API上升為黑產攻擊頭號目標 WAAP成安全防護首選方案

(資料圖片僅供參考)

21世紀經濟報道記者白楊 北京報道

6月30日下午，網宿科技子品牌網宿安全發布了《2022年Web安全觀察報告》(以下簡稱“報告”）。報告指出，2022年，網宿安全平臺共檢測到2700萬次針對Log4shell各個變種漏洞的利用，而針對API的攻擊占比首次突破50%，達到了58.4%，API上升為黑產攻擊的頭號目標。

對此，網宿科技副總裁、首席安全官呂士表呂士表分析認為，核心原因在于企業對自身API資產現狀不清，存在未知的僵尸API、影子API等，大量的敏感數據暴露在API之上，給攻擊者留下了突破口。同時API沒有上下文，攻擊成本較低，攻擊者通過簡單的網絡請求即可獲取數據或者進行攻擊。

DDoS攻擊方面，2022年DDoS攻擊日均發生43.92萬次，同比增長103.8%，T級以上DDoS攻擊頻發，全年最高攻擊峰值達到2.09Tbps。報告稱，當前的攻擊規模已經遠遠超過單個數據中心的防護能力，運營商、大型的公有云以及分布式的CDN跟邊緣計算廠商成為大規模DDoS攻擊的防護主力軍。

而Bot攻擊也持續倍增，2022年Bot攻擊平均每秒發生約5175次，攻擊量為2021年的1.93倍、2020年的4.5倍。與此同時，Bot攻擊手法也變得更加隱蔽，不僅是通過偽造正常的User-Agent或者模擬正常瀏覽器做自動化框架的攻擊，還通過模擬人的行為規避成熟的Bot檢測，使得防御難度進一步加大。

值得注意的是，隨著API廣泛應用于各個在線業務，涉及交易、賬號敏感相關的環節都備受灰黑產關注，在線業務欺詐風險驟升。報告發現，黑灰產已高度成熟，通過大量自動化、流程化的方式進行業務欺詐，并貫穿于整個在線業務場景。在注冊、登錄、營銷場景下，自動化攻擊占比均在50%以上。

此外，Web安全威脅趨于多樣化，同時遇到2種以上威脅的Web業務占比高達87%，遇到3種以上威脅的Web業務占比仍達65%。

呂士表指出，傳統WAF（web應用防護系統）已無法應對日益嚴峻的Web安全形勢，行業亟需新的安全防護方案，而WAAP成為首選。

據悉，WAAP全稱Web Application and API Protection，是集DDoS防護、WAF、Bot管理、API防護于一體的下一代Web安全防護解決方案，可實現從基礎設施防護、Web應用防護、API管理與防護以及自動化工具管理與威脅防御。

標簽：