當前，數據安全很熱，原因是多方面的，因為數字經濟如火如荼方興未艾，因為層出不窮日益增多的數據泄露事件，因為接二連三相關法律法規的出臺，也因為數據安全無論從技術發展、管理實踐還是綜合治理方面，都成為越來越復雜的社會問題。

這其中，有個以往或被忽略，現在卻成重中之重的領域，越來越成為一大焦點，那就是作為數據應用連接通道的API的安全問題。

永安在線起步于業務防欺詐，其特點是立足互聯網，著眼各類應用場景，并以威脅情報驅動安全，當對業務場景的洞察與實踐足夠廣泛并日漸深入后，抽象并聚焦于更普適也更本質的問題成為必然，這個普適且本質性的問題，就是與數據安全密切相關的API安全。

畢裕，永安在線創始人兼CEO，從踏入職場到創業至今，從威脅情報到API安全，掐指一算已有十余載。深秋冬來之際，我們與畢裕進行了一場對話，聽他聊聊十余年來的從業理念與創業故事。

—— 張耀疆 安在新媒體創始人

01 創業為何選擇威脅情報視角？

縱觀眾多創業者，創業之前往往都帶有一絲神奇的色彩，比如職業經歷豐富，涉及領域眾多，人脈關系廣泛……但畢裕卻有所不同，他職業經歷相當簡單。

2010年，畢裕本科畢業，直至創業前夕，他一直輾轉于金山與騰訊兩家企業。在此期間，從終端安全到業務安全，畢裕一直都在與黑灰產做對抗。

2011年，也就是畢裕踏入騰訊的這一年，自此往后，恰是國內移動互聯網爆發的階段，大量企業瘋狂崛起生長，但遺憾的是，它們沒有同步打造抗擊黑灰產的安全能力。哪怕是當時畢裕在職的騰訊，為了追求更高的業務發展效率，也導致其線上業務問題異常突出。

在此過程中，畢?？吹剑瑐鹘y安全在業務上的攻防（現在也叫業務安全或反欺詐），更多是從規則引擎入手，但這存在兩大弊端：

弊端一：需要有專家在后端不斷去運營規則，去推動規則的有效性，這是一個必要條件；

弊端二：這是業務特征非常明顯的對抗方式。同樣的規則，換一個業務之后，復用性就會降低很多，所以不具備規?；?/p>

畢裕思索，應該用什么方式來對抗業務風險？后來，他在情報維度找到了一個視角。

以前，安全運營往往耗費大量精力去關注業務的流量，對于風險背后的作惡團伙及行為并不了解。而著眼于情報之后，就會更加關注于作惡團伙的技術、手段、行為，在此視角下，能抽象出很多能力，比如黑名單能力、攻防情報能力，繼而再去做業務上的風險，效率就會特別高。

對此，畢裕舉了一個簡單例子，比如QQ盜號問題。如果在情報上能做到對盜號木馬的實時監控，盜號木馬只要一更新，監控系統就能立即察覺，馬上就會進到自動化分析，去定位這次木馬的更新采用了什么樣的盜號策略。接著就能直接在后端形成一個檢測規則，把受到木馬影響的賬號篩選出來。

而以前做規則引擎對抗，更多是在后端拍腦袋。比如賬號怎么回事？前一小時在北京登錄，下一小時跑到福建登錄，是不是被盜了？

如此對比，高下立判！

在此期間，畢裕也給很多企業做業務安全相關的咨詢。那時，很多垂直領域的互聯網巨頭已經開始爆發，線上業務的問題也相當突出。

畢裕發現，這類企業服務器資產從幾百臺到上千臺之后，在基礎安全上有很多標準化的產品，能夠讓他們的安全級別迅速提升。但在業務上的安全，仍需從0~1建立自己的團隊，從傳統的規則對抗，一步一步去構建自己的業務風險對抗能力。而乙方又因對于甲方業務了解的缺失，導致很難在此層面發力。

