Kawasan Asia Pasifik dan Jepang (APJ) mengalami lonjakan serangan aplikasi web sebesar 73% dari tahun sebelumnya, dan API menjadi titik lemah yang dieksploitasi oleh para pelaku ancaman.

Peningkatan jumlah serangan dari 29 miliar di 2023 menjadi 51 miliar di 2024 itu turut mendorong total serangan web global naik 33% menjadi 311 miliar serangan.

Hal itu terungkap dalam laporan State of the Internet (SOTI) terbaru dari Akamai Technologies, Inc. (Akamai), yang berjudul State of Apps and API Security 2025: How AI Is Shifting the Digital Terrain.

Lonjakan ini, menurut Akamai, tak lepas dari pesatnya adopsi aplikasi-aplikasi berbasis kecerdasan buatan (AI) yang memperluas permukaan serangan dan meningkatkan kompleksitas serangan siber.

Australia menjadi target utama serangan aplikasi web dengan 20,3 miliar serangan, diikuti India 17,3 miliar, dan Singapura 15,9 miliar. Sedangkan Jepang mencatatkan 6,3 miliar serangan, Tiongkok 6,2 miliar, Korea Selatan 4,9 miliar, Selandia Baru 2,9 miliar, dan Hong Kong 2,2 miliar.

Sementara itu, industri yang menjadi target di kawasan APJ adalah sektor jasa keuangan yang menghadapi lebih dari 27 miliar serangan web—jumlah tertinggi—diikuti sektor perdagangan dengan lebih dari 18 miliar serangan. Lagi-lagi, menurut temuan Akamai, tingginya jumlah serangan itu berkorelasi dengan percepatan adopsi teknologi-teknologi baru, seperti, AI di kedua sektor industri tersebut.

Pelaku Ancaman Bidik API

Lonjakan serangan terhadap aplikasi web di APJ tidak hanya menunjukkan besarnya tekanan pada antarmuka pengguna, melainkan juga mengungkap strategi baru pelaku ancaman: membidik langsung endpoint API di balik layar. Setiap penambahan fitur—terutama yang memanfaatkan AI—membuka pintu API baru, sehingga jumlah potensi titik masuk serangan terus bertambah.

Akamai mendokumentasikan 150 miliar serangan API secara global antara Januari 2023 dan Desember 2024, karena pelaku ancaman mengeksploitasi celah autentikasi dan vektor serangan yang bisa mengelabui otomatisasi. API berbasis AI sangat berisiko karena bisa diakses secara eksternal dan sering kali memiliki autentikasi yang kurang memadai.

Selain itu, Akamai juga menemukan bahwa shadow dan zombie API berfungsi sebagai vektor serangan yang sangat rentan dalam ekosistem API yang makin kompleks.

APJ, Sasaran DDoS Layer 7 Ke-2 Di Dunia

Laporan Akamai juga mengungkapkan adanya peningkatan serangan DDoS Layer 7 (lapisan aplikasi) selama periode yang sama sebesar 94% hingga mencapai 7 triliun serangan secara global.

Sebagai informasi, serangan DDoS Layer 7 kerap digunakan untuk menyerang endpoint API dengan tujuan melumpuhkan layanan. Menurut Akamai, teknik HTTP flood masih menjadi ancaman utama DDoS Layer 7.

Sementara di kawasan Asia Pasifik dan Jepang (APJ), terjadi 7,4 triliun serangan DDoS Layer 7 selama dua tahun terakhir dan jumlah serangan melonjak 66% secara tahunan. Peningkatan tersebut menempatkan APJ sebagai wilayah dengan jumlah serangan tertinggi kedua di dunia dan mencatat rekor tertinggi dalam 24 bulan terakhir, yakni mencapai 504 miliar serangan hanya pada bulan Desember 2024.

Di antara negara-negara di kawasan ini, Singapura menjadi yang paling terdampak dengan 4,7 triliun serangan, disusul India sebanyak 1,1 triliun, dan Korea Selatan 607 miliar serangan. Laporan juga mencatat bahwa sektor yang paling sering menjadi target di APJ adalah platform media digital, termasuk media sosial, serta sektor perdagangan.

Kurangnya Kesiapan Keamanan Siber

Reuben Koh, Director of Security Technology and Strategy, Akamai Technologies APJ, menyampaikan bahwa peningkatan serangan web dan API di Asia Pasifik dan Jepang bukan hanya karena percepatan adopsi digital, tetapi juga karena kurangnya kesiapan keamanan siber seiring dengan semakin luasnya integrasi AI dalam sistem perusahaan.

Ia menekankan bahwa pelaku ancaman kini makin canggih dan masif, sehingga perusahaan harus mengubah pendekatan keamanan mereka agar mampu menghadapi ancaman yang berkembang.

Selanjutnya Reuben menyebut bahwa laporan State of the Internet (SOTI) ini juga berisi strategi mitigasi praktis yang bisa digunakan organisasi untuk melindungi diri dari serangan tersebut.

Regulasi & Pendekatan Shift-Left

Sebagai respons terhadap peningkatan ancaman siber tersebut, pemerintah di kawasan APJ (seperti Singapura, Jepang, India, dan Australia) mulai memberlakukan aturan keamanan siber yang lebih ketat untuk melindungi data sensitif dan sistem digital dari serangan yang kian kompleks.

Organisasi dituntut untuk segera memenuhi tenggat kepatuhan, karena jika terlambat bisa terkena sanksi hukum, kehilangan kepercayaan publik, kebocoran data, dan gangguan layanan.

Sebagai solusi, Akamai merekomendasikan tiga hal, yaitu pendekatan "shift-left security" (mengintegrasikan keamanan sejak awal pengembangan sistem; memperkuat tata kelola API; dan menggunakan AI untuk mendeteksi dan mengatasi ancaman siber secara proaktif.