中国遭遇API攻击损失亚太区第一，企业高管与一线员工认知脱节丨ToB产业观察

日前，Akamai发布的《API安全影响研究》（以下简称《API研究》）中显示，过去一年的时间内，中国在解决API安全事件上花费的成本最高，达到了77.8万美元（约合568万人民币），且在企业内部，管理层预估API安全事件造成的成本约为51.7万美元，而一线员工则认为将达到92万美元。

苦API攻击久已

针对API的攻击手段已经不是时代的新词，在传统互联网时代，API安全事件就屡见不鲜。具体来看，API攻击的历史可以分为四个阶段。

第一阶段大概时间节点在2000之前，在计算机单机时代（如大型机、Windows 95时期），软件模块间的交互已出现类似API的机制，但此时接口多用于内部功能调用，安全问题尚未凸显。攻击主要集中于底层系统漏洞，例如Windows 95的API漏洞。

但随着互联网的兴起，基于CGI（通用网关接口）的Web交互接口出现，成为早期API攻击的雏形。攻击者通过参数篡改、简单注入等方式尝试突破接口限制。

第二阶段大致时间节点在2000到2010年前后，随着Web2.0时代的到来，SOAP协议推动企业对外API的标准化，但复杂协议设计引入了XML注入和中间人劫持风险。随后RESTful API因简洁性被广泛采用，却也因无状态特性导致会话劫持和令牌泄露问题频发

第三阶段是在2010年之后，随着云计算的崛起，云计算推动API成为核心数字资产，但企业API清单管理滞后，出现大量影子API（未记录或过时接口）。攻击者利用此类接口发起DDoS攻击和敏感数据窃取，例如2017年Equifax因API漏洞泄露1.4亿用户数据。

另一方面，随着Bot技术的成熟，攻击者通过恶意爬虫批量调用API接口，例如2019年某社交平台因未设反爬机制导致5亿用户信息在暗网流通。同期，API攻击流量增速达普通流量的3倍。

第四阶段就来到了以生成式AI为代表的新AI时代。企业应用大模型赋能业务已经是不可逆的趋势，从当前企业应用大模型的方式来看，通过API调用的方式显然是最好的方式之一。

企业通过API调用大模型的模式下，云服务商承担了的大模型底座安全、应用访问，以及数据合规安全责任，“对于企业来说，这个阶段，只解决API调用和数据外发安全等部分安全问题就可以了，更多的安全责任是由云服务商承担的。”绿盟科技集团副总裁宫智曾对笔者表示。

《API研究》中显示，2023年1月至2024年6月间，亚太地区记录到1080亿次API攻击，API攻击占所有Web攻击的15%。

而在此背景下，企业应当更为注重API安全事件的防护。Akamai北亚区技术总监刘烨告诉笔者，在API免受攻击方面，中国企业的重视程度很高，中国将“保护API免受攻击”列为网络安全第一要务（27.6%），远超其他国家（日本、印度以及澳大利亚均将其列为第四项），“在调研中，所有受访者都需要对明年的网络安全优先事项进行排序。中国在这个问题上的回答有些与众不同，也是唯一一个将‘保护 API 免受攻击’列为第一要务的国家。”刘烨指出。

另一方面，刘烨表示，在中国、印度和澳大利亚，将近 90% 的受访者表示他们会在满足法规要求时考虑API安全性。只有41%的受访者会将API纳入风险评估中，并且只有40%的受访者会将API纳入报告要求。

从技术角度出发，目前企业侧应用API仍存在一些“缺陷”，比如，API错误配置、网络防火墙没有拦截、API网关没有拦截、授权漏洞，以及生成式AI工具暴露等，“这其中，根据Akamai统计，以API错误配置漏洞最为常见，占比达到22.3%。”刘烨进一步指出，“除此之外，在大模型时代，企业还面临防护工具不足，传统的防火墙、WAF难以应对当下复杂的API攻击。”

从API攻击类型上看，目前主要以注入攻击、越权/未授权访问、DDOS攻击为主。以年初火爆的DeepSeek为例，在年初DeepSeek火出圈后，不到一个月的时间内，DeepSeek就接连遭遇了大规模DDoS攻击，先后经历了轻微的HTTP代理攻击、大量HTTP代理攻击、僵尸网络攻击等行为，参与攻击的两个僵尸网络分别为HailBot和RapperBot。

无独有偶，包括ChatGPT、Kimi等在内的多家大模型厂商也在不同时间段内遭受过大量的DDOS攻击。

企业如何应对？

在盛邦安全服务产品线总经理&研发总监郝龙看来，与传统的互联网巨头相比，初创型的科技企业的安全体系建设能力，远不如已经在互联网摸爬滚打多年的巨头，且安全属于企业成本支出类，对于资金、资源有限的初创企业，更愿意将更多的资源用在模型技术的研发和迭代上，这也就造成了，虽然模型能力很强，但是防护能力不足，极容易成为攻击目标。

无独有偶，奇安信安全专家也对钛媒体APP表示，在防御机制建设层面，大模型需要通过严密的安全技术保障和运行监测，确保自身的安全性、可靠性和稳定性。而目前绝大多数大模型的安全建设是非常欠缺的。

面对越来越复杂的API攻击手段，企业应该如何应用呢？刘烨给出了些许建议，他表示，面对当下复杂的API攻击情况，企业首先需要再API安全事件发生原因、影响，以及处理优先级上达成共识。

进而，在此基础上，分步固件持久的API安全策略。基于此，刘烨给出了几点建议：

• 从API发现和监测能力入手：为了对所有 API 资产进行全面清查，您需要寻找能够用自动化方法发现 API 及其支持的微服务的工具。覆盖广度至关重要，因为不受管 API 是攻击者的主要目标。
• 完善API测试：选择一种 API 安全解决方案，让您能够轻松测试 API 的编码是否能够实现其预期功能。理想的做法是在部署之前进行测试，但对生产环境中的所有 API 进行测试也很重要，包括对流量进行实时分析，来识别潜在的漏洞。
• 对API进行充分记录：审核整个 API 环境以识别 API 配置错误或其他错误非常重要。审核过程还应确保对每个 API 进行充分记录，并确定 API 是否包含敏感数据或缺乏适当的安全控制。这也有助于您做好必要的准备，确保满足与 API 安全直接或间接相关的合规要求。
• 使用运行时检测工具：利用 API 安全解决方案的自动运行时检测功能，您将能够区分正常和异常的 API 活动。通过这种方式监控 API 交互，您可以实时检测威胁行为并采取行动。
• 应对可疑行为，提前拦截：通过将 API 安全解决方案与现有的安全产品组合（例如 WAF 或 Web 应用程序和 API 保护）进行集成，您将能够发现高风险行为并在可疑流量抵达关键资源之前进行拦截。
• 调查和搜寻威胁：在 API 安全防护更为成熟的阶段，您将能够对过往的威胁数据进行取证分析，了解系统 是否正确识别不同的威胁并触发相应的告警，并确认是否出现了新型攻击模式，然后使用将先进工具与人类智慧相结合的主动威胁搜寻功能。（本文首发于钛媒体APP，作者｜张申宇，编辑丨盖虹达）