當(dāng)API越來越多地承載著企業(yè)核心業(yè)務(wù)邏輯和敏感數(shù)據(jù)，它們也成為了黑灰產(chǎn)團(tuán)伙眼中絕佳的選擇。在API安全逐漸發(fā)展成為一條熱門細(xì)分賽道的現(xiàn)在，有一家公司在五年前就決定要在API的架構(gòu)下去提供一套標(biāo)準(zhǔn)化的安全解決方案。

　　這家公司是永安在線，它曾經(jīng)還有一個(gè)大家更耳熟能詳?shù)拿帧{獵人。過去幾年，他們的身影總是穿梭在風(fēng)險(xiǎn)情報(bào)、業(yè)務(wù)安全的版圖上，以至于很多人以為他們是啟動(dòng)了一場(chǎng)戰(zhàn)略轉(zhuǎn)型，直接空降到API安全的陣地。

　　但永安在線的CEO畢裕（業(yè)內(nèi)人親切地稱為“老畢”）：“業(yè)務(wù)層面的安全，其底層邏輯就是API的安全；基于底層情報(bào)能力的積累，才能精準(zhǔn)感知并阻斷、溯源API面臨的風(fēng)險(xiǎn)。”

　　這個(gè)闡釋，或許跟如今熱鬧的市場(chǎng)中人們對(duì)于API安全的認(rèn)知有些出入，老畢卻強(qiáng)調(diào)，“API風(fēng)險(xiǎn)正在重塑很多客戶的安全意識(shí)，未來半年，是大家對(duì)API安全的理解對(duì)齊的階段?！?/p>

　　說起來，這位1987年出生的安全創(chuàng)業(yè)者，在三十而立的年紀(jì)辭去了頭部大廠的穩(wěn)定工作，自立門戶，不出幾年已被業(yè)內(nèi)人喚作“老畢”?；蛟S，一個(gè)人的歷程并不完全等同于時(shí)間的長(zhǎng)度，更在于經(jīng)歷的濃度，老畢不老，但老畢從業(yè)十多年的旅程和他對(duì)于行業(yè)的思考，依然值得跟大家好好嘮一番。

　　興趣是最好的向?qū)?/strong>

　　能力和時(shí)機(jī)在創(chuàng)業(yè)中缺一不可

　　安全行業(yè)的創(chuàng)業(yè)者們的成長(zhǎng)路徑，大致可分為兩種，一種是學(xué)院派，科班出身，一路打怪升級(jí)，這在年輕一代的新興企業(yè)中占比已經(jīng)越來越多。一種是野生派，或興趣使然，或半路出家，機(jī)緣巧合地走上這條道路，更多見于安全尚不完全成體系的早年間。

　　而老畢，則是年輕一代中的野生派。

　　“我從來都不是一個(gè)傳統(tǒng)意義上的‘好’學(xué)生”，老畢說，整個(gè)上學(xué)念書的階段，即使在小地方的普通學(xué)校的普通班級(jí)里，他的成績(jī)依然是倒數(shù)的。但他是一個(gè)“有重心”的孩子，很早就知道自己喜歡什么。大約從小學(xué)二、三年級(jí)起，就開始鼓搗編程一類的東西，到初中，已經(jīng)能夠靠著自學(xué)的手藝做網(wǎng)站賺錢了。

　　年輕人初嘗財(cái)富總是自傲的，老畢一度覺得上大學(xué)可能也沒什么意思，讀書畢業(yè)出社會(huì)不還是為了賺錢嘛。轉(zhuǎn)折點(diǎn)發(fā)生在高三，他無意中閱讀了一本名為《清華制造》的書，講述了幾位清華學(xué)子組團(tuán)進(jìn)行自主創(chuàng)業(yè)最后成功創(chuàng)辦軟件公司的真實(shí)故事。

