作為全球網絡安全領域的領導者之一，泰雷茲致力于為關鍵應用程序、API和數據提供大規模保護。該公司近日發布了《?API和機器人攻擊的經濟影響?》報告，分析了超過16.1萬起獨特的網絡安全事件，揭示了易受攻擊或不安全的API和機器人的自動濫用這兩大安全威脅日益緊密且普遍所帶來的全球損失。據該報告估計，API的不安全性和機器人攻擊每年為全球企業帶來高達1860億美元[1]的損失。

這份報告基于Marsh McLennan網絡風險情報中心進行的一項研究，該研究發現，從統計數字來看，規模較大的企業更有可能同時發生涉及不安全API和機器人攻擊事件。收入超過10億美元的企業遭受機器人自動API濫用的可能性，要比中小型企業的高出2到3倍。研究表明，由于API生態系統復雜而廣泛，通常包含存在風險或不安全的API，因此大型企業尤其容易受到與機器人自動濫用API相關的安全風險的影響。

企業高度依賴API來實現各種應用程序和服務之間的無縫通信。來自Imperva威脅研究團隊的數據發現，去年平均每家企業在生產中管理著613個API端點。隨著企業面臨提供更靈活、更高效數字服務的壓力增大，這一數字正在迅速增長。

由于對API的依賴增加以及其可以直接訪問敏感數據的特性，API已成為機器人操縱者的攻擊目標。根據Imperva威脅研究團隊的數據，2023年由機器人生成的自動攻擊威脅占所有API攻擊的30%。如今，機器人自動濫用API每年給企業造成高達179億美元的損失。隨著生產中的API數量激增，網絡犯罪分子將越來越多地使用自動化機器人來發現和利用API業務邏輯漏洞、規避安全措施、竊取敏感數據。

泰雷茲旗下的Imperva應用安全總經理Nanhi Singh表示：“全球企業必須解決不安全API和機器人攻擊帶來的安全風險，否則將面臨巨大的經濟負擔。這些威脅相互關聯，因此企業必須采取整體安全策略以同時應對機器人攻擊和API攻擊。”

報告中提到的主要趨勢包括：

·?API采用率增加擴大了攻擊面：API的快速采用、許多API開發人員缺乏經驗，以及安全團隊和開發團隊之間缺乏協作，導致不安全API目前每年造成高達870億美元的損失，比2021年增加了120億美元。

·?機器人對企業利潤產生負面影響：攻擊工具和生成式AI模型的普及使機器人的規避技術得以提升，即使技術水平較低的攻擊者也能發起復雜的機器人攻擊。每年因機器人自動攻擊造成的損失高達1160億美元。

·?與API和機器人相關的安全事件越來越頻繁：2022年，與API相關的安全事件增加了40%，與機器人相關的安全事件激增了88%。這些增長主要受數字交易增加、API使用擴展以及俄烏沖突等地緣政治緊張局勢的推動。2023年，隨著數字流量趨于穩定，以及在疫情期間激增的互聯網活動逐漸退熱，這些事件的頻率有所緩和。與API相關的安全事件增長了9%，而與機器人相關的安全事件增長了28%。總體上，攻擊的上升趨勢凸顯了這些威脅的持續性和頻繁性。

·?不安全的API和機器人攻擊對大型企業構成重大威脅：收入在1000億美元以上的公司最有可能遭受與不安全API或機器人攻擊相關的安全事件。這些威脅在此類企業遭受的所有安全事件中的占比高達26%。

·?全球各國都容易受到API和機器人攻擊的影響：巴西發生的與不安全API或機器人攻擊相關的事件比例最高，這類威脅在所有已發現的安全事件中的占比高達32%。緊隨其后的是法國（高達28%）、日本（高達28%）和印度（高達26%）。盡管在美國，API和機器人相關安全事件的比例較低，但在所有與易受攻擊的API或機器人自動濫用相關的報告事件中，有66%發生在美國。

Singh補充道：“對API的依賴將繼續呈指數級增長，從而推動與生成式AI應用程序和大型語言模型的連接。與此同時，生成式AI還將使網絡犯罪分子能夠以驚人的速度加速創建復雜的機器人。隨著API生態系統不斷擴大和機器人日益先進，除非采取積極主動的措施，否則企業應該預見到機器人自動濫用API所造成的經濟影響將大幅上升。”

[1]計算總數時不會重復計入同時與API和機器人相關的事件。