，大量非人工自动化流量“无疑”与API自动攻击的增加有关。

因此，企业需要采取强大的安全措施来防御分布式拒绝服务(DDoS)攻击或ATO等攻击。事实上，他们表示，46%的ATO攻击针对的是API端点。最后，攻击者正在磨练他们的策略，28%的APIDDoS攻击针对的是金融服务组织。

Imperva总结称，传统安全工具(如Web应用程序防火墙(WAF))不足以应对这种情况。API攻击会巧妙地伪装成常规流量，从而使这些防御机制失效。

许多IT专业人士似乎都同意Imperva的观点，因为Barracuda最近的一份报告发现，55%的人表示，对API的攻击是犯罪分子最有利可图的攻击。Barracuda声称“攻击者通常会瞄准安全团队已经忘记的旧漏洞”，并且需要“多层”安全措施来保护Web应用程序和API。