大型企业面临的API和机器人攻击的财务影响 媒体

大型企业的API与自动化攻击风险

关键要点

近年来，大型企业经历了前所未有的数字化转型之旅，疫情和快速向云计算的转型都是关键推动力。在这个过程中，应用程序架构迅速变革，从根本上重塑了组织的运作方式，使其能够快速适应不断变化的市场需求和客户期望。API的普及在这一发展中起到了核心作用，它们简化了流程，方便了集成，并加速了创新。然而，随着企业拥抱这些新应用架构，也面临着显著的安全挑战。

为了更好地理解脆弱或不安全的API以及恶意机器人的自动化攻击所带来的财务影响，ImpervaThales公司与Marsh McLennan网络风险情报中心合作，量化了与API和机器人相关的安全事件的成本。分析超过161000起网络安全事件显示，这些安全威胁每年可能给企业带来高达1860亿美元的损失。此外，收入超过1000亿美元的企业更易于发生涉及不安全API和机器人攻击的安全事件。

收入增加与API攻击的关联

API的无处不在，使得应用之间的集成和数据交换变得顺畅。大型企业依赖API加速创新、提升协作能力以及改善客户体验。然而，这种依赖同时带来了成本和风险。收入超过1000亿美元的企业，在所有收入段中面临的API攻击风险最高，据估计，其网络事件中高达18源于脆弱或不安全的API。

根据Imperva威胁研究，API的迅速采用2023年，企业平均API端点数量为613，加上许多API开发者经验不足，以及开发与安全团队之间缺乏合作，导致了安全问题。安全团队并不总能看到开发团队推向生产的API，限制了他们确保实施适当安全措施的能力。难怪API相关事件从2021年到2022年上升了40，2023年又增加了9。如今，脆弱或不安全的API每年造成高达870亿美元的损失，比2021年增加了120亿美元。

恶意机器人为何瞄准大型企业

攻击工具和人工智能的广泛可得性导致了机器人攻击的演变，使得即使是技能较低的攻击者也能发起复杂的机器人攻击，能够同时针对多个企业。因此，2022年与机器人相关的安全事件增加了88，在2023年又增加了28。

对于收入超过1000亿美元的企业，约14的网络事件与恶意机器人有关，这是所有收入段中最高的风险。这主要是因为大型企业拥有广泛的数字存在和极其有价值的资产，成为恶意机器人操作者和攻击者进行恶意活动的吸引目标，如网页抓取、暴力登录尝试、数字广告欺诈、拒绝服务攻击等。这些活动消耗带宽，减缓服务器速度，窃取敏感数据，造成财务和声誉损害。

大型企业需要关注API滥用

单独对API的攻击和机器人自动化滥用都是有害的，而当这两种威胁结合时，此类合作的严重性更加突出。

机器人已成为API安全的一个重要威胁。去年，自动化攻击占所有API攻击的30，其中17直接与机器人利用业务逻辑漏洞有关。对API的日益依赖使得组织成为这些自动化攻击的目标，因此，自动化滥用每年使企业损失高达179亿美元。这些问题在大型企业中尤为明显，它们发生API自动化滥用的可能性是小型或中型企业的23倍。此外，API和机器人相关攻击占收入超过1000亿美元