2022年上半年，影子API遭遇多达50亿次的恶意哀求

克日，Cequence Security发布了其2022年上半年的陈诉，标题为 "API掩护陈诉。影子API和API滥用的爆炸性增长"。此中最紧张的发现是，约有50亿（31%）的恶意生意业务针对未知的、未被管理和未被掩护的API，通常被称为影子API，这使其成为挑衅行业的主要威胁。

Cequence Security首席实验官Ameya Talwalkar说："现真相况是，我们作为消耗者享受的一样平常奢侈品，如共享单车和食品配送服务，都是创建在API上的。我们的研究发现，企业可以创新客户体验，但新的方式也是对其安全、客户信托的最大威胁。公司必须重新思索在其安全战略中优先思量的内容，起首是API掩护。

该陈诉基于对2022年上半年观察到的200多亿次API生意业务的分析，旨在夸大当今困扰企业的顶级API威胁。

顶级威胁1：

31%的恶意攻击针对影子API

在观察到的167亿次恶意哀求中，约莫有50亿次（31%）针对未知的、未管理的和未受掩护的API，通常被称为影子API，超过了广泛的利用案例。从试图抢购最新款Dunks或Air Jordans的高容量运动鞋呆板人，到试图用被盗光荣卡举行迟钝的卡片测试诓骗的潜伏攻击者，再到纯粹的蛮力塞入根据运动。在作为购物呆板人和礼物卡攻击先兆的大批量内容搜刮的推动下，对影子API的攻击在2022年4月激增，并在整年一连上升。

顶级威胁2：API滥用

根据CQ Prime威胁研究团队克制的36亿次攻击，2022年上半年缓解的第二大API安全威胁是API滥用，即攻击者针对正确编码和盘点的API。这一发现夸大了利用像OWASP如许的行业尺度列表作为出发点的须要性，而不是终极目标。最受阻的攻击表明白攻击者正在利用的计谋。

30亿针对运动鞋或奢侈品的购物呆板人

2.9亿次礼物卡查抄攻击

试图在盛行的约会和购物应用步伐上创建约2.37亿个假账户

顶级威胁3：险恶的三位一体。根据添补、影子API和敏感数据袒露

基于1亿次攻击，API2（粉碎用户认证）、API3（数据太过袒露）和API9（资产管理不妥）的综合利用标记取两件事：攻击者正在对每个API的工作方式、它们之间的互动方式以及预期效果举行具体分析，开发职员必要在依照API编码最佳实践方面保持永世的鉴戒。

Cequence安全公司威胁研究部主任William Glazier说："我们的分析和发现是基于旷野的真实攻击。我们的发现夸大了IT和安全领导对正确编码的API以及有错误的API怎样被攻击的全面相识的紧张性。仅200亿的样本量就意味着各行业的企业很有大概受到这些范例的威胁影响。"

别的，陈诉夸大，相识攻击者用来利用风险的战术、技能和步伐（TTPs）的紧张性，以及攻击者将怎样应对反抗。这意味着不但要确保API不轻易受到OWASP API安全10强的影响作为出发点，而且要研究什么可以被界说为API10+，这个种别包罗了一个完满编码的API大概被滥用的许多差别方式。

注：本文由E安全编译报道，转载请接洽授权并注明泉源。