为什么针对API的Bot自动化攻击越来越多？半岛APP

　　API是连接现代应用程序的基石，越来越多的企业意识到API的重要性，其数量迎来爆发式增长，但API面临的安全威胁却比API调用增长更加迅猛。SaltSecurity于今年2月发布的报告显示，2022年有91%的公司存在与API相关的安全问题，80%的组织认为他们的安全工具不能有效地防止API攻击。

　　为了强调API安全的重要性，OWASP在2019年首次提出了APISecurityTop10，并于2023年发布了APISecurityTop10的内容更新。此次更新内容专门增加了“API缺少对自动化威胁的防护”内容，这说明在实际应用中，很多企业API缺乏对自动化攻击的防护措施。

　　CequenceSecurity在最新发布的2022年度API安全报告中也指出，API已成为主要攻击媒介，而自动化攻击则是API安全的主要威胁。

　　事实上，随着人工智能、机器学习等技术的发展，Bot自动化攻击手段变得越来越普遍和复杂。Bot自动化攻击可以快速、准确地扫描API漏洞或对API发起攻击，对系统造成严重威胁。

　　那么，究竟什么是针对API的Bot自动化攻击？这种攻击是如何发生的，以及为什么会变得越来越普遍？

　　所谓Bot，是Robot（机器人）的简称，一般指无形的虚拟机器人，也可以看作是自动完成某项任务的智能软件。它可以通过工具脚本、爬虫程序或模拟器等非人工手动操作，在互联网上对Web网站、APP应用、API接口进行自动化程序的访问。

　　Bot自动化攻击(BotAttack)，是指通过工具或者脚本等程序，对应用系统进行的攻击或探测，它不仅仅是一种自动化的应用漏洞利用的攻击行为，更多是利用业务逻辑漏洞的威胁行为，甚至是模拟合法业务操作，躲避现有安全防护手段的自动化威胁行为。

　　因此，攻击者可以通过完全合法有效的API调用实现Bot自动化攻击，操纵、欺诈或破坏API，以达到获取核心系统权限、窃取敏感信息、植入恶意软件、发起DoS攻击等目的。

　　当利用这些Bot自动化程序专门攻击API时，或者当攻击者利用Bot来增加API攻击的规模、影响和复杂性时，这就是针对API的Bot自动化攻击。

　　多年来Bot自动化程序一直被用于网络攻击，但是为什么当它被用于API攻击时会引起如此高的关注呢？这是由于API的广泛使用和链接为恶意攻击者提供了广阔的攻击面，一旦成功攻击API，就能获取大量企业核心业务逻辑和敏感数据。

　　与针对Web应用程序的Bot自动化攻击相比，针对API的Bot自动化攻击更容易且更具成本效益。

　　API的保护程度通常不及网站和移动应用程序。有业内人士认为，如今的API安全性就如同应用程序安全性在2009年的发展水平。一旦攻击者分解了一个Web应用程序并弄清楚了它的通信方式，他们就可以可以使用和WebAPI相同基础结构的攻击机制。

　　同时，攻击者可以随时租用价格低廉的Bot、僵尸网络等攻击工具，不需要太多资源或深厚的技术知识就可以发起针对API的Bot自动化攻击。

　　而API更加匿名，API请求不经过浏览器或原生应用程序代理的传统路径，它们充当可以访问资源和功能的直接管道，这使得API成为攻击者有利可图的目标。

　　影子API是目前API安全中最为突出的问题，由于API的使用率激增，企业往往无法全部跟踪管理，因此一些API无法及时进行维护更新，就会成为被攻击者公开利用的漏洞。

　　与影子API类似，僵尸API对组织来说也是一个巨大的安全风险，通常指的是旧的、很少使用的API版本。由于僵尸API很少得到安全团队的注意，所以也给了犯罪分子恶意利用的可乘之机。

　　根据CequenceSecurity最新发布的2022年度API安全报告显示，2022年影子API激增900%，近七成（68%）的受访企业暴露了影子API，凸显了API可见性的缺乏。仅在2022年下半年，就有约450亿次搜索影子API的尝试，比2022年上半年的50亿次尝试增加了900%。

　　当攻击者利用Bot自动化工具来映射企业的IT架构，并窥探影子API、僵尸API时，整个攻击过程会变得更加快速、简单和敏捷。

　　开发人员倾向于使用通用规则集，并将API保留为默认配置，而不考虑业务逻辑，这会产生业务逻辑缺陷。

　　即便提前通过安全设计审查预防API业务逻辑缺陷，随着API承载的逻辑越来越复杂，API不可避免的存在着可以被利用的Bug或逻辑缺陷，而且每一个API都不同，产生的漏洞逻辑也是独一无二。

　　许多扫描工具都依赖于已知规则和行为识别风险，这种方法很难检测或阻止攻击者利用每个API中独特的业务逻辑缺陷来进行的攻击。利用Bot自动化工具，攻击者可以基于这些漏洞造成严重破坏，同时通过看似合法的API请求逃避检测。

　　相比人工，Bot自动化程序有着难以匹敌的速度。攻击者可以利用Bot自动化程序，在未经身份验证的情况下向端点发送大量API请求，暴力破解并快速填充凭证，在短时间内收集大量数据。