故而，畢裕思考，過去這些年積累下來的安全攻防經驗，是否能夠面向這類業務風險場景，并由此提供一個標準化的基礎設施？于是乎，畢裕創業，即選擇從威脅情報出發。

2017年1月，畢裕創辦威脅獵人，后改名為永安在線，繼續一往無前地奔向他早有預判且矢志不渝的安全宏圖。

02 為何從威脅情報進階關注API安全？

如今，永安在線主打API安全產品，那API安全與情報到底是何關系？為什么要關注API安全？

畢裕認為，情報是解決標準化攻防的一個關鍵要素。單賣一套軟件產品，跟客戶說不需要再動產品，只需更新版本就能搞定安全問題，這顯然不可能。

所以，永安在線在產品策略上，期望把情報能力做到最好。不管是多維度的豐滿度，還是準確率。下個階段，再基于情報能力，給客戶提供業務場景標準化的基礎設施，能夠幫助客戶覆蓋到線上業務的安全問題。

畢裕笑稱：“以前我們是賣錘子的，需要客戶拿著錘子回家自己釘釘子。現在則是更多地直接幫助客戶解決問題?！?/p>

至于為何關注API安全，畢裕介紹，API安全是業務安全發展到一定階段成熟之后，逐漸被大家理解和認可的一個分支。在PC互聯網時代，其實并沒有業務安全，那時更多關注主機，人們使用PC大多是聊天、看電影，業務場景并不復雜，API復雜度自然也不高。

然而，隨著移動互聯網的蓬勃發展，業務安全發生了巨大變化。一是互聯網應用場景增加，比如OTO線上交易等；二是API所承載的功能性在發生巨大變化。不再單是以前文本和圖片的推送，還包含很多邏輯的交互、授權、驗證等復雜功能，這就導致線上業務問題比較嚴重。

于是，對于整個行業而言，大家對于業務安全的認知會有一個階段。

一開始，大家會從問題出發去理解場景，比如賬號總被盜，就會誕生出一個概念叫賬號安全；又如大家做線上營銷，在線上就把錢撒出去，營銷欺詐就成了一個場景。在這個階段下，人們看待業務安全，就是按照各種場景去理解業務安全。

慢慢地，大家會逐漸理解業務安全也有不同的分支。一種是完全業務導向的業務安全，比如銀行的交易安全。這不太可能標準化出來一個基礎設施去幫助銀行解決這類問題。另一種是企業在快速發展的過程中，IT架構的變化、上層應用之間的交互變得復雜而導致的業務安全問題，比如撞庫、掃號、爬蟲以及API濫用導致的數據泄露問題，這些問題本質上是API的攻防問題，這些是可以抽象出來進行標準化。

這些能夠標準化出來的問題，不是以前的場景問題，而是API架構在發展和成熟過程中會帶出來的安全問題。對于企業而言，也會從以前哪里有火撲哪里，逐步轉變為從API架構去考慮整體的業務安全問題。

03 API安全在國內市場現狀如何？

實際上，API安全概念的提出已有數年之久，但至于被業內人士接受度達到了多少，恐怕身在其中的人更有深刻體會。

畢裕認為，API安全在國內的發展演進，主要有兩個維度催生推動。

? 第一個維度是API演進，可以說與一些安全事件不無關系。如前文提到的API的應用場景和功能性都發生了很大的變化，其數量大增，圍繞API的攻擊也越來越多。近兩年來，包括線上政務的一些安全挑戰，以及很多頭部企業數據泄露的挑戰，最終發現都是源自于API管理盲區導致的問題。

? 第二個維度是甲方共識問題。永安在線最早在2020年就已經推出了一個產品，叫業務風險感知系統。跟如今的API安全產品相比，其實就是一個產品在不斷發展的過程。只不過當時沒有命名叫API安全產品，其原因是，因為當時業內許多人士不太理解API概念。產品命名要去符合市場的一個共識和認知，所以只能更多地從解決問題角度來定義產品。

這兩個維度到2021年初，不管是資本的維度，還是安全事件的頻發，都有了極大的變化。比如資本，海外API安全企業融資的規模性非常大，近幾年發展也相當好，進而讓國內安全行業對API安全形成了認知層面的快速提升。

接著，畢裕談到API安全在細分領域上限高度問題，他認為，國內的企業安全市場，其實天花板一直都是大家比較詬病的一個難點，跟海外安全市場差別還是蠻大。

海外安全市場之所以有很多小公司創業并迅速做大，跟海外市場大家在專業度上的認可和理解，包括價值驅動要素的重要性，都有較大的關系。而在國內，合規要素是一個比較重要的要素在推動，其專業性能夠影響的客群，相對而言還不是那么廣泛。

