防患未然｜API成黑客攻擊新寵　Thales剖析新世代防禦之道

近年生成式人工智能（Generative AI）發展蓬勃，已成為企業營運不可或缺的工具。在這股浪潮中，應用程式介面（API）扮演著不可或缺的橋樑角色，它負責連接各種應用、雲端服務以至大型語言模型（LLM）。正因為企業最有價值的數據和資產都可透過 API 存取，使其成為網絡攻擊的重點目標。全球資料安全保護領導者 Thales 指出，針對 API 的攻擊在過去四、五年呈直線上升趨勢，而要攔截這種被黑客視為高回報率的攻擊手法，傳統方法已無能為力。

API攻擊直線上升　BOLA漏洞成頭號威脅

Thales API Security Vice President Lebin Cheng 指出，API 安全漏洞並非新鮮事，但其嚴重性隨著應用模式的改變而急劇升溫。「以往很多應用程式和 API 只在企業內部網絡使用，環境相對受信任，但當企業將應用遷移上雲，或因業務需要將內部 API 開放給外部合作夥伴甚至公眾使用時，潛在的漏洞便會浮現。」他補充說，近年生成式 AI 的興起更是火上加油，因為絕大多數 AI 服務都是透過 API 來調用 LLM 模型，每一次調用都可能成為潛在的攻擊路徑。

在眾多 API 威脅中，OWASP（開放式 Web 應用程式安全專案）將「BOLA」（Broken Object Level Authorization，失效的物件級別授權）列為 API 安全十大威脅之首。Lebin 解釋，BOLA 漏洞的原理在於應用程式雖然驗證了用戶的登入身份，卻沒有在後續操作中持續驗證其權限，因此攻擊者只需以合法用戶身份登入，然後在 API 請求中竄改物件 ID，便能輕易繞過存取控制，竊取、修改甚至刪除其他用戶的敏感資料。

AI成業務關鍵　API安全由「選項」變「必修」

儘管 API 安全風險日益增高，但在企業內部推動安全改革卻非一帆風順。Thales Head of Sales Engineering Richard Chiu 觀察到，本地企業的資訊安全長（CISO）普遍意識到 API 安全的嚴重性，然而在實際推動改革時卻往往面臨組織架構的挑戰。Richard 認為生成式 AI 的崛起正徹底改變這個局面，「現在 AI 應用已成為業務增長的關鍵，這些服務必須連接互聯網才能發揮價值，這盤生意是『非做不可』的。」這種業務上的必然性，使得管理層無法再對 API 安全掉以輕心，他預期市場對 API 安全的重視程度在來年將會提升至一個新層次。

傳統防禦失效　黑客藉AI發動精準打擊

傳統的網絡安全防禦法是因應漏洞或威脅編寫特徵碼（Signature），進行針對性堵塞及攔截，但 Lebin 強調：「既然現在的應用程式設計五花八門，漏洞模式千變萬化，我們就應該將焦點從『攻擊特徵』轉移到『用戶行為』上。」其概念是先觀察並學習一個用戶正常的 API 調用行為模式，為其建立獨特的「行為寫照」，例如網上銀行的普通用戶正常只會查詢自己名下的一、兩張信用卡，一旦系統偵測到該用戶突然開始查詢數個不同的信用卡號碼，即使每次都是一個合法的 API 請求，這種偏離正常行為的舉動也會被立即標記為高度可疑，並觸發應對措施。

為將此新理念落地，Thales 提出了「治未病」的三步曲實踐方案。第一步是「探索」（Discover），不僅是清點企業擁有多少個 API，更要深入分析每個 API 正在傳輸什麼類型的數據；第二步是「評估」（Assess），在掌握 API 資產全貌後，對其進行風險評估，找出最脆弱、最重要的環節，以便聚焦防禦資源。第三步，也是整個防禦體系核心的「實時偵測與回應」（Detect and Respond）。系統會對所有 API 流量進行 24×7 的實時監控，並利用前述的行為分析引擎，精準捕捉異常行為。

Lebin 特別強調其在「回應」機制上的創新：「傳統的應對方式是封鎖攻擊者的 IP 地址，但在雲端時代，這就像治療癌症時使用化療，好壞細胞通殺。」Thales 採用的則是更精準的「標靶治療」，「我們的系統會追蹤到每一個獨立的用戶會話。一旦發現某個會話出現惡意行為，我們會立即終止這一個會話，而不會影響其他正常 API 調用。」這種外科手術式的精準打擊，確保了在消除威脅的同時，對業務的影響降至最低。

Lebin 最後總結，API 安全已非單一產品可以解決的問題，它需要與 Bot 防護、應用安全等傳統領域相結合，形成一個聯防體系。在 API 無處不在的今天，企業不能再抱持「亡羊補牢」的心態，唯有採取「治未病」的策略，才能在享受 API 帶來便利的同時，真正做到防患於未然。