去年,API安全领域发生了显著变化,主要表现为供应商之间的重大收购与合并,以及持续的行业资金投入,以解决API安全问题。此外,由于API漏洞带来的损害变得更加明显,像戴尔客户数据库被窃取、Trello数据抓取等高调事件进入了公众视野。根据海外《API安全影响研究》,84%的受访者在过去12个月经历了API安全事件,创下历史新高(相比2023年的78%有所上升)。2025年,API攻击将继续存在,安全问题依然是一个难题。
API的固有难题
API本质上是黑暗且难以监控的,这使得企业很难检测到暴露和漏洞。对API的可见性较低;安全团队无法像浏览Web浏览器那样浏览API,确认系统是否正常工作。企业通常无法知道自己有多少个API,何时有新的API被添加,或API何时发生变化。虽然API对许多公司的盈利至关重要,但其隐蔽性使得企业难以有效管理。
我们都知道,API安全非常宝贵,它能够识别与API访问相关的潜在安全威胁、可疑活动和异常行为,帮助企业检测并应对API安全事件。然而,面临的挑战是巨大的,包括API扩展的问题。不同团队开发的API导致了管理不善、文档不全的影子API,这些API正在成为企业日益增长的盲点,可能导致潜在的安全漏洞。攻击者的手段和技术也越来越复杂,人工智能和自动化技术帮助他们取得了显著的进展。
API攻击的演变及人工智能与自动化的角色
由人工智能和自动化驱动的API攻击已成为常态。API云技术公司Kong的《2025年API安全展望报告》发现,25%的受访者遇到过与API或大型语言模型(LLM)相关的人工智能增强安全威胁,75%的受访者对未来AI增强攻击表示严重关切。
我们现在已经从“愚蠢”的攻击(例如,针对第三方提取数据的Web攻击或针对特定单一漏洞的攻击)转变为“智能”的AI驱动攻击,通常涉及选择一个实际目标,导致更加精准的攻击。攻击者不再只是寻找脆弱的个人,而是可能针对某个特定企业,甚至是某个国家,这种转变显著提高了攻击的复杂性。攻击者通过操纵请求负载,欺骗后端系统执行某个动作。阻止AI驱动的API攻击就像在干草堆中找针一样,特别是当多人同时使用某个API时。与任何API攻击一样,攻击往往不显眼,且通常非常隐秘。例如,响应代码看似正常,一切看似都在正常工作,但实际上你的客户数据库可能正在被悄悄泄漏。企业面临的挑战是:不仅要防御新的、复杂的自动化攻击,还要防御那些简单但不会消失的攻击。
关于API数据泄露(PII)的认识
API安全的另一个重要方面是敏感数据的保护。个人身份信息(PII)经常通过API流动,易受盗窃或数据泄露的威胁。企业通常忽视这些漏洞,直到敏感数据泄露、财务被盗或品牌声誉受损等后果发生时,才会引起注意。数据泄露将是2025年API安全的关键使用场景。Wallarm在其2024年Q3《API ThreatStats™报告》中指出,AI与API紧密相连,继续引发API漏洞的风险,这是这一爆炸性技术的一个重要问题。
不幸的是,仅通过监控网络,内部团队无法获得全面的视图。安全任务通常没有明确的负责人。在企业层面,确定谁负责API安全仍然是一个挑战。安全团队对网络系统和基础设施非常熟悉,但对应用程序行为了解不多。DevOps团队通常负责应用程序,但在生产环境中却无法看到完整情况。这种分裂的职责划分在大多数企业中非常普遍,也因此容易被利用。许多数据泄露事件发生在这片无人区,因为大多数事件都是由已认证的用户执行的。
2024年数据泄露案例
在2024年,我们看到一些由数据泄露驱动的API数据泄露事件,其中的目标是盗取PII。例如,2024年戴尔的数据泄露事件中,攻击者是已认证的用户。据报告称,威胁行为者通过一个合作伙伴门户API伪装成假公司,进行信息抓取并窃取了4900万条客户记录。攻击者通过发现一个合作伙伴、经销商和零售商的门户,能够查看订单信息,并成功窃取了数据。
在另一起API数据泄露事件中,网络攻击者针对项目管理和协作平台Trello发起了攻击。Trello“看板”管理员通过电子邮件邀请其他人参与公共看板,并通过REST API实现邀请功能。攻击者利用这个API发起了业务逻辑攻击;当有人使用电子邮件地址查询API时,它会返回与该电子邮件相关联的所有公共看板的资料。攻击者抓取了1500万个Trello用户的公开数据。
如何防范复杂的API数据泄露攻击
据报道,Forrester为2025年安全和风险预算规划指南指出,API安全是业务运营的三大核心领域之一,并建议CISO在这些领域进行投资。随着我们进入由AI和自动化驱动的网络攻击时代,安全团队必须继续制定全面的安全策略,重点监控防火墙、网关和单个请求,同时致力于检测API数据泄露。这包括监控PII令牌和在不同时期的使用情况。如果一个用户的PII令牌数量达到数百万,应该引起警觉。随着网络攻击者不断针对易受攻击的API进行攻击以获取财务利益,IT和安全团队必须意识到API的独特性以及它们的工作原理,确保持续的威胁监控、检测和响应。
