防範應用程式三大威脅：API 攻擊、AI 威脅與惡意機器人

文／鄭宜芬

根據 Imperva Threat Research 研究，API 流量佔全球網路流量 71%，威脅也隨之而來，44% 高階機器人流量以 API 為目標，遠高於針對網路應用程式的 10%。顯示攻擊者利用 API 端點濫用商業邏輯、發動詐騙並存取機敏資料。Thales 全球副總裁暨應用安全總經理 Tim Chang 強調，針對不斷演進的 API 攻擊、AI 技術與惡意機器人，建議透過發現、評估與回應三大步驟，才能抵禦日益複雜的網路威脅。

[ 加入 CIO Taiwan 官方 LINE與 Facebook，與全球 CIO 同步獲取精華見解 ]

API 威脅的演變與關鍵風險

API 使企業能夠順暢連接服務、實現營運最佳化並大規模提供個人化體驗，但同時也將企業暴露於多樣化攻擊。Imperva Threat Research 指出，攻擊者常利用技術轉型期發動攻擊，遠快於企業內部資安組織的應變能力。常見攻擊類型可分為技術型（利用資料漏洞）、大量型（高流量衝擊）及行為型（模擬合法使用者行為）等。

• API 特定攻擊：針對不可見介面造成重大損，直接存取機敏資料或操縱業務邏輯，可能導致大規模資料外洩、系統功能異常或業務中斷。
• AI 化自動攻擊行為：利用 AI 技術執行資料外洩或誤用應用程式功能，攻擊複雜度高，涉及行為模擬，難以傳統方式防禦。
• 惡意機器人：執行自動化詐欺、黃牛搶購、資料抓取或帳號盜用，影響網站運營與用戶體驗。
• 資料外洩：例如透過搜尋框竊取個人資料、財務資訊或其他機敏資料，導致隱私侵害、客戶信任下降及潛在法律責任。
• DDoS 攻擊：透過高流量衝擊，導致網站服務癱瘓。

BOLA 為 API 安全十大風險之首

OWASP（開放式網頁應用服務安全專案）將物件層級授權中斷（Broken Object Level Authorization, BOLA）列為 API 安全十大風險之首，構成重大業務風險。攻擊者可竊取 API 冒充使用者，從手機應用程式查詢中提取敏感資料，可能導致資料外洩、法規違規及客戶信任喪失。

1. 物件層級授權中斷
2. 無效的身份認證
3. 物件屬性級別授權失效
4. 不受限的資源消耗
5. 無效的功能權限控管
6. 不受限地存取敏感商務流程
7. 伺服器端請求偽造
8. 安全配置錯誤
9. 庫存管理不當
10. API 的不安全使用

Tim 強調，API 攻擊風險往往被低估，許多企業原以為僅有數個 API，但透過掃描後才發現實際 API 數量多達原先的五倍。只靠傳統 API 檢查不足以應對，還需加上行為分析偵測，整合多層次防禦，輔以「可視化」API 資產，才能對症下藥。

AI 化自動攻擊行為

近年 AI 技術興起，亦引起新型風險，例如大型語言模型（LLM）可能引發資料外洩與誤用風險。建議組織應參考 OWASP 列出的 LLM 十大風險，將弱點予以補強，包括提示詞插入、不安全的輸出處理、訓練資料中毒、模型阻斷服務、供應鏈漏洞、敏感性資訊揭露、不安全的外掛程式設計、過多的自主權、過度依賴、模型盜竊等。

惡意機器人

根據《Bad Bot Report》顯示，51% 網路流量來自自動化機器人（包括 AI 代理）。這些機器人可能會以低價購買敏感資產，或誤導聊天機器人承諾折扣，造成財務損失。Imperva 透過建立超過 2,000 種機器人樣本資料庫、行為分析引擎與流量管理機制，區分「善意」與「惡意」機器人流量，協助企業進行動態流量調節，有效減少網站癱瘓風險。

API 安全是維護業務持續運作和信任的基礎

觀察產業現況顯示，API 與機器人防護普及率因領域而異。旅遊業與金融服務業易受黃牛或詐欺攻擊，約 80% 的企業部署機器人防護；教育產業僅約 20% 具備相關防護，安全隱患較大。除了攻擊本身，也須注意是否遵守 PC I規定、網站面臨災害時能否復原、是否有進行相關通報等。

為應對攻擊，全球應用程式安全市場有龐大成長空間，據統計 WAF 市場年增長率為 11%、Bot 防護高達 20%、API 安全更突破 30%。

「API 安全已不再是可選項，而是確保業務持續運作與客戶信任的基礎。」Tim強調，發現組織內的 API，便能進行風險評估，了解可能面臨哪些外洩或攻擊風險，是否有結構性問題或漏洞等等，以利擬定應變方針、提升防護技術、快速保護 API 等。

Thales 提供的防護包含三大面向：身分與存取權安全、應用程式安全及資料安全。應用程式安全定位於身分存取控制與資料保護之間的橋樑，涵蓋 API 安全、Web 應用程式防火牆（WAF）、機器人防護（Bot Management）等領域。

Imperva 為 Thales 旗下品牌，透過預設政策與自動化封鎖機制，平均每月可攔截逾 1,180 萬筆攻擊，誤判率低於 0.01%，曾有客戶透過平台在短短 1 小時內完成 127 個網站的防護部署，亦有客戶成功在 48 小時內保護超過 820 個網站。為因應企業採用混合雲以及數位轉型的需求，Imperva 的資安策略支援多雲環境（Google Cloud、AWS）、本地部署及高敏感場所。

其中，Imperva Application Security 為全球首個整合式單一管理平台，新增 API 偵測與回應功能，以即時偵測與自動化防禦措施，透過核心流程三步驟：發現 API（掃描揭示低估的 API 數量，提供風險評估）、辨識風險（評估資料外洩或結構漏洞）、回應攻擊（整合 WAF 與機器人防護，支援內聯阻擋），保護企業免受風險 API、BOLA 攻擊、未認證 API 和停用 API 的威脅。

合規挑戰與中小企業因應策略

API 安全面臨複雜的應用層攻擊，企業需採取主動防禦策略。對於資源有限的中小企業，Tim 建議採取以下步驟：

1. 盤點 API 資產：透過掃描全面了解 API 數量與潛在風險。
2. 採用管理服務：委託專業供應商進行管理服務，降低部署門檻。
3. 參考 OWASP 指引：評估弱點，優先強化高風險領域。

隨著 API 流量與攻擊的快速增長，Tim 最後強調，資安防護必須落實在每一個細節與流程之中，從資產盤點、風險辨識到即時回應，才能迎戰生成式 AI 時代的新資安挑戰，打造擁有韌性的安全架構。

(本文授權非營利轉載，請註明出處：CIO Taiwan)