4MP7g7WemUI tech.huanqiu.comarticleAkamai马俊:AI是网络安全的双刃剑,驱动攻击与防护并进/e3pmh164r/e3pn4gh77<article><section data-type="rtext"><p>环球网财经中心《环球问策》系列报道</p><p>【环球网科技报道 记者 林迪】近日,Akamai发布《2025年Web应用与API安全态势分享》(以下简称《报告》),Akamai大中华区解决方案技术经理马俊向记者深入解读了该《报告》。马俊强调,AI技术正深刻影响着互联网安全的格局。</p><p><i class="pic-con"><img data-alt="Akamai大中华区解决方案技术经理马俊" src="//img.huanqiucdn.cn/dp/api/files/imageDir/67906ba973616ce6f910a7394f1d079du1.png?imageView2/2/w/1260" /></i></p><p>他指出:“AI已经被广泛地用在了互联网的自动化攻击、漏洞预测和使用,并且广泛地利用在了代码编程上。所以我们针对AI新技术的网络攻击威胁,最好的办法也是利用AI的技术去进行治理。”</p> <adv-loader __attr__inner="7004636" __attr__style="width: auto;position: relative;float: left;border: 1px solid #ebebeb; padding: 20px;overflow: hidden;margin: 10px 30px 40px 0;"></adv-loader> <p>《报告》显示,2024年全球Web攻击次数达到3110亿次,同比增长33%。特别是在亚太地区,Web攻击激增73%至510亿次。API攻击同样不容忽视,OWASP API Top 10相关攻击月增长率达32%,API风险损失预计将在2026年超过1000亿美元。</p><p>马俊进一步解释了Web攻击与API攻击的区别与联系:“Web是我们在网页当中可见的那部分,而API攻击则是针对软件之间通信接口的攻击。两者既有相同之处,也有诸多差异。”</p><p>他特别指出,未授权或不恰当的授权是导致敏感数据泄漏和系统渗透的主要原因。</p><p>在API安全方面,《报告》揭示了四大风险:API滥用、测试频率下降、缺少事先测试以及僵尸API和影子API。马俊举例说:“我们发现某个电子商务企业因API未进行充分校验,导致同一时间从不同IP地址发起大量请求,造成虚假用户注册和短信发送,带来了直接的经济损失。”</p><p>随着全球各地区对互联网安全和数据隐私保护的要求日益严格,合规性成为企业不可忽视的重要方面。《报告》指出,违反OWASP和MITRE框架的API安全事件显著加剧了企业的合规风险。马俊强调:“OWASP API3/API5/API2等身份认证漏洞因过度暴露用户隐私数据,导致大规模数据泄露,给企业带来了非常大的安全风险。”</p><p>不同行业在面临API安全风险时,既有特异性也有共性。马俊分析道:“电子商务行业在购物季、促销季等时段攻击水平显著提升,而金融行业则可能因地缘政治事件引发针对性攻击。但无论哪个行业,都面临着复杂性Web攻击和AI驱动的新攻击模式。”</p><p>《报告》提到,AI技术被攻击者用于战略性选择目标、攻击自动化、流量型攻击以及基于行为的攻击等模式。马俊警告说:“AI通过自动化编写钓鱼邮件,诱导点击后窃取设备信息并挖掘企业系统漏洞,形成复杂性增强的攻击链。”</p><p>据介绍,在亚太地区,Web与API攻击总量年增73%至510亿次,金融业成为Web攻击的主要目标,年增长率超过52%。新加坡在DDoS攻击方面尤为严重,2024年遭受了4.7万亿次攻击,位居全球前列。马俊指出:“新加坡、印度、韩国和印尼是DDoS攻击的主要受害国家,12月峰值达5040亿次,创历史新高。”</p><p>针对当前的安全挑战,Akamai在《报告》中提出了六项安全策略,助力企业构建全面防护体系。</p><p>马俊总结道:“我们需要建立全面的安全计划,实施稳健的互联网安全措施,采取主动防御策略,缓解API漏洞,抵御勒索软件威胁,并积极应对AI带来的新挑战。”</p><p>具体来看,策略包括将安全需求融入开发环节、利用AI对抗AI攻击、部署DDoS防护工具、加强API测试与态势管理、重点防控内部渗透风险以及全面应用AI防控技术等。马俊强调:“我们要利用AI技术提升安全运维效率,同时加强安全人员的AI技能培训,以更好地应对未来安全挑战。”</p><p>展望未来,马俊认为,AI技术将继续深刻影响API安全防护模式。他透露:“Akamai即将发布针对AI模型具有防护能力的AI防火墙,以应对当AI本身成为攻击目标的新趋势。”他强调,企业需提前布局AI安全防护能力,利用AI加速安全运维,对抗AI攻击,并保护自身AI系统的安全。在构建API安全生态方面,马俊倡导安全厂商、云服务商与用户之间形成共享责任的合作模式。</p></section></article>1745461899828环球网版权作品,未经书面授权,严禁转载或镜像,违者将被追究法律责任。责编:代玉环球网174546189982811[]//img.huanqiucdn.cn/dp/api/files/image/85a51c4e750d2dc173cbe6616e6f1d5bc1.png{"email":"daiyu@huanqiu.com","name":"代玉"}
