• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    物联网安全漏洞:开放的API接口

    2015年,两名网络安全专家通过中间人攻击的方式,对高速公路上的吉普车实现了远程控制。这次袭击展示了中间人攻击的危害性,也导致厂商召回了140万辆汽车。未来79%的物联网流量将通过网关接入,物联网将贡献超过500亿的连接,物联网因为其具有开放性、多源异构性、泛在性等特性,API不仅成为生态系统之间的交互窗口,更是构建混合业务平台的基础,已经有不少网络攻击者将API列为首选的入侵目标之一,物联网的安全关系到个人、家庭、社会、乃至国家的安全,种种安全威胁的出现,也在不断的提醒着我们:万物互联,安全先行。

    物联网的设备形态和功能千奇百怪,从终端、无线接入、网关,再到云平台,涉及的环节众多,要知道不少设备使用的操作系统也是不统一的,不是定制的就是非标准的,无形中为运维人员增加了负担。而在工业和制造业场景中,一些产线上的物联网设备服役时间长达数月或数年,但安全防护措施却非常有限。数据显示,平均每家企业管理的API数量超过360种,其中有接近70%的接口会向合作伙伴开放,而开发者则可以借助API库丰富代码选择,规模往往会达到数万量级。正因如此,才会说调用API对接数据流或触发响应几乎贯穿了每个代码级的交互流程。然而,存在于不同IT环境中的联网设备,多数是由不同厂商“组装”起来的,硬件、软件、组件的提供方都不一样。这种情况造成的困境之一是,有时候芯片升级了可对应的软件升级并没有赶上,而安全补丁更新的时候组件又不支持。网络应用前端随处可见的API逐渐变成了黑客攻击的热点,一旦端口被攻破随之而来的就是大范围的用户信息外泄。通常,企业IT团队会通过API调用和管理云资源、服务编排、应用镜像等服务,而这些服务的可用性很大程度上会依赖于API的安全性,尤其是在客户引入第三方服务的时候,让API暴露在了外部环境中。

    API所面临的挑战往往会体现在几个方面:外部攻击、信息篡改、恶意跟踪。首先还是老生常谈的DDoS攻击,其对关键API的入侵能导致网络大面积瘫痪,并且占用大量计算资源使得程序中断。此外,如果通过API建立联系的用户端和服务器端没有经过特殊加密,很容易造成信息泄露。其次是请求参数的篡改,采用https协议传输的明文加密后也有可能被黑客截获,进而将数据包伪造发起重放攻击。这时候,安全证书往往也是难以幸免的,因为黑客会让需求发起方使用“仿制证书”通信,从而获得看似已经被加密的内容。再有就是黑客会有意追踪物联网设备的端口,这样可以直接获得API的控制权,或者向标的引入恶意内容设置漏洞陷阱。

    物联卡之家(www.1330.cn)了解,目前已有不少云服务商使用API认证或API网关来监控代码库中API的状态,有数据显示,超过60%的企业正在使用网络应用防火墙或API网关构建混合方案来保护数据。可以说,API在复杂环境中扮演的角色愈发重要,自然也就成为了黑客的关注重点。除了要在应用端建立防护措施,更要在代码上线前对API进行测试,尽力消除可能存在漏洞,将风险降到更低。

    上一篇:工业物联网将是5G应用的重要领域
    下一篇:浅谈物联网技术耕耘下的智慧农业培育
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    物联网安全漏洞:开放的API接口 物,联网,安全漏洞,开放,