當API越來越多地承載著企業(yè)核心業(yè)務邏輯和敏感數(shù)據(jù)，它們也成為了黑灰產團伙眼中絕佳的選擇。在API安全逐漸發(fā)展成為一條熱門細分賽道的現(xiàn)在，有一家公司在五年前就決定要在API的架構下去提供一套標準化的安全解決方案。

　　這家公司是永安在線，它曾經還有一個大家更耳熟能詳?shù)拿帧{獵人。過去幾年，他們的身影總是穿梭在風險情報、業(yè)務安全的版圖上，以至于很多人以為他們是啟動了一場戰(zhàn)略轉型，直接空降到API安全的陣地。

　　但永安在線的CEO畢裕（業(yè)內人親切地稱為“老畢”）：“業(yè)務層面的安全，其底層邏輯就是API的安全；基于底層情報能力的積累，才能精準感知并阻斷、溯源API面臨的風險?！?/p>

　　這個闡釋，或許跟如今熱鬧的市場中人們對于API安全的認知有些出入，老畢卻強調，“API風險正在重塑很多客戶的安全意識，未來半年，是大家對API安全的理解對齊的階段。”

　　說起來，這位1987年出生的安全創(chuàng)業(yè)者，在三十而立的年紀辭去了頭部大廠的穩(wěn)定工作，自立門戶，不出幾年已被業(yè)內人喚作“老畢”?；蛟S，一個人的歷程并不完全等同于時間的長度，更在于經歷的濃度，老畢不老，但老畢從業(yè)十多年的旅程和他對于行業(yè)的思考，依然值得跟大家好好嘮一番。

　　興趣是最好的向導

　　能力和時機在創(chuàng)業(yè)中缺一不可

　　安全行業(yè)的創(chuàng)業(yè)者們的成長路徑，大致可分為兩種，一種是學院派，科班出身，一路打怪升級，這在年輕一代的新興企業(yè)中占比已經越來越多。一種是野生派，或興趣使然，或半路出家，機緣巧合地走上這條道路，更多見于安全尚不完全成體系的早年間。

　　而老畢，則是年輕一代中的野生派。

　　“我從來都不是一個傳統(tǒng)意義上的‘好’學生”，老畢說，整個上學念書的階段，即使在小地方的普通學校的普通班級里，他的成績依然是倒數(shù)的。但他是一個“有重心”的孩子，很早就知道自己喜歡什么。大約從小學二、三年級起，就開始鼓搗編程一類的東西，到初中，已經能夠靠著自學的手藝做網(wǎng)站賺錢了。

　　年輕人初嘗財富總是自傲的，老畢一度覺得上大學可能也沒什么意思，讀書畢業(yè)出社會不還是為了賺錢嘛。轉折點發(fā)生在高三，他無意中閱讀了一本名為《清華制造》的書，講述了幾位清華學子組團進行自主創(chuàng)業(yè)最后成功創(chuàng)辦軟件公司的真實故事。

　　老畢的世界好像被打開了一扇窗，他發(fā)現(xiàn)，“嚯，原來人生還可以這樣過?！?/p>

　　身處東北的老畢開始對大城市、對遙遠而發(fā)達的南方產生向往，想走出去看看的信念驅使他發(fā)奮學習，最終考到湖南的大學，念著跟安全并不相關的專業(yè)，并且延續(xù)著自己敲代碼、做網(wǎng)站的小生意。

　　直到大四的時候，他結識了一位從綠盟科技出來的大哥，他的書架為老畢打開了第二扇窗。

　　“我從他那里看了很多關于安全的書，漏洞挖掘、逆向分析等等，很多知識在我以前曾淺顯地接觸過。”興趣火種被點燃，老畢一頭扎進了安全的汪洋，一邊汲取，一邊在專業(yè)論壇上發(fā)表研究文章。金山軟件的高管關注到他的輸出，并向他拋來了橄欖枝，老畢就此真正踏入了安全行業(yè)，在一個更南方的城市——珠海，開始了自己的安全之旅。僅一年后，老畢跳槽進入騰訊，他形容深圳是一個充滿活力的、更加開放的地方，滿足他“想走出去看看”的想象。

　　這或許也是野生派的特質，他們天生不安分、不拘于現(xiàn)狀。

　　彼時正值3Q大戰(zhàn)結束，老畢在騰訊并沒有從事病毒檢測、木馬防御這類偏傳統(tǒng)的安全工作，而是QQ賬號的安全。在整個API架構之下，營銷體系的業(yè)務邏輯的承接點就是一個個賬戶，老畢所在的團隊非常直白地叫做“打擊惡意組”，對抗的就是各類營銷業(yè)務活動中的欺詐行為。

