2015年,兩名網絡安全專家通過中間人攻擊的方式,對高速公路上的吉普車實現了遠程控制。這次襲擊展示了中間人攻擊的危害性,也導致廠商召回了140萬輛汽車。未來79%的物聯網流量將通過網關接入,物聯網將貢獻超過500億的連接,物聯網因為其具有開放性、多源異構性、泛在性等特性,API不僅成為生態系統之間的交互窗口,更是構建混合業務平臺的基礎,已經有不少網絡攻擊者將API列為首選的入侵目標之一,物聯網的安全關系到個人、家庭、社會、乃至國家的安全,種種安全威脅的出現,也在不斷的提醒著我們:萬物互聯,安全先行。
物聯網的設備形態和功能千奇百怪,從終端、無線接入、網關,再到云平臺,涉及的環節眾多,要知道不少設備使用的操作系統也是不統一的,不是定制的就是非標準的,無形中為運維人員增加了負擔。而在工業和制造業場景中,一些產線上的物聯網設備服役時間長達數月或數年,但安全防護措施卻非常有限。數據顯示,平均每家企業管理的API數量超過360種,其中有接近70%的接口會向合作伙伴開放,而開發者則可以借助API庫豐富代碼選擇,規模往往會達到數萬量級。正因如此,才會說調用API對接數據流或觸發響應幾乎貫穿了每個代碼級的交互流程。然而,存在于不同IT環境中的聯網設備,多數是由不同廠商“組裝”起來的,硬件、軟件、組件的提供方都不一樣。這種情況造成的困境之一是,有時候芯片升級了可對應的軟件升級并沒有趕上,而安全補丁更新的時候組件又不支持。網絡應用前端隨處可見的API逐漸變成了黑客攻擊的熱點,一旦端口被攻破隨之而來的就是大范圍的用戶信息外泄。通常,企業IT團隊會通過API調用和管理云資源、服務編排、應用鏡像等服務,而這些服務的可用性很大程度上會依賴于API的安全性,尤其是在客戶引入第三方服務的時候,讓API暴露在了外部環境中。
API所面臨的挑戰往往會體現在幾個方面:外部攻擊、信息篡改、惡意跟蹤。首先還是老生常談的DDoS攻擊,其對關鍵API的入侵能導致網絡大面積癱瘓,并且占用大量計算資源使得程序中斷。此外,如果通過API建立聯系的用戶端和服務器端沒有經過特殊加密,很容易造成信息泄露。其次是請求參數的篡改,采用https協議傳輸的明文加密后也有可能被黑客截獲,進而將數據包偽造發起重放攻擊。這時候,安全證書往往也是難以幸免的,因為黑客會讓需求發起方使用“仿制證書”通信,從而獲得看似已經被加密的內容。再有就是黑客會有意追蹤物聯網設備的端口,這樣可以直接獲得API的控制權,或者向標的引入惡意內容設置漏洞陷阱。
物聯卡之家(www.sunsut.com)了解,目前已有不少云服務商使用API認證或API網關來監控代碼庫中API的狀態,有數據顯示,超過60%的企業正在使用網絡應用防火墻或API網關構建混合方案來保護數據。可以說,API在復雜環境中扮演的角色愈發重要,自然也就成為了黑客的關注重點。除了要在應用端建立防護措施,更要在代碼上線前對API進行測試,盡力消除可能存在漏洞,將風險降到更低。
0755-33942792
全國咨詢熱線9:00-18:00
即時服務
微信
QQ
購物車
