日前，Akamai發布的《API安全影響研究》（以下簡稱《API研究》）中顯示，過去一年的時間內，中國在解決API安全事件上花費的成本最高，達到了77.8萬美元（約合568萬人民幣），且在企業內部，管理層預估API安全事件造成的成本約為51.7萬美元，而一線員工則認為將達到92萬美元。

苦API攻擊久已

針對API的攻擊手段已經不是時代的新詞，在傳統互聯網時代，API安全事件就屢見不鮮。具體來看，API攻擊的歷史可以分為四個階段。

第一階段大概時間節點在2000之前，在計算機單機時代（如大型機、Windows 95時期），軟件模塊間的交互已出現類似API的機制，但此時接口多用于內部功能調用，安全問題尚未凸顯。攻擊主要集中于底層系統漏洞，例如Windows 95的API漏洞。

但隨著互聯網的興起，基于CGI（通用網關接口）的Web交互接口出現，成為早期API攻擊的雛形。攻擊者通過參數篡改、簡單注入等方式嘗試突破接口限制。

第二階段大致時間節點在2000到2010年前后，隨著Web2.0時代的到來，SOAP協議推動企業對外API的標準化，但復雜協議設計引入了XML注入和中間人劫持風險。隨后RESTful API因簡潔性被廣泛采用，卻也因無狀態特性導致會話劫持和令牌泄露問題頻發

第三階段是在2010年之后，隨著云計算的崛起，云計算推動API成為核心數字資產，但企業API清單管理滯后，出現大量影子API（未記錄或過時接口）。攻擊者利用此類接口發起DDoS攻擊和敏感數據竊取，例如2017年Equifax因API漏洞泄露1.4億用戶數據。

另一方面，隨著Bot技術的成熟，攻擊者通過惡意爬蟲批量調用API接口，例如2019年某社交平臺因未設反爬機制導致5億用戶信息在暗網流通。同期，API攻擊流量增速達普通流量的3倍。

第四階段就來到了以生成式AI為代表的新AI時代。企業應用大模型賦能業務已經是不可逆的趨勢，從當前企業應用大模型的方式來看，通過API調用的方式顯然是最好的方式之一。

企業通過API調用大模型的模式下，云服務商承擔了的大模型底座安全、應用訪問，以及數據合規安全責任，“對于企業來說，這個階段，只解決API調用和數據外發安全等部分安全問題就可以了，更多的安全責任是由云服務商承擔的。”綠盟科技集團副總裁宮智曾對筆者表示。

《API研究》中顯示，2023年1月至2024年6月間，亞太地區記錄到1080億次API攻擊，API攻擊占所有Web攻擊的15%。

而在此背景下，企業應當更為注重API安全事件的防護。Akamai北亞區技術總監劉燁告訴筆者，在API免受攻擊方面，中國企業的重視程度很高，中國將“保護API免受攻擊”列為網絡安全第一要務（27.6%），遠超其他國家（日本、印度以及澳大利亞均將其列為第四項），“在調研中，所有受訪者都需要對明年的網絡安全優先事項進行排序。中國在這個問題上的回答有些與眾不同，也是唯一一個將‘保護 API 免受攻擊’列為第一要務的國家。”劉燁指出。

另一方面，劉燁表示，在中國、印度和澳大利亞，將近 90% 的受訪者表示他們會在滿足法規要求時考慮API安全性。只有41%的受訪者會將API納入風險評估中，并且只有40%的受訪者會將API納入報告要求。

從技術角度出發，目前企業側應用API仍存在一些“缺陷”，比如，API錯誤配置、網絡防火墻沒有攔截、API網關沒有攔截、授權漏洞，以及生成式AI工具暴露等，“這其中，根據Akamai統計，以API錯誤配置漏洞最為常見，占比達到22.3%。”劉燁進一步指出，“除此之外，在大模型時代，企業還面臨防護工具不足，傳統的防火墻、WAF難以應對當下復雜的API攻擊。”

從API攻擊類型上看，目前主要以注入攻擊、越權/未授權訪問、DDOS攻擊為主。以年初火爆的DeepSeek為例，在年初DeepSeek火出圈后，不到一個月的時間內，DeepSeek就接連遭遇了大規模DDoS攻擊，先后經歷了輕微的HTTP代理攻擊、大量HTTP代理攻擊、僵尸網絡攻擊等行為，參與攻擊的兩個僵尸網絡分別為HailBot和RapperBot。

無獨有偶，包括ChatGPT、Kimi等在內的多家大模型廠商也在不同時間段內遭受過大量的DDOS攻擊。

企業如何應對？

在盛邦安全服務產品線總經理&研發總監郝龍看來，與傳統的互聯網巨頭相比，初創型的科技企業的安全體系建設能力，遠不如已經在互聯網摸爬滾打多年的巨頭，且安全屬于企業成本支出類，對于資金、資源有限的初創企業，更愿意將更多的資源用在模型技術的研發和迭代上，這也就造成了，雖然模型能力很強，但是防護能力不足，極容易成為攻擊目標。

無獨有偶，奇安信安全專家也對鈦媒體APP表示，在防御機制建設層面，大模型需要通過嚴密的安全技術保障和運行監測，確保自身的安全性、可靠性和穩定性。而目前絕大多數大模型的安全建設是非常欠缺的。

面對越來越復雜的API攻擊手段，企業應該如何應用呢？劉燁給出了些許建議，他表示，面對當下復雜的API攻擊情況，企業首先需要再API安全事件發生原因、影響，以及處理優先級上達成共識。

進而，在此基礎上，分步固件持久的API安全策略。基于此，劉燁給出了幾點建議：

• 從API發現和監測能力入手：為了對所有 API 資產進行全面清查，您需要尋找能夠用自動化方法發現 API 及其支持的微服務的工具。覆蓋廣度至關重要，因為不受管 API 是攻擊者的主要目標。
• 完善API測試：選擇一種 API 安全解決方案，讓您能夠輕松測試 API 的編碼是否能夠實現其預期功能。理想的做法是在部署之前進行測試，但對生產環境中的所有 API 進行測試也很重要，包括對流量進行實時分析，來識別潛在的漏洞。
• 對API進行充分記錄：審核整個 API 環境以識別 API 配置錯誤或其他錯誤非常重要。審核過程還應確保對每個 API 進行充分記錄，并確定 API 是否包含敏感數據或缺乏適當的安全控制。這也有助于您做好必要的準備，確保滿足與 API 安全直接或間接相關的合規要求。
• 使用運行時檢測工具：利用 API 安全解決方案的自動運行時檢測功能，您將能夠區分正常和異常的 API 活動。通過這種方式監控 API 交互，您可以實時檢測威脅行為并采取行動。
• 應對可疑行為，提前攔截：通過將 API 安全解決方案與現有的安全產品組合（例如 WAF 或 Web 應用程序和 API 保護）進行集成，您將能夠發現高風險行為并在可疑流量抵達關鍵資源之前進行攔截。
• 調查和搜尋威脅：在 API 安全防護更為成熟的階段，您將能夠對過往的威脅數據進行取證分析，了解系統 是否正確識別不同的威脅并觸發相應的告警，并確認是否出現了新型攻擊模式，然后使用將先進工具與人類智慧相結合的主動威脅搜尋功能。（本文首發于鈦媒體APP，作者｜張申宇，編輯丨蓋虹達）