HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

Tình hình an ninh ứng dụng & API 2025: AI đang thay đổi cuộc chơi như thế nào?

28/05/2025
Trong bối cảnh kỹ thuật số đầu năm 2025, các mối đe dọa an ninh mạng đang trở nên phức tạp và tinh vi hơn bao giờ hết, đặc biệt đối với các ứng dụng web và API. Báo cáo mới nhất của Akamai "State of Apps and API Security 2025" (Tình hình An ninh Ứng dụng và API 2025) cho thấy AI đang định hình lại toàn bộ cuộc chiến giữa kẻ tấn công và người phòng thủ.

Mối đe dọa tăng vọt

Năm 2024, Akamai đã ghi nhận hơn 311 tỷ cuộc tấn công ứng dụng web và API, tăng đáng báo động 33% so với năm trước. Các API đã trở thành mục tiêu chính, với hơn 150 tỷ cuộc tấn công API từ tháng 1 năm 2023 đến tháng 12 năm 2024.
Hậu quả tài chính của các vấn đề bảo mật API là rất nghiêm trọng, ước tính tiêu tốn của các tổ chức khoảng 87 tỷ đô la Mỹ mỗi năm. Nếu không có biện pháp can thiệp đầy đủ, con số này có thể vượt quá 100 tỷ đô la Mỹ vào năm 2026. API bóng ma (shadow APIs) và API zombie (zombie APIs) đặc biệt dễ bị tổn thương, tạo ra các vector tấn công nguy hiểm trong các hệ sinh thái API ngày càng phức tạp.

AI: Con dao hai lưỡi trong bảo mật ứng dụng & API

Trí tuệ nhân tạo (AI) đang cách mạng hóa cả cách thức tấn công và phòng thủ.

  • AI trong phòng thủ: AI được sử dụng để tự động hóa phát hiện mối đe dọa, dự đoán các vi phạm tiềm ẩn và cải thiện thời gian phản hồi sự cố trong các ứng dụng web. Đối với API, các công cụ hỗ trợ AI rất cần thiết để phát hiện các bất thường, xác định các mẫu lạm dụng và tự động hóa phản ứng với các mối đe dọa theo thời gian thực.
  • AI trong tấn công: Tuy nhiên, AI cũng trao quyền cho kẻ tấn công tạo ra phần mềm độc hại do AI điều khiển, thực hiện thu thập dữ liệu web tinh vi và tự động hóa toàn bộ vòng đời tấn công bằng các phương pháp động. Các cuộc tấn công API được hỗ trợ bởi AI, như nhồi nhét thông tin đăng nhập và khai thác logic nghiệp vụ, vẫn là mối lo ngại đáng kể.

Chiến lược tấn công

Mặc dù có liên quan, các cuộc tấn công ứng dụng web và API nhắm mục tiêu vào các khía cạnh khác nhau của cơ sở hạ tầng ứng dụng.

  • Tấn công ứng dụng web: Nhắm vào các thành phần hướng người dùng (ví dụ: trang đăng nhập), thường sử dụng các kỹ thuật ít tinh vi hơn.
  • Tấn công API: Tập trung vào việc khai thác lỗ hổng trong các điểm cuối API và logic back-end, đòi hỏi sự hiểu biết sâu sắc hơn về cấu trúc API.

Tuy nhiên, cả hai loại tấn công này đều có thể cung cấp quyền truy cập trái phép vào dữ liệu nhạy cảm và tài nguyên hệ thống nếu thành công. Việc hiểu biết đồng thời các biện pháp bảo mật cho cả hai là rất quan trọng, đặc biệt khi các ứng dụng hiện đại ngày càng phụ thuộc vào API.

Bức tranh toàn cảnh về mối đe dọa

Báo cáo của Akamai cung cấp những con số đáng chú ý về tình hình tấn công:

  • API được hỗ trợ bởi AI kém an toàn hơn: Hầu hết các API này đều có thể truy cập từ bên ngoài và phụ thuộc vào cơ chế xác thực không đầy đủ.
  • Tấn công API tăng vọt:
    • Các sự cố liên quan đến OWASP API Security Top 10 tăng 32%, cho thấy các lỗ hổng xác thực và ủy quyền làm lộ dữ liệu nhạy cảm.
    • Cảnh báo bảo mật liên quan đến khuôn khổ MITRE tăng 30%.
  • Tấn công web toàn cầu tăng: Tổng số cuộc tấn công web tăng 33% so với năm trước.
  • DDoS Lớp 7 bùng nổ: Các cuộc tấn công từ chối dịch vụ phân tán Lớp 7 tăng 94% từ Q1 2023 đến Q4 2024, với khối lượng hàng tháng vượt quá 1.1 nghìn tỷ vào tháng 12 năm 2024.
  • Thiệt hại theo ngành và khu vực:
    • Thương mại: Ngành bị tấn công web nhiều nhất với hơn 230 tỷ cuộc tấn công.
    • Công nghệ cao: Ngành bị tấn công DDoS Lớp 7 nhiều nhất, hơn 7 nghìn tỷ cuộc tấn công.
    • Dịch vụ tài chính: Mục tiêu chính cho cả tấn công web (hơn 79 tỷ) và DDoS Lớp 7 (hơn 761 tỷ).
    • APJ (Châu Á - Thái Bình Dương và Nhật Bản): Chứng kiến mức tăng tổng số cuộc tấn công web cao nhất (73%).
    • EMEA (Châu Âu, Trung Đông và Châu Phi): Có tỷ lệ tấn công API cao nhất trong tổng số cuộc tấn công web (37%).

