可以說，API（Application-Programming-Interface，應(yīng)用程序編程接口）是當(dāng)今數(shù)字世界的基礎(chǔ)設(shè)施。無論是云上應(yīng)用，還是物聯(lián)時(shí)代，API都是SaaS和web應(yīng)用程序的關(guān)鍵組成部分，尤其隨著云原生的發(fā)展，API的應(yīng)用會(huì)越來越廣泛。相應(yīng)的，API已為攻擊者的重要目標(biāo)，眾多數(shù)據(jù)泄露事件都與API的安全問題有關(guān)。在數(shù)字化轉(zhuǎn)型浪潮的今天，沒有安全的API，創(chuàng)新和發(fā)展都無從談起。

　　7月23日，星闌科技發(fā)布了新產(chǎn)品螢火“API-Intelligence”安全分析平臺(tái)。該產(chǎn)品聚焦API安全，采用“大數(shù)據(jù)分析+異步實(shí)時(shí)阻斷”的方式，提供全景化API識(shí)別、API高級(jí)威脅檢測(cè)、復(fù)雜行為分析等能力，構(gòu)建全生命周期的API運(yùn)行保護(hù)體系。

　　作為一家人工智能、信息安全領(lǐng)域的雙料科技公司，星闌科技利用自身專業(yè)的技術(shù)團(tuán)隊(duì)和豐富的網(wǎng)絡(luò)安全經(jīng)驗(yàn)，選擇了API安全作為數(shù)字時(shí)代的安全體系基石。在信息化社會(huì)，API已經(jīng)無所不在，支撐著網(wǎng)絡(luò)和應(yīng)用的飛速發(fā)展。但API的安全問題長久以來卻一直得不到足夠重視，在這個(gè)灰色地帶中，各類風(fēng)險(xiǎn)正在不斷擴(kuò)大。

　　星闌科技CEO王郁認(rèn)為，在全球加速邁向數(shù)字經(jīng)濟(jì)的時(shí)代，API面臨的環(huán)境比傳統(tǒng)的Web安全更為復(fù)雜，API安全是一個(gè)交叉方向上的新生安全問題，其面臨的10大安全問題包括：無效的對(duì)象級(jí)授權(quán)、無效的用戶身份認(rèn)證、過度的數(shù)據(jù)暴露、資源缺乏和速率限制、無效的功能級(jí)授權(quán)、批量分配、安全配置錯(cuò)誤、注入、資產(chǎn)管理不當(dāng)、日志和監(jiān)視不足。涉及到的安全場(chǎng)景包括數(shù)據(jù)安全、業(yè)務(wù)安全等。

　　“萬物互聯(lián)時(shí)代，API是承載應(yīng)用數(shù)據(jù)交換的‘血液’。”王郁強(qiáng)調(diào)。但當(dāng)前API安全面臨著種種挑戰(zhàn)：API數(shù)量快速增長，攻擊面不斷擴(kuò)大；API安全的實(shí)踐經(jīng)驗(yàn)匱乏；外部環(huán)境不斷變化帶來的合規(guī)性挑戰(zhàn)。為此，在萬物互聯(lián)的未來，我們需要用數(shù)據(jù)智能的方法去解決復(fù)雜的API安全問題，螢火產(chǎn)品的出發(fā)點(diǎn)就是構(gòu)建面向復(fù)雜行為的API防護(hù)體系。通過以API為切入點(diǎn)， 實(shí)現(xiàn)API上面各種載體的安全性。王郁認(rèn)為，API的安全價(jià)值轉(zhuǎn)化和傳統(tǒng)的安全思路有非常大的差異，API安全的價(jià)值轉(zhuǎn)化是縱向的，即以API為能量入口，構(gòu)建解決不同場(chǎng)景問題的API的安全應(yīng)用和服務(wù)，縱向轉(zhuǎn)化成不同場(chǎng)景下的安全價(jià)值，最終解決數(shù)據(jù)安全、應(yīng)用安全的問題。

　　星闌科技CTO徐越對(duì)螢火安全分析平臺(tái)進(jìn)行了詳細(xì)介紹。螢火平臺(tái)可以實(shí)現(xiàn)對(duì)API使用情況的實(shí)時(shí)監(jiān)控，異常訪問的可視化。對(duì)流量中的API自動(dòng)聚合、分類、自定義標(biāo)簽化管理；并以樹狀圖的方式便于管理員進(jìn)行探索和調(diào)查從而實(shí)現(xiàn)API統(tǒng)一管控。通過匯集一線紅隊(duì)與Star-Cross Portal實(shí)驗(yàn)室的漏洞研究成果，全方位發(fā)現(xiàn)API的Web漏洞、應(yīng)用漏洞、協(xié)議漏洞以及數(shù)據(jù)泄露風(fēng)險(xiǎn)，提供修復(fù)方案與加固建議，防患于未然。還能基于企業(yè)級(jí)大數(shù)據(jù)分析平臺(tái)以及機(jī)器學(xué)習(xí)數(shù)據(jù)實(shí)體識(shí)別算法，提供符合ISO PI PII標(biāo)準(zhǔn)以及金融、政府、通信行業(yè)細(xì)分標(biāo)準(zhǔn)的敏感數(shù)據(jù)實(shí)體識(shí)別與分類分級(jí)能力，并在此基礎(chǔ)上針對(duì)API惡意攻擊事件、數(shù)據(jù)泄露事件、撞庫攻擊進(jìn)行實(shí)時(shí)告警，使企業(yè)能夠從容應(yīng)對(duì)漏洞攻擊、黑客入侵、數(shù)據(jù)泄露以及賬號(hào)濫用風(fēng)險(xiǎn)。此外，產(chǎn)品通過AI驅(qū)動(dòng)的數(shù)據(jù)模型分析每一次API調(diào)用，區(qū)分正常訪問與惡意攻擊，自動(dòng)更新防御邏輯，聯(lián)動(dòng)API網(wǎng)關(guān)實(shí)現(xiàn)毫秒級(jí)攻擊攔截，在不影響業(yè)務(wù)的可用性與性能的前提下，主動(dòng)屏蔽99%以上的攻擊向量。

