API攻击增加了162％以上 - 与Ruishu信息发布了“

API驱动数字化转型和AI技术的快速发展，成为商业与外部世界之间联系的神经中心。但是，在API的深度应用中，对API的攻击的大小和复杂性继续增加。为什么对于专门的黑客来说，API通常会成功？ API保护企业的常见方法仍然可以应对明智的攻击吗？哪些新变量将导致生成AI迅速渗透到API安全性？面对对API安全的无限威胁，企业应该如何解决？最近，Ruishu的信息正式发布了“ API安全趋势报告”，重点介绍了最新的API攻击形式，主要风险点和业务保护措施，并努力为实施API安全保护思想提供各种行业。作为中国最早的专业制造商之一native api security capability" certification, Ruishu's information has continued to release insight-related views on API security in recent years, providing reference guides for government and business users to protect API security. 1. During AI, API security security changes, and the "urgent" step has been reached. The report shows that in 2024, API attack traffic rose more than 162% year-on-year. Attacks against APIs have an account of 78% of all cyber attacks, a significant increase从2023年的70％开始，攻击从传统的Web应用程序转变为API界面，使用其标准的高频联系人和其他功能，以实施更好的攻击。恶意要求每个企业API每月。此外，攻击的复杂性也在继续上升，攻击方法已经从简单地填充凭据转变为对业务逻辑弱点的准确打击。 2。AI技术技术的支持极大地改善了API攻击的复杂性和分泌。数据报告显示，42％的API攻击开始使用AI技术来执行动态突变攻击属性。通过持续的研究和实时更改，避免了发现传统的WAF和API安全系统的静态政策，从而使预测和预防攻击变得更加困难。生成AI（LLM）应用程序的爆炸性增长进一步加强了API安全挑战，API安全保护已进入了智能进攻和防御游戏的新阶段。 2024年，与LLM相关的API的电话数量同比增长450％，这进一步超过了业务增长速率本身。在这种新兴方案中，业务压迫者的安全控制能力已被大大抓住。超过80％的性格化尚未建立安全和控制预防机制的完整机制，并且面临许多复杂的安全风险，例如识别许可，过度数据暴露和立即注入。 3。影响链链情景的API接口已成为攻击的重要入口点，并且风险在爆炸中。该报告指出，攻击者使用API供应链作为使用业务合作伙伴之间APS的切入点。接口缺陷或调整错误可以以较低的成本迅速打破内部业务防御线。数据表明，单个API弱点的攻击水平运动的成功率高达61％。由于供应链API涉及多党的合作，因此供应链流的API安全风险表明“链效应”以及保护和响应速度的难度已成为一个重大挑战。此外，该报告还指出，在2024年，各个行业的API攻击分布将显示出更加平衡的梯度，其中金融行业，电信和电子商务运营商是最严重的。同时，各个行业面临的关键攻击也不同。金融服务行业主要面临盗窃资本和欺骗性交易的威胁，而电信运营商主要面临资源滥用和帐户劫持的威胁。在这种情况下，传统的基于签名的保护方案的新PAPI攻击的识别率不到40％，迫使企业转向行为防御行为 + AI检测的复合模型。对于企业而言，API安全保护处于“从传统技术辩护变为业务安全和智能的关键阶段今天，当API成为企业数字化的中心时，单点保护将不再应对更明智的，大型和供应链安全的威胁。那么企业应该做什么？ruishu的信息为报告提供了明确的答案：开发安全管理框架：制定一个涵盖整个API生命周期的安全管理框架，涵盖了整个API的互助，并构成了对智能的安全性和机械性的构成，并构成了智能的动态，并涵盖了智能的动态，并涵盖了系统的机制，并将技术和新的攻击模式。进攻，防御和对抗。在生成AI驱动的自动攻击的连续演变中，API攻击显示了多场叠加，智能升级和大规模爆炸的重要特征，而传统的静态保护和单点发现方法则无法共同表示。该报告指出，LLM Big Model应用程序生态系统的爆炸性增长导致了API相关呼叫的涌入，并且还带来了新的安全挑战，例如直接单词注入，过多的数据暴露和上下文污染。 API供应链的风险继续发芽，并且链攻击变得越来越复杂。失去单点可以触发多层次的渗透并加强整个生态系统的安全性。如果企业坐落在API或传统WAF的单个网关上，那么很难与动态突变，链差和合作的高级协作作斗争。在报告中，Ruishu的建议开发真正有效的API安全系统的信息。建议企业进行以下“ 7分”：1。开发全Gultg API安全管理系统。当前的API安全挑战超出了现有的安全边界。企业需要在整个生命周期内实施安全控制，从设计，开发，试验和操作：在设计阶段实施“安全左移动”，并事先合并安全检查。在发育阶段，在CI/CD管道中包括API安全性，以自动检测弱点；在测试阶段设置不同的测试计划，以专注于业务逻辑和过度数据的缺陷；在操作阶段，将正在进行的监控，业务评估和异常发现结合在一起，以防止诸如滥用业务逻辑和低长期攻击之类的新威胁。 