工信部《数据传输安全白皮书》发布，星阑科技CTO解读数据传输视角下的API安全 - 网安

在2022全球工业互联网大会上，专注于API安全防护的星阑科技作为《数据传输安全白皮书》编制组成员及企业代表以“数据传输视角下的API安全”为主题进行了演讲分享。为此，我们星阑科技CTO徐越为我们解读了关于企业API安全建设以及《数据传输安全白皮书》的编制过程的相关内容。

API经济迅猛发展，带动API安全趋进

关于企业中的API安全问题，徐越表示：数字化转型依赖于企业的数据整合能力，即将其服务、能力和资产打包到可重复利用的模块化软件中。每个企业都在其系统中储存了有价值的数据，然而要利用好这些价值，就要通过 API 的传输能力打破数据孤岛，让数据在不同环境中流通，包括将企业与客户、企业与合作伙伴、企业与生态中全部有价值的资产结合起来。

徐越说：万物互联时代，如果我们把一个复杂应用系统比作生命体，数据是血液，API就是承载血液流动的“血管”。我们在编写《数据传输安全白皮书》过程中，API也是各方关注的重要数据传输路径。从IaaS到PaaS、SaaS，从PC到手机APP再到各种IoT设备，API在软件世界中无处不在。当前，平均1/3的软件数据传输都涉及API交互，许多企业以开放API重构业务交付模式之后，增长势头远超过其自己的客户交付能力。开放的API生态系统是企业数字化平台开放重构的关键。从商业角度来讲，API作为一种代表了“数据“和”能力“的交付物，从技术概念变成了商品，所谓的API经济也逐渐诞生。随着API经济的深入，会加速业务与IT融合的速度，企业的IT部门会更快的融入业务，真正做到技术驱动业务转型，API也会帮助企业更好地进行数字化转型，在这个过程中保证API的安全性也一定会引起大家的重视。

API安全事件激增，API安全备受瞩目

在互联网的世界里，“安全”和“开放”的矛盾性是一个永恒的话题，但“开放创新”的前提必然是“安全可控”，也就是说没有安全的API作为基础，创新本身的可靠性就下降了。

随着数字经济不断深化发展，API越来越受到世界各地组织机构的青睐，其数量呈现出爆炸性的增长，与此同时安全问题也随之而来。Imperva发布的一项新研究揭示，易受攻击或不安全 API 的全球成本不断上升。对近 117,000 起独特的网络安全事件的分析估计，API 安全隐患每年会导致 41-750 亿美元的损失。

根据Salt Security发布的《2022年API安全状态》报告中也提到，大约34%的组织完全没有API安全策略，另有27%的组织表示只制定了基本策略，仅包括最低限度的API 安全状态扫描和人工审查，毫无控制或管理措施。Noname Security委托451 Research开展的另一项研究发现，41%的组织在过去一年内经历过API安全事件。其中，63%涉及数据泄露或遗失。

徐越认为：如今在数据安全加紧落地的大背景下，从数据的生命周期来讲，API关注的是数据传输和数据使用两个角度的问题。以前的数据泄露事件大多是数据库入侵，而近年来的大规模数据泄露事件有很大一部分都是从API直接泄露。因此，无论是政府、企业还是安全厂商都愈发重视API安全问题，越来越多的行业出现了针对API安全的监管要求，我们也在积极参与共同为API及数据安全的落地贡献力量。

星阑科技API安全实践落地，初见成效

谈到API安全实践，徐越表示：大量企业存在API业务，但是缺少系统性的API安全建设。基础的API安全管理从技术角度首先应该自动化实现API的资产梳理，摸清家底；然后是对攻击事件、使用行为的监测能力；同时还需关注API中敏感数据的使用情况和流动方向。传统基于数据统计的API管理技术方案有其局限性，沉淀数据和分析经验的同时，不断探索与应用新生代前沿技术是安全产品必经的技术路径。

星阑科技一直致力于帮助企业建立API全生命周期安全防护，在各个位点植入安全能力，从而全面提升整体API安全水位，即围绕API的“设计、开发、测试、运行、下线”等不同阶段建立API全生命周期安全技术能力，以技术工具辅助企业建立API安全生产管理制度与流程加以管控。为辅助企业落实API数据安全监管、API攻击防护效果，星阑科技研发的“萤火”API安全平台，可以为企业提供API资产梳理、API威胁检测、API数据管理能力，缓解企业的API风险。该产品还可以充分适配传统IT架构及云原生容器化、微服务架构，可以和API网关、API开放平台等新兴的API生态解决方案融合，全面覆盖企业API安全风险。

徐越说：在技术实现方面，我们基于的实时大数据计算能力对流量进行数据建模，识别出API通信格式并对同类的API进行自动聚合分析，生成API的行为画像并对异常行为如：API爬虫、API越权访问、API敏感数据泄露进行告警。此外，基于安全攻防实验室的长期漏洞积累，团队持续跟踪行业内的漏洞情报并在第一时间进行分析研判，目前系统内部集成了Web API漏洞、中间件API漏洞与API协议攻击方式上百种，全面覆盖API后端应用漏洞攻击风险。在实用性方面，我们基于多个行业客户的深入业务流调研，在产品功能中提供了符合行业属性的集成方案，使产品能够结合企业安全管理流程，充分降低人工运营成本。目前我们的产品已经为政府、金融、互联网等行业客户提供新一代API安全解决方案，获得了行业和客户的高度认可。

《数据传输安全白皮书》发布意义重大

在本次全球工业互联网大会——网络和数据安全发展分论坛上，工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）发布《数据传输安全白皮书》，星阑科技作为白皮书编制单位之一，为此次白皮书的高质量发布贡献了自己的力量。

提到此次参编《数据传输安全白皮书》，徐越表示，标准及白皮书的发布一方面可以规范市场现状，使厂商提供的技术与服务更加标准化，另一方面也可以加快自主创新技术的成果转化，促进技术创新，支撑API安全技术和赛道快速发展。所以，除了产品研发外，星阑科技也一直致力于将自身的技术积累及实践经验贡献到相关标准及白皮书的编撰工作中去，推动API安全技术的规范化、标准化发展。未来，星阑科技将会与众多安全企业一同推动API安全技术的适配与升级，填补数据安全行业生态圈空白，促进网络安全产业的可持续发展。