我們一路奮戰(zhàn)，不是為了改變世界，而是為了不讓世界改變我們。

　　在網(wǎng)絡(luò)安全行業(yè)，也有著一批為信仰而戰(zhàn)的年輕人。

　　星闌科技CEO王郁和他的黑客兄弟團(tuán)們，就是其中的佼佼者?！拔覀兓诎踩シ琅c數(shù)據(jù)智能，解決企業(yè)網(wǎng)絡(luò)API安全風(fēng)險(xiǎn)，發(fā)揮安全對(duì)業(yè)務(wù)的價(jià)值，讓智能化的安全能力守護(hù)每一次網(wǎng)絡(luò)調(diào)用?！笔撬麄冎苯佣辛Φ淖晕医榻B。

　　星闌科技自2018年11月注冊(cè)成立以來，在中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)中猶如一顆奪目的新星，快速進(jìn)入行業(yè)、資本以及客戶的視野，年輕的創(chuàng)始團(tuán)隊(duì)大多為黑客出身，他們漂亮的履歷成功的吸引了所有人的目光。

　　CEO王郁是清華大學(xué)網(wǎng)絡(luò)空間安全碩士、“藍(lán)蓮花”、Tea Deliverers核心成員，發(fā)表過多個(gè)AI流量分析、智能化威脅研究成果。

　　都基澤，美國(guó)密蘇里大學(xué)在讀博士，學(xué)術(shù)報(bào)告收錄于 IEEE communications and Network Security（CNS），是星闌開拓海外市場(chǎng)的實(shí)力擔(dān)當(dāng)。

　　馮洛銀，佐治亞理工大學(xué)信息安全專業(yè)碩士，曾獲MIT CTF亞軍，曾任亞馬遜云西雅圖總部應(yīng)用安全tech lead，獲得多個(gè)國(guó)際安全認(rèn)證，國(guó)際信息安全系統(tǒng)工程師（CISSP），認(rèn)證數(shù)據(jù)隱私方案工程師 （CDPSE）。

　　丁湛釗，北京大學(xué)計(jì)算機(jī)碩士，r3kapig戰(zhàn)隊(duì)隊(duì)長(zhǎng)，r3kapig/Eur3ka戰(zhàn)隊(duì)核心成員，連續(xù)三年殺入DEFCON決賽。百度BCTF國(guó)際賽事出題人，XCTF國(guó)際聯(lián)賽出題人，各大國(guó)內(nèi)、國(guó)際知名賽事出題人。

　　李超，前奇虎360集團(tuán)安全高級(jí)攻防專家，專注 Windows域安全與Windows 安全與威脅檢測(cè)、C2編寫以及紅隊(duì)基礎(chǔ)設(shè)置建設(shè)，windows全版本通殺提權(quán)potato系列漏洞發(fā)現(xiàn)者。

　　徐越，前阿里云高級(jí)安全工程師，多年云安全與大數(shù)據(jù)分析經(jīng)驗(yàn)，研究成果發(fā)表于 Blackhat, HITB, Bluehat, XCon, KCon 等國(guó)內(nèi)外知名安全會(huì)議，國(guó)際 CTF 戰(zhàn)隊(duì)r3kapig成員，XCTF命題人，連續(xù)兩年DataCon大數(shù)據(jù)安全競(jìng)賽一、二等獎(jiǎng)獲得者。

　　就是這些平均年齡不到25歲的黑客團(tuán)隊(duì)組成了今天的星闌科技，他們具備世界一流的攻防對(duì)抗、安全研究能力，在應(yīng)用安全、入侵檢測(cè)、惡意軟件分析、協(xié)議漏洞挖掘等領(lǐng)域具有很高的技術(shù)水準(zhǔn)，在國(guó)內(nèi)外CTF大會(huì)中，獲得過多項(xiàng)世界級(jí)冠軍。

　　而這些也僅僅是他們受關(guān)注的基礎(chǔ)，真正令人感受星闌能力所在的部分是他們?cè)诩夹g(shù)落地、以及如何運(yùn)用技術(shù)解決實(shí)際應(yīng)用問題上的出色表現(xiàn)。

　　首先，他們將目光對(duì)準(zhǔn)了API安全風(fēng)險(xiǎn)。

　　OWSAP在API安全計(jì)劃中描述：“API是現(xiàn)代移動(dòng)、SaaS和Web應(yīng)用程序的重要組成部分，可以在面向客戶、面向合作伙伴和內(nèi)部應(yīng)用程序中找到。因性質(zhì)使然，API會(huì)暴露應(yīng)用程序邏輯和個(gè)人身份信息（PII）等敏感數(shù)據(jù)，正因?yàn)槿绱薃PI逐漸成為眾多攻擊者的目標(biāo)，沒有安全的API，就不可能實(shí)現(xiàn)快速創(chuàng)新?！?/p>

　　王郁告訴我們，“數(shù)據(jù)流動(dòng)、人機(jī)交互、云原生體系的運(yùn)行、開放能力的構(gòu)建都需要依賴API調(diào)用，根據(jù)相關(guān)預(yù)測(cè)，API經(jīng)濟(jì)的全球市場(chǎng)規(guī)模將達(dá)到2.2萬億美元，且API項(xiàng)目同比增速將達(dá)到100%以上。目前，API調(diào)用已在云邊端場(chǎng)景中無處不在，且由于數(shù)量的快速增長(zhǎng)，醞釀了巨大的安全風(fēng)險(xiǎn)。API安全問題所導(dǎo)致的事件每月都會(huì)發(fā)生，即使世界一流的科技公司也在面臨嚴(yán)重的威脅?！?/p>

