網絡犯罪團伙加緊API攻擊腳步

Web攻擊在2021年6月飆升至頂峰，單日攻擊數量高達1.138億次

研究人員報告稱，Web應用攻擊持續增多，其中大部分惡意活動針對Web應用編程接口展開。

10月27日，互聯網安全公司阿卡邁指出了Web API所面臨的攻擊面增長問題。研究人員實際上并沒有區分針對Web應用的攻擊和專門使用Web API的攻擊，但認為針對Web應用的攻擊增長主要源自應用服務器暴露的API。阿卡邁的報告揭示，SQL注入、本地文件包含和跨站腳本這三大Web攻擊途徑占所有Web攻擊的近95%，且常常通過API執行。

阿卡邁安全研究員稱，開發人員紛紛采用API構建移動應用、Web應用和云應用的時候，他們常常沒有考慮到安全問題。

“Web應用安全人員在十年前就吃到的教訓，如今我們在API安全領域又看到了。API本是為了增加可用性和實現大規模訪問的。因為易于部署，開發人員真的非常喜歡在所有能用的地方都使用API，但隨著API逐漸統治我們的生活，我們也應該關注API安全了。”

Web API不斷增長的攻擊面并沒有被忽視。阿卡邁的報告顯示，市場研究公司Gartner認為，90%的Web應用更容易遭遇通過暴露出來的API發起的攻擊而不是經由用戶界面發起的攻擊。API安全公司Salt Labs發布的另一份報告稱，今年上半年API流量整體增長了140%以上，但惡意API流量增長得更快，接近350%。

由于攻擊者越來越多地利用Web API，開放Web應用安全項目（OWASP）發布了2019年十大API安全問題列表。在許多方面，此列表中的問題反映了更為人所知的OWASP十大Web應用安全風險榜單上的問題。

軟件安全公司Veracode首席研究官Chris Eng在報告的一篇文章中稱：“[十大API安全列表]旨在解決API的‘獨特漏洞和安全風險’，但仔細觀察，你會發現這些Web漏洞完全一樣，只是順序略有不同，描述稍有差異 。我們在API安全方面犯的錯誤，與20年前我們在網絡安全方面所犯過的毫無二致。”

阿卡邁報告顯示，過去18個月中，日Web應用攻擊增長緩慢，2021年6月出現明顯峰值，單日攻擊超過1.13億次。此外，攻擊者嘗試以被盜或可猜解憑證登錄的憑證濫用攻擊，其平均數量在過去18個月中增加了兩倍。很多此類攻擊都可以通過應用的API執行。

Ragan表示：“未來你將看到，攻擊者找尋進入企業網絡的入口時，他們會首先掃描API。在執行憑證填充攻擊時，他們也會使用API，而且這種事情大多沒有頻率限制，所以你會看到無限次的猜解。”

根據阿卡邁的報告，多項調查顯示開發人員更專注于讓API正常工作，而不是確保這些接口安全。Veracode贊助企業戰略集團（ESG）完成的一份報告顯示，大約一半的軟件開發團隊定期推出已知存在漏洞的代碼，其中半數團隊表示這是因為需要趕最后期限，而且稍后會修補該功能。

“不要無視漏洞，不要忽略測試，不要硬編碼密碼和令牌。這些都是最基本的安全原則，但你現在仍然能看到這些問題。我們現在看到的很多問題都是多年前就經歷過的，而這是完全可以避免的。”

除了針對API和Web應用的攻擊，阿卡邁還發現，2021年上半年，憑證填充攻擊增加至每天平均約8億次虛假登錄嘗試，其中有幾天甚至出現了10億次登錄嘗試。

分布式拒絕服務（DDoS）攻擊也見長：今年1月，阿卡邁單日錄得190起DDoS事件，不過，6月份攻擊數量有所下降。

美國的網絡和系統所遭受的攻擊數量是第二大目標國家英國的六倍。與此同時，美國也是最大的攻擊來源國，從美國發起的攻擊數量是第二大來源國俄羅斯的四倍。