(資料圖)

見習(xí)記者 陳雨康

6月30日，網(wǎng)宿科技旗下網(wǎng)宿安全召開2022年度互聯(lián)網(wǎng)安全報告發(fā)布會并發(fā)布了《2022年Web安全觀察報告》（以下簡稱《報告》）。網(wǎng)宿科技副總裁、首席安全官呂士表表示，《報告》反映了Web安全面臨的威脅愈發(fā)嚴(yán)峻，主要體現(xiàn)在：一是高危Web漏洞持續(xù)爆發(fā)；二是API（應(yīng)用程序編程接口）已成灰黑產(chǎn)的頭號攻擊目標(biāo)；三是DDoS（分布式拒絕服務(wù)）攻擊翻番增長，Tbps（太比特每秒）級別成為常態(tài)；四是Bot攻擊成倍攀升，自動化攻擊強(qiáng)度加大；五是在線業(yè)務(wù)欺詐風(fēng)險顯著提高；六是多樣化威脅層出不窮，亟需新的安全防護(hù)方案。

《報告》顯示，2022年，針對API的攻擊占比首次突破50%，達(dá)到了58.4%，API上升為黑產(chǎn)攻擊的頭號目標(biāo)。呂士表認(rèn)為，這一現(xiàn)象的核心原因在于企業(yè)對自身API資產(chǎn)現(xiàn)狀不清，存在未知的僵尸API、影子API等，大量的敏感數(shù)據(jù)暴露在API之上，給攻擊者留下了突破口。同時API沒有上下文，攻擊成本較低，攻擊者通過簡單的網(wǎng)絡(luò)請求即可獲取數(shù)據(jù)或者進(jìn)行攻擊。

隨著API廣泛應(yīng)用于各個在線業(yè)務(wù)，涉及交易、賬號敏感相關(guān)的環(huán)節(jié)都備受灰黑產(chǎn)關(guān)注，在線業(yè)務(wù)欺詐風(fēng)險驟升?！秷蟾妗诽岬?，黑灰產(chǎn)已高度成熟，通過大量自動化、流程化的方式進(jìn)行業(yè)務(wù)欺詐，并貫穿于整個在線業(yè)務(wù)場景。在注冊、登錄、營銷場景下，自動化攻擊占比均在50%以上。

關(guān)鍵詞：