　　四五年時間，移動互聯(lián)網(wǎng)在迅猛壯大，依托于騰訊這個業(yè)務廣泛、場景豐富的平臺，老畢見識了黑灰產的種種手段和步步升級，也修煉了層層打怪心經。后續(xù)，他前往硅谷和臺北，在獵豹移動短暫從事過海外移動互聯(lián)網(wǎng)安全業(yè)務的開拓，然后回到深圳，自己創(chuàng)業(yè)了。合伙的兄弟，大部分來自騰訊，最初的天使投資，來自獵豹移動。

　　創(chuàng)業(yè)，當然不是一拍腦門決定的事，老畢說，種子一直在心里，時候到了，就發(fā)芽了。

　　他瞄準的正是自己最擅長的業(yè)務安全領域，但切入的姿勢跟傳統(tǒng)的風控體系并不一樣。風控是基于規(guī)則引擎來判定一個行為是否合法，老畢給我們舉了一個例子，如果有一個QQ賬號，一登錄立馬就去查詢了Q幣余額，緊接著進行了一筆消費，這個操作乍一看就很有問題，太像惡意消費了。那是不是就應該寫一個規(guī)則，觸發(fā)如此業(yè)務請求行為就進行限制或阻攔？

　　但事實上，確實會有一些真實用戶，他當時登錄QQ可能只是為了給女朋友充一個黃鉆。世界如此多元，非黑即白的規(guī)則是很難精準地回答和解釋五花八門的用戶行為的，業(yè)務的差異性必然導致風控引擎的有效性大大降低。

　　另一方面，風控系統(tǒng)的運營成本很高。因為每個企業(yè)的業(yè)務場景都有其特殊性，產品之外必然需要大量的人力和服務去不斷調整優(yōu)化規(guī)則，以適配每一個具體業(yè)務的開展，畢竟，最了解客戶業(yè)務的人永遠是客戶自己。

　　這是過去每天都深陷業(yè)務場景的經歷教給老畢的經驗。不僅是騰訊，他也曾經給B站和Musical.ly（2017年被字節(jié)跳動收購）做過安全咨詢，毫無疑問，業(yè)務安全是大家普遍面臨的問題，但是并沒有特別有效的通用產品可以快速解決，也并非每個公司都有資源和能力自研自建一套安全體系。而隨著移動互聯(lián)網(wǎng)應用繼續(xù)普及，線上業(yè)務場景更加常見便捷，安全缺陷是不可能被忽視的。

　　老畢嗅到了機會，剛好還揣著一身技能，他覺得，那個「時候」到了。

　　三年潛心積累情報能力

　　為業(yè)務安全的解法打開新的思路

　　那是2017年，擰開業(yè)務安全大門的鑰匙應該是什么，老畢給出的答案是「情報」。“我們一開始就否定了基于規(guī)則引擎的解決方式，跟千變萬化的業(yè)務場景去掰扯，永遠沒有精確的尺度。而業(yè)務風險情報最大的特點，就是跟場景不相關?！?/p>

　　據(jù)其解釋，無論是賬號、IP地址、手機號、設備、自動化工具等等維度的因子，只要被打上了惡意的標簽，它就是黑灰產團伙持有的、可能會進行攻擊的資源。老畢想提供的，便是這樣的一個標準化的情報庫，它具有較好的可解釋性和很強的易用性，只要惡意資源出現(xiàn)了，無論在什么樣的業(yè)務場景下，都可以直接進行判定，并通過實時更新的數(shù)據(jù)，去全面覆蓋已知和未知的風險威脅。

　　創(chuàng)業(yè)的頭三年，老畢只做了「情報」這一件事。

　　“想要構建一套標準化的業(yè)務安全解決方案，底層情報能力一定得是非常強悍的，對于情報維度的覆蓋、風險識別的全面和精準度、數(shù)據(jù)量級的積累等等，都需要技術和時間的沉淀?！边@也是老畢認為的核心壁壘所在——每一步的跋涉和積累而來的情報能力，是別人盜不走也不能快速去超越的。

　　在2020年下半年，他們將情報能力進一步下沉，推出了自己的業(yè)務風險感知系統(tǒng)，能夠從API層面去發(fā)現(xiàn)識別并阻斷業(yè)務活動中的風險威脅，正是依靠這套情報體系建立起的API安全基線。

