API的头号威胁：自动化攻击

根据Cequence Security最新发布的2022年度API安全报告，API已成为主要攻击媒介，而自动化攻击则是API安全的主要威胁。

报告显示，2022年下半年是安全领域的一个重要转折点，在多起重大安全事件中，应用程序编程接口(API)成为主要的攻击媒介，对企业的安全态势构成新的重大威胁。

自动化攻击成API头号威胁

“近几个月来，API漏洞一直困扰着众多知名组织，CISO优先考虑API保护的需求随之增长。”Cequence Security首席执行官Ameya Talwalkar表示：“攻击者的策略越来越有创意，传统的保护技术已经不够用了。”

报告指出：随着攻击自动化成为针对API的日益普遍的威胁，企业拥有实时防御工具、知识和专业知识至关重要。

API威胁态势

影子API激增900%，近七成（68%）的受访企业暴露了影子API，凸显了API可见性的缺乏。仅在2022年下半年，就有约450亿次搜索影子API的尝试，比2022年上半年的50亿次尝试增加了900%。

节日期间攻击者使用的TTP数量增加了550%，从6月的大约2000个增加到2022年底的惊人的11000个。

攻击者越来越多地将API和Web应用程序安全策略结合起来——从2022年6月到2022年10月，攻击者偏爱传统的应用安全策略；然而，随着假期的临近，API安全策略激增了220%。

攻击面蔓延凸显了电信API保护面临的挑战——电信行业中的大多数重组工具攻击尝试都是全新的TTP，这表明所攻击者使用的威胁策略是多样的、复杂的和持久的。

调查结果证明OWASP API威胁类别新增的API8（缺乏对自动威胁的保护），是很有必要的。企业需要将bot缓解功能添加到API安全程序中。

总结

API威胁形势在不断发展，企业必须保持警惕，保护其API和Web应用程序免受自动化攻击（bot）和漏洞利用。攻击者的策略变得越来越老练，API成为主要攻击目标，而传统的安全技术难以提供有效的防护。