2022年上半年，影子API遭遇多达50亿次的恶意请求

近日，Cequence Security发布了其2022年上半年的报告，题目为 "API保护报告。影子API和API滥用的爆炸性增长"。其中最主要的发现是，约有50亿（31%）的恶意交易针对未知的、未被管理和未被保护的API，通常被称为影子API，这使其成为挑战行业的首要威胁。

Cequence Security首席执行官Ameya Talwalkar说："现实情况是，我们作为消费者享受的日常奢侈品，如共享单车和食品配送服务，都是建立在API上的。我们的研究发现，企业可以创新客户体验，但新的方式也是对其安全、客户信任的最大威胁。公司必须重新思考在其安全战略中优先考虑的内容，首先是API保护。

该报告基于对2022年上半年观察到的200多亿次API交易的分析，旨在强调当今困扰企业的顶级API威胁。

顶级威胁1：

31%的恶意攻击针对影子API

在观察到的167亿次恶意请求中，大约有50亿次（31%）针对未知的、未管理的和未受保护的API，通常被称为影子API，跨越了广泛的使用案例。从试图抢购最新款Dunks或Air Jordans的高容量运动鞋机器人，到试图用被盗信用卡进行缓慢的卡片测试欺诈的隐蔽攻击者，再到纯粹的蛮力塞入凭证活动。在作为购物机器人和礼品卡攻击前兆的大批量内容搜刮的推动下，对影子API的攻击在2022年4月激增，并在全年持续上升。

顶级威胁2：API滥用

根据CQ Prime威胁研究团队阻止的36亿次攻击，2022年上半年缓解的第二大API安全威胁是API滥用，即攻击者针对正确编码和清点的API。这一发现强调了使用像OWASP这样的行业标准列表作为起点的必要性，而不是最终目标。最受阻的攻击表明了攻击者正在使用的策略。

30亿针对运动鞋或奢侈品的购物机器人

2.9亿次礼品卡检查攻击

试图在流行的约会和购物应用程序上创建约2.37亿个假账户

顶级威胁3：邪恶的三位一体。凭证填充、影子API和敏感数据暴露

基于1亿次攻击，API2（破坏用户认证）、API3（数据过度暴露）和API9（资产管理不当）的综合使用标志着两件事：攻击者正在对每个API的工作方式、它们之间的互动方式以及预期结果进行详细分析，开发人员需要在遵循API编码最佳实践方面保持永远的警惕。

Cequence安全公司威胁研究部主任William Glazier说："我们的分析和发现是基于野外的真实攻击。我们的发现强调了IT和安全领导对正确编码的API以及有错误的API如何被攻击的全面了解的重要性。仅200亿的样本量就意味着各行业的企业很有可能受到这些类型的威胁影响。"

此外，报告强调，了解攻击者用来利用风险的战术、技术和程序（TTPs）的重要性，以及攻击者将如何应对抵抗。这意味着不仅要确保API不容易受到OWASP API安全10强的影响作为起点，而且要研究什么可以被定义为API10+，这个类别包含了一个完美编码的API可能被滥用的许多不同方式。