网宿科技发布上半年互联网安全报告:API成攻击
发布时间:2019-09-24 21:03来源: 网络整理 人民网北京9月24日电 (孙阳)近日,网宿科技发布《2019上半年中国互联网安全报告》(下称《报告》)。《报告》显示,今年上半年恶意爬虫攻击量同比呈翻番式增长;DDoS攻击与Web应用攻击数量整体平稳,但强度增强,如上半年50Gbps以上的DDoS攻击占比同比增长约5倍。同时,API接口正成为新的攻击目标,上半年平台共拦截16.53亿次针对API的攻击。
当前,恶意爬虫流量已遍布于互联网上各个行业。2019上半年,网宿云安全平台共监测并拦截了53.85多亿次爬虫攻击,同比呈翻番式增长,增幅为108.23%。
从行业分布来看,遭受攻击最严重的行业是传媒及资讯行业,占据了上半年恶意爬虫攻击事件总数的41.02%,超过之前受攻击最严重的交通运输业。
《报告》分析,传媒及资讯行业本身是信息的生产制作方,承载和传递着人们生活和工作所需的方方面面信息,天然具备信息抓取的价值,因而更易成为被爬对象。
与此同时,政府、金融及教育等行业受攻击数量均有不同幅度的上升。
2019上半年,网宿云安全平台共监测并拦截了5086.17多亿次DDoS攻击,同比增长14.80%,整体相对平稳。不过,随着云计算、物联网、人工智能等新技术的普及,上半年DDoS攻击强度不断增强,攻击手段日趋复杂。
从攻击规模看,2019上半年50Gbps以内的攻击占比仍然较大,但一个显著的变化是,50Gbps以上的攻击事件占比大幅提升至20.94%,较去年上半年的3.4%增长约5倍。与此同时,DDoS攻击平均带宽峰值不断突破,2019上半年达862.22Gbps,同比上涨71.97%。
从行业分布来看,游戏依然是2019上半年受DDoS攻击最为严重的行业,占全部DDoS攻击事件的62.08%,攻击数量环比激增300.56%。
同时,随着业务数据和内容的价值日益凸显,页面篡改、植入后门、数据窃取等Web安全事件令企业系统面临的安全威胁随之增大,造成的损失也愈发严重。
通过对平台威胁情报库数据分析后发现,单个IP发起的攻击次数、攻击类型均有所增加,这反映了组合型攻击成为Web攻击发展的趋势。与2018年相比,SQL注入、跨站脚本(XSS)和非法下载等攻击的比例均有所下降,而恶意扫描、第三方组件漏洞利用等有所上升。
在数字化浪潮下,应用程序开发中API(应用程序编程接口)的使用已成为一项标准,API随之逐渐遍布各行各业,但由于开发者对其安全性考虑不周等,一系列API接口正成为新的攻击目标。
在此背景下,本期报告首次对API流量安全情况作出分析。报告显示,2019上半年,网宿云安全平台共监测并拦截16.53亿次针对API业务的攻击,1月是API攻击的高发期。
在针对API业务发起的攻击中,恶意爬虫是最主要的攻击方式,占整体攻击数量的90.6%。恶意爬虫能对企业开放的各类不受保护、有信息价值的API接口进行不断攻击,以达到破坏、牟利、盗取信息等目的。
《报告》表示,当前业内普遍缺乏对 API 及其安全风险的态势感知,建议各大单位规范各类API接口开发,采用云防护的快速接入和性能优势,结合现网防护的业务贴合度,建立纵深分层的防护体系。