如今，API不僅成為生態系統之間的交互窗口，更是構建混合業務平臺的基礎。未來79%的物聯網流量將通過網關接入，50%的網絡流量將來自物聯網，而物聯網將貢獻超過500億的連接。與之相對應的是危機來臨，開放互聯也成了黑客眼中一條通往用戶端的“捷徑”。事實上，已經有不少網絡攻擊者將API列為首選的入侵目標之一。

物聯網漏洞難防 開放接口也會被黑客盯上

考慮到物聯網的設備形態和功能千奇百怪，從終端、無線接入、網關，再到云平臺，涉及的環節眾多，要知道不少設備使用的操作系統也是不統一的，不是定制的就是非標準的，無形中為運維人員增加了負擔。而在工業和制造業場景中，一些產線上的物聯網設備服役時間長達數月或數年，但安全防護措施卻非常有限。

數據顯示，平均每家企業管理的API數量超過360種，其中有接近70%的接口會向合作伙伴開放，而開發者則可以借助API庫豐富代碼選擇，規模往往會達到數萬量級。正因如此，才會說調用API對接數據流或觸發響應幾乎貫穿了每個代碼級的交互流程。

API的可擴展性和可用性適用于多種編程語言，這也使得使用者能夠選擇自己擅長的語言來進行編程。無論軟件處于哪一種形式，API始終伴隨其中，并且隨著網絡環境下的接口越來越開放，其對內部應用的影響力也會隨之增加。要知道，像谷歌、亞馬遜等公司的業務規模，每天進行的API交互次數至少要達到數百萬量級。

然而，存在于不同IT環境中的聯網設備，多數是由不同廠商“組裝”起來的，硬件、軟件、組件的提供方都不一樣。這種情況造成的困境之一是，有時候芯片升級了可對應的軟件升級并沒有趕上，而安全補丁更新的時候組件又不支持。

這也就是為什么，有的物聯網安全廠商會在一開始就希望將安全解決方案整合到一個平臺中，而不是之后不斷的打補丁。通過這種從芯片到網絡、再到云的集成式管理，原有安全認證的復雜性降低了，也不用過于依賴第三方的證書授權。

當然，如果沒有API，用戶在虛擬環境中調用程序時就要手動完成，考慮到成千上萬臺虛擬機的數量，這種工作量可不是幾個人能解決的。對于云計算廠商來說，能否提供足夠豐富、足夠開放的API，同時確保這些API經過嚴格的安全測試，在用戶選擇服務商時有著關鍵作用。

不過，任何事都有兩面性。網絡應用前端隨處可見的API逐漸變成了黑客攻擊的熱點，一旦端口被攻破隨之而來的就是大范圍的用戶信息外泄。通常，企業IT團隊會通過API調用和管理云資源、服務編排、應用鏡像等服務，而這些服務的可用性很大程度上會依賴于API的安全性，尤其是在客戶引入第三方服務的時候，讓API暴露在了外部環境中。

此時，API所面臨的挑戰往往會體現在幾個方面：外部攻擊、信息篡改、惡意跟蹤。首先還是老生常談的DDoS攻擊，其對關鍵API的入侵能導致網絡大面積癱瘓，并且占用大量計算資源使得程序中斷。此外，如果通過API建立聯系的用戶端和服務器端沒有經過特殊加密，很容易造成信息泄露。

其次是請求參數的篡改，采用https協議傳輸的明文加密后也有可能被黑客截獲，進而將數據包偽造發起重放攻擊。這時候，安全證書往往也是難以幸免的，因為黑客會讓需求發起方使用“仿制證書”通信，從而獲得看似已經被加密的內容。

再有就是黑客會有意追蹤物聯網設備的端口，這樣可以直接獲得API的控制權，或者向標的引入惡意內容設置漏洞陷阱。其實之前所說的重放攻擊，就是將已經竊取到的內容再完整的發送給接收方，這也是https無法阻止的。舉個例子，雖然黑客不能憑借重復信息盜取密碼，但卻能在獲得加密口令后從后端發起攻擊。

考慮到這些風險，服務商自然也要積極完善API的安全性。舉個例子，客戶端將密鑰添加到參數傳輸過程中，結合口令發送給服務端，后者進行二次加密后再給出一個口令，通過比對前后兩次口令的一致性來認定是否為合法請求。由于黑客無法獲知簽名密鑰，因此既是修改請求參數也不能對其進行簽名，更不能獲得之后的口令。

好在，已有不少云服務商使用API認證或API網關來監控代碼庫中API的狀態，不僅注視著流量和分析處理進程，還會執行相應的安全策略有效削減DDoS攻擊的風險。有數據顯示，超過60%的企業正在使用網絡應用防火墻或API網關構建混合方案來保護數據。

同時，云服務商還可以提供類似的全托管服務，不僅在開發側支持 HTTP、WebSockets、MQTT，減少了代碼在設備上占用的空間并降低帶寬要求，還在所有連接點范圍內提供了身份驗證和端到端加密服務。

可以說，API在復雜環境中扮演的角色愈發重要，自然也就成為了黑客的關注重點。除了要在應用端建立防護措施，更要在代碼上線前對API進行測試，盡力消除可能存在漏洞，將風險降到更低。