Akamai的《潜伏在阴影之中：攻击趋势揭示了API威胁》报告提供了对2024年API安全威胁的全面分析。以下是报告的主要内容摘要：

- 监测能力的重要性：随着企业运营和威胁形势的演变，API安全成为关键议题。Akamai强调了将Web应用程序攻击和API攻击作为独立主题研究的必要性，以更准确地识别和应对威胁。

- API作为攻击媒介：报告显示，在2023年，29%的Web攻击以API为目标，表明API成为网络犯罪分子的重点攻击对象。攻击手段包括OWASP十大API安全风险清单中的风险，以及SQL注入和XSS等传统方法。

- 业务逻辑滥用问题：缺乏API行为基线使得识别异常API活动变得困难，增加了企业面临运行时攻击的风险。

- 行业和区域风险：报告按行业和区域说明了API攻击的风险，提供了真实案例分析，强调了合规要求和法规趋势对安全策略的影响。

- API安全防护：Akamai建议企业应尽早在安全策略流程中考虑合规要求和新法规，避免未来需要重新设计策略。

- 全球攻击趋势：分析了全球范围内的API攻击趋势，发现欧洲、中东和非洲地区(EMEA)遭受的以API为目标的Web攻击占比最高，其次是北美和亚太及日本(APJ)地区。

- 行业特定风险：商业行业受到的API攻击占比最高，其次是商业服务行业，这暗示了供应链攻击的潜在危险性。

- 案例分析：报告提供了商业垂直行业的会员欺诈、SaaS通知服务中的API滥用、潜在的BOLA攻击和盗刷攻击等案例分析。

- API攻击的背景：分析了API攻击的背景，包括企业内部缺乏API安全专业知识，以及API安全计划成熟化过程中的挑战。

- 合规性与法律风险：强调了保护API并阻断作为新攻击媒介的入口点的重要性，以及与数据保护法律和执法趋势相关的合规性问题。

- 区域性分析：提供了亚太地区及日本(APJ)和欧洲、中东和非洲地区(EMEA)的API攻击趋势的详细分析。

- 提升监测能力：报告最后介绍了提升企业API监测能力的措施，包括发现、风险审计、行为检测、调查和威胁搜寻等，以增强整体安全态势。

报告的结论强调了保护API不仅是IT团队的责任，还需要新的工具和技能，以及对API安全领域的持续关注和投资。

来源：Akamai