API接口攻击增多 零信任网络2.0加速落地
近日,IT研究与咨询顾问机构IDC在《IDC MarketScape: 零信任网络访问解决方案,2022厂商评估》报告中指出,以“远程+”为核心的新型办公模式兴起,基于远程的安全接入需求快速爆发,接入安全又一次成为了新常态下最终用户关注的重点,零信任网络访问解决方案正式登上历史舞台。
多位业内人士在接受《中国经营报》记者采访时表示,在万物互联、各行业数字化转型的时代背景下,越来越多的应用开发深度依赖于应用程序编程接口(以下简称“API”)之间的相互调用,API安全受到广泛重视。与此同时,API也正成为攻击者重点光顾的目标,正因如此,越来越多的企业已经开始用零信任网络访问(ZTNA)取代VPN(虚拟专用网络)。
金融业成攻击重灾区
目前,世界各地网络安全事件频发,针对政府机构、重点企业的网络攻击,诸如数据泄漏、勒索软件、黑客攻击等层出不穷,数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等攻击类型和策略复杂多变,对企业及国家安全造成了严重威胁。
尽管网络威胁遍布所有行业,但作为最有利可图的目标之一,金融业无疑是攻击重灾区。
《2021年中国互联网安全报告》显示,2021年针对API业务的攻击达到147.98亿次,同比增长超过200%,其中零售业、金融业以其数字化程度最深成为重灾区,两者集中了将近七成的API攻击。另外,尽管恶意爬虫仍是最主要的攻击方式,但其占比有所下降,针对API业务的攻击手段类型整体趋于多样化。
据介绍,应用开发、发布以及数据共享都会频繁使用API,故而近年来API攻击也正成为主要的非法数据获取手段。攻击者可以通过破坏身份验证令牌或利用实现中缺陷的形式,冒充用户来访问数据源,进而扩大攻击面,造成数据泄露、被篡改等安全事故。
派拓网络大中华区总裁陈文俊对记者表示,现在由于云的敏捷性、方便性,很多应用开发者都深度应用云来做开发,也使用了一些API的接口互相对接,但是在敏捷多变的系统架构里,广泛调用API接口的时候,也造成了安全策略的复杂性,使得攻击面扩大,让更多隐藏的攻击者抓住可乘之机。
不仅如此,根据Gartner的数据,到2024年API攻击将加速并翻一番。与此同时,API承载的业务量也在高速增长,从2019年到2021年,与API相关的查询量稳步增长,平均同比增长33%。