阿卡邁技術(shù)公司（Akamai Technologies, Inc.，以下簡稱：Akamai）（NASDAQ：AKAM），于近日發(fā)布了一份新的互聯(lián)網(wǎng)現(xiàn)狀報告，報告標題為《鉆過安全漏洞：應(yīng)用程序和 API 攻擊呈上升趨勢》。這份報告顯示，金融服務(wù)業(yè)仍是亞太地區(qū)及日本 (APJ) 遭受攻擊最嚴重的行業(yè)，Web 應(yīng)用程序和 API 攻擊量增幅創(chuàng)下歷史新高，攻擊次數(shù)比上一年增加了 248%。

APJ 區(qū)域金融業(yè) Web 應(yīng)用程序和 API 攻擊量增幅達 248%，明顯高于全球近 169% 的增幅，這表明該區(qū)域的金融服務(wù)企業(yè)是攻擊者的主要目標，而隨著攻擊者增加攻擊量、攻擊頻率和復(fù)雜程度，這些企業(yè)將面臨嚴重風(fēng)險。  

Akamai 亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān)Reuben Koh 解釋道：“APJ 區(qū)域的金融服務(wù)企業(yè)持續(xù)投入大量資金來推進數(shù)字化轉(zhuǎn)型，擴展以客戶為中心的數(shù)字產(chǎn)品和服務(wù)，攻擊量激增將近 250% 與這些資本投入密切相關(guān)。這對于金融服務(wù)企業(yè)來說是一個嚴重問題，因為隨著數(shù)字化程度的增加，整體攻擊面也會擴大，攻擊者將有更多機會發(fā)起網(wǎng)絡(luò)攻擊?！?/p>

在過去 24 個月內(nèi)，整個 APJ 區(qū)域 Web 應(yīng)用程序和 API 攻擊總量穩(wěn)步增加，平均每天大約發(fā)生 1000 萬次攻擊。此外，Akamai 還觀察到日攻擊次數(shù)超過 6000 萬，這表明該區(qū)域的企業(yè)繼續(xù)面臨著高強度、高針對性攻擊的風(fēng)險。

報告表明，本地文件包含 (LFI) 攻擊成為 APJ 區(qū)域最常見的攻擊媒介，同比增加約 154%，攻擊數(shù)量超過了 XSS 和 SQLi 攻擊。在 LFI 攻擊中，攻擊者會利用 Web 服務(wù)器上不安全的編碼實踐或?qū)嶋H漏洞來遠程執(zhí)行代碼或者訪問本地存儲的敏感信息。

基于 PHP 的 Web 服務(wù)器特別容易遭受 LFI 攻擊，因為現(xiàn)有的方法會繞過其輸入篩選器。包括 Facebook、WordPress 和維基百科在內(nèi)的大多數(shù)熱門網(wǎng)站都運行 PHP，這增加了攻擊者利用 LFI 漏洞的可能性。APJ 區(qū)域 LFI 攻擊的增長表明，攻擊者為了獲得更大的回報，正不斷改進攻擊技術(shù)并將目標轉(zhuǎn)移到利用消費者行為上。

另外，Akamai 的報告還揭示了 APJ 區(qū)域當(dāng)?shù)厥袌錾?Web 攻擊和 API 攻擊模式的差異化趨勢。具體如下：

●       2022 年 APJ 區(qū)域遭受 Web 應(yīng)用程序和 API 攻擊最多的前三大行業(yè)是金融服務(wù)業(yè)（20 億次）、商業(yè)（9.8 億次）和數(shù)字媒體行業(yè)（3.93 億次）。

●       澳大利亞和日本是 APJ 區(qū)域公認的著名金融中心，這兩個國家的金融業(yè) Web 應(yīng)用程序和 API 攻擊增幅最大，同比增加分別達到 259% 和 1,635%。

●       然而，2022 年澳大利亞經(jīng)歷了持續(xù)不斷增加的 Web 應(yīng)用程序和 API 攻擊，同時出現(xiàn)了幾次大爆炸式攻擊，而日本所經(jīng)歷的攻擊類型主要是大爆炸式攻擊。這表明在這兩個國家，攻擊者正將特定行業(yè)和企業(yè)作為主要目標。

●       2022 年，日本高科技產(chǎn)業(yè)遭受的攻擊同比增加也超過了 116%，這很可能與日本在研發(fā)和先進技術(shù)領(lǐng)域投入了大量資金有關(guān)。

●       印度的零售業(yè)和商業(yè)經(jīng)歷了更加持久、穩(wěn)定的攻擊活動，2022 年 Web 應(yīng)用程序和 API 攻擊同比增加近 90%。印度線上零售業(yè)的興旺和電子商務(wù)支出的不斷增長使得該行業(yè)成為網(wǎng)絡(luò)犯罪分子有利可圖的目標。印度金融服務(wù)業(yè)發(fā)生的攻擊同比增加 56%。

●       2021 年到 2022 年，APJ 區(qū)域攻擊增加最快的前三大行業(yè)是金融服務(wù)業(yè) (248%)、制造業(yè) (162%) 和公共部門 (139%)。

Koh 表示：“網(wǎng)絡(luò)犯罪分子不斷利用 Web 應(yīng)用程序和 API 發(fā)起攻擊，而為了獲得最大的投資回報率，他們會繼續(xù)使用新的攻擊技術(shù)。APJ 區(qū)域的金融業(yè)、制造業(yè)和商業(yè)是數(shù)字化創(chuàng)新的中心，因此也成為攻擊者眼中非常有利可圖的目標。”

 他總結(jié)道：“當(dāng)前的威脅形勢表明攻擊者正轉(zhuǎn)向遠程代碼執(zhí)行，并且出現(xiàn)了新的攻擊媒介，包括服務(wù)器端請求偽造 (SSRF)、服務(wù)器端模板注入 (SSTI) 和服務(wù)器端代碼注入。由于攻擊者會繼續(xù)發(fā)起無休止的攻擊，企業(yè)需要隨時了解最新的攻擊趨勢和最佳實踐，才能根據(jù)形勢及時調(diào)整防御策略?！?