發(fā)布會(huì)還邀請(qǐng)了資深行業(yè)專家，以主題演講和圓桌論壇的形式，圍繞API安全態(tài)勢(shì)和發(fā)展，進(jìn)行了解讀和分享。

　　中國計(jì)算機(jī)學(xué)會(huì)計(jì)算機(jī)安全專委會(huì)榮譽(yù)主任嚴(yán)明：對(duì)數(shù)據(jù)要素掌控和利用能力，已成為衡量國家之間競(jìng)爭(zhēng)力的核心要素。數(shù)據(jù)安全是網(wǎng)絡(luò)安全、社會(huì)安全乃至國家安全不可或缺的關(guān)鍵要素，而數(shù)據(jù)安全保護(hù)中，API安全是一個(gè)常見但又不為人熟知的挑戰(zhàn)，需要安全服務(wù)商提供更強(qiáng)有力的技術(shù)支持和服務(wù)保障。

　　蘋果資本創(chuàng)始人胡洪濤：對(duì)應(yīng)現(xiàn)實(shí)世界，API就像隨處可見的道路，它是數(shù)字世界的基礎(chǔ)設(shè)施，重要程度不言而喻。很多API通信標(biāo)準(zhǔn)，例如RESTful API，已經(jīng)在物聯(lián)網(wǎng)、微服務(wù)、云原生等場(chǎng)景都得到了非常廣闊的應(yīng)用。根據(jù)Adroit市場(chǎng)報(bào)告顯示，到2028年API管理市場(chǎng)總規(guī)模216.8億美金，其中API安全占了30%，API安全市場(chǎng)具有無限的潛力。

　　360政企安全集團(tuán)首席戰(zhàn)略官潘柱廷：API安全已日漸成為網(wǎng)絡(luò)應(yīng)用方面的主要技術(shù)需求之一。未來，開發(fā)人員需要進(jìn)一步加大對(duì)于API業(yè)務(wù)模型、分析能力、技術(shù)藍(lán)圖、以及合規(guī)性與標(biāo)準(zhǔn)化方面的深入研究與開發(fā)。

　　騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸：星闌此次發(fā)布的API安全產(chǎn)品螢火，在彌補(bǔ)傳統(tǒng)安全方案中不足的同時(shí)解決了新興的API安全風(fēng)險(xiǎn)，解決了傳統(tǒng)API安全網(wǎng)關(guān)的部署與維護(hù)成本高的問題，符合當(dāng)今技術(shù)發(fā)展趨勢(shì)，具有非常重要的意義。

　　華為云首席安全生態(tài)官萬濤：云原生是必然的IT演進(jìn)趨勢(shì)，在數(shù)據(jù)交互的方式上API占比將越來越高，云時(shí)代下，API出了問題，不僅會(huì)影響用戶的使用體驗(yàn)，威脅個(gè)人的隱私安全，也會(huì)使企業(yè)面臨數(shù)據(jù)安全風(fēng)險(xiǎn)。所以，在云原生時(shí)代下做好API安全至關(guān)重要。

　　元起資本創(chuàng)始管理合伙人何文?。簭耐顿Y角度看安全產(chǎn)業(yè)的發(fā)展有三個(gè)維度，第一是有沒有新的IT對(duì)象需要被保護(hù)，第二是行業(yè)是否會(huì)出現(xiàn)新的安全機(jī)會(huì)，第三是安全攻防技術(shù)的演進(jìn)和迭代。API安全問題符合第一個(gè)特征，未來市場(chǎng)對(duì)API安全的需求會(huì)不斷增加，前景看好。

　　數(shù)世咨詢創(chuàng)始人李少鵬：無論在國內(nèi)還是國際上，API安全日漸成為網(wǎng)絡(luò)應(yīng)用方面的主要技術(shù)需求之一。研發(fā)人員需要進(jìn)一步加大對(duì)于API業(yè)務(wù)模型、分析能力、技術(shù)藍(lán)圖、以及合規(guī)性與標(biāo)準(zhǔn)化方面的研究與開發(fā)。

　　“聰者聽于無聲，明者見于未形”，API安全這個(gè)新賽道在充滿挑戰(zhàn)的同時(shí)，也充滿無限可能。王郁在總結(jié)中表示，未來在復(fù)雜的API生態(tài)體系下，星闌科技將以用戶需求為指引，進(jìn)行更多的技術(shù)創(chuàng)新和場(chǎng)景落地，推出更多新產(chǎn)品，不僅從技術(shù)層面做好API安全的防護(hù)工作，并且注重對(duì)于API監(jiān)管和合規(guī)價(jià)值的轉(zhuǎn)化，以滿足更多各行各業(yè)用戶的安全需求，“讓智能化的安全能力守護(hù)用戶的每一次網(wǎng)絡(luò)調(diào)用”。