物联网漏洞难防 开放接口也会被黑客盯上

物联网漏洞难防 开放接口也会被黑客盯上

物联网漏洞难防 开放接口也会被黑客盯上

考虑到物联网的设备形态和功能千奇百怪，从终端、无线接入、网关，再到云平台，涉及的环节众多，要知道不少设备使用的操作系统也是不统一的，不是定制的就是非标准的，无形中为运维人员增加了负担。而在工业和制造业场景中，一些产线上的物联网设备服役时间长达数月或数年，但安全防护措施却非常有限。

然而，存在于不同IT环境中的联网设备，多数是由不同厂商“组装”起来的，硬件、软件、组件的提供方都不一样。这种情况造成的困境之一是，有时候芯片升级了可对应的软件升级并没有赶上，而安全补丁更新的时候组件又不支持。

当然，如果没有API，用户在虚拟环境中调用程序时就要手动完成，考虑到成千上万台虚拟机的数量，这种工作量可不是几个人能解决的。对于云计算厂商来说，能否提供足够丰富、足够开放的API，同时确保这些API经过严格的安全测试，在用户选择服务商时有着关键作用。

不过，任何事都有两面性。网络应用前端随处可见的API逐渐变成了黑客攻击的热点，一旦端口被攻破随之而来的就是大范围的用户信息外泄。通常，企业IT团队会通过API调用和管理云资源、服务编排、应用镜像等服务，而这些服务的可用性很大程度上会依赖于API的安全性，尤其是在客户引入第三方服务的时候，让API暴露在了外部环境中。

此时，API所面临的挑战往往会体现在几个方面：外部攻击、信息篡改、恶意跟踪。首先还是老生常谈的DDoS攻击，其对关键API的入侵能导致网络大面积瘫痪，并且占用大量计算资源使得程序中断。此外，如果通过API建立联系的用户端和服务器端没有经过特殊加密，很容易造成信息泄露。

考虑到这些风险，服务商自然也要积极完善API的安全性。举个例子，客户端将密钥添加到参数传输过程中，结合口令发送给服务端，后者进行二次加密后再给出一个口令，通过比对前后两次口令的一致性来认定是否为合法请求。由于黑客无法获知签名密钥，因此既是修改请求参数也不能对其进行签名，更不能获得之后的口令。

好在，已有不少云服务商使用API认证或API网关来监控代码库中API的状态，不仅注视着流量和分析处理进程，还会执行相应的安全策略有效削减DDoS攻击的风险。有数据显示，超过60%的企业正在使用网络应用防火墙或API网关构建混合方案来保护数据。

同时，云服务商还可以提供类似的全托管服务，不仅在开发侧支持 HTTP、WebSockets、MQTT，减少了代码在设备上占用的空间并降低带宽要求，还在所有连接点范围内提供了身份验证和端到端加密服务。

可以说，API在复杂环境中扮演的角色愈发重要，自然也就成为了黑客的关注重点。除了要在应用端建立防护措施，更要在代码上线前对API进行测试，尽力消除可能存在漏洞，将风险降到更低。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。