　　安全投入需要基于共識

　　API安全的價值將逐漸得到印證

　　讓我們特別好奇的是，API并非新生事物，為什么好似突然之間，就成了業(yè)界普遍關注的重要安全問題，并順勢帶火API安全賽道。

　　在數(shù)字化的業(yè)務活動中，種種服務都是通過API進行交互，API被廣泛使用，正在成為整個IT架構中的重要基礎設施。但是，老畢強調，面對API架構，之所以需要一種新的安全產品，核心并不在于API架構變得更加復雜，API被更多地使用，而是API架構下面的風險類型是全新的風險挑戰(zhàn)。

　　他為我們列舉了近年來一個較為典型的API安全事件——國內某大型社交平臺5.38億用戶數(shù)據(jù)泄露。該平臺一直提供查詢通訊錄好友昵稱的服務，也就是說，用手機號注冊賬戶后，授權平臺讀取通訊錄，可以知道手機通訊錄中聯(lián)系人在該平臺的基本信息。那么，地下黑產團伙便可以通過收集大量手機號，攻擊用戶查詢API來反向收集平臺的用戶信息，關聯(lián)捆綁后進行售賣。

　　顯而易見，這種攻擊不像漏洞利用等傳統(tǒng)的攻擊手段，攻擊者的行為特征、路徑會與正常的訪問請求完全不同，因此可以通過規(guī)則去識別判定出攻擊行為。如上述事件，在API架構之下，攻擊請求和正常的用戶請求，本質上沒有任何差別，這就是老畢所言之「全新的風險挑戰(zhàn)」——正常流量中的惡意攻擊流量難以通過規(guī)則運營及滲透測試去發(fā)現(xiàn)，因此API風險的感知難度很高，進而更難以有針對性地阻斷，傳統(tǒng)安全產品對此力不從心。

　　永安在線所提出的基于情報建立API安全基線的方式，可以說是為業(yè)界提供了一種新的解題思路。首先，通過旁路流量分析，以持續(xù)動態(tài)的方式梳理API資產，做到只要API一上線或開始服務就能夠被快速梳理出來。其次，借助情報的力量，可以從黑灰產的攻擊流量或工具中提取出哪些API及業(yè)務正在遭遇攻擊，如此一來，風險識別問題就得到很好的解決。與此同時，在對流量進行提取分析時，還可以識別出它們有別于正常用戶的一些特征，例如編碼的請求參數(shù)出現(xiàn)前后不一致的情況等等，這些都可用以提高風險識別的準確性。最后，基于情報去解釋攻擊的來源（如某個團伙或是某個自動化工具），進而可以幫助用戶完成攻擊溯源的工作。

　　當前，API安全賽道逐漸升溫，競合者們的快速入場讓市場上的聲音變得紛繁嘈雜。老畢的心態(tài)卻非常平和，他認為，一個企業(yè)的技術基因將決定其產品的走向和公司的戰(zhàn)略方向。

　　他將安全劃分為底層的基礎安全、中間層的應用安全以及上層的業(yè)務安全，但彼此之間并不意味著安全級別的高低。當我們站在API的視角去觀察，一些企業(yè)出于自身原始能力的積累，比如擅長攻防，自然會更側重關注API的漏洞、架構缺陷等，其未來的產品將在此方向上延伸，解決的是基礎安全層面的問題。同理，還會有關注API安全網(wǎng)關、API資產流動等等方向的企業(yè)。

　　而永安在線自成立以來就聚焦于業(yè)務安全，將所謂業(yè)務拆解，在底層邏輯上就是API的安全，其通過構建強大的情報體系來解決API的風險識別、阻斷及溯源，正是水到渠成的。業(yè)務安全關注的是用戶交互過程中遇到的風險威脅，它頻繁且多變，是目前黑灰產緊盯著的環(huán)節(jié)，也是絕大多數(shù)企業(yè)都會面臨的場景，這也是永安在線所認為的長期巨大市場空間的所在。

　　因此，雖然定位于API安全的企業(yè)越來越多，但大家的產品邏輯、發(fā)展方向其實并不一致，賽道未來也一定是百花齊放的。

　　在老畢看來，他們的API安全解決方案目前正處于產品價值證明的階段。“安全的投入是基于共識的”，老畢講道，“隨著API的大量應用，API風險事件的頻繁爆發(fā)，用戶會逐漸意識到所謂的API安全究竟是什么，也能夠在具體實踐中理解我們的安全思路和產品能力，以及與傳統(tǒng)安全邏輯的區(qū)別。在這種大浪淘沙的過程中，API安全的定義將被正確書寫，半年之內應該可以看到行業(yè)共識的建立?！?/p>

