2015年，两名网络安全专家通过中间人攻击的方式，对高速公路上的吉普车实现了远程控制。这次袭击展示了中间人攻击的危害性，也导致厂商召回了140万辆汽车。未来79%的物联网流量将通过网关接入，物联网将贡献超过500亿的连接，物联网因为其具有开放性、多源异构性、泛在性等特性，API不仅成为生态系统之间的交互窗口，更是构建混合业务平台的基础，已经有不少网络攻击者将API列为首选的入侵目标之一，物联网的安全关系到个人、家庭、社会、乃至国家的安全，种种安全威胁的出现，也在不断的提醒着我们：万物互联，安全先行。

物联网的设备形态和功能千奇百怪，从终端、无线接入、网关，再到云平台，涉及的环节众多，要知道不少设备使用的操作系统也是不统一的，不是定制的就是非标准的，无形中为运维人员增加了负担。而在工业和制造业场景中，一些产线上的物联网设备服役时间长达数月或数年，但安全防护措施却非常有限。数据显示，平均每家企业管理的API数量超过360种，其中有接近70%的接口会向合作伙伴开放，而开发者则可以借助API库丰富代码选择，规模往往会达到数万量级。正因如此，才会说调用API对接数据流或触发响应几乎贯穿了每个代码级的交互流程。然而，存在于不同IT环境中的联网设备，多数是由不同厂商“组装”起来的，硬件、软件、组件的提供方都不一样。这种情况造成的困境之一是，有时候芯片升级了可对应的软件升级并没有赶上，而安全补丁更新的时候组件又不支持。网络应用前端随处可见的API逐渐变成了黑客攻击的热点，一旦端口被攻破随之而来的就是大范围的用户信息外泄。通常，企业IT团队会通过API调用和管理云资源、服务编排、应用镜像等服务，而这些服务的可用性很大程度上会依赖于API的安全性，尤其是在客户引入第三方服务的时候，让API暴露在了外部环境中。

API所面临的挑战往往会体现在几个方面：外部攻击、信息篡改、恶意跟踪。首先还是老生常谈的DDoS攻击，其对关键API的入侵能导致网络大面积瘫痪，并且占用大量计算资源使得程序中断。此外，如果通过API建立联系的用户端和服务器端没有经过特殊加密，很容易造成信息泄露。其次是请求参数的篡改，采用https协议传输的明文加密后也有可能被黑客截获，进而将数据包伪造发起重放攻击。这时候，安全证书往往也是难以幸免的，因为黑客会让需求发起方使用“仿制证书”通信，从而获得看似已经被加密的内容。再有就是黑客会有意追踪物联网设备的端口，这样可以直接获得API的控制权，或者向标的引入恶意内容设置漏洞陷阱。

物联卡之家（www.1330.cn）了解，目前已有不少云服务商使用API认证或API网关来监控代码库中API的状态，有数据显示，超过60%的企业正在使用网络应用防火墙或API网关构建混合方案来保护数据。可以说，API在复杂环境中扮演的角色愈发重要，自然也就成为了黑客的关注重点。除了要在应用端建立防护措施，更要在代码上线前对API进行测试，尽力消除可能存在漏洞，将风险降到更低。