网宿科技发布上半年互联网安全报告：API成攻击新目标

　　人民网北京9月24日电 (孙阳)近日，网宿科技发布《2019上半年中国互联网安全报告》(下称《报告》)。《报告》显示，今年上半年恶意爬虫攻击量同比呈翻番式增长；DDoS攻击与Web应用攻击数量整体平稳，但强度增强，如上半年50Gbps以上的DDoS攻击占比同比增长约5倍。同时，API接口正成为新的攻击目标，上半年平台共拦截16.53亿次针对API的攻击。

　　当前，恶意爬虫流量已遍布于互联网上各个行业。2019上半年，网宿云安全平台共监测并拦截了53.85多亿次爬虫攻击，同比呈翻番式增长，增幅为108.23%。

　　从行业分布来看，遭受攻击最严重的行业是传媒及资讯行业，占据了上半年恶意爬虫攻击事件总数的41.02%，超过之前受攻击最严重的交通运输业。

　　《报告》分析，传媒及资讯行业本身是信息的生产制作方，承载和传递着人们生活和工作所需的方方面面信息，天然具备信息抓取的价值，因而更易成为被爬对象。

　　与此同时，政府、金融及教育等行业受攻击数量均有不同幅度的上升。

　　2019上半年，网宿云安全平台共监测并拦截了5086.17多亿次DDoS攻击，同比增长14.80%，整体相对平稳。不过，随着云计算、物联网、人工智能等新技术的普及，上半年DDoS攻击强度不断增强，攻击手段日趋复杂。

　　从攻击规模看，2019上半年50Gbps以内的攻击占比仍然较大，但一个显著的变化是，50Gbps以上的攻击事件占比大幅提升至20.94%，较去年上半年的3.4%增长约5倍。与此同时，DDoS攻击平均带宽峰值不断突破，2019上半年达862.22Gbps，同比上涨71.97%。

　　从行业分布来看，游戏依然是2019上半年受DDoS攻击最为严重的行业，占全部DDoS攻击事件的62.08%，攻击数量环比激增300.56%。

　　同时，随着业务数据和内容的价值日益凸显，页面篡改、植入后门、数据窃取等Web安全事件令企业系统面临的安全威胁随之增大，造成的损失也愈发严重。

　　通过对平台威胁情报库数据分析后发现，单个IP发起的攻击次数、攻击类型均有所增加，这反映了组合型攻击成为Web攻击发展的趋势。与2018年相比，SQL注入、跨站脚本(XSS)和非法下载等攻击的比例均有所下降，而恶意扫描、第三方组件漏洞利用等有所上升。

　　在数字化浪潮下，应用程序开发中API(应用程序编程接口)的使用已成为一项标准，API随之逐渐遍布各行各业，但由于开发者对其安全性考虑不周等，一系列API接口正成为新的攻击目标。

　　在此背景下，本期报告首次对API流量安全情况作出分析。报告显示，2019上半年，网宿云安全平台共监测并拦截16.53亿次针对API业务的攻击，1月是API攻击的高发期。

　　在针对API业务发起的攻击中，恶意爬虫是最主要的攻击方式，占整体攻击数量的90.6%。恶意爬虫能对企业开放的各类不受保护、有信息价值的API接口进行不断攻击，以达到破坏、牟利、盗取信息等目的。

　　《报告》表示，当前业内普遍缺乏对 API 及其安全风险的态势感知，建议各大单位规范各类API接口开发，采用云防护的快速接入和性能优势，结合现网防护的业务贴合度，建立纵深分层的防护体系。