　　老畢的世界好像被打開了一扇窗，他發(fā)現(xiàn)，“嚯，原來人生還可以這樣過?！?/p>

　　身處東北的老畢開始對(duì)大城市、對(duì)遙遠(yuǎn)而發(fā)達(dá)的南方產(chǎn)生向往，想走出去看看的信念驅(qū)使他發(fā)奮學(xué)習(xí)，最終考到湖南的大學(xué)，念著跟安全并不相關(guān)的專業(yè)，并且延續(xù)著自己敲代碼、做網(wǎng)站的小生意。

　　直到大四的時(shí)候，他結(jié)識(shí)了一位從綠盟科技出來的大哥，他的書架為老畢打開了第二扇窗。

　　“我從他那里看了很多關(guān)于安全的書，漏洞挖掘、逆向分析等等，很多知識(shí)在我以前曾淺顯地接觸過?！迸d趣火種被點(diǎn)燃，老畢一頭扎進(jìn)了安全的汪洋，一邊汲取，一邊在專業(yè)論壇上發(fā)表研究文章。金山軟件的高管關(guān)注到他的輸出，并向他拋來了橄欖枝，老畢就此真正踏入了安全行業(yè)，在一個(gè)更南方的城市——珠海，開始了自己的安全之旅。僅一年后，老畢跳槽進(jìn)入騰訊，他形容深圳是一個(gè)充滿活力的、更加開放的地方，滿足他“想走出去看看”的想象。

　　這或許也是野生派的特質(zhì)，他們天生不安分、不拘于現(xiàn)狀。

　　彼時(shí)正值3Q大戰(zhàn)結(jié)束，老畢在騰訊并沒有從事病毒檢測(cè)、木馬防御這類偏傳統(tǒng)的安全工作，而是QQ賬號(hào)的安全。在整個(gè)API架構(gòu)之下，營(yíng)銷體系的業(yè)務(wù)邏輯的承接點(diǎn)就是一個(gè)個(gè)賬戶，老畢所在的團(tuán)隊(duì)非常直白地叫做“打擊惡意組”，對(duì)抗的就是各類營(yíng)銷業(yè)務(wù)活動(dòng)中的欺詐行為。

　　四五年時(shí)間，移動(dòng)互聯(lián)網(wǎng)在迅猛壯大，依托于騰訊這個(gè)業(yè)務(wù)廣泛、場(chǎng)景豐富的平臺(tái)，老畢見識(shí)了黑灰產(chǎn)的種種手段和步步升級(jí)，也修煉了層層打怪心經(jīng)。后續(xù)，他前往硅谷和臺(tái)北，在獵豹移動(dòng)短暫從事過海外移動(dòng)互聯(lián)網(wǎng)安全業(yè)務(wù)的開拓，然后回到深圳，自己創(chuàng)業(yè)了。合伙的兄弟，大部分來自騰訊，最初的天使投資，來自獵豹移動(dòng)。

　　創(chuàng)業(yè)，當(dāng)然不是一拍腦門決定的事，老畢說，種子一直在心里，時(shí)候到了，就發(fā)芽了。

　　他瞄準(zhǔn)的正是自己最擅長(zhǎng)的業(yè)務(wù)安全領(lǐng)域，但切入的姿勢(shì)跟傳統(tǒng)的風(fēng)控體系并不一樣。風(fēng)控是基于規(guī)則引擎來判定一個(gè)行為是否合法，老畢給我們舉了一個(gè)例子，如果有一個(gè)QQ賬號(hào)，一登錄立馬就去查詢了Q幣余額，緊接著進(jìn)行了一筆消費(fèi)，這個(gè)操作乍一看就很有問題，太像惡意消費(fèi)了。那是不是就應(yīng)該寫一個(gè)規(guī)則，觸發(fā)如此業(yè)務(wù)請(qǐng)求行為就進(jìn)行限制或阻攔？

　　但事實(shí)上，確實(shí)會(huì)有一些真實(shí)用戶，他當(dāng)時(shí)登錄QQ可能只是為了給女朋友充一個(gè)黃鉆。世界如此多元，非黑即白的規(guī)則是很難精準(zhǔn)地回答和解釋五花八門的用戶行為的，業(yè)務(wù)的差異性必然導(dǎo)致風(fēng)控引擎的有效性大大降低。