2。综合API资产对安全性的基础进行分类是全面且准确的管理管理。 dATA在2024年表明，未指定的API（“ Shadow API”）是78％的安全事件的入境点，而MicroService架构下API财产的平均增长率高达67％。企业将需要通过多维API检测，自动排序和标记，API依赖和连续的属性监控来建立完整的API列表，以防止传统压迫者带来的安全风险和许可漂移。 3。在2024年实施深层业务安全数据表明，业务逻辑攻击占总API攻击的65％，而传统的技术保护则不到此类攻击的40％。企业需要通过建模业务风险流程，行为的行为，特定领域和API竞争的安全规则，有效地发现对跨雷普伊斯协会的不合理的API呼吁，并通过建模业务风险流程，行为的行为，特定领域的安全规则以及T型协会的呼吁来认识到多步操作，国家转移和许可界限中的潜在弱点。o保护业务保护功能。 4.加强API访问控制，验证，识别验证和过度访问仍然是攻击的基本方法，分别提供了总攻击的17.8％和13.5％，而微服务体系结构尤其众所周知。该报告建议，通过验证多因素上下文，控制颗粒状同意控制，SE ManagementToken安全性并最大程度地限制许可，用户行为的集成，设备属性，地理位置位置和其他信息以防止水平运动和滥用许可，从而减少了API安全的风险，从而降低了API安全的风险，从而对风险进行了极大的评估。 5。通过LLM应用程序爆炸性增长，促进LLM API安全保护，LLM API安全已成为一个新的主要领域。 2024年的数据表明，传统API安全工具的发现率肯定只有35％。 inirerekomenda ng ulat na sa pamamagitan ng agarang pag -auditng seguridad ng salita，敏感pag -iwas sa pagtagas ng Impormasyon，pag -iwas sa hangganan ng pag -uugali ng modelo ng modelo ng ng pagkonsumo ng pagkonsumo Sensitibong Impormasyon Sa Pagtagas，Nililimitahan ang Saklaw ng pagpapModel该模型，并防止滥用计算资源，确保高潮期间主要企业的存在和安全性。 6。开发API安全检测功能和响应功能。面对长期长期攻击和复杂的多阶段攻击，平均持续26.7天，企业需要建立对API安全性和对响应的反应的强烈发现，以及消除攻击攻击（可能会确定多个攻击攻击的攻击，并识别出高价值攻击的47.3％的攻击，并配置了47.3％的攻击），并配置了47.3％的攻击），并配置了47.3％的攻击率），并配置了47.3％的攻击。 47.3％的高价值目标攻击）和conci吸引高价值攻击）。自动反应的机制，以阻塞阻塞，降低，延迟和警报处于风险水平。 ）验证输入和处理集成点的例外，并通过严格的证书避免泄漏和滥用，并确保基本管理，持续的业务和数据安全。在实际扩展中，Ruishu还提供了一套解决方案。以电信运营商为例。 2024年初，一家全面的电信运营商启动了一份新的PlatDigital服务表格，该表格涵盖了各种基本操作，例如用户信息查询，包装处理，费用付款和资源管理，API电话超过20亿次。但是，在启动该平台仅两个月后，发现API通常是扫描和恶意被称为异常交通。尤其是在营销活动中，API呼叫的数量在短时间内沉没，导致SMS验证公司的异常传输DES，包装更改和高价值订单应用，某些公司客户的来源分配了，从而导致用户隐私和服务风险。在这方面，Ruishu的信息可以帮助运营商管理平台API安全问题，部署Companionruishu API安全和控制平台，并在四个方面实施目标保护。首先，网络链接和数据链接的API资产管理，审核和建模，发现230个未指定的API尚未记录，其中73个发送了敏感的用户数据，并确定了整个生命生命周期的管理机制。 Ž第二是对信息的敏感监视，该信息执行层次结构监视并识别敏感的传输信息，例如手机号码，ID号，位置信息等，以防止泄漏和滥用。 Ž第三是API缺陷的身份。值得注意的是，有41％的业务压迫者具有链接设计和链接同意的链接。所以ME API可能会使用低调帐户绕过许可验证。通过建立API设计安全检查的机制来消除NG运营商在发育阶段的潜在风险。 Ž第四是攻击攻击者的行为，结合多级检测方法，针对传统的Web攻击和业务逻辑例外，建立基本的呼叫API调用并部署自定义检测策略，并立即确定批处理和业务行为的异常呼叫。在RUISHU API安全控制平台的三个月删除过程中，电信操作员的安全功能得到了显着提高，并且还提供了保证后续服务的安全稳定操作。 3。结论API成为最不引人注目的，但最竞争的新一代SASECurity集中在企业数字化和AI智能的背景下。安全功能不再是一种选择，而是对是否可以稳定地实现企业应用程序和AI应用程序。面对规模，智力和供应链的叠加，传统的单点和静态安全思想不再可持续。随着企业的主要问题的发展，如何继续改善API视觉，可控制和防御能力，以产生数字“免疫”。仅通过建立具有连续进化的动态，智能和分层的API安全线，就可以有效地防止企业对多幕科，多云环境和开放生态系统的复杂网络威胁，并维护基本业务和pandata数据。底线的安全性。将来，API安全不仅将是技术保护，而且还将是确保企业和行业稳定的活力变化的主要基础。