所以，畢裕坦率道：“國內非常多的優秀創業公司，從0~1會做得非常好，但是從1~10要去影響更多客戶的時候，會發現其專業品牌、產品能力很難影響客戶的決策?！?/p>

永安在線聚焦API安全也有兩年時間，對于自家API安全在安全行業中的狀況，畢裕則稱他們過去兩年在API領域的理解上完成了0~1。為何這么說？

兩年前，畢裕去跟一些客戶交流時講API安全，普遍會遇到一些客戶直接說這是在造概念、是扯淡。但現在已有明顯改善，大家已有一個共識，就是API安全值得關注，應該要去關注。

當然，任何事物的發展壯大都需要一個過程，企業客戶從接納API安全的概念，再到立項、預算，并不是一蹴而就，畢裕認為還需要一定的時間去推進。

04 國內企業API安全存在哪些問題？

畢裕從接觸的客戶中發現，很多時候客戶都是從數據安全治理視角去理解API安全，那么API就會成為其數據安全治理中的一個子模塊。因為客戶的理解很簡單，API就是一個數據管道，那就得知道有多少API，以及其中傳輸哪些數據。實際上從API的管理和安全挑戰來看，這些都還只是一個非常基礎的工作。

永安在線每個季度都發布一份API報告，該報告是完全基于他們的情報在當季發現的一手事件匯集而成，所以能夠直接代表在API安全領域內，從實際發生的風險角度上，近期是一個什么樣的趨勢。

報告顯示，最近一年時間內，從風險角度看到，很多行業普遍存在因為API的管理盲區導致的數據泄露、業務攻擊問題，包括現在很多傳統企業在線上化的過程中往往只考慮功能的完成度，而忽視了線上應用交互、數據傳輸的安全性，其中由API導致的數據泄露非常普遍，遠遠超出預期。

目前，永安在線已經在與公安緊密合作，成立網絡黑產偵察實驗室，對多條線的多個案子進行追蹤。

對此，畢裕無奈笑道：“痛心疾首，是做安全的宿命?！?/p>

那么，既然API引發的安全問題頻多，那具體都有哪些呢？對此，畢裕認為主要有三類：

>>>>第一類：內部員工的行為管理問題。

這是當下一個相當突出的安全問題。以前企業業務可能就是通過社交平臺，發送一個excel表格來去交互?，F在很多企業內部業務用OA來流程化，確實非常方便。但其中會有很多權限管理的難題，即是組織架構越來越復雜，企業數據資產越來越多元，數據跟人員角色的匹配，很難通過原有的權限授權管理來維持。

在數據管理過程中，面向于內部員工或者外包人員、合作伙伴，勢必會有一些盲區，即有些人員能觸碰到一些不必要的數據。比如，通過API批量拉去通訊錄數據，賣給黑產組織人員進行詐騙。

諸如此類，其實都是因為企業內部流程數字化、API數量變多之后，帶來的API管理難點。能不能做好這些行為監管，做好數據流動的監測，這是一個關鍵要素。

>>>>第二類：業務面向于外部的風險管理。

風險管理是API安全架構面臨的一個重要挑戰，API架構面臨的很多風險跟基礎安全面臨的風險完全不一樣。

畢裕舉了一個永安在線情報系統監測到的真實案例，某家企業做線上營銷活動，有一個中獎信息查詢的API接口，除了返回前端需要展示的頭像、昵稱、城市、脫敏手機號之外，還返回了很多前端根本不需要的敏感數據，包括中獎人的姓名、收貨地址、明文手機號等，此外API本身拉取的數量遠遠超過前端頁面展示的數量，甚至能拉到5000個名單數據。

這個事件本質上是黑產利用營銷活動API存在敏感數據過度暴露的缺陷，爬取大量用戶數據。這類情況普遍出現在企業數字化過程中，特別是一些傳統企業數字化轉型過程中，可能衍生出來的API管理難點：一方面是API的缺陷問題能否檢測到，另一方面是黑產這種“無特征”、與正常API調用無差別的攻擊行為能否及時識別。