　　另一方面，風(fēng)控系統(tǒng)的運(yùn)營(yíng)成本很高。因?yàn)槊總€(gè)企業(yè)的業(yè)務(wù)場(chǎng)景都有其特殊性，產(chǎn)品之外必然需要大量的人力和服務(wù)去不斷調(diào)整優(yōu)化規(guī)則，以適配每一個(gè)具體業(yè)務(wù)的開展，畢竟，最了解客戶業(yè)務(wù)的人永遠(yuǎn)是客戶自己。

　　這是過去每天都深陷業(yè)務(wù)場(chǎng)景的經(jīng)歷教給老畢的經(jīng)驗(yàn)。不僅是騰訊，他也曾經(jīng)給B站和Musical.ly（2017年被字節(jié)跳動(dòng)收購(gòu)）做過安全咨詢，毫無疑問，業(yè)務(wù)安全是大家普遍面臨的問題，但是并沒有特別有效的通用產(chǎn)品可以快速解決，也并非每個(gè)公司都有資源和能力自研自建一套安全體系。而隨著移動(dòng)互聯(lián)網(wǎng)應(yīng)用繼續(xù)普及，線上業(yè)務(wù)場(chǎng)景更加常見便捷，安全缺陷是不可能被忽視的。

　　老畢嗅到了機(jī)會(huì)，剛好還揣著一身技能，他覺得，那個(gè)「時(shí)候」到了。

　　三年潛心積累情報(bào)能力

　　為業(yè)務(wù)安全的解法打開新的思路

　　那是2017年，擰開業(yè)務(wù)安全大門的鑰匙應(yīng)該是什么，老畢給出的答案是「情報(bào)」?！拔覀円婚_始就否定了基于規(guī)則引擎的解決方式，跟千變?nèi)f化的業(yè)務(wù)場(chǎng)景去掰扯，永遠(yuǎn)沒有精確的尺度。而業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)最大的特點(diǎn)，就是跟場(chǎng)景不相關(guān)?！?/p>

　　據(jù)其解釋，無論是賬號(hào)、IP地址、手機(jī)號(hào)、設(shè)備、自動(dòng)化工具等等維度的因子，只要被打上了惡意的標(biāo)簽，它就是黑灰產(chǎn)團(tuán)伙持有的、可能會(huì)進(jìn)行攻擊的資源。老畢想提供的，便是這樣的一個(gè)標(biāo)準(zhǔn)化的情報(bào)庫(kù)，它具有較好的可解釋性和很強(qiáng)的易用性，只要惡意資源出現(xiàn)了，無論在什么樣的業(yè)務(wù)場(chǎng)景下，都可以直接進(jìn)行判定，并通過實(shí)時(shí)更新的數(shù)據(jù)，去全面覆蓋已知和未知的風(fēng)險(xiǎn)威脅。

　　創(chuàng)業(yè)的頭三年，老畢只做了「情報(bào)」這一件事。

　　“想要構(gòu)建一套標(biāo)準(zhǔn)化的業(yè)務(wù)安全解決方案，底層情報(bào)能力一定得是非常強(qiáng)悍的，對(duì)于情報(bào)維度的覆蓋、風(fēng)險(xiǎn)識(shí)別的全面和精準(zhǔn)度、數(shù)據(jù)量級(jí)的積累等等，都需要技術(shù)和時(shí)間的沉淀?！边@也是老畢認(rèn)為的核心壁壘所在——每一步的跋涉和積累而來的情報(bào)能力，是別人盜不走也不能快速去超越的。

　　在2020年下半年，他們將情報(bào)能力進(jìn)一步下沉，推出了自己的業(yè)務(wù)風(fēng)險(xiǎn)感知系統(tǒng)，能夠從API層面去發(fā)現(xiàn)識(shí)別并阻斷業(yè)務(wù)活動(dòng)中的風(fēng)險(xiǎn)威脅，正是依靠這套情報(bào)體系建立起的API安全基線。

