API安全戰役沒有退路,永安在線堅定走在行業前列
企業API安全管理迫在眉睫。
API攻擊過去12個月增加了7倍,影響了95%的組織,Salt Labs發布的2022年第一季度API安全狀況報告數據,受到廣泛關注。
研究還表明,大多數企業沒有準備好應對這些挑戰,超過三分之一(34%)沒有API安全策略。同樣,傳統的安全措施繼續失敗,給組織一種虛假的安全感。
隨著云計算、移動互聯網、物聯網的蓬勃發展,企業擁有龐雜的API資產,起到連接服務和傳輸數據作用的API,成為黑客們攻擊的重點對象。
企業因API而導致大量數據泄露的事件屢見不鮮。因為API安全漏洞遭到黑客攻擊,Facebook2.67億個用戶的隱私數據被非法售賣,Parler1000萬用戶超過60TB的數據、Clubhouse的130萬條用戶記錄也相繼遭泄露。
成立于2017年的永安在線,是提供API安全管理標準化服務的企業之一,團隊核心成員均來自于騰訊安全團隊,擁有十余年的安全攻防經驗。目前已簽約騰訊、字節、百度、泰康保險、華泰證券等上百家頭部客戶,連續多年續簽率超過90%。
永安在線創始人畢裕認為,近兩年,企業對API安全管理重視程度日益提升,明年將是API安全產品商業變現的大年,也是在頭部金融客戶高滲透率的一個關鍵節點。國內API安全管理成熟度還有待進一步提升,企業可以做的事情還有很多。
業務情報領域的先行者
在騰訊積累了幾年的安全攻防經驗之后,畢裕決定創業。
創業的種子很早便在他心中埋下。畢裕擁有旺盛的好奇心,小時候他對太空非常著迷,房間里擺滿了各式各樣的國際空間站和衛星的模型。后來,在日常看電腦報和計算機雜志過程中,他開始癡迷計算機科學。
上學期間,畢裕無意中讀到一本名為《清華制造》的書籍,講述了一群清華畢業生在中關村創業奮斗的故事,那份熱血始終驅動著他。
大學畢業后,畢裕南下深圳工作,肥沃的科技土壤,進一步打開他的想象空間。他曾先后擔任騰訊業務安全情報團隊負責人、獵豹移動高級安全技術經理,并為tiktok的前身Musical.ly以及早期B站做過安全咨詢。
在業務情報領域,永安在線是先行者。這源于在騰訊給企業做咨詢時,畢裕很早便發現了這一市場需求——隨著企業快速發展,IT架構的變化,上層應用之間的交互也變得復雜,企業業務中滋生安全問題,如數據泄露、騷擾詐騙等多發。
諸如殺毒軟件、防火墻等產品能夠滿足企業的基礎安全需求,但他們急需一套標準化的產品去解決業務欺詐等難題。
從騰訊辭職之后,畢裕曾在獵豹移動有過兩年工作經歷,了解到很多海外安全攻防的發展。這位“前東家”也成為畢裕的天使投資人。
“更多還是老領導認可”,畢裕說,剛創業他并沒有太多融資經驗,雙方的默契,讓永安在線很順利地獲得第一筆融資。
畢裕跟獵豹創始人傅盛也會定期有一些交流。“作為技術管理出身的創業者,如何去成為一名合格的企業家。”傅盛的這句提醒給畢裕留下深刻印象,他坦言,角色轉換是一個巨大的挑戰。
創業之后,畢裕最大的變化是學會“慢下來”。“做技術管理者時候,你會盯著具體問題、具體事情,會很急,會期望每個人都有高效率的執行力。但現在,你需要去關注公司的運營和戰略節奏。”
在團隊組建上,永安在線的核心團隊成員均來自于騰訊安全團隊,通過標準化的情報體系,在云端的特征庫直接對病毒木馬團伙進行監控和識別,永安在線與騰訊、百度和字節跳動等幾乎市面所有的頭部互聯網企業都達成合作。
永安在線還成立了一個黑灰產研究團隊“鬼谷實驗室”,負責發布黑灰產研究報告,對黑灰產的攻擊方式以及風險進行評估分析。
作為情報業務的先行者,永安在線在業內也有過諸多首創,先后推出業內首個業務情報搜索引擎,發布首個業務安全藍軍測評標準。
在產品成熟度不斷提升之后,從2018年開始,永安在線的客戶除了互聯網公司,還新增了金融機構和政府。永安在線的業務分為不同的模塊,例如反欺詐情報監測平臺、手機號風險畫像、風險IP畫像、銀行卡風險畫像等。
截至目前,永安在線已經簽約包括騰訊、泰康保險、華泰證券、百度和字節跳動在內的300余家企業,連續多年續簽率超過90%。
創投圈盯上API安全管理
隨著每日數億的情報運營能力及實時更新能力,2021年,永安將API安全作為主要方向,為企業提供API資產梳理、敏感數據管理、API風險感知、API安全缺陷評估等服務。
畢裕說,過往永安在線能力尚不足以搭建一個全面的標準化產品,只能按不同模塊賣出去,但現在可以將其整合在一起交付給客戶。
以永安在線服務某頭部保險企業為例,隨著龐雜的業務不斷發展迭代,企業對于API資產情況不甚了解,很多企業并不清楚自己有多少個API,也不知道API處于什么狀態,在面臨黑客攻擊時,企業會非常被動。
