攻擊者的“武器庫”已由簡單的腳本工具升級為具備自我進化能力的AI代理,它們能像職業(yè)滲透測試員般思考,分析漏洞庫中的歷史數據,生成針對特定行業(yè)API的定制化攻擊鏈,甚至利用強化學習在對抗中優(yōu)化攻擊策略。而防御者面臨的不僅是技術迭代的挑戰(zhàn),更是一場與合規(guī)監(jiān)管的賽跑、與商業(yè)利益博弈的復雜“戰(zhàn)爭”。
AI重塑攻防格局
Akamai發(fā)布的最新《2025年Web應用與API安全態(tài)勢報告》(以下簡稱報告)揭示了一個關鍵矛盾:AI技術的爆發(fā)式應用既加速了數字經濟發(fā)展,也為網絡安全帶來顛覆性挑戰(zhàn),攻擊者已形成完整的AI化鏈條。
目標選擇精準化:AI通過自動化掃描企業(yè)公開數據,快速識別高價值目標。
攻擊工具智能化:生成式AI可批量編寫混淆代碼的釣魚郵件,甚至模仿企業(yè)高管通信風格進行社會工程攻擊。
攻擊模式復雜化:利用AI驅動的“行為模擬引擎”,攻擊者能繞過傳統(tǒng)簽名檢測,例如通過機器學習動態(tài)調整SQL注入語句結構,使注入攻擊檢測難度增加三倍。
AI對攻擊效率的提升呈現(xiàn)指數級躍遷。但AI對防御體系的革新更具革命性,面對AI驅動的“零日漏洞利用?自動化滲透?數據竊取”攻擊鏈,企業(yè)需構建以AI對抗AI的動態(tài)防御體系。
• 持續(xù)發(fā)現(xiàn):利用AI從海量用戶網絡流量中識別API,判斷其是否為新API、是否有變化,以及其合規(guī)性和潛在漏洞。這種識別有助于制定治理和策略。
• 高級檢測:通過AI快速發(fā)現(xiàn)異常攻擊和不合規(guī)情況,減少誤判和漏判。AI分析語義層面的攻擊意圖,有效識別高級混淆攻擊,提升檢測準確性。
• 態(tài)勢感知與響應:使用AI和大數據分析評估API風險等級,識別高危漏洞。通過自然語言交互,提升“發(fā)現(xiàn)、治理、響應”及“復盤”的效率。
值得關注的是,Akamai還將推出的AI模型防火墻,旨在保護企業(yè)使用的大型語言模型(LLMs),標志著防御技術進入新時代。
API的新安全危機
2023至2024年全球API攻擊量突破1500億次,年增長24%的背后,暴露出企業(yè)數字化轉型中的三大致命短板。
影子API失控:47%的企業(yè)無法完整統(tǒng)計API資產,導致攻擊者通過未文檔化的“僵尸API”和“影子API”竊取數據。
授權機制失效:OWASP API Top 10中,身份認證類漏洞是API漏洞中最具威脅的攻擊向量之一(OWASP API2/ OWASP API3/ OWASP API5)
測試體系崩塌:每日進行API安全測試的企業(yè)從37%驟降至13%。
更為嚴峻的是,API風險正在向物理世界滲透。
某智能建筑管理平臺的溫度控制API漏洞,曾被攻擊者用于制造數據中心過熱警報,迫使運維人員手動關閉安全系統(tǒng),這為后續(xù)的數據竊取打開了致命窗口。此類“數字?物理”混合攻擊的案例在2024年增長217%,預示著關鍵基礎設施面臨前所未有的威脅,API安全已從技術問題演變?yōu)橄到y(tǒng)性風險。
合規(guī)風暴下的新安全法則
在這場席卷全球的合規(guī)監(jiān)管革命中,企業(yè)正在面臨重新定義安全投入的性價比公式。
北美:美國CIRCIA法案要求關鍵基礎設施企業(yè)對其信息系統(tǒng)(如API)進行清點、分類網絡風險,違規(guī)企業(yè)或個人將面臨處罰。
歐盟:DORA法案強制金融機構對第三方API服務商進行穿透式監(jiān)管,并要求金融機構建立強大的ICT風險管理框架、事件報告機制和數字運營韌性測試計劃。
亞太:新加坡《網絡安全法》將API安全納入關鍵信息基礎設施(CII)保護范圍。
在AI威脅與合規(guī)壓力疊加的背景下,《報告》提出下一代安全架構構建的六項安全策略。
建立全面的安全計劃: 把安全需求放到整個開發(fā)的環(huán)節(jié)當中,例如“開發(fā)左移”、踐行DevSecOps,提高可見性、提高持續(xù)的發(fā)現(xiàn)能力,并且要把合規(guī)性要求納入計劃當中。
實施穩(wěn)健的互聯(lián)網安全措施:用AI來對抗AI,用持續(xù)性的監(jiān)控能力去應對復雜的互聯(lián)網安全態(tài)勢;同時,注重動態(tài)安全測試的重要性。很多漏洞可能會在開發(fā)和測試階段無法避免,只有在后期動態(tài)測試的角度才能夠有效的解決,特別是API的風險。
采取主動防御策略:積極主動地采取安全措施防護手段應對風險,比如設立DDoS防護工具、關注漏洞補丁,積極地采取漏洞管理。同時,也要對基礎設施,比如容易忽視的DNS、網絡出口等等進行充分評估,然后選擇合適的方案應對。
緩解API漏洞:盡早發(fā)現(xiàn),在開發(fā)階段、測試階段,就發(fā)現(xiàn)潛在的安全漏洞。同時,用一些成熟的框架幫助安全人員和運維人員有效地治理這些安全風險。
抵御勒索軟件威脅:要考慮到抵御勒索軟件威脅,當勒索軟件在企業(yè)內部被復制和啟用之后,很多安全漏洞都難以有效防控,所以需要重點關注勒索軟件的內部滲透。
積極面對人工智能并做好準備:要全面地利用AI技術做防控的策略,同時也要做好人員的培訓,要讓安全人員提前利用好、準備好這些AI技術,出現(xiàn)風險的時候能夠利用對應的技術做有效的應對。
結語:在技術奇點與安全重構之間尋找確定性
當AI技術以月為單位迭代進化,當API成為數字經濟的“神經網絡”,當合規(guī)要求跨越國界,企業(yè)安全建設已進入“三維博弈”的新紀元。
Akamai《報告》揭示的不僅僅是冰冷的攻擊數據,更在于指明要將AI的自我進化能力轉化為防御體系的免疫系統(tǒng),讓API的開放性與安全性達成動態(tài)平衡,在合規(guī)框架內重建商業(yè)創(chuàng)新的安全基線。
馬俊 Akamai大中華區(qū)解決方案技術經理
正如Akamai大中華區(qū)解決方案技術經理馬俊所言:針對AI新技術的網絡攻擊威脅,最好的辦法是利用AI技術進行治理,用AI來加速安全運維,充分利用AI能力去應對API及其他安全所帶來的新挑戰(zhàn)。
此刻,也許你的企業(yè)距離下一次AI驅動的網絡攻擊倒計時已經開始。問題是,你的防御體系,是否比攻擊者的算法跑得更快?