　　成為合格的企業(yè)家

　　要學會發(fā)現(xiàn)人才、成就他人

　　在交談中，我們能明確地感受到老畢始終揣著一股子堅定，定位清晰，心無旁騖。但老畢同時也告訴我們，創(chuàng)業(yè)并沒有可復制的完美模板，任何從0到1的事，都不可能是一帆風順的。

　　這五年以來，最讓其感慨良多的還要數(shù)如何從一個技術管理者成長為一個合格的企業(yè)家。

　　一開始，從大廠員工過渡到創(chuàng)業(yè)者，老畢覺得，只是身份變了，繼續(xù)腳踏實地地干活就好。但是，當他肩負起一個公司的前途與發(fā)展，還需要依靠一幫優(yōu)秀的人才來共同完成這份事業(yè)，技術管理者不擅長用人的短板就開始暴露。

　　老畢是這樣形容當時的狀態(tài)的，“看待下屬好似一個個工具，機械地安排他們去完成一行行代碼、一個個模塊，項目變成了流水線，忽略了大家作為有血有肉的個體的思維與能動性，而我也因此極度容易陷入具體的細節(jié)中去糾結。”

　　在這種忙累的消耗中，老畢抽身回頭，才發(fā)現(xiàn)，合格的老板不應該去剝奪員工努力嘗試、發(fā)揮價值的機會，而是要學會放手，站在更遠的一點的地方，把握好公司前進的目標與方向，找尋到在各個專業(yè)方向上比自己優(yōu)秀的人才，認可他，并且去幫助他、成就他。

　　“對于我們這種目標驅動型的公司來說，人多并不代表效率高、價值大，我們需要著眼于目標本身，充分發(fā)揮人才的潛力和價值，依靠現(xiàn)有的資源去解決問題，而不是修房子壘磚頭，把大家都定位成千篇一律的螺絲，最終分工不清晰、協(xié)同效率低下，也帶不來良好的結果?！崩袭呎f道，“時至今日，這仍是一個需要持續(xù)修煉的過程。”

　　長期看好市場潛力

　　將從API安全管理進階到API綜合管理

　　志同道合的人才的加入是企業(yè)成功的有利因素之一，在資本市場高度關注網(wǎng)絡安全行業(yè)的今天，資本的力量，也在大規(guī)模地加速或改變企業(yè)發(fā)展的進程。公開資料顯示，永安在線于2021年11月底完成了最新一輪5500萬元融資，目前處于A+輪。這個節(jié)奏與金額，在資本大舉進入安全行業(yè)的周期里，并不算特別搶眼。

　　老畢在此問題上展示出慣有的堅定，他表示，首先僅從資金的角度來看，對于技術創(chuàng)新型企業(yè)而言，資本的入場可以極大地幫助企業(yè)在前期的投入上加快節(jié)奏，減少商業(yè)上的顧慮，對于打磨產品是非常有幫助的。

　　另一方面，資本與企業(yè)是否意氣相投，是老畢選擇資方的一個重要考量因素，“我們愿意花很長的時間去沉淀自己的情報能力，再把它下沉到API層面，才能說我們有實力去幫助客戶真正解決業(yè)務安全的問題。將軍趕路，不追小兔，作為一個長期主義者，我們合作的資本機構也有著同樣的價值觀，可能在短期內看不到明確的財務回報，但我們認可這個事情的價值和未來巨大的市場空間，就會按照既定的節(jié)奏走好過程中的每一步?！?/p>

　　具體落實到產品的規(guī)劃上，老畢的方向很清晰，API安全管理只是開局，接下來將在API資產梳理、API敏感數(shù)據(jù)管理、API缺陷識別以及API風險識別等幾方面建立起能力上的優(yōu)勢，鞏固企業(yè)的立身之本，并向著更全面、綜合的方向去拓展。

　　“長期來看，我們將從API安全管理的基礎上逐步拓展到API全生命周期的綜合管理，在混合云架構成為企業(yè)普遍的架構模式的未來，API全生命周期綜合管理這塊市場大蛋糕必然是第三方供應商的優(yōu)勢高地，基于我們前期的積累，我們有能力去覆蓋API從設計、開發(fā)、測試、部署、運營直到下線的全部過程，給客戶提供包含安全在內的一整套產品和服務。”老畢說道。

更多信息可以來這里獲取==>>電子技術應用-AET<<