>>>>第三類：API資產的管理問題。

隨著數字化發展，通過API流動數據創造價值，已成為企業創新發展的關鍵，API也逐漸被理解成數字時代的關鍵IT資產。那么，API資產的管理問題，影子API、僵尸API等威脅，企業能否主動去發現。企業在做安全評估的時候，API資產是不是在評估范圍之內，這也可能變成一個難點。

05 如何幫助企業建設API安全？

既然API安全正朝著愈發重要的方向前行，那么對于有此安全需求的企業而言，正如《禮記·中庸》中所言“凡事豫則立，不豫則廢”，應當予以適當關注，并加以認知與理解，并結合自家實際情況進行考量。

畢?？吹?，對于企業而言，如果想要做好安全管理，全生命周期的管理視角是一個必要的視角。

何出此言？畢裕舉了一個例子，比如當我們去考慮一個操作系統安全問題的時候，一定不會從系統的開發環節就去考慮安全，因為系統不是我們開發的。在行業里面，大家都是用的標準化產品，所以在解決方案上也有很多選擇，這給企業提供了一種很好的供應方式。但在API對象層面，情況卻不一樣。

首先，API是企業的私有化資產，從設計和開發就是在企業內部完成，也就是說，API問題的產生也是由企業自身產生。所以企業在管理角度上，有必要從開發和設計環節，就開始去考慮整個API的管理。

其次，API在整個業務生命周期當中變化非?？?，隨著業務需求變化，API的實現邏輯發生改動都是很正常的現象，研究團隊每天做的事情其實就是在迭代API。API實現邏輯一旦發生變化，很容易引入新的風險，特別是當開發人員認為前期已經做過非常多的安全檢測后不太可能再出問題時。這也會給企業的安全管理帶來新的挑戰。

因此，通過對API全生命周期來考慮API安全，圍繞設計、開發、測試、上線運行、迭代到下線的每一個環節加強安全建設，就顯得更有必要。

在畢裕看來，永安在線現在更多是在生產環境下先幫助企業做一個“把門”。企業擁有那么多業務，到底有沒有安全問題？若是真有安全問題發生，有人在惦記企業資產的時候，永安在線能夠先幫企業把好這道門。

畢裕介紹，永安在線接下來的產品策略，將會圍繞著API全生命周期，也就是設計、開發、測試、生產環境、上下線等環節，為企業提供一個閉環的全生命周期的管理能力。這是永安在線產品戰略上的一個定義。

06 目前業內如何解決API安全問題？

正所謂“一花獨放不是春，百花齊放春滿園”。尤其在安全行業中，針對一個問題的解決方案，往往各家安全廠商千差萬別、不一而同。API安全同樣存在這樣的狀況。于是難免會好奇，對于API安全這種新生物種，業內的解決方案都走了哪些路線？

畢裕對此深有同感，他鄭重說道：“我非常贊同一個觀點，技術都是要融合的，不是絕對的?！?/p>

在畢裕的認知中，當今在API安全管理角度上，主要有三種技術棧。

>>>>第一、傳統的規則引擎。

畢裕坦言，這是現在國內API安全產品的主流。其缺點非常明確，即不具備標準化程度和規?；?。如果企業有十個業務，產品部署完畢之后，面向于每個業務的規則，都需要后期專業的和高壓的持續迭代。這會讓很多企業后面的安全運營工作非常頭疼。

此外，規則引擎在內網安全，比如漏洞、木馬的防護上，有效性其實還是可以。但在API風險識別方面此類方案的缺陷就比較突出，一個API里面的流量，通常一方面是正常人的訪問，一方面是攻擊者的請求，很多時候一個請求一個響應就完成了，從行為上很難區分誰好誰壞。

攻擊者輸入的內容是企業自己定義的，也就是說企業怎么定義的參數，攻擊者就怎么輸入，并沒有去違規，就是按照企業定義設置的參數去完成攻擊。

如此就給規則引擎帶來了更高的難度，即在API攻擊層面，很多時候攻擊請求當中并未包含任何攻擊特征。

所以，畢裕對規則引擎的定義是，可以完成0~60分，但是60分再往上走，效率就比較低。

>>>>第二、機器學習。

畢裕介紹，在海外能夠看到，一些公司在API架構上的機器學習兩種應用方式。

第一種叫關系引擎。即是將客戶所有API盤點完畢之后，對于正常業務的調用，會繪制出API的調用關系。如果突然出現一個API的調用關系不在正常邏輯之內，那就可以懷疑這是一個攻擊請求。

