2022年上半年，影子API遭遇多達50億次的惡意請求-今日必看

2022年上半年，影子API遭遇多達50億次的惡意請求

來源：去哪玩釋出時間：2022-10-09 10:01

近日，Cequence Security釋出了其2022年上半年的呈文，問題為 "API保護呈文。影子API和API濫用的爆炸性增長"。其中最主要的發現是，約有50億（31%）的惡意交易針對未知的、未被治理和未被保護的API，通常被稱為影子API，這使其成為挑戰行業的首要威脅。

Cequence Security執行長Ameya Talwalkar說："現實情況是，我們作為消費者享受的日常奢侈品，如共享單車和食物配送服務，都是建立在API上的。我們的研究發現，企業可以立異客戶體驗，但新的方式也是對其安全、客戶信任的最大威脅。公司必需重新思索在其安全戰略中優先考慮的內容，首先是API保護。

該呈文基於對2022年上半年觀察到的200多億次API交易的分析，旨在誇大當今困擾企業的頂級API威脅。

頂級威脅1：

31%的惡意攻擊針對影子API

在觀察到的167億次惡意哀求中，大約有50億次（31%）針對未知的、未治理的和未受保護的API，通常被稱為影子API，跨越了廣泛的使用案例。從試圖搶購最新款Dunks或Air Jordans的高容量運動鞋機器人，到試圖用被盜信用卡進行緩慢的卡片測試欺詐的隱蔽攻擊者，再到純粹的蠻力塞入憑證流動。在作為購物機器人和禮品卡攻擊前兆的大批次內容搜刮的推動下，對影子API的攻擊在2022年4月激增，並在全年持續上升。

頂級威脅2：API濫用

根據CQ Prime威脅研究團隊阻止的36億次攻擊，2022年上半年緩解的第二大API安全威脅是API濫用，即攻擊者針對準確編碼和盤點的API。這一發現誇大了使用像OWASP這樣的行業標準列表作為出發點的必要性，而不是最終目標。最受阻的攻擊表明了攻擊者正在使用的策略。

30億針對運動鞋或奢侈品的購物機器人

2.9億次禮品卡檢查攻擊

試圖在流行的約會和購物應用程式上建立約2.37億個假賬戶

頂級威脅3：邪惡的三位一體。憑證填充、影子API和敏感資料暴露

基於1億次攻擊，API2（破壞使用者認證）、API3（資料過度暴露）和API9（資產治理不當）的綜合使用標誌著兩件事：攻擊者正在對每個API的工作方式、它們之間的互動方式以及預期結果進行詳細分析，開發人員需要在遵循API編碼最佳實踐方面保持永遠的警惕。

Cequence安全公司威脅研究部主任William Glazier說："我們的分析和發現是基於野外的真實攻擊。我們的發現誇大了IT和安全領導對準確編碼的API以及有錯誤的API如何被攻擊的全面瞭解的重要性。僅200億的樣本量就意味著各行業的企業很有可能受到這些型別的威脅影響。"

此外，呈文誇大，瞭解攻擊者用來利用風險的戰術、技術和程式（TTPs）的重要性，以及攻擊者將如何應對抵擋。這意味著不僅要確保API不輕易受到OWASP API安全10強的影響作為出發點，而且要研究什麼可以被定義為API10+，這個種別包含了一個完美編碼的API可能被濫用的很多不同方式。

注：本文由E安全編譯報道，轉載請聯絡授權並註明來源。

該呈文基於對2022年上半年觀察到的200多億次API交易的分析，旨在誇大當今困擾企業的頂級API威脅。

頂級威脅1：