(资料图)
见习记者 陈雨康
6月30日,网宿科技旗下网宿安全召开2022年度互联网安全报告发布会并发布了《2022年Web安全观察报告》(以下简称《报告》)。网宿科技副总裁、首席安全官吕士表表示,《报告》反映了Web安全面临的威胁愈发严峻,主要体现在:一是高危Web漏洞持续爆发;二是API(应用程序编程接口)已成灰黑产的头号攻击目标;三是DDoS(分布式拒绝服务)攻击翻番增长,Tbps(太比特每秒)级别成为常态;四是Bot攻击成倍攀升,自动化攻击强度加大;五是在线业务欺诈风险显著提高;六是多样化威胁层出不穷,亟需新的安全防护方案。
《报告》显示,2022年,针对API的攻击占比首次突破50%,达到了58.4%,API上升为黑产攻击的头号目标。吕士表认为,这一现象的核心原因在于企业对自身API资产现状不清,存在未知的僵尸API、影子API等,大量的敏感数据暴露在API之上,给攻击者留下了突破口。同时API没有上下文,攻击成本较低,攻击者通过简单的网络请求即可获取数据或者进行攻击。
随着API广泛应用于各个在线业务,涉及交易、账号敏感相关的环节都备受灰黑产关注,在线业务欺诈风险骤升。《报告》提到,黑灰产已高度成熟,通过大量自动化、流程化的方式进行业务欺诈,并贯穿于整个在线业务场景。在注册、登录、营销场景下,自动化攻击占比均在50%以上。