前后端分离与前端模块化发展史

许多公司正在把物联网部署到企业的边缘、家庭和现场。这些设备可以发送、接收和处理数据，未来很可能会重点关注如何从物联网中获取和处理具有商业价值的数据。无论公司为边缘/物联网和集中式核心计算开发了哪种IT架构，能否集成所有这些数据源以实现业务成果将是一个重要的关注点。

边缘核心集成挑战

对于IT部门而言，边缘计算和核心计算的集成面临五个关键挑战。

1. 边缘(尤其是物联网)数据过载

IDC预计，到2025年，将有416亿台联网的IoT设备产生79.4 ZB的数据，但并非所有这些数据对公司都是有用的，公司可能无力负担所有数据的管理。

基础设施资产管理公司Yotta的首席技术官Manish Jethwa在一次采访中表示：“企业可能会面临被物联网数据淹没的风险。很多数据对企业几乎没有价值，如果没有清楚地了解什么数据应该存放在哪里，那么物联网很可能会被大量根本没有业务价值的数据所淹没。”

2. 集成时间受限

大多数企业都希望应用程序能够快速上市投入使用，但绝大多数应用所需的系统集成都是最困难、风险最大、最耗时的项目之一。由于许多边缘设备都带有自己的专有操作系统，并且不一定能与其他IoT设备或其他中央IT系统对接，因此边缘计算的存在更是增加了其中的复杂性。

3. 系统老旧

为什么说传统系统已经老旧?许多传统系统具有很高的可靠性，并且数十年都保持良好的性能。但当涉及到将传统系统与边缘和物联网集成时，可能会十分艰难。因为传统系统最初并不是为物联网设计的，许多传统系统还包含数千行定制代码，其中一些是“黑盒”。这些都使得边缘集成变得复杂。

 

据预测，到2025年，边缘计算市场将以19.9%的复合年增长率增长。目前，许多公司正在企业边缘或家庭部署物联网，因此下一波关注度可能会落在如何从物联网中获取和处理具有商业价值的数据上。

在部分情况下，物联网能够自行接收、处理甚至存储数据，但其他情况下则需要与其他核心企业系统协作共享数据，以支持人工智能和分析等技术。

 

为什么需要实施OWASP?

开放式Web应用程序安全项目(OWASP，Open Web Application Security Project)是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。

如果你正在遵循OWASP Mobile Top 10，那么你很可能已经实现了应用程序屏蔽以及强化过程和工具。OWASP建议你实现用于身份验证、数据存储、加密和逆向工程的控件。然而，在移动安全和应用强化方面，还存在很大的改进空间。

Zimperium(Zimperium成立于 2010 年，由著名黑客 Zuk Avraham 创立，旨在为手机提供解决方案，以防受网络攻击。)此前曾对来自银行、旅游和零售行业的应用程序进行过安全、隐私和监管方面的OWASP Mobile Top 10进行了审查。他们发现大多数应用程序没有通过逆向工程检查。逆向工程应用程序可以使攻击者发现漏洞和通信方法。未能正确实施安全强化并通过移动应用程序暴露漏洞的最著名例子之一是乐购银行( Tesco Bank )。2016年英国零售业龙头特易购旗下的银行事业Tesco Bank传出遭骇客攻击，有超过4万个帐户遭锁定、2万个帐户被成功骇入，用户存款遭到盗领。这起英国有史以来最严重的网路窃盗事件，导致Tesco Bank共13.6万个帐户中的4万个遭到骇客锁定攻击，2万个被成功盗走存款。经查，是Tesco Bank的移动应用程序存在漏洞，这为网络攻击者强行进入银行盗取存款打开了大门。然而，许多受影响的账户并不是移动银行客户，而是从一个安全性很差的移动应用程序发起的攻击。

另外，移动应用的开发人员可能还需要实施应用程序内保护，以符合特定的法规和政策。 PSD2要求移动应用程序开发人员能够检测第三方操作并实现独立的身份验证环境，另外，GDPR和《加州消费者隐私法案》还强制程序要执行数据隐私和删除私人数据的功能。 另外，PCI DSS和HIPAA等其他规定的颁布，也旨在减少支付和医疗保健行业的攻击行为。全称Payment Card Industry (PCI) Data Security Standard,第三方支付行业(支付卡行业PCI DSS)数据安全标准，是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB等)制定，立在使国际上采用一致的数据安全措施，简称PCI DSS。HIPAA全称为：Health Insurance Portability and Accountability Act/1996，Public Law 104-191，尚没有确切的正式中文名称，国内文献一般直接称为HIPAA法案，有的称为健康保险携带和责任法案，也有取其意为医疗电子交换法案;台湾有文献翻译为义务型可携带式健康保险法案。

在移动应用程序中安装应用程序内保护的具体案例

近日，一家全球银行承认，它拥有数百万个客户和数十万名员工，通过五十种不同的企业和用户移动应用程序连接到其后端系统。该银行的IT员工意识到无法确定与银行系统交互的客户或员工设备的安全运行状况，该银行发现有必要了解与移动设备与其系统交互相关的风险。

然后，这家美国银行进行了详尽的搜索，并测试了所有可用的移动安全解决方案。团队一致选择应用程序内保护方案来保护其员工设备、消费者银行业务和内部员工移动应用程序的安全。

该银行计划将移动安全防御系统嵌入其消费者移动银行应用程序中。通过将威胁防御部署到其移动银行应用程序，该银行现在可以识别在受损或有风险的设备上进行的可疑交易。

在部署之前，银行缺乏来自客户设备的安全数据。在部署后，这些安全数据就会很容易获得。

应用程序更新后，用户立即开始使用受网络保护的应用程序进行移动银行交易。安全人员发现，用户的移动设备及其连接的网络的安全状况令人震惊。

在头30天里，该银行记录了近100万起针对客户移动设备的威胁，只有在银行应用程序打开时才会记录威胁数据。如果该应用程序被关闭，银行不会收到来自用户的威胁数据，因为其他应用程序中的会话不会对银行构成欺诈风险。

在最初的30天内，数百万移动银行用户更新了应用程序，并开始对移动攻击的行为进行数据取证：

• 276000次不安全的Wi-Fi检测;
• 1433个恶意接入点检测;
• 495000台设备没有PIN码;
• 启用了166000个第三方应用商店访问权限;
• 16000个根或越狱的设备;
• 1000个记录了系统或文件篡改的事件;
• 用户的智能手机上有1500个根应用和另外500个包含恶意软件、特洛伊木马和间谍软件的应用。

目前，该银行已掌握了如何通过移动渠道防范欺诈的可操作数据，涉及金额超过11亿美元。所有这些都是通过使用移动威胁防御SDK更新现有的应用程序来实现的，该SDK的配置时间不到10分钟。


 

（编辑：南昌站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!