　　星闌科技CEO 王郁

　　每一種新技術(shù)的使用，都會(huì)產(chǎn)生新的攻擊面，從而帶來安全管理和安全技術(shù)的問題。

　　2020年3月，微博API安全事件導(dǎo)致5億條用戶數(shù)據(jù)被泄露；

　　2021年4月，F(xiàn)acebook因2019年在線業(yè)務(wù)API的功能遭到誤用，導(dǎo)致信息出現(xiàn)泄露，5億用戶的數(shù)據(jù)在暗網(wǎng)被公開售賣；

　　2021年6月，中國(guó)某電商企業(yè)API安全問題導(dǎo)致11億條用戶數(shù)據(jù)遭到泄露。

　　然而現(xiàn)在在市場(chǎng)上并沒有成熟完整的API解決方案。

　　星闌科技針對(duì)API安全問題，通過探訪客戶深入了解了企業(yè)的痛點(diǎn)：

　　資產(chǎn)理不清

　　1. API資產(chǎn)有哪些？風(fēng)險(xiǎn)如何？

　　2. 數(shù)據(jù)總線？API網(wǎng)關(guān)？哪些沒接入 ？

　　3. 老舊API、加密API如何分析？

　　鏈路看不見

　　1. 東西向通信數(shù)據(jù)不可見。

　　2.攻擊者移動(dòng)路徑不可見。

　　3.隱私數(shù)據(jù)流動(dòng)鏈路不可見。

　　權(quán)限管不住

　　1. 開放：B2C、B2B、開發(fā)者平臺(tái)。

　　2. 生產(chǎn)：內(nèi)部業(yè)務(wù)API權(quán)限管理不當(dāng)。

　　3. 辦公：違規(guī)開放、賬號(hào)濫用。

　　經(jīng)過對(duì)客戶痛點(diǎn)與應(yīng)用場(chǎng)景的實(shí)戰(zhàn)與分析，基于團(tuán)隊(duì)的攻防與技術(shù)能力，星闌科技正式對(duì)外發(fā)布了全新的API解決方案：

　　螢火 （API Intelligence） 。

　　傳統(tǒng)安全解決方案大開大合，一個(gè)方案保護(hù)一片業(yè)務(wù)，是粗粒度防御/大面積防御。相比之下API安全是更像螢火一般，細(xì)粒度守護(hù)每一個(gè)API，每一個(gè)微服務(wù)，每一次后端通信，點(diǎn)亮復(fù)雜業(yè)務(wù)內(nèi)部的盲點(diǎn)，從內(nèi)而外保護(hù)應(yīng)用安全。

　　API、微服務(wù)特性貼合，傳達(dá)“點(diǎn)亮黑暗”的安全感，呼應(yīng)星闌“長(zhǎng)夜將盡”的概念。集螢火之光，與炬火爭(zhēng)輝，體現(xiàn)無邊界、細(xì)粒度防御優(yōu)于邊界防御的安全理念。而intelligence 代表數(shù)據(jù)智能，符合了星闌科技解決方案“智能化”的特點(diǎn)。

　　星闌科技CTO徐越在發(fā)布會(huì)上指出，在萬物互聯(lián)的背景下，企業(yè)安全建設(shè)思路由“防邊界”轉(zhuǎn)為“無邊界”，防護(hù)粒度不斷細(xì)化，API作為承載應(yīng)用數(shù)據(jù)流動(dòng)的“血液”，需要能被采集、能被審計(jì)、能被防護(hù)。徐越介紹了螢火 （API Intelligence） 不同應(yīng)用場(chǎng)景的解決方案，包括企業(yè)通用API安全防護(hù)方案、容器集群API安全防護(hù)方案、微服務(wù)架構(gòu)API安全防護(hù)方案等。

　　星闌科技螢火API分析平臺(tái)包含API資產(chǎn)發(fā)現(xiàn)、API風(fēng)險(xiǎn)識(shí)別、API威脅檢測(cè)、API隱私識(shí)別與分類分級(jí)等核心功能。協(xié)議解析、數(shù)據(jù)智能、動(dòng)態(tài)防御是螢火 （API Intelligence） 的三大核心能力。

　　星闌科技CTO徐越

　　蘋果資本創(chuàng)始人胡洪濤從投資視角下進(jìn)行了對(duì)API安全表達(dá)了看法：“API是數(shù)字世界里面的基礎(chǔ)設(shè)施，相當(dāng)于地圖中的‘路’，市場(chǎng)規(guī)模和增速都很可觀。國(guó)外已有專門關(guān)注API保護(hù)的廠商，例如SALT在美國(guó)融資情況就很好，到目前已經(jīng)融了1.3億美金?！?/p>

　　有人說，做網(wǎng)絡(luò)安全，一定要有堅(jiān)定的信仰和情懷。

　　面對(duì)無端的指責(zé)與各種形式的中傷與攻擊，面對(duì)還未被發(fā)現(xiàn)和已經(jīng)被發(fā)現(xiàn)的危險(xiǎn)與未知，我們自己的黑客團(tuán)隊(duì)正在慢慢地成長(zhǎng)起來，提升著我們國(guó)家網(wǎng)絡(luò)空間安全的整體能力和話語權(quán)。

　　在黑暗被點(diǎn)亮的過程中，還有許多星光不斷涌現(xiàn)，他們由螢火之輝凝聚而成，向黎明不斷的挺近。

　　乾坤未定，你我皆是黑馬。