恰逢年度 RSA 网络安全会议,谷歌云宣布更新其 API 管理和预测分析服务 Apigee,旨在帮助防止业务逻辑攻击。
业务逻辑攻击是应用程序设计和实施中的缺陷,允许恶意行为者引发意外行为。它们可能很难识别——而且非常普遍。根据 Silver Tail Systems 委托进行的一项研究,2011 年至 2012 年间,90% 的公司因业务逻辑攻击而损失了收入。
为了对抗这些类型的攻击,谷歌在 Apigee 中引入了新的机器学习模型,据称这些模型经过训练可以检测潜在的业务逻辑攻击。谷歌云声称,这些模型——可供所有 Apigee Advanced API Security 客户使用,并根据谷歌内部数据进行训练——足够敏感,可以检测到微妙的行为,比如攻击者控制服务器改变了所述服务器的“活动模式”。
“支持 API 滥用检测的机器学习模型已经被谷歌内部团队训练和使用,以保护我们面向公众的 API,”谷歌云产品经理 Shelly Hershkovitz 在一篇博客文章中说。 “这些模型依赖于多年的学习和最佳实践。”
除了这些模型,Apigee 还引入了仪表板,通过在大量警报中寻找模式,表面上可以更准确地识别 API 滥用。正如 Hershkovitz 所说,仪表板试图“捕捉攻击的本质”,以及攻击来源、API 调用次数和攻击持续时间等重要特征。
Hershkovitz 继续说道:“随着 API 流量的增长,世界各地的企业也面临着恶意 API 攻击的增加,这使得 API 安全成为一个更高的优先事项。” “我们正在使检测 API 滥用事件变得更快、更容易。”
图片来源: Apigee
就 Hershkovitz 的观点而言,企业中对 API 安全性的担忧确实在增长——而且还在增长。根据一项调查(虽然是由 API 安全供应商进行的,完全透明),到 2022 年底,API 攻击出现了大幅飙升,数量比几个月前增加了 400%。
这些攻击可能代价高昂。 Imperva 对近 117,000 起安全事件的分析发现,API 不安全每年给组织造成 410 亿至 750 亿美元的损失。 Open Worldwide Application Security Project 的另一份报告表明,小型公司面临的 API 安全事件数量最多,其中大多数事件影响的公司收入低于 5000 万美元——这使得每一次违规对底线的破坏都更大。
谷歌自己的研究——必须持保留态度——表明 50% 的组织在过去 12 个月内经历过 API 安全事件;其中,77% 的人推迟了新服务或应用程序的推出。
Hershkovitz 说:“组织及早发现和减轻 API 滥用事件以防止对企业造成长期的财务和声誉损害至关重要。” “API 安全事件越来越普遍且具有破坏性。”
Apigee 推出由Kyle Wiggers最初发布于TechCrunch 的新人工智能 API 保护功能
原文: https://techcrunch.com/2023/04/24/apigee-rolls-out-new-ai-powered-api-protection-features/