通過保障API安全，解決數據安全問題

11月19日，“EISS-2021企業信息安全峰會上海站”順利召開。本次峰會是EISS系列峰會的第十三屆，多年來為安全行業帶來了許多具有實踐與借鑒意義的干貨分享。此次峰會，主辦方在保留原有安全運營及安全新技術專場的前提下，新增了備受關注的數據安全+云原生安全專場。

永安在線COO邵付東受邀出席大會并在數據安全專場中進行《以情報切入API風險識別-新一代API安全管控平臺》的分享，將數字化轉型下帶來的數據安全新挑戰以精準情報的角度給出更好的解決方案。

API成為數據流動的主要方式

也成數據泄露最大敞口

數字化浪潮下，API作為連接服務和傳輸數據的重要通道，應用已經十分廣泛，比如天氣預報、地圖等都是通過 API獲取當前位置實現查詢，征信機構也是通過第三方API接口獲取消費、出行、房產等征信數據。隨著API成為數據流動的主要方式，也成為了數據泄露的最大敞口。Gartner預測：“到2022年，API濫用將成為導致企業Web應用程序數據泄露的最常見攻擊媒介。”

另據國外安全機構 Salt Security 發布的《State of API Security Report, Q3 2021》報告顯示，針對應用程序編程接口的攻擊流量正在以普通 API 流量的三倍速度增長。

因此，對于解決數據安全問題來說，首要解決的應該是API安全的問題，并且刻不容緩。

API伴隨業務數字化在持續演變

API安全管理面臨極大挑戰

隨著數字化進程的不斷深入，API的數量與日俱增，API承載的業務邏輯也越來越復雜。這讓API的安全管理難度大幅增加。

邵付東指出，API承載的業務邏輯是沒有邊界的，并且在新功能/業務快速上線的需求下，API更迭需要非常頻繁，并不是每個企業都有足量的團隊來持續跟蹤每個API的狀態，這將導致影子API和僵尸API的出現，也極易發生涉敏API被隨意調用的情況，從而造成數據泄露，從近年來影響巨大的數據泄露事件來看，都是因為這些原因導致。同時，隨著攻擊者的手段不斷變化和升級，以及攻防平面的增加，現在的攻擊流量能夠混雜在正常業務流量中，安全團隊更難以精準高效的識別出風險。

在新的安全形勢下，需要的是一套能夠將管控能力和攻防能力相融合的API安全防控方案。

邵付東表示，許多API安全事件都有一個共同點：被攻擊的企業并不知道他們存在不安全的API，直到事件發酵才后知后覺。所以API安全管理的第一步是需要清晰梳理出存在哪些API以及API涉敏情況。然后是對API未知風險的感知能力進行加強，避免全部依賴于已知規則和行為去識別風險。因為針對API的攻擊很多都能夠混雜在正常業務流量中，以及黑產也會利用每個API中獨特的邏輯缺陷來進行攻擊，傳統的識別方式容易造成誤判和漏判。

永安在線多年來持續以黑灰產情報能力建設和攻防技術研究為核心，目前已得到國內TOP 50互聯網企業中大多數企業的認可。針對API安全管控問題，永安在線進行了長期的跟蹤研究，并推出基于自身強大的情報能力打造出新一代API安全管控平臺，旨在幫助企業建立起全局視角，安全管理每一個API。

有別于很多以規則和行為特征為基礎或以AI建立業務基線的方式感知風險的安全廠商，永安在線在技術路線上選擇了基于自身強大的情報能力建立業務風險基線，結合人工智能，構建風險檢測模型，形成API資產管理、API風險感知及溯源三大核心能力，具備誤判率低、可用性高的優點，能切實幫助企業有效提高API安全管理能力。

目前，永安在線API安全管控平臺已廣泛應用于數據安全治理、護網行動支撐、新上線API安全測試、數據泄露事件追溯等場景。幫助金融、教育、企業服務、電商等領域的眾多企業實現API全生命周期的安全防護，深度保障API安全運行，助力企業業務獲得平穩、高效增長。