實際上就是基于攻擊的流量跟正常行為不一樣，通過API的關系引擎去做異常識別，本質上是通過AI在API的調用關系上去建立一個baseline，然后基于這個baseline再去做異常識別。

第二種是在業務流量上繪制出一個基本面。比如游戲業務，一到周六用戶量就爆漲，通過AI去學習業務的規律，將這個規律定義成API架構的baseline。如果周三某個API的流量突然暴增，那就認為這是一個不符合業務特征的異常行為，需要做預警。

這實際上是從業務角度去繪制出一個baseline，然后在baseline上做異常識別。這是海外主流的一個技術棧。

然而，這種技術的弊端是，必須要有一個前提，就是業務本身是一個相對比較穩定的業務。比如業務年初是1000萬用戶，年底用戶變成2500萬，那這個baseline就很難繪制。

故而，畢裕覺得，海外互聯網生態相對變量沒那么多，這類技術在這樣的土壤上應用有很大空間。但在國內的場景，純粹基于AI去構建baseline，效率提升仍存在很大的瓶頸。這也是他在之前實踐中看到的一個結果。

>>>>第三、情報技術。

這即是永安在線選擇的方案，本質上是基于攻擊者使用的攻擊資源如攻擊IP、工具、賬號、行為等風險情報，構建API訪問的行為基線。

舉個簡單例子，比如一個API訪問量，第一天100萬，第二天50萬，第三天200萬，變化很大。通過情報就繪制出一個指標，如API請求流量中的風險IP流量占比指標。

在沒有攻擊的情況下，風險IP流量占比可能是0.03%。一旦有攻擊，風險IP流量占比會迅速飆到2%、3%。從整體流量上看，風險流量占比變化并不是很大。但是如果有情報能力，在情報指標上面，就能看到一個量級的變化，基于這個變化就可以直接判定該API當下一定受到攻擊。

這種基于情報的判定方式不受API流量波動影響，無論該API的流量是10萬還是100萬，如果風險流量占比從0.03%變到了3%，可直接判定該API存在風險攻擊事件。

當然，畢裕坦誠說道，這種技術也有一個大前提，就是怎么保證精準率和覆蓋率。這其實就是永安在線為什么這么長時間都在做情報這事。

07 永安在線API安全產品核心能力

理念雖好，能夠化為切實有效的產品，才是理念落地的關鍵。

畢裕頗為自豪地介紹稱，目前在國內，永安在線在API安全投入上，應該算是最大的那幾家之一。因為說一千道一萬，沒有什么比真金白銀的資本投入更有說服力。

當然，畢裕對當下也有比較清醒的認知，他如實道：“我們投入非常大，有大幾十的研發人員，有長期的投入。在產品成熟度上，目前我們位置應該是非?？壳?。但是放眼整個安全領域來看，我認為API安全還仍然有蠻長的一段路要走。要尊重客觀情況?！?/p>

畢裕的理念與信心，如今已經真實轉化為永安在線的產品，也是目前永安在線聚力打造的唯一一款產品，名為“API安全管控平臺”。

“API安全管控平臺”究竟能解決怎樣的安全問題，畢裕也做了詳細的介紹，主要有幾大功能：

■ 第一、資產管理。

解決的是API資產可視化問題，這是一個最基礎也是最關鍵的問題。企業有多少API？有哪些API傳輸了什么類型的敏感數據？資產的發現，包括敏感數據類型標簽的識別，是不是全自動化？

畢裕認為這是一個很重要的關鍵能力，難點在于標準化這一步。

API安全管控平臺內置資產梳理模塊，能夠以持續動態的方式去梳理面向客戶、內部員工、合作伙伴、開源組件和中間件等場景下的API，做到只要API一上線或開始服務就能夠被快速識別出來，并建立完整的API資產清單，全面了解API開放數量、API活躍狀態、僵尸API、影子API等安全風險信息，還可以把資產信息及時同步給相關業務或安全人員。