Lối đi ẩn đến dữ liệu

Một thách thức lớn là khoảng trống hiển thị API. Nghiên cứu của Akamai cho thấy chỉ 13% các tổ chức được khảo sát kiểm tra API hàng ngày, giảm đáng kể từ 37% vào năm 2023.

  • API Zombie và Shadow: Các API lỗi thời hoặc được phát triển ngoài quy trình phê duyệt chuẩn là nguyên nhân hàng đầu gây ra các sự cố bảo mật API và thường bị bỏ qua bởi các biện pháp bảo mật truyền thống.
  • Lạm dụng API: Kẻ tấn công có thể khai thác API ngoài mục đích thiết kế, biến chúng thành kênh dẫn không mong muốn cho các cuộc tấn công. Việc AI tạo sinh tự động hóa việc khám phá lỗ hổng đã làm trầm trọng thêm rủi ro này.

Yếu tố bắt buộc trong kỷ nguyên mới

Các cơ quan quản lý trên toàn cầu đang ban hành các yêu cầu tuân thủ an ninh mạng nghiêm ngặt hơn cho các ứng dụng và API. Các tiêu chuẩn như GDPR, PCI DSS v4.0.1 và ISO 27001 nhấn mạnh tầm quan trọng của bảo mật API trong toàn bộ vòng đời ứng dụng, từ thiết kế an toàn đến xác thực mạnh mẽ và kiểm tra lỗ hổng thường xuyên.

Chiến lược giảm thiểu rủi ro

Để đối phó với bối cảnh mối đe dọa ngày càng phát triển, Akamai khuyến nghị các tổ chức nên thực hiện các chiến lược sau:

  • Xây dựng kế hoạch bảo mật API toàn diện: Áp dụng phương pháp Shift-left và DevSecOps, tích hợp bảo mật từ giai đoạn thiết kế API đến sau sản xuất. Đảm bảo khám phá và hiển thị liên tục các API, bao gồm cả API bóng ma và zombie.
  • Tăng cường bảo mật: Sử dụng xác thực và ủy quyền mạnh mẽ (ví dụ: OAuth 2.0, mTLS), giới hạn tốc độ và giảm thiểu bot để ngăn chặn lạm dụng.
  • Triển khai phát hiện mối đe dọa thời gian thực: Theo dõi các bất thường và bảo vệ trong quá trình vận hành để xác định và ngăn chặn các cuộc tấn công ngay khi chúng xảy ra.
  • Phòng thủ chủ động: Sử dụng các công cụ bảo vệ DDoS chuyên biệt, cấu hình giới hạn tốc độ và bộ nhớ đệm CDN. Đồng thời, bảo vệ chống ransomware bằng cách tiếp cận nhiều lớp (Zero Trust, microsegmentation).
  • Sẵn sàng cho AI: Triển khai chiến lược phòng thủ toàn diện bao gồm các giải pháp chống bot, công cụ bảo mật hỗ trợ AI và tường lửa chuyên biệt. Đặc biệt chú trọng bảo vệ các hệ thống AI khỏi các mối đe dọa như prompt injection và làm nhiễm độc dữ liệu thông qua kiểm tra lỗ hổng chủ động và giám sát hành vi.

Nâng cao an ninh để vững bước trong kỷ nguyên AI

Báo cáo "State of Apps and API Security 2025" của Akamai là lời cảnh báo rõ ràng về mức độ phức tạp và nguy hiểm của các mối đe dọa an ninh mạng đối với ứng dụng và API. Trong kỷ nguyên AI, việc bảo vệ toàn diện không còn là lựa chọn mà là yêu cầu bắt buộc. Bằng cách áp dụng các chiến lược phòng thủ thông minh, chủ động và toàn diện, các tổ chức có thể không chỉ chống lại các cuộc tấn công hiện tại mà còn xây dựng một nền tảng vững chắc cho sự phát triển an toàn và bền vững trong tương lai.

Nguồn: State of Apps and API Security 2025: How AI Is Shifting the Digital Terrain 

VietSunshine là nhà phân phối của Akamai tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.
Akamai
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm