Контакты
Подписка 2025
Новости
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 17-18 июня на Форуме ITSEC 2025
Регистрируйтесь и участвуйте!

Компания Wallarm опубликовала отчёт API ThreatStats 2025

31/01/25

hack119-1

Согласно исследованию, API стали основной поверхностью атак, а уязвимости, связанные с AI, выросли на 1205% по сравнению с прошлым годом. Почти все эти уязвимости непосредственно касаются API, пишет Securitylab.

По словам CEO Wallarm Ивана Новикова, API-уязвимости уже не являются только технической проблемой, а представляют собой серьёзную угрозу для бизнеса. Большинство современных ИИ-систем используют API для взаимодействия с приложениями, но 89% API не имеют надёжных механизмов аутентификации, а 57% находятся в открытом доступе. Только 11% обладают достаточным уровнем защиты, что оставляет подавляющее большинство конечных точек уязвимыми перед атаками.

Эксперты Wallarm зафиксировали 439 связанных с ИИ уязвимостей — это на 1025% больше, чем годом ранее. Почти все они связаны с API и включают инъекционные атаки, ошибки конфигурации и уязвимости, связанные с управлением памятью. Впервые в рейтинге угроз Wallarm появился новый тип атак — Memory Corruption and Overflow, связанный с некорректной обработкой памяти, что может приводить к утечке данных, сбоям и выполнению произвольного кода.

За год на 30% увеличилась доля атак на API в каталоге KEV от CISA— впервые в истории они превысили половину всех эксплуатируемых уязвимостей, обогнав традиционные категории атак, такие как уязвимости браузеров, ядра и цепочек поставок.

Wallarm выделила три ключевые тенденции в API-угрозах:

  1. ИИ становится катализатором новых атак. По данным исследования, 53% американских компаний внедряют AI-технологии через API, однако безопасность остается на низком уровне. Так, обнаружены серьёзные уязвимости в ИИ-инструментах PaddlePaddle и MLflow, которые могут использоваться злоумышленниками для кражи интеллектуальной собственности и компрометации обучающих данных.
  2. Под угрозой находятся как устаревшие, так и современные API. Устаревшие API, например, использованные в Digi Yatra и Optus, остаются уязвимыми из-за морально устаревшего дизайна, тогда как современные RESTful API подвержены атакам из-за сложной интеграции и ошибок конфигурации. В KEV на долю современных API приходится уже 33% всех атак, причём среди наиболее пострадавших — Ivanti и Palo Alto Networks.
  3. Атаки на механизмы аутентификации. Инциденты с Twilio и Tech in Asia показали, что недостатки контроля доступа становятся ключевым вектором атак. В 2023 году API-инциденты фиксировались раз в квартал, а в 2024 году их число выросло до 3-5 атак в месяц. Особенно уязвимыми остаются API в сфере финансов, здравоохранения и транспорта.
Темы:ИсследованиеУгрозыAPI
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 18 июня 2025 →
Статьи по темеСтатьи по теме

  • Защита API – это не просто WAF и блокировки
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Еще в 2021 г. аналитики Gartner предсказывали, что атаки на API станут самым частым вектором взлома веб-приложений. Этот прогноз сбылся – за последние годы произошел ряд резонансных утечек данных через уязвимости API. По исследованиям, практически 99% организаций столкнулись с проблемами безопасности API за последние 12 месяцев.
  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • ПроAPI: принципы построения идеального API
    Лев Палей, Начальник отдела защиты информации СО ЕЭС
    В России идет бум разработки с учетом требований импортонезависимости. Надо много и быстро разрабатывать под совершенно разные нужды. А когда нужно быстро, понятия оптимизации, безопасности и корректности уходят на задний план. И возвращаются только когда наступает стадия масштабирования и подстройки системы под более жесткие требования.
  • WAAP для защиты веб-приложений и API
    Лука Сафонов, руководитель продукта “Гарда WAF”, группа компаний “Гарда”
    Cовременные системы все чаще используют API для интеграции со сторонними сервисами, мобильными приложениями и другими платформами. Традиционные средства защиты, как правило, не уделяли должного внимания безопасности API, не учитывали этот важный вектор атак и не предлагали эффективных механизмов противодействия.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 17-18 июня →

Еще темы...

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"