作为全球网络安全领域的领导者之一,泰雷兹致力于为关键应用程序、API和数据提供大规模保护。该公司近日发布了《 API和机器人攻击的经济影响 》报告,分析了超过16.1万起独特的网络安全事件,揭示了易受攻击或不安全的API和机器人的自动滥用这两大安全威胁日益紧密且普遍所带来的全球损失。据该报告估计,API的不安全性和机器人攻击每年为全球企业带来高达1860亿美元[1]的损失。
这份报告基于Marsh McLennan网络风险情报中心进行的一项研究,该研究发现,从统计数字来看,规模较大的企业更有可能同时发生涉及不安全API和机器人攻击事件。收入超过10亿美元的企业遭受机器人自动API滥用的可能性,要比中小型企业的高出2到3倍。研究表明,由于API生态系统复杂而广泛,通常包含存在风险或不安全的API,因此大型企业尤其容易受到与机器人自动滥用API相关的安全风险的影响。
企业高度依赖API来实现各种应用程序和服务之间的无缝通信。来自Imperva威胁研究团队的数据发现,去年平均每家企业在生产中管理着613个API端点。随着企业面临提供更灵活、更高效数字服务的压力增大,这一数字正在迅速增长。
由于对API的依赖增加以及其可以直接访问敏感数据的特性,API已成为机器人操纵者的攻击目标。根据Imperva威胁研究团队的数据,2023年由机器人生成的自动攻击威胁占所有API攻击的30%。如今,机器人自动滥用API每年给企业造成高达179亿美元的损失。随着生产中的API数量激增,网络犯罪分子将越来越多地使用自动化机器人来发现和利用API业务逻辑漏洞、规避安全措施、窃取敏感数据。
泰雷兹旗下的Imperva应用安全总经理Nanhi Singh表示:“全球企业必须解决不安全API和机器人攻击带来的安全风险,否则将面临巨大的经济负担。这些威胁相互关联,因此企业必须采取整体安全策略以同时应对机器人攻击和API攻击。”
报告中提到的主要趋势包括:
· API采用率增加扩大了攻击面:API的快速采用、许多API开发人员缺乏经验,以及安全团队和开发团队之间缺乏协作,导致不安全API目前每年造成高达870亿美元的损失,比2021年增加了120亿美元。
· 机器人对企业利润产生负面影响:攻击工具和生成式AI模型的普及使机器人的规避技术得以提升,即使技术水平较低的攻击者也能发起复杂的机器人攻击。每年因机器人自动攻击造成的损失高达1160亿美元。
· 与API和机器人相关的安全事件越来越频繁:2022年,与API相关的安全事件增加了40%,与机器人相关的安全事件激增了88%。这些增长主要受数字交易增加、API使用扩展以及俄乌冲突等地缘政治紧张局势的推动。2023年,随着数字流量趋于稳定,以及在疫情期间激增的互联网活动逐渐退热,这些事件的频率有所缓和。与API相关的安全事件增长了9%,而与机器人相关的安全事件增长了28%。总体上,攻击的上升趋势凸显了这些威胁的持续性和频繁性。
· 不安全的API和机器人攻击对大型企业构成重大威胁:收入在1000亿美元以上的公司最有可能遭受与不安全API或机器人攻击相关的安全事件。这些威胁在此类企业遭受的所有安全事件中的占比高达26%。
· 全球各国都容易受到API和机器人攻击的影响:巴西发生的与不安全API或机器人攻击相关的事件比例最高,这类威胁在所有已发现的安全事件中的占比高达32%。紧随其后的是法国(高达28%)、日本(高达28%)和印度(高达26%)。尽管在美国,API和机器人相关安全事件的比例较低,但在所有与易受攻击的API或机器人自动滥用相关的报告事件中,有66%发生在美国。
Singh补充道:“对API的依赖将继续呈指数级增长,从而推动与生成式AI应用程序和大型语言模型的连接。与此同时,生成式AI还将使网络犯罪分子能够以惊人的速度加速创建复杂的机器人。随着API生态系统不断扩大和机器人日益先进,除非采取积极主动的措施,否则企业应该预见到机器人自动滥用API所造成的经济影响将大幅上升。”
[1]计算总数时不会重复计入同时与API和机器人相关的事件。