　　安全投入需要基于共識(shí)

　　API安全的價(jià)值將逐漸得到印證

　　讓我們特別好奇的是，API并非新生事物，為什么好似突然之間，就成了業(yè)界普遍關(guān)注的重要安全問題，并順勢(shì)帶火API安全賽道。

　　在數(shù)字化的業(yè)務(wù)活動(dòng)中，種種服務(wù)都是通過API進(jìn)行交互，API被廣泛使用，正在成為整個(gè)IT架構(gòu)中的重要基礎(chǔ)設(shè)施。但是，老畢強(qiáng)調(diào)，面對(duì)API架構(gòu)，之所以需要一種新的安全產(chǎn)品，核心并不在于API架構(gòu)變得更加復(fù)雜，API被更多地使用，而是API架構(gòu)下面的風(fēng)險(xiǎn)類型是全新的風(fēng)險(xiǎn)挑戰(zhàn)。

　　他為我們列舉了近年來一個(gè)較為典型的API安全事件——國(guó)內(nèi)某大型社交平臺(tái)5.38億用戶數(shù)據(jù)泄露。該平臺(tái)一直提供查詢通訊錄好友昵稱的服務(wù)，也就是說，用手機(jī)號(hào)注冊(cè)賬戶后，授權(quán)平臺(tái)讀取通訊錄，可以知道手機(jī)通訊錄中聯(lián)系人在該平臺(tái)的基本信息。那么，地下黑產(chǎn)團(tuán)伙便可以通過收集大量手機(jī)號(hào)，攻擊用戶查詢API來反向收集平臺(tái)的用戶信息，關(guān)聯(lián)捆綁后進(jìn)行售賣。

　　顯而易見，這種攻擊不像漏洞利用等傳統(tǒng)的攻擊手段，攻擊者的行為特征、路徑會(huì)與正常的訪問請(qǐng)求完全不同，因此可以通過規(guī)則去識(shí)別判定出攻擊行為。如上述事件，在API架構(gòu)之下，攻擊請(qǐng)求和正常的用戶請(qǐng)求，本質(zhì)上沒有任何差別，這就是老畢所言之「全新的風(fēng)險(xiǎn)挑戰(zhàn)」——正常流量中的惡意攻擊流量難以通過規(guī)則運(yùn)營(yíng)及滲透測(cè)試去發(fā)現(xiàn)，因此API風(fēng)險(xiǎn)的感知難度很高，進(jìn)而更難以有針對(duì)性地阻斷，傳統(tǒng)安全產(chǎn)品對(duì)此力不從心。

　　永安在線所提出的基于情報(bào)建立API安全基線的方式，可以說是為業(yè)界提供了一種新的解題思路。首先，通過旁路流量分析，以持續(xù)動(dòng)態(tài)的方式梳理API資產(chǎn)，做到只要API一上線或開始服務(wù)就能夠被快速梳理出來。其次，借助情報(bào)的力量，可以從黑灰產(chǎn)的攻擊流量或工具中提取出哪些API及業(yè)務(wù)正在遭遇攻擊，如此一來，風(fēng)險(xiǎn)識(shí)別問題就得到很好的解決。與此同時(shí)，在對(duì)流量進(jìn)行提取分析時(shí)，還可以識(shí)別出它們有別于正常用戶的一些特征，例如編碼的請(qǐng)求參數(shù)出現(xiàn)前后不一致的情況等等，這些都可用以提高風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確性。最后，基于情報(bào)去解釋攻擊的來源（如某個(gè)團(tuán)伙或是某個(gè)自動(dòng)化工具），進(jìn)而可以幫助用戶完成攻擊溯源的工作。

　　當(dāng)前，API安全賽道逐漸升溫，競(jìng)合者們的快速入場(chǎng)讓市場(chǎng)上的聲音變得紛繁嘈雜。老畢的心態(tài)卻非常平和，他認(rèn)為，一個(gè)企業(yè)的技術(shù)基因?qū)Q定其產(chǎn)品的走向和公司的戰(zhàn)略方向。