　　Bot自动化攻击还可以被攻击者用来分散安全团队的注意力。例如，攻击者可能会利用僵尸网络触发数千个安全警报，以误导安全团队跟进。

　　API具备开放性的特点，攻击者可以和正常用户一样来调用API，导致攻击者的流量隐藏在正常用户的流量里面，其攻击行为会更加隐蔽、更难发现。

　　事实上，Bot自动化工具被用于API攻击，也是因为它非常隐蔽且能避免被高级的安全工具检测到。攻击者往往会利用大量的、低成本的Bot自动化工具，伪装成正常的请求流量，绕过传统安全策略对敏感数据进行低频慢速的爬取。这些Bot自动化程序能够在没有人干预的情况下，根据编程规则和时间推移学习，随时随地做出决策。

　　当利用Bot通过合法帐户进行API攻击时，传统WAF和API网关安全方案却日益疲软。

　　此类攻击多以合法身份登录、模拟正常操作、以多源低频请求为主，而传统WAF安全主要基于攻击特征与行为规则实行被动式防御,在和真人操作几乎无异的Bot攻击行为面前已逐渐失效；同样，提供身份认证、权限管控、速率限制、请求内容校验等安全机制的传统API网关，在遇到此类情况时几乎无用武之地。

　　同时，传统WAF和API网关安全方案的部署与维护成本过高，这些方案并不是专门为保护API设计的，在阻止API的Bot自动化攻击方面效果更差。

　　毫无疑问，2023年恶意Bot、高级Bot自动化威胁工具将立足效率高、影响力大半岛APP，防护薄弱API的发展趋势将愈加明显。

　　引入API资产管理，借用API安全工具通过对访问流量进行分析，自动发现流量中的API接口，对API接口进行自动识别、梳理和分组。同时，从API网关上获取API注册数据，与API资产进行对比，从而发现未知API接口。

　　综合利用AI、大数据、威胁情报等技术，持续监控并分析流量行为，有效检测威胁攻击，对API安全攻击进行实时防护。同时，对API请求参数进行合规管控，对不符合规范的请求参数实时管控。

　　对API传输中的敏感数据进行识别和过滤，并对敏感数据进行脱敏或者实时拦截，规避数据安全风险。

　　建立多维度访问基线和API威胁建模，对API接口的访问行为进行监控和分析。一方面，监控基线偏离状况，针对高频情况等进行防护，防止高频情况等造成的API性能瓶颈；另一方面，高效识别异常访问行为，避免恶意访问造成的业务损失。同时，从API网关上获取API认证和鉴权数据，防止未授权的API调用，保障API接口只能被合法用户访问。

　　目前，国内针对API防护已经有了完善的创新安全方案。瑞数信息作为中国动态安全技术的创新者和Bots自动化攻击防御领域的专业厂商，推出的“瑞数API安全管控平台”覆盖了API安全防护管理全生命周期，可以有效应对包括Bot自动化攻击在内的API安全威胁。

　　“瑞数API安全管控平台”作为国内首批通过中国信通院“云原生API安全能力”评估的API安全产品，已广泛应用于金融、快消、零售、运营商、能源等多个行业，为企业实现API安全管控和数据安全提供有力支持。

　　北通阿修罗2Pro+多模无线电脑Steam手机PC电视Switch双人成行地平线塞尔达王国之泪原神 星云

　　Piva派威S3半入耳式游戏耳机有线mm有线-音效升级I听声辨位更精准

　　海信（Hisense）滚筒洗衣机全自动 10公斤洗烘一体ACT全时活水 超薄嵌入 蒸汽除菌除螨 以旧换新 HD100DSE12F

　　神眸 wifi智能无线摄像头电池室外免插电家用可对线度户外全景防水夜视手机远程

　　新华三H3CNX15000万兆WiFi6家用路由器无线G双频信号放大大户型全屋覆盖 黑色

　　顺丰 斗鱼DKM200机械键盘75热插拔Gasket客制化电脑笔记本电竞lol

　　摩动（modong）即热式茶吧机家用饮水机智能全自动上水下置桶装水客厅办公室小型立式速热泡茶 MD-CB82温热款

　　神牛（Godox） 补光灯sl200w三代摄影灯直播补光灯常亮灯柔光球直播套装摄影摄像视频拍摄常亮灯 SL200W三代【 全新三代升级，可手机蓝牙连接】 标配

　　现货速发/赠碎屏宝】小米Redmi红米K60 5G手机官方旗舰店官网正品小米k60智能旗舰红米k60小米手机pro

　　联想个人云X1 nas网络云存储 【4盘位+1扩展 无盘版】intel四核CPU+8G内存 私有云 家庭网盘企业硬盘

　　FITURE SLiM【现货】魔镜智能健身mini健身魔镜镜子AI智能健身镜家用 魔镜mini 享1年会员

　　荣事达（Royalstar）电炒锅家用4L多功能大功率爆炒上蒸下煮一体电煮锅电热锅大容量电蒸锅电火锅 DCG04B单笼

　　Vidda海信电视 X85 Pro 85英寸游戏电视 144Hz高刷 全面屏4+64G智能液晶巨幕平板电视以及换新85V3K-PRO 询客服享好礼

　　倍思 苹果三合一无线充电器Magsafe磁吸支架20W快充适用于iPhone14/13/12Pro Max手机耳机iWatch手表

　　微软Surface Pro 9 商用版 i7 16G+512G 13英寸高刷新 石墨灰 二合一平板高端笔记本电脑 Win11Pro QIY-00025

　　Word首行缩进2字符怎么设置 Word首行缩进2字符设置方法【详解】