网宿安全发布2022年Web安全观察报告 API成头号攻击目标

（原标题：网宿安全发布2022年Web安全观察报告 API成头号攻击目标）见习记者 陈雨康6月30日，网宿科技旗下网宿安全召开2022年度互联网安全报告发布会并发布了《2022年Web安全观察报告》（以下简称《报告》）。网宿科技副总裁、首席安全官吕士表表示，《报告》反映了Web安全面临的威胁愈发严峻，主要体现在：一是高危Web漏洞持续爆发；二是API（应用程序编程接口）已成灰黑产的头号攻击目标；三是DDoS（分布式拒绝服务）攻击翻番增长，Tbps（太比特每秒）级别成为常态；四是Bot攻击成倍攀升，自动化攻击强度加大；五是在线业务欺诈风险显著提高；六是多样化威胁层出不穷，亟需新的安全防护方案。《报告》显示，2022年，针对API的攻击占比首次突破50%，达到了58.4%，API上升为黑产攻击的头号目标。吕士表认为，这一现象的核心原因在于企业对自身API资产现状不清，存在未知的僵尸API、影子API等，大量的敏感数据暴露在API之上，给攻击者留下了突破口。同时API没有上下文，攻击成本较低，攻击者通过简单的网络请求即可获取数据或者进行攻击。随着API广泛应用于各个在线业务，涉及交易、账号敏感相关的环节都备受灰黑产关注，在线业务欺诈风险骤升。《报告》提到，黑灰产已高度成熟，通过大量自动化、流程化的方式进行业务欺诈，并贯穿于整个在线业务场景。在注册、登录、营销场景下，自动化攻击占比均在50%以上。