永安在線首先會幫助企業迅速梳理出一個動態的API架構情況,幫助企業實時感知到API具體情況。然后基于情報能力,在API架構上面去做風險識別,幫助企業甄別哪些API正在被攻擊。據畢裕介紹,永安在線API識別的平均精準度為97.8%,遠高于市面平均水平。
畢裕說,希望企業API架構上面的安全,不再是一個“裸奔”的狀態,企業可以非常清晰、量化地知道自己的安全風險。
來源:受訪人供圖
近兩年,畢裕也明顯感知到API供需兩端的變化。“最開始服務客戶時,他們會有質疑,甚至有一些聲音認為,這就是你們這幫乙方造出的詞,這東西根本就不重要。”
API處于數字化體驗的中心,APP、Web和應用程序核心功能、云體系與微服務架構等等,均離不開API的支持,據Akamai統計,在企業應用通信數據中,API通信流量占比83%,預計2024年API訪問量將達到42萬億次。
一方面,隨著國內外企業因為API而導致的用戶數據泄露頻發,公眾開始認識到API管理的重要性。Imperva通過對近117000起特定的網絡安全事件分析估計發現,API安全威脅每年導致410-750億美元的損失,大型企業發生API相關安全事件的比例更高,收入至少為1000億美元的企業遇到API安全問題的可能性是中小型企業的3-4倍。
另一方面,360、奇安信、深信服和綠盟等安全廠商也紛紛加碼API安全管理。資本的關注度也進一步提升。
API賽道正成為炙手可熱的賽道。Gartner也曾預測,到2022年,API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。
尤其是去年,全球最大的API企業Postman以56億美元的估值完成了2.25億美元的D輪融資,點燃了創投圈對API的熱情,一批API賽道的企業密集獲得融資,包括紅杉、高瓴資本在內的明星投資機構紛紛入局。
2021年以來,中國API行業出現了密集的投融資事件。2021年10月API管理平臺Eolinker獲得數千萬元Pre-A輪融資,由紅杉中國種子基金獨家投資;11月,星闌科技完成由蘋果資本領投、國君景泰跟投的過億元人民幣Pre-A+輪融資;12月,API研發協同一體化平臺廠商ApiPost獲高瓴創投數千萬元Pre-A輪融資;
今年2月底,永安在線也完成數千萬元新一輪融資,由金沙江創投獨家投資,計劃用于加大企業人才梯隊建設的投入,加大API安全產品研發投入,并持續深耕業務安全相關產品及應用,豐富產品體系,擴展行業市場覆蓋范圍。
值得注意的是,此輪融資也是永安在線繼去年11月A+輪之后的又一輪融資。今年6月,永安在線入選深圳市2021年度“專精特新”企業名單。
就畢裕觀察來看,企業從技術層面的認可,到采購預算機制的健全,都發生明顯變化。
他相信,明年企業的API安全管理需求會更加明確和堅決,明年也會是API安全產品在頭部金融客戶高滲透率的一個關鍵節點。“明年的滲透率會翻倍,甚至是兩倍以上。如果今年認為滲透率只有3%的話,我認為可能明年會超過10%的滲透率。”
深耕產品基因,提供標準化服務
作為一支產品基因能力深厚的團隊,畢裕一直堅持的底層創業邏輯是在細分的關鍵點上做長期投入,最終在某些點上,能夠為企業提供價值超過五倍以上的優勢產品,最終在市場上形成差異化競爭力。
隨著API賽道入局者變多,尤其是許多企業會提供一整套數據安全的解決方案,把API安全定位成其中一個模塊,對部分客戶來說,非常有吸引力。
作為一家初創企業,畢裕說,永安在線堅持垂直和專業,通過不斷打磨產品,構筑起一個足夠扎實的競爭壁壘。
永安在線為企業提供的是一套API安全管理標準化解決方案,重點在“標準”二字,這是其差異化競爭力。比如,市面上很多基于規則引擎的產品,API擴展和整體靈活性便是它們的弱點。
畢裕做了一個比喻,就像殺毒軟件便是一個標準化的產品,每個人用殺毒軟件目的相同,但殺毒軟件解決的問題并不是標準化的,因為每一個病毒都不一樣,核心是通過病毒的特征庫、情報庫,來實現標準化的木馬和病毒檢測。
因此,病毒庫的能力構建,是安全軟件產品想要去實現標準化的一個必要要素。以此類比,API安全管理的標準化,便考驗著企業如何在云端構建識別引擎,也即情報能力。
雖然API安全管理近兩年聲量漸長,但畢裕認為,歐美在整個API架構的成熟度是遠超在國內的,在API全生命周期管理里,像IBM、谷歌和微軟等在內的巨頭企業已經入局。其中,IBM是面向于超頭部企業提供API的全生命周期管理,Postman則是面向于中小“長尾”客戶。
永安在線目前則是更像前者,主要面向大客戶提供標準化的API安全管理方案。“國內API安全管理市場前景非常廣闊,企業可以做的事情還有很多。”畢裕說。
