通过保障API安全，解决数据安全问题

11月19日，“EISS-2021企业信息安全峰会上海站”顺利召开。本次峰会是EISS系列峰会的第十三届，多年来为安全行业带来了许多具有实践与借鉴意义的干货分享。此次峰会，主办方在保留原有安全运营及安全新技术专场的前提下，新增了备受关注的数据安全+云原生安全专场。

永安在线COO邵付东受邀出席大会并在数据安全专场中进行《以情报切入API风险识别-新一代API安全管控平台》的分享，将数字化转型下带来的数据安全新挑战以精准情报的角度给出更好的解决方案。

API成为数据流动的主要方式

也成数据泄露最大敞口

数字化浪潮下，API作为连接服务和传输数据的重要通道，应用已经十分广泛，比如天气预报、地图等都是通过 API获取当前位置实现查询，征信机构也是通过第三方API接口获取消费、出行、房产等征信数据。随着API成为数据流动的主要方式，也成为了数据泄露的最大敞口。Gartner预测：“到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。”

另据国外安全机构 Salt Security 发布的《State of API Security Report, Q3 2021》报告显示，针对应用程序编程接口的攻击流量正在以普通 API 流量的三倍速度增长。

因此，对于解决数据安全问题来说，首要解决的应该是API安全的问题，并且刻不容缓。

API伴随业务数字化在持续演变

API安全管理面临极大挑战

随着数字化进程的不断深入，API的数量与日俱增，API承载的业务逻辑也越来越复杂。这让API的安全管理难度大幅增加。

邵付东指出，API承载的业务逻辑是没有边界的，并且在新功能/业务快速上线的需求下，API更迭需要非常频繁，并不是每个企业都有足量的团队来持续跟踪每个API的状态，这将导致影子API和僵尸API的出现，也极易发生涉敏API被随意调用的情况，从而造成数据泄露，从近年来影响巨大的数据泄露事件来看，都是因为这些原因导致。同时，随着攻击者的手段不断变化和升级，以及攻防平面的增加，现在的攻击流量能够混杂在正常业务流量中，安全团队更难以精准高效的识别出风险。

在新的安全形势下，需要的是一套能够将管控能力和攻防能力相融合的API安全防控方案。

邵付东表示，许多API安全事件都有一个共同点：被攻击的企业并不知道他们存在不安全的API，直到事件发酵才后知后觉。所以API安全管理的第一步是需要清晰梳理出存在哪些API以及API涉敏情况。然后是对API未知风险的感知能力进行加强，避免全部依赖于已知规则和行为去识别风险。因为针对API的攻击很多都能够混杂在正常业务流量中，以及黑产也会利用每个API中独特的逻辑缺陷来进行攻击，传统的识别方式容易造成误判和漏判。

永安在线多年来持续以黑灰产情报能力建设和攻防技术研究为核心，目前已得到国内TOP 50互联网企业中大多数企业的认可。针对API安全管控问题，永安在线进行了长期的跟踪研究，并推出基于自身强大的情报能力打造出新一代API安全管控平台，旨在帮助企业建立起全局视角，安全管理每一个API。

有别于很多以规则和行为特征为基础或以AI建立业务基线的方式感知风险的安全厂商，永安在线在技术路线上选择了基于自身强大的情报能力建立业务风险基线，结合人工智能，构建风险检测模型，形成API资产管理、API风险感知及溯源三大核心能力，具备误判率低、可用性高的优点，能切实帮助企业有效提高API安全管理能力。

目前，永安在线API安全管控平台已广泛应用于数据安全治理、护网行动支撑、新上线API安全测试、数据泄露事件追溯等场景。帮助金融、教育、企业服务、电商等领域的众多企业实现API全生命周期的安全防护，深度保障API安全运行，助力企业业务获得平稳、高效增长。