网络犯罪团伙加紧API攻击脚步

Web攻击在2021年6月飙升至顶峰，单日攻击数量高达1.138亿次

研究人员报告称，Web应用攻击持续增多，其中大部分恶意活动针对Web应用编程接口展开。

10月27日，互联网安全公司阿卡迈指出了Web API所面临的攻击面增长问题。研究人员实际上并没有区分针对Web应用的攻击和专门使用Web API的攻击，但认为针对Web应用的攻击增长主要源自应用服务器暴露的API。阿卡迈的报告揭示，SQL注入、本地文件包含和跨站脚本这三大Web攻击途径占所有Web攻击的近95%，且常常通过API执行。

阿卡迈安全研究员称，开发人员纷纷采用API构建移动应用、Web应用和云应用的时候，他们常常没有考虑到安全问题。

“Web应用安全人员在十年前就吃到的教训，如今我们在API安全领域又看到了。API本是为了增加可用性和实现大规模访问的。因为易于部署，开发人员真的非常喜欢在所有能用的地方都使用API，但随着API逐渐统治我们的生活，我们也应该关注API安全了。”

Web API不断增长的攻击面并没有被忽视。阿卡迈的报告显示，市场研究公司Gartner认为，90%的Web应用更容易遭遇通过暴露出来的API发起的攻击而不是经由用户界面发起的攻击。API安全公司Salt Labs发布的另一份报告称，今年上半年API流量整体增长了140%以上，但恶意API流量增长得更快，接近350%。

由于攻击者越来越多地利用Web API，开放Web应用安全项目（OWASP）发布了2019年十大API安全问题列表。在许多方面，此列表中的问题反映了更为人所知的OWASP十大Web应用安全风险榜单上的问题。

软件安全公司Veracode首席研究官Chris Eng在报告的一篇文章中称：“[十大API安全列表]旨在解决API的‘独特漏洞和安全风险’，但仔细观察，你会发现这些Web漏洞完全一样，只是顺序略有不同，描述稍有差异 。我们在API安全方面犯的错误，与20年前我们在网络安全方面所犯过的毫无二致。”

阿卡迈报告显示，过去18个月中，日Web应用攻击增长缓慢，2021年6月出现明显峰值，单日攻击超过1.13亿次。此外，攻击者尝试以被盗或可猜解凭证登录的凭证滥用攻击，其平均数量在过去18个月中增加了两倍。很多此类攻击都可以通过应用的API执行。

Ragan表示：“未来你将看到，攻击者找寻进入企业网络的入口时，他们会首先扫描API。在执行凭证填充攻击时，他们也会使用API，而且这种事情大多没有频率限制，所以你会看到无限次的猜解。”

根据阿卡迈的报告，多项调查显示开发人员更专注于让API正常工作，而不是确保这些接口安全。Veracode赞助企业战略集团（ESG）完成的一份报告显示，大约一半的软件开发团队定期推出已知存在漏洞的代码，其中半数团队表示这是因为需要赶最后期限，而且稍后会修补该功能。

“不要无视漏洞，不要忽略测试，不要硬编码密码和令牌。这些都是最基本的安全原则，但你现在仍然能看到这些问题。我们现在看到的很多问题都是多年前就经历过的，而这是完全可以避免的。”

除了针对API和Web应用的攻击，阿卡迈还发现，2021年上半年，凭证填充攻击增加至每天平均约8亿次虚假登录尝试，其中有几天甚至出现了10亿次登录尝试。

分布式拒绝服务（DDoS）攻击也见长：今年1月，阿卡迈单日录得190起DDoS事件，不过，6月份攻击数量有所下降。

美国的网络和系统所遭受的攻击数量是第二大目标国家英国的六倍。与此同时，美国也是最大的攻击来源国，从美国发起的攻击数量是第二大来源国俄罗斯的四倍。