中关村在线消息,负责支持和保护网络生活的云服务提供商Akamai于近日发布了一份新的互联网现状报告,报告标题为《钻过安全漏洞:应用程序和API攻击呈上升趋势》。这份报告显示,金融服务业仍是亚太地区及日本(APJ)遭受攻击最严重的行业,Web应用程序和API 攻击量增幅创下历史新高,攻击次数比上一年增加了248%。
APJ区域金融业Web 应用程序和API攻击量增幅达248%,明显高于全球近169%的增幅,这表明该区域的金融服务企业是攻击者的主要目标,而随着攻击者增加攻击量、攻击频率和复杂程度,这些企业将面临严重风险。
(资料图片)
Akamai亚太地区及日本安全技术和战略总监Reuben Koh 解释道:“APJ区域的金融服务企业持续投入大量资金来推进数字化转型,扩展以客户为中心的数字产品和服务,攻击量激增将近250%与这些资本投入密切相关。这对于金融服务企业来说是一个严重问题,因为随着数字化程度的增加,整体攻击面也会扩大,攻击者将有更多机会发起网络攻击。”
在过去24个月内,整个APJ 区域Web应用程序和API攻击总量稳步增加,平均每天大约发生1000万次攻击。此外,Akamai还观察到日攻击次数超过6000万,这表明该区域的企业继续面临着高强度、高针对性攻击的风险。
报告表明,本地文件包含(LFI)攻击成为APJ 区域最常见的攻击媒介,同比增加约154%,攻击数量超过了XSS 和SQLi 攻击。在LFI攻击中,攻击者会利用Web服务器上不安全的编码实践或实际漏洞来远程执行代码或者访问本地存储的敏感信息。
基于PHP的Web服务器特别容易遭受LFI攻击,因为现有的方法会绕过其输入筛选器。包括Facebook、WordPress和维基百科在内的大多数热门网站都运行PHP,这增加了攻击者利用LFI漏洞的可能性。APJ区域 LFI攻击的增长表明,攻击者为了获得更大的回报,正不断改进攻击技术并将目标转移到利用消费者行为上。
另外,Akamai的报告还揭示了APJ区域当地市场上Web攻击和API 攻击模式的差异化趋势。具体如下:
2022 年 APJ区域遭受Web应用程序和API攻击最多的前三大行业是金融服务业(20 亿次)、商业(9.8 亿次)和数字媒体行业(3.93 亿次)。
澳大利亚和日本是APJ区域公认的著名金融中心,这两个国家的金融业Web应用程序和API攻击增幅最大,同比增加分别达到259%和1635%。
然而,2022 年澳大利亚经历了持续不断增加的Web应用程序和API攻击,同时出现了几次大爆炸式攻击,而日本所经历的攻击类型主要是大爆炸式攻击。这表明在这两个国家,攻击者正将特定行业和企业作为主要目标。
2022年,日本高科技产业遭受的攻击同比增加也超过了116%,这很可能与日本在研发和先进技术领域投入了大量资金有关。
印度的零售业和商业经历了更加持久、稳定的攻击活动,2022 年Web应用程序和API攻击同比增加近90%。印度线上零售业的兴旺和电子商务支出的不断增长使得该行业成为网络犯罪分子有利可图的目标。印度金融服务业发生的攻击同比增加56%。
2021年到2022年,APJ区域攻击增加最快的前三大行业是金融服务业 (248%)、制造业 (162%) 和公共部门 (139%)。
Koh表示:“网络犯罪分子不断利用Web应用程序和API发起攻击,而为了获得最大的投资回报率,他们会继续使用新的攻击技术。APJ区域的金融业、制造业和商业是数字化创新的中心,因此也成为攻击者眼中非常有利可图的目标。”
他总结道:“当前的威胁形势表明攻击者正转向远程代码执行,并且出现了新的攻击媒介,包括服务器端请求伪造(SSRF)、服务器端模板注入(SSTI)和服务器端代码注入。由于攻击者会继续发起无休止的攻击,企业需要随时了解最新的攻击趋势和最佳实践,才能根据形势及时调整防御策略。”
网络空间安全防御与态势感知 网络空间安全技术丛书
[经销商]京东商城
[产品售价]
进入购买
关键词: