体育投注,体育投注平台,体育投注app,体育赛事,世界杯,奥运会,NBA,实时比分,体育新闻,欧洲杯,英超赛程,西甲赛程日前,Akamai发布的《API安全影响研究》(以下简称《API研究》)中显示,过去一年的时间内,中国在解决API安全事件上花费的成本最高,达到了77.8万美元(约合568万人民币),且在企业内部,管理层预估API安全事件造成的成本约为51.7万美元,而一线万美元。
针对API的攻击手段已经不是时代的新词,在传统互联网时代,API安全事件就屡见不鲜。具体来看,API攻击的历史可以分为四个阶段。
第一阶段大概时间节点在2000之前,在计算机单机时代(如大型机、Windows 95时期),软件模块间的交互已出现类似API的机制,但此时接口多用于内部功能调用,安全问题尚未凸显。攻击主要集中于底层系统漏洞,例如Windows 95的API漏洞。
但随着互联网的兴起,基于CGI(通用网关接口)的Web交互接口出现,成为早期API攻击的雏形。攻击者通过参数篡改、简单注入等方式尝试突破接口限制。
第二阶段大致时间节点在2000到2010年前后,随着Web2.0时代的到来,SOAP协议推动企业对外API的标准化,但复杂协议设计引入了XML注入和中间人劫持风险。随后RESTful API因简洁性被广泛采用,却也因无状态特性导致会话劫持和令牌泄露问题频发
第三阶段是在2010年之后,随着云计算的崛起,云计算推动API成为核心数字资产,但企业API清单管理滞后,出现大量影子API(未记录或过时接口)。攻击者利用此类接口发起DDoS攻击和敏感数据窃取,例如2017年Equifax因API漏洞泄露1.4亿用户数据。
另一方面,随着Bot技术的成熟,攻击者通过恶意爬虫批量调用API接口,例如2019年某社交平台因未设反爬机制导致5亿用户信息在暗网流通。同期,API攻击流量增速达普通流量的3倍。
第四阶段就来到了以生成式AI为代表的新AI时代。企业应用大模型赋能业务已经是不可逆的趋势,从当前企业应用大模型的方式来看,通过API调用的方式显然是最好的方式之一。
企业通过API调用大模型的模式下,云服务商承担了的大模型底座安全、应用访问,以及数据合规安全责任,“对于企业来说,这个阶段,只解决API调用和数据外发安全等部分安全问题就可以了,更多的安全责任是由云服务商承担的。”绿盟科技集团副总裁宫智曾对笔者表示。
《API研究》中显示,2023年1月至2024年6月间,亚太地区记录到1080亿次API攻击,API攻击占所有Web攻击的15%。
而在此背景下,企业应当更为注重API安全事件的防护。Akamai北亚区技术总监刘烨告诉笔者,在API免受攻击方面,中国企业的重视程度很高,中国将“保护API免受攻击”列为网络安全第一要务(27.6%),远超其他国家(日本、印度以及澳大利亚均将其列为第四项),“在调研中,所有受访者都需要对明年的网络安全优先事项进行排序。中国在这个问题上的回答有些与众不同,也是唯一一个将‘保护 API 免受攻击’列为第一要务的国家。”刘烨指出。
另一方面,刘烨表示,在中国、印度和澳大利亚,将近 90% 的受访者表示他们会在满足法规要求时考虑API安全性。只有41%的受访者会将API纳入风险评估中,并且只有40%的受访者会将API纳入报告要求。
从技术角度出发,目前企业侧应用API仍存在一些“缺陷”,比如,API错误配置、网络防火墙没有拦截、API网关没有拦截、授权漏洞,以及生成式AI工具暴露等,“这其中,根据Akamai统计,以API错误配置漏洞最为常见,占比达到22.3%。”刘烨进一步指出,“除此之外,在大模型时代,企业还面临防护工具不足,传统的防火墙、WAF难以应对当下复杂的API攻击。”
从API攻击类型上看,目前主要以注入攻击、越权/未授权访问、DDOS攻击为主。以年初火爆的DeepSeek为例,在年初DeepSeek火出圈后,不到一个月的时间内,DeepSeek就接连遭遇了大规模DDoS攻击,先后经历了轻微的HTTP代理攻击、大量HTTP代理攻击、僵尸网络攻击等行为,参与攻击的两个僵尸网络分别为HailBot和RapperBot。
无独有偶,包括ChatGPT、Kimi等在内的多家大模型厂商也在不同时间段内遭受过大量的DDOS攻击。
在盛邦安全服务产品线总经理&研发总监郝龙看来,与传统的互联网巨头相比,初创型的科技企业的安全体系建设能力,远不如已经在互联网摸爬滚打多年的巨头,且安全属于企业成本支出类,对于资金、资源有限的初创企业,更愿意将更多的资源用在模型技术的研发和迭代上,这也就造成了,虽然模型能力很强,但是防护能力不足,极容易成为攻击目标。
无独有偶,奇安信安全专家也对钛媒体APP表示,在防御机制建设层面,大模型需要通过严密的安全技术保障和运行监测,确保自身的安全性、可靠性和稳定性。而目前绝大多数大模型的安全建设是非常欠缺的。
面对越来越复杂的API攻击手段,企业应该如何应用呢?刘烨给出了些许建议,他表示,面对当下复杂的API攻击情况,企业首先需要再API安全事件发生原因、影响,以及处理优先级上达成共识。
进而,在此基础上,分步固件持久的API安全策略。基于此,刘烨给出了几点建议:
从API发现和监测能力入手:为了对所有 API 资产进行全面清查,您需要寻找能够用自动化方法发现 API 及其支持的微服务的工具。覆盖广度至关重要,因为不受管 API 是攻击者的主要目标。完善API测试:选择一种 API 安全解决方案,让您能够轻松测试 API 的编码是否能够实现其预期功能。理想的做法是在部署之前进行测试,但对生产环境中的所有 API 进行测试也很重要,包括对流量进行实时分析,来识别潜在的漏洞。对API进行充分记录:审核整个 API 环境以识别 API 配置错误或其他错误非常重要。审核过程还应确保对每个 API 进行充分记录,并确定 API 是否包含敏感数据或缺乏适当的安全控制。这也有助于您做好必要的准备,确保满足与 API 安全直接或间接相关的合规要求。使用运行时检测工具:利用 API 安全解决方案的自动运行时检测功能,您将能够区分正常和异常的 API 活动。通过这种方式监控 API 交互,您可以实时检测威胁行为并采取行动。应对可疑行为,提前拦截:通过将 API 安全解决方案与现有的安全产品组合(例如 WAF 或 Web 应用程序和 API 保护)进行集成,您将能够发现高风险行为并在可疑流量抵达关键资源之前进行拦截。调查和搜寻威胁:在 API 安全防护更为成熟的阶段,您将能够对过往的威胁数据进行取证分析,了解系统 是否正确识别不同的威胁并触发相应的告警,并确认是否出现了新型攻击模式,然后使用将先进工具与人类智慧相结合的主动威胁搜寻功能。(本文首发于钛媒体APP,作者|张申宇,编辑丨盖虹达)
05月19日,农业农村部:稳妥推进第二轮土地承包到期后再延长30年试点,
这就是现实,想在大荒中活下去,除了要抵抗各种洪荒猛兽外,有时还不得不低头,否则可能会有灭族大祸。
,大发888在线中国金融级分布式数据库市场报告发布,GaussDB位居领导者象限!,
要发挥好参谋助手作用,积极为党委的科学决策提供准确、优质和高效服务。办公室作为党委的参谋部、智囊团,主要体现在文稿起草、调查研究、提供信息、督促检查、提出对策性建议等方面。因此,各级党委办公室一定要广泛搜集信息,深入开展研究,不断增强工作的预见性,提高辅助决策的科学性,从而更好地为领导决策提供有价值的意见和建议。一要不断提高起草文稿和办理公文的质量。各级党委办公室要把综合文字工作作为办公室的重要业务建设来抓。认真学习重要文件,领会领导讲话和批示,准确把握领导意图,不断提高文稿撰写的质量。要注重培养从事文字工作的业务骨干,充实办公室文字工作的力量。二要强化信息、督查和政策研究工作,准确及时地反映社情、民情,为党委当好“耳目”。要确保信息的时效性,做到快报而不漏报、误报;要确保信息的真实性,不掺水分,不弄虚作假,既报喜也报忧,全面反映真实情况。要注重提供有质量、有深度的调研,针对党委关注的问题进行重点调研和综合分析归纳,为党委提供有参考价值的决策依据。三要加强督促检查,协助党委抓好工作落实。紧紧围绕党委的重大决策和中心任务,以及领导的重要批示和交办事项,以抓具体落实为重点,主动督导,定期通报。要进一步探索和实践新形势下实现督查实效的机制和手段,强化督查工作地位,健全督查工作网络,使督办工作事事有着落,件件有回音,确保党委的政令畅通。四要做好机要保密工作,确保首脑机关的秘密安全。要建好、管好密码通讯网络,进一步加强对密码电报的管理,努力消除发生失泄密的隐患。
时事2:竞彩篮球投注技巧05月19日,“五一”期间北京共接待游客1696.6万人次,
05月19日,特色文旅激活假期“消费DNA” 岭南美食带火广西梧州“味蕾游”,企业领导五四表彰讲线
小石昊听到动静,一下子坐了起来,正好看到这一幕。毛球挤眉弄眼,一脸得意洋洋,抱着那么大的一枚蛋,比它自己也不知道大了多少倍,显得很滑稽,开心的叫个不停。,nba比赛买球哪里买,ag捕鱼网站,jxf官网进入。
05月19日,2024年一季度贵州新能源汽车产量同比增长178.2%,王侯一怒,流血漂橹,伏尸十万里,谁也挡不住!他没有活路可言,天下之大,都没有他容身之地!,美高梅快速充值通道,千赢国际可靠吗,皇冠手机登录版官网网址。
