我們一路奮戰(zhàn)，不是為了改變世界，而是為了不讓世界改變我們。

　　在網(wǎng)絡(luò)安全行業(yè)，也有著一批為信仰而戰(zhàn)的年輕人。

　　星闌科技CEO王郁和他的黑客兄弟團們，就是其中的佼佼者?！拔覀兓诎踩シ琅c數(shù)據(jù)智能，解決企業(yè)網(wǎng)絡(luò)API安全風險，發(fā)揮安全對業(yè)務(wù)的價值，讓智能化的安全能力守護每一次網(wǎng)絡(luò)調(diào)用。”是他們直接而有力的自我介紹。

　　星闌科技自2018年11月注冊成立以來，在中國網(wǎng)絡(luò)安全產(chǎn)業(yè)中猶如一顆奪目的新星，快速進入行業(yè)、資本以及客戶的視野，年輕的創(chuàng)始團隊大多為黑客出身，他們漂亮的履歷成功的吸引了所有人的目光。

　　CEO王郁是清華大學網(wǎng)絡(luò)空間安全碩士、“藍蓮花”、Tea Deliverers核心成員，發(fā)表過多個AI流量分析、智能化威脅研究成果。

　　都基澤，美國密蘇里大學在讀博士，學術(shù)報告收錄于 IEEE communications and Network Security（CNS），是星闌開拓海外市場的實力擔當。

　　馮洛銀，佐治亞理工大學信息安全專業(yè)碩士，曾獲MIT CTF亞軍，曾任亞馬遜云西雅圖總部應(yīng)用安全tech lead，獲得多個國際安全認證，國際信息安全系統(tǒng)工程師（CISSP），認證數(shù)據(jù)隱私方案工程師 （CDPSE）。

　　丁湛釗，北京大學計算機碩士，r3kapig戰(zhàn)隊隊長，r3kapig/Eur3ka戰(zhàn)隊核心成員，連續(xù)三年殺入DEFCON決賽。百度BCTF國際賽事出題人，XCTF國際聯(lián)賽出題人，各大國內(nèi)、國際知名賽事出題人。

　　李超，前奇虎360集團安全高級攻防專家，專注 Windows域安全與Windows 安全與威脅檢測、C2編寫以及紅隊基礎(chǔ)設(shè)置建設(shè)，windows全版本通殺提權(quán)potato系列漏洞發(fā)現(xiàn)者。

　　徐越，前阿里云高級安全工程師，多年云安全與大數(shù)據(jù)分析經(jīng)驗，研究成果發(fā)表于 Blackhat, HITB, Bluehat, XCon, KCon 等國內(nèi)外知名安全會議，國際 CTF 戰(zhàn)隊r3kapig成員，XCTF命題人，連續(xù)兩年DataCon大數(shù)據(jù)安全競賽一、二等獎獲得者。

　　就是這些平均年齡不到25歲的黑客團隊組成了今天的星闌科技，他們具備世界一流的攻防對抗、安全研究能力，在應(yīng)用安全、入侵檢測、惡意軟件分析、協(xié)議漏洞挖掘等領(lǐng)域具有很高的技術(shù)水準，在國內(nèi)外CTF大會中，獲得過多項世界級冠軍。

　　而這些也僅僅是他們受關(guān)注的基礎(chǔ)，真正令人感受星闌能力所在的部分是他們在技術(shù)落地、以及如何運用技術(shù)解決實際應(yīng)用問題上的出色表現(xiàn)。

　　首先，他們將目光對準了API安全風險。

　　OWSAP在API安全計劃中描述：“API是現(xiàn)代移動、SaaS和Web應(yīng)用程序的重要組成部分，可以在面向客戶、面向合作伙伴和內(nèi)部應(yīng)用程序中找到。因性質(zhì)使然，API會暴露應(yīng)用程序邏輯和個人身份信息（PII）等敏感數(shù)據(jù)，正因為如此API逐漸成為眾多攻擊者的目標，沒有安全的API，就不可能實現(xiàn)快速創(chuàng)新。”

　　王郁告訴我們，“數(shù)據(jù)流動、人機交互、云原生體系的運行、開放能力的構(gòu)建都需要依賴API調(diào)用，根據(jù)相關(guān)預(yù)測，API經(jīng)濟的全球市場規(guī)模將達到2.2萬億美元，且API項目同比增速將達到100%以上。目前，API調(diào)用已在云邊端場景中無處不在，且由于數(shù)量的快速增長，醞釀了巨大的安全風險。API安全問題所導(dǎo)致的事件每月都會發(fā)生，即使世界一流的科技公司也在面臨嚴重的威脅?！?/p>

