Согласно отчету Akamai «State of apps and API security 2025», развитие искусственного интеллекта становится обоюдоострым мечом для безопасности прикладных программных интерфейсов (API), открывая перед защитниками возможности для повышения их устойчивости, но и увеличивая риски от атак с использованием ИИ, сообщает портал ComputerWeekly.

По данным исследования Akamai, в 2023 и 2024 гг. было зафиксировано более 150 млрд. атак на API, причем рост числа API с поддержкой ИИ и атак с использованием ИИ усугубляет ситуацию, создавая постоянно расширяющуюся поверхность атак.

Akamai также сообщила, что, по ее наблюдениям, в течение 2024 г. объем веб-кибератак вырос на треть и составит 311 млрд., что явно коррелирует с расширением масштабов угроз, исходящих от ИИ.

«ИИ трансформирует безопасность веб-сайтов и API, повышая эффективность обнаружения угроз, но при этом создавая новые проблемы», — говорит Рупеш Чокши, старший вице-президент и генеральный менеджер портфеля безопасности приложений Akamai. По его словам, из отчета можно понять, что является движущей силой изменений и как защитники могут действовать на опережение с помощью правильных стратегий снижения риска.

Согласно Akamai, интеграция инструментов ИИ с основными платформами через API «существенно» расширяет поверхность атак, поскольку подавляющее большинство API, использующих ИИ, не только общедоступны, но и, как правило, не имеют адекватных средств защиты, например, механизмов аутентификации. Теперь эта проблема усугубляется еще и растущим числом атак на основе ИИ.

Для конечных пользователей это означает, что в то время как службы безопасности могут повысить безопасность веб-приложений и API, расширив свои защитные возможности с помощью автоматизации на базе ИИ — например, помогая находить угрозы, прогнозировать возможные нарушения и сокращать время реагирования на инциденты, — ИИ также помогает субъектам угроз повысить эффективность своих атак за счет автоматизации веб-скрейпинга и применения методик более динамичных атак.

Заглядывая в будущее, Akamai отмечает, что, хотя управление API на основе ИИ, несомненно, продолжит развиваться, атаки на основе ИИ, скорее всего, останутся серьезной проблемой, а это значит, что организациям необходимо принимать более надежные стратегии безопасности, основанные на глубокой обороне.

Веб-атаки

Говоря о веб-атаках, Akamai отмечает, что наблюдается резкий рост распределенных атак «отказ в обслуживании» (DDoS) на уровне приложений (он же уровень 7), направленных как на веб-приложения, так и на API, причем ежемесячный объем атак вырос с более чем 500 млрд. в начале 2023 г. до более чем триллиона в конце 2024-го — похоже, что причиной этого стали плохие боты и сохранение HTTP-флудинга в качестве вектора атаки.

Чаще всего объектом таких атак становился технологический сектор — более 7 трлн. за период, охваченный исследованием. В региональном разрезе, в EMEA было совершено 2,7 трлн. DDoS-атак уровня 7, из которых 369 млрд. пришлось на цели в Германии и 306 млрд. — в Великобритании.

Akamai заявила, что защита веб-приложений и API будет становиться все более важной задачей для организаций. Компания изложила ряд ключевых действий, которые должны предпринять руководители служб безопасности:

  • Разработать план обеспечения безопасности API, включающий в себя методы «сдвига влево» (shift-left) и DevSecOps, чтобы интегрировать безопасность от начального проектирования API до пост-продакшн, уделяя особое внимание постоянному обнаружению и видимости, аутентификации, ограничению скорости и борьбе с ботами;
  • Внедрить более надежные основные меры безопасности, такие как непрерывные мониторинг и реагирование на угрозы, и использовать инструменты тестирования API, такие как динамическое тестирование безопасности приложений (DAST);
  • Проактивно противостоять угрозам, используя, например, специализированные средства защиты от DDoS, а также уделяя внимание управлению исправлениями, контролю доступа и сегментации сети;
  • Заблаговременно принимать меры по устранению уязвимостей API, следуя установленным рекомендациям, таким как рекомендации OWASP, чтобы обеспечить более надежную защиту и устранить риски, связанные с неправильной практикой кодирования или неверной конфигурацией;
  • Уделять больше внимания угрозам вирусов-вымогателей (ransomware), используя преимущества архитектур с нулевым уровнем доверия, микросегментации и фреймворка Mitre ATT&CK;
  • Наконец, подготовиться к ИИ с помощью стратегий защиты, включающих защиту от ботов, киберинструменты на базе ИИ, специализированные брандмауэры и более проактивные меры, такие как непрерывная оценка и нулевое доверие.