Akamai在《互联网现状》报告中指出,随着攻击者加强攻击并改用更复杂的技术,亚太地区及日本 (以下简称APJ) 金融服务业面临重大风险。特别是Web应用程序和API攻击,不仅数量在以惊人的速度增长,而且复杂度也在不断提升。新报告《兵临城下》进一步指出,约80%的网络攻击会格外关注金融服务业客户,企图找到阻力最小的牟利途径。
《互联网现状》报告显示,亚太地区及日本的Web应用程序和API网络攻击年同比增长449%,从2021年的5千万增长到2022年的2.4亿起
《兵临城下》显示,APJ地区金融服务业是受以下几种主要攻击最多的垂直行业之一:Web应用程序和API攻击、DDoS、网络钓鱼、零日漏洞利用和僵尸网络活动。最令人担忧的是Web应用程序和API攻击数量呈现惊人的激增势头——针对APJ金融服务业的攻击数量年同比增长449%。
去年早些时候,Akamai发现勒索软件团体常使用Web应用程序和API攻击媒介,利用各种漏洞,从而获得初始访问权限。在APJ地区,Web应用程序和API攻击的激增似乎与该区域某些受影响国家/地区的高GDP 相关。该区域缺乏网络攻击技能或人才,这或许是导致网络攻击成功次数增加的一个潜在因素。了解攻击者的目标,可以帮助APJ地区的企业和安全从业人员更好地了解其风险情况,优先保护潜在的薄弱环节。
报告中的其他重要发现包括:
· 攻击数量的增加和复杂度的提升,与该区域内网络攻击数量的增加相呼应,而这主要也体现于勒索软件攻击的增加。近期发布的2022年上半年《Akamai勒索软件威胁报告——亚太地区及日本深入洞见》将Web应用程序和API攻击与勒索软件联系在一起。
· 澳大利亚、日本和印度是该区域遭受Web应用程序和API攻击最多的国家。
· 24小时内,利用新发现的零日漏洞针对金融服务业发起的攻击可能高达每小时数千次并且迅速达到高峰,让人几乎没有时间去修补并做出反应。
· 本地文件包含 (LFI) 和跨站点脚本 (XSS) 攻击大幅增加,表明攻击者正转向远程代码执行尝试,对内部网络安全带来更大压力。
· 针对金融服务业客户的网络钓鱼活动正在采取一些可绕过双重身份验证解决方案的技术,给日常客户造成了更高的风险。
· 40%以上的攻击属于客户帐户接管尝试类型,另外40%专注于网站内容抓取,后者用于创建更容易让人相信的网络钓鱼诈骗。
Akamai顾问首席信息安全官Steve Winterfeld表示:“当发现新漏洞时,金融服务业总是最常受到攻击的行业之一。金融行业是DDoS攻击最趋之若鹜的目标,并且受到网络钓鱼攻击活动的持续关注,而他们的客户会首当其冲地受到网络钓鱼攻击的重创。攻击者总会设法渗透金融服务业的网络或影响其客户。在了解攻击面之后,企业能够得出对关键风险的见解,进而制定多样化的安全控制措施和缓解计划,更好地保护客户。”
本文属于原创文章,如若转载,请注明来源:亚太地区成为金融服务业的Web应用程序和API网络攻击的主要目标https://safe.zol.com.cn/810/8108784.html