　　他將安全劃分為底層的基礎(chǔ)安全、中間層的應(yīng)用安全以及上層的業(yè)務(wù)安全，但彼此之間并不意味著安全級(jí)別的高低。當(dāng)我們站在API的視角去觀察，一些企業(yè)出于自身原始能力的積累，比如擅長(zhǎng)攻防，自然會(huì)更側(cè)重關(guān)注API的漏洞、架構(gòu)缺陷等，其未來的產(chǎn)品將在此方向上延伸，解決的是基礎(chǔ)安全層面的問題。同理，還會(huì)有關(guān)注API安全網(wǎng)關(guān)、API資產(chǎn)流動(dòng)等等方向的企業(yè)。

　　而永安在線自成立以來就聚焦于業(yè)務(wù)安全，將所謂業(yè)務(wù)拆解，在底層邏輯上就是API的安全，其通過構(gòu)建強(qiáng)大的情報(bào)體系來解決API的風(fēng)險(xiǎn)識(shí)別、阻斷及溯源，正是水到渠成的。業(yè)務(wù)安全關(guān)注的是用戶交互過程中遇到的風(fēng)險(xiǎn)威脅，它頻繁且多變，是目前黑灰產(chǎn)緊盯著的環(huán)節(jié)，也是絕大多數(shù)企業(yè)都會(huì)面臨的場(chǎng)景，這也是永安在線所認(rèn)為的長(zhǎng)期巨大市場(chǎng)空間的所在。

　　因此，雖然定位于API安全的企業(yè)越來越多，但大家的產(chǎn)品邏輯、發(fā)展方向其實(shí)并不一致，賽道未來也一定是百花齊放的。

　　在老畢看來，他們的API安全解決方案目前正處于產(chǎn)品價(jià)值證明的階段?！鞍踩耐度胧腔诠沧R(shí)的”，老畢講道，“隨著API的大量應(yīng)用，API風(fēng)險(xiǎn)事件的頻繁爆發(fā)，用戶會(huì)逐漸意識(shí)到所謂的API安全究竟是什么，也能夠在具體實(shí)踐中理解我們的安全思路和產(chǎn)品能力，以及與傳統(tǒng)安全邏輯的區(qū)別。在這種大浪淘沙的過程中，API安全的定義將被正確書寫，半年之內(nèi)應(yīng)該可以看到行業(yè)共識(shí)的建立?！?/p>

　　成為合格的企業(yè)家

　　要學(xué)會(huì)發(fā)現(xiàn)人才、成就他人

　　在交談中，我們能明確地感受到老畢始終揣著一股子堅(jiān)定，定位清晰，心無旁騖。但老畢同時(shí)也告訴我們，創(chuàng)業(yè)并沒有可復(fù)制的完美模板，任何從0到1的事，都不可能是一帆風(fēng)順的。

　　這五年以來，最讓其感慨良多的還要數(shù)如何從一個(gè)技術(shù)管理者成長(zhǎng)為一個(gè)合格的企業(yè)家。

　　一開始，從大廠員工過渡到創(chuàng)業(yè)者，老畢覺得，只是身份變了，繼續(xù)腳踏實(shí)地地干活就好。但是，當(dāng)他肩負(fù)起一個(gè)公司的前途與發(fā)展，還需要依靠一幫優(yōu)秀的人才來共同完成這份事業(yè)，技術(shù)管理者不擅長(zhǎng)用人的短板就開始暴露。

　　老畢是這樣形容當(dāng)時(shí)的狀態(tài)的，“看待下屬好似一個(gè)個(gè)工具，機(jī)械地安排他們?nèi)ネ瓿梢恍行写a、一個(gè)個(gè)模塊，項(xiàng)目變成了流水線，忽略了大家作為有血有肉的個(gè)體的思維與能動(dòng)性，而我也因此極度容易陷入具體的細(xì)節(jié)中去糾結(jié)?！?/p>

