在數位時代浪潮下，API 已成為網路和行動應用程式開發的關鍵技術，帶來快速開發、無縫整合與優化用戶體驗的優勢。然而，隨著 API 的普及，它們也成為攻擊者的首要目標，特別是利用高度複雜機器人攻擊的駭客。

Imperva 推出《2024 年 API 安全態勢報告》、《API 和機器人攻擊的經濟影響》，透過威脅研究團隊蒐集的實際 API 攻擊數據，檢視當前 API 安全威脅趨勢，並提供未來一年所需的實用安全建議。同時，Imperva 也進一步與 Marsh McLennan 網路風險情報中心合作，分析超過 161,000 件與 API 及機器人攻擊相關的資安事件，評估 API 安全漏洞與機器人攻擊可能產生的重大經濟和商譽損失。

API 安全現狀

高達 71% 的網路流量為 API 呼叫（或 API 要求）

API 的廣泛使用正擴大攻擊者的攻擊面，因此了解 API 相關風險和複雜性以及 API 安全的重要性對組織用戶而言至關重要。

目前企業網站每年平均有 15 億次 API 呼叫，數據顯示，2023 年 API 已佔所有網路流量的 71% 以上，大量非人類的網路流量，特別是自動化機器人活動，突顯出加強 API 安全措施的必要性。Imperva 的報告中也深入探討 API 流量超過正常網路流量對資安可能造成的影響。

API 攻擊媒介 Top 10

統計數據顯示，業務邏輯濫用是 2023 年最主要的 API 攻擊途徑，佔比達 27% ，較前一年（2022 年）的 17% 增加了 10%。特別需要注意的是，19% 攻擊來自自動化代理程式，也就是惡意機器人攻擊。

具備超過 10 億次 API 呼叫和 50% 機器人流量的用戶佔比

非人網路流量與自動化攻擊代理程式的增長，共同創造了一個讓 API 易受攻擊的環境。

API 所面臨的最大風險來自於機器人的自動化濫用，因此強大的機器人防護也成為 API 安全策略中不可或缺的要素。隨著使用範圍擴大，API 成為駭客利用惡意機器人進行攻擊的目標，且這些針對 API 的自動化攻擊可能造成機敏資料遭竊取、聲譽損害、財務損失和監管處罰等重大後果。

因此了解良性與惡意機器人的差異對企業而言至關重要。

API 的設計初衷是為了能夠無縫地與自動化應用程式進行互動。然而，隨著大量的 API 請求與機器人流量增加，兩者的安全也逐漸受到重視。在具有大量 API 活動（超過 10 億次請求）的客戶網站中，Imperva 發現超過 56% 的客戶有一半以上流量來自機器人活動。這項數據突顯了此項威脅已迫在眉睫，同時也須了解自動化流程在 API 運作中的合法性，以及如何區分惡意和良性機器人流量。

針對 API 網站的 DDoS 攻擊

API 目標攻擊產業

2023 年針對 API 網站的 DDoS 攻擊仍以金融服務業最多（27.9%），其次是商業領域（18.5%）、電信與 ISP（9.8%）。

根據 Imperva 報告所提供的數據，API 流量佔比最高的產業是銀行金融（32.5%），其次是電子商務（19.7%），排名第三的則是娛樂業（8.1%），包括串流媒體服務和線上新聞網站等。

而 2023 年最常受到 API 攻擊的產業同樣由金融服務業（20%）佔居首位，其次是商業（16.9%）、第三則是 API 流量僅佔 4.1 %的旅遊業（11.2%）。

API 與機器人攻擊的經濟影響

Imperva 與 Marsh McLennan 網路風險情報中心合作，分析與 API 和機器人相關的資安事件資料，以量化 API 安全漏洞和機器人攻擊可能產生的成本。這項分析涵蓋超過 161,000 起獨立的資安事件，提供關於不斷增長的威脅情勢分析，以及 API 安全漏洞和缺乏機器人管理可能造成的財務影響預測：

Imperva 認為，這些驚人的估算數據顯示了原本可以充分避免的損失。如果企業從一開始就投資全面的 API 安全和機器人管理解決方案，將能大幅減少 API 和機器人相關的損失，特別是在 API 採用日益普及的情況下。

分析顯示，大型企業可能更容易遭遇 API 安全事件，這可能是因為它們廣泛部署、使用 API，進而增加了遭受攻擊的風險。根據 Marsh McLennan 網路風險情報中心的資料，在比較 API 相關和 API 無關的資安事件時，發現企業收入與 API 安全事件的頻率呈正相關。對於年營收超過 1,000 億美元的企業，預估將有高達 18% 的資安事件與 API 相關。

在這類大型企業的資安事件中，估計多達 14% 與機器人有關。若進一步統計與 API 和機器人相關的資安事件，則佔比將高達 25%，顯見保護 API 免受複雜、自動化威脅的必要性。

結論與建議

總而言之，主動保護 API 對企業組織至關重要，而其中最大的挑戰是惡意機器人帶來的威脅。Imperva 報告中提供有效增強 API 安全的戰略指南。從完整的發現流程開始，持續更新 API 資產以解決風險。透過目標風險評估，優先保護重要 API，並建立強大的主動威脅偵測監控系統。採用完整的 API Security 方案對於因應挑戰、保護資料和強化韌性十分重要，特別是來自 API 和機器人的雙重威脅，這些攻擊的重疊現象突顯了高度數位化環境中相互關聯的漏洞。

因此，企業必須實施全面的安全策略，採取適合其規模和業務複雜度的防護措施。以下是改善您未來一年 API Security 態勢的建議：

• 發現、分類並清點所有 API、端點、參數、負載（payloads）。透過持續發現，產出一份隨時更新的 API 清單，並揭露機敏資料的暴露情況。
• 識別、保護具機敏性及高風險的 API。針對容易受到「授權與身份驗證破壞」和「資料過度暴露」攻擊的 API 端點進行風險評估。
• 建立健全的 API 端點監控系統，主動偵測、分析可疑行為和存取模式。
• 採用 API Security 方案，整合 WAF、API 防護、DDoS 防禦和機器人防護。全方位的緩解選項提供了應對日益複雜的 API 攻擊所需的彈性及進階保護。

歡迎下載完整報告內容，獲得更多關於 API Security 的態勢分析資訊和企業防護建議！