　　星闌科技CEO 王郁

　　每一種新技術(shù)的使用，都會產(chǎn)生新的攻擊面，從而帶來安全管理和安全技術(shù)的問題。

　　2020年3月，微博API安全事件導(dǎo)致5億條用戶數(shù)據(jù)被泄露；

　　2021年4月，F(xiàn)acebook因2019年在線業(yè)務(wù)API的功能遭到誤用，導(dǎo)致信息出現(xiàn)泄露，5億用戶的數(shù)據(jù)在暗網(wǎng)被公開售賣；

　　2021年6月，中國某電商企業(yè)API安全問題導(dǎo)致11億條用戶數(shù)據(jù)遭到泄露。

　　然而現(xiàn)在在市場上并沒有成熟完整的API解決方案。

　　星闌科技針對API安全問題，通過探訪客戶深入了解了企業(yè)的痛點：

　　資產(chǎn)理不清

　　1. API資產(chǎn)有哪些？風險如何？

　　2. 數(shù)據(jù)總線？API網(wǎng)關(guān)？哪些沒接入 ？

　　3. 老舊API、加密API如何分析？

　　鏈路看不見

　　1. 東西向通信數(shù)據(jù)不可見。

　　2.攻擊者移動路徑不可見。

　　3.隱私數(shù)據(jù)流動鏈路不可見。

　　權(quán)限管不住

　　1. 開放：B2C、B2B、開發(fā)者平臺。

　　2. 生產(chǎn)：內(nèi)部業(yè)務(wù)API權(quán)限管理不當。

　　3. 辦公：違規(guī)開放、賬號濫用。

　　經(jīng)過對客戶痛點與應(yīng)用場景的實戰(zhàn)與分析，基于團隊的攻防與技術(shù)能力，星闌科技正式對外發(fā)布了全新的API解決方案：

　　螢火 （API Intelligence） 。

　　傳統(tǒng)安全解決方案大開大合，一個方案保護一片業(yè)務(wù)，是粗粒度防御/大面積防御。相比之下API安全是更像螢火一般，細粒度守護每一個API，每一個微服務(wù)，每一次后端通信，點亮復(fù)雜業(yè)務(wù)內(nèi)部的盲點，從內(nèi)而外保護應(yīng)用安全。

　　API、微服務(wù)特性貼合，傳達“點亮黑暗”的安全感，呼應(yīng)星闌“長夜將盡”的概念。集螢火之光，與炬火爭輝，體現(xiàn)無邊界、細粒度防御優(yōu)于邊界防御的安全理念。而intelligence 代表數(shù)據(jù)智能，符合了星闌科技解決方案“智能化”的特點。

　　星闌科技CTO徐越在發(fā)布會上指出，在萬物互聯(lián)的背景下，企業(yè)安全建設(shè)思路由“防邊界”轉(zhuǎn)為“無邊界”，防護粒度不斷細化，API作為承載應(yīng)用數(shù)據(jù)流動的“血液”，需要能被采集、能被審計、能被防護。徐越介紹了螢火 （API Intelligence） 不同應(yīng)用場景的解決方案，包括企業(yè)通用API安全防護方案、容器集群API安全防護方案、微服務(wù)架構(gòu)API安全防護方案等。

　　星闌科技螢火API分析平臺包含API資產(chǎn)發(fā)現(xiàn)、API風險識別、API威脅檢測、API隱私識別與分類分級等核心功能。協(xié)議解析、數(shù)據(jù)智能、動態(tài)防御是螢火 （API Intelligence） 的三大核心能力。

　　星闌科技CTO徐越

　　蘋果資本創(chuàng)始人胡洪濤從投資視角下進行了對API安全表達了看法：“API是數(shù)字世界里面的基礎(chǔ)設(shè)施，相當于地圖中的‘路’，市場規(guī)模和增速都很可觀。國外已有專門關(guān)注API保護的廠商，例如SALT在美國融資情況就很好，到目前已經(jīng)融了1.3億美金?！?/p>

　　有人說，做網(wǎng)絡(luò)安全，一定要有堅定的信仰和情懷。

　　面對無端的指責與各種形式的中傷與攻擊，面對還未被發(fā)現(xiàn)和已經(jīng)被發(fā)現(xiàn)的危險與未知，我們自己的黑客團隊正在慢慢地成長起來，提升著我們國家網(wǎng)絡(luò)空間安全的整體能力和話語權(quán)。

　　在黑暗被點亮的過程中，還有許多星光不斷涌現(xiàn)，他們由螢火之輝凝聚而成，向黎明不斷的挺近。

　　乾坤未定，你我皆是黑馬。