■ 第二、風險管理。

當資產管理做完之后，風險這塊是不是能夠發現？風險管理是API安全架構面臨的一個重要挑戰：

? 一方面是API缺陷檢測問題。

哪些API存在未授權、越權、數據偽脫敏等缺陷可被黑產利用。

永安在線基于特有的情報技術和攻防研究，可持續跟蹤攻擊者如何利用新型API漏洞進行攻擊，并提取新型攻擊面和攻擊特征，持續優化API漏洞檢測引擎，能及時覆蓋最新的業務API邏輯漏洞和第三方組件、開源系統API的未授權漏洞等。

? 另一方面是API攻擊感知問題。

API架構面臨的很多風險跟基礎安全面臨的風險完全不一樣。針對API的典型攻擊是無特征的、不存在紕漏，這種情況下基于木馬的特征識別、基于漏洞攻擊識別，就無法起到效果。

譬如，攻擊者通過黑產資源池的海量小號、秒撥代理IP偽裝成正常的請求訪問，對API接口進行低頻攻擊或數據爬取，傳統WAF或基于規則引擎技術的安全產品就不具備這方面的檢測能力。

永安在線基于情報能力（如攻擊者利用的IP、自動化工具資源等）構建API安全行為基線，可不受業務波動影響，能更有效地感知外部API風險，誤判率底，這也是產品主打優勢之一。

■ 第三、數據合規審計。

API是應用之間數據傳輸的重要通道，通過API流動交換數據來創造價值。如何做好流動數據合規建設，也是企業安全管理的一大難點。

如今年《數據出境安全評估辦法》的落地，對企業提出了新的要求，企業對自己的數據出境要有管理，而且要主動申報。企業API是數據出境的重要管道。那企業是不是能有一個符合管理辦法的模塊，能夠幫助在整個動態過程中完成自審工作和申報工作。

API安全管控平臺通過流量梳理API資產的同時，會對流量中流動的敏感數據資產進行識別和提取，對敏感數據類型進行分級分類，確保數據資產持續更新和可見。通過平臺的“數據地圖”可以觀測到當前企業存在哪些涉敏數據及其聚集分布的站點情況，從而對自身流動數據資產分布有全面的認知。

該平臺也上線了“數據出境合規自查”功能，支持對不同業務的境外涉敏請求流量進行審計與記錄，評估出境的數據資產是否存在出境風險，即使業務分布在多個云上或不同數據中心，也可通過分布式部署方案實現全面的出境數據資產評估。

08 尾聲：每個拓荒者都是時代的英雄

對于未來，畢裕也有很多美好的向往，他介紹說，今年想基于標桿客戶，把產品成熟度進一步做好。因為永安在線的目標，從來都不是比友商做得好一點，而是圍繞著客戶的需求，真的踏實做好。

畢裕認為，你研發的產品，是把原來的風控規則引擎簡簡單單基于API對象做了包裝，還是真的把其中標準化問題解決，這對于客戶在后續使用的持續價值是有極大不同。

“比如客戶線上API，可能每天都有增刪改減?？蛻粲衷黾恿耍闶遣皇悄軠蚀_識別出來？客戶可能會不斷遇到新的攻擊類型，你是不是又能夠覆蓋到？這不能派兩個人每天盯著系統，所以我們一直堅持標準化來做這事。但坦率來講，我也仍然認為我們仍需專注在這個點上做長期的打算，持續的投入，才能在未來給客戶提供一個真真正正的，不只是在國內，甚至在全球市場，也是能夠擁有競爭力的產品。”

說到最后，畢裕的眼中有光，神色堅定，恰似一名執劍縱馬的騎士，將繼續在他認定的道路上一往無前。

安全領域，世界范圍內發展已有數十年，國內洶涌火熱也差不多有十年光景。在國內安全創業賽道上，無數人來了又走，走了又來。

回首看，道道標桿立于身后；抬望眼，茫?；脑瓱o跡可尋。成功立標者固然可佩，而勇于去荒野探尋開拓之輩，同樣是屬于這個時代的英雄。

詳情請關注安在新媒體—人物、熱點、互動、傳播，有內涵的信息安全新媒體。