　　在這種忙累的消耗中，老畢抽身回頭，才發(fā)現(xiàn)，合格的老板不應(yīng)該去剝奪員工努力嘗試、發(fā)揮價(jià)值的機(jī)會(huì)，而是要學(xué)會(huì)放手，站在更遠(yuǎn)的一點(diǎn)的地方，把握好公司前進(jìn)的目標(biāo)與方向，找尋到在各個(gè)專業(yè)方向上比自己優(yōu)秀的人才，認(rèn)可他，并且去幫助他、成就他。

　　“對(duì)于我們這種目標(biāo)驅(qū)動(dòng)型的公司來說，人多并不代表效率高、價(jià)值大，我們需要著眼于目標(biāo)本身，充分發(fā)揮人才的潛力和價(jià)值，依靠現(xiàn)有的資源去解決問題，而不是修房子壘磚頭，把大家都定位成千篇一律的螺絲，最終分工不清晰、協(xié)同效率低下，也帶不來良好的結(jié)果。”老畢說道，“時(shí)至今日，這仍是一個(gè)需要持續(xù)修煉的過程。”

　　長(zhǎng)期看好市場(chǎng)潛力

　　將從API安全管理進(jìn)階到API綜合管理

　　志同道合的人才的加入是企業(yè)成功的有利因素之一，在資本市場(chǎng)高度關(guān)注網(wǎng)絡(luò)安全行業(yè)的今天，資本的力量，也在大規(guī)模地加速或改變企業(yè)發(fā)展的進(jìn)程。公開資料顯示，永安在線于2021年11月底完成了最新一輪5500萬元融資，目前處于A+輪。這個(gè)節(jié)奏與金額，在資本大舉進(jìn)入安全行業(yè)的周期里，并不算特別搶眼。

　　老畢在此問題上展示出慣有的堅(jiān)定，他表示，首先僅從資金的角度來看，對(duì)于技術(shù)創(chuàng)新型企業(yè)而言，資本的入場(chǎng)可以極大地幫助企業(yè)在前期的投入上加快節(jié)奏，減少商業(yè)上的顧慮，對(duì)于打磨產(chǎn)品是非常有幫助的。

　　另一方面，資本與企業(yè)是否意氣相投，是老畢選擇資方的一個(gè)重要考量因素，“我們?cè)敢饣ê荛L(zhǎng)的時(shí)間去沉淀自己的情報(bào)能力，再把它下沉到API層面，才能說我們有實(shí)力去幫助客戶真正解決業(yè)務(wù)安全的問題。將軍趕路，不追小兔，作為一個(gè)長(zhǎng)期主義者，我們合作的資本機(jī)構(gòu)也有著同樣的價(jià)值觀，可能在短期內(nèi)看不到明確的財(cái)務(wù)回報(bào)，但我們認(rèn)可這個(gè)事情的價(jià)值和未來巨大的市場(chǎng)空間，就會(huì)按照既定的節(jié)奏走好過程中的每一步?！?/p>

　　具體落實(shí)到產(chǎn)品的規(guī)劃上，老畢的方向很清晰，API安全管理只是開局，接下來將在API資產(chǎn)梳理、API敏感數(shù)據(jù)管理、API缺陷識(shí)別以及API風(fēng)險(xiǎn)識(shí)別等幾方面建立起能力上的優(yōu)勢(shì)，鞏固企業(yè)的立身之本，并向著更全面、綜合的方向去拓展。

　　“長(zhǎng)期來看，我們將從API安全管理的基礎(chǔ)上逐步拓展到API全生命周期的綜合管理，在混合云架構(gòu)成為企業(yè)普遍的架構(gòu)模式的未來，API全生命周期綜合管理這塊市場(chǎng)大蛋糕必然是第三方供應(yīng)商的優(yōu)勢(shì)高地，基于我們前期的積累，我們有能力去覆蓋API從設(shè)計(jì)、開發(fā)、測(cè)試、部署、運(yùn)營(yíng)直到下線的全部過程，給客戶提供包含安全在內(nèi)的一整套產(chǎn)品和服務(wù)?！崩袭呎f道。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<