當API越來越多地承載著企業(yè)核心業(yè)務邏輯和敏感數(shù)據(jù),，它們也成為了黑灰產(chǎn)團伙眼中絕佳的選擇。在API安全逐漸發(fā)展成為一條熱門細分賽道的現(xiàn)在，有一家公司在五年前就決定要在API的架構下去提供一套標準化的安全解決方案,。

　　這家公司是永安在線,，它曾經(jīng)還有一個大家更耳熟能詳?shù)拿帧{獵人,。過去幾年,，他們的身影總是穿梭在風險情報、業(yè)務安全的版圖上,，以至于很多人以為他們是啟動了一場戰(zhàn)略轉型,，直接空降到API安全的陣地。

　　但永安在線的CEO畢裕（業(yè)內(nèi)人親切地稱為“老畢”）：“業(yè)務層面的安全,，其底層邏輯就是API的安全,；基于底層情報能力的積累，才能精準感知并阻斷,、溯源API面臨的風險,。”

　　這個闡釋,，或許跟如今熱鬧的市場中人們對于API安全的認知有些出入,，老畢卻強調(diào)，“API風險正在重塑很多客戶的安全意識,，未來半年,，是大家對API安全的理解對齊的階段?！?/p>

　　說起來,，這位1987年出生的安全創(chuàng)業(yè)者,，在三十而立的年紀辭去了頭部大廠的穩(wěn)定工作，自立門戶,，不出幾年已被業(yè)內(nèi)人喚作“老畢”,。或許,，一個人的歷程并不完全等同于時間的長度,，更在于經(jīng)歷的濃度，老畢不老,，但老畢從業(yè)十多年的旅程和他對于行業(yè)的思考,，依然值得跟大家好好嘮一番。

　　興趣是最好的向導

　　能力和時機在創(chuàng)業(yè)中缺一不可

　　安全行業(yè)的創(chuàng)業(yè)者們的成長路徑,，大致可分為兩種,，一種是學院派，科班出身,，一路打怪升級，這在年輕一代的新興企業(yè)中占比已經(jīng)越來越多,。一種是野生派,，或興趣使然，或半路出家,，機緣巧合地走上這條道路,，更多見于安全尚不完全成體系的早年間。

　　而老畢,，則是年輕一代中的野生派,。

　　“我從來都不是一個傳統(tǒng)意義上的‘好’學生”，老畢說,，整個上學念書的階段,，即使在小地方的普通學校的普通班級里，他的成績依然是倒數(shù)的,。但他是一個“有重心”的孩子,，很早就知道自己喜歡什么。大約從小學二,、三年級起,，就開始鼓搗編程一類的東西，到初中,，已經(jīng)能夠靠著自學的手藝做網(wǎng)站賺錢了,。

　　年輕人初嘗財富總是自傲的，老畢一度覺得上大學可能也沒什么意思,，讀書畢業(yè)出社會不還是為了賺錢嘛,。轉折點發(fā)生在高三,，他無意中閱讀了一本名為《清華制造》的書，講述了幾位清華學子組團進行自主創(chuàng)業(yè)最后成功創(chuàng)辦軟件公司的真實故事,。

　　老畢的世界好像被打開了一扇窗,，他發(fā)現(xiàn)，“嚯,，原來人生還可以這樣過,。”

　　身處東北的老畢開始對大城市,、對遙遠而發(fā)達的南方產(chǎn)生向往,，想走出去看看的信念驅使他發(fā)奮學習，最終考到湖南的大學,，念著跟安全并不相關的專業(yè),，并且延續(xù)著自己敲代碼、做網(wǎng)站的小生意,。

　　直到大四的時候,，他結識了一位從綠盟科技出來的大哥，他的書架為老畢打開了第二扇窗,。

　　“我從他那里看了很多關于安全的書,，漏洞挖掘、逆向分析等等,，很多知識在我以前曾淺顯地接觸過,。”興趣火種被點燃,，老畢一頭扎進了安全的汪洋,，一邊汲取，一邊在專業(yè)論壇上發(fā)表研究文章,。金山軟件的高管關注到他的輸出,，并向他拋來了橄欖枝，老畢就此真正踏入了安全行業(yè),，在一個更南方的城市——珠海,，開始了自己的安全之旅。僅一年后,，老畢跳槽進入騰訊,，他形容深圳是一個充滿活力的、更加開放的地方,，滿足他“想走出去看看”的想象,。

　　這或許也是野生派的特質，他們天生不安分、不拘于現(xiàn)狀,。

　　彼時正值3Q大戰(zhàn)結束,，老畢在騰訊并沒有從事病毒檢測、木馬防御這類偏傳統(tǒng)的安全工作,，而是QQ賬號的安全,。在整個API架構之下，營銷體系的業(yè)務邏輯的承接點就是一個個賬戶,，老畢所在的團隊非常直白地叫做“打擊惡意組”,，對抗的就是各類營銷業(yè)務活動中的欺詐行為。

　　四五年時間,，移動互聯(lián)網(wǎng)在迅猛壯大,，依托于騰訊這個業(yè)務廣泛、場景豐富的平臺,，老畢見識了黑灰產(chǎn)的種種手段和步步升級,，也修煉了層層打怪心經(jīng)。后續(xù),，他前往硅谷和臺北,，在獵豹移動短暫從事過海外移動互聯(lián)網(wǎng)安全業(yè)務的開拓，然后回到深圳,，自己創(chuàng)業(yè)了,。合伙的兄弟，大部分來自騰訊,，最初的天使投資，來自獵豹移動,。

　　創(chuàng)業(yè),，當然不是一拍腦門決定的事，老畢說,，種子一直在心里,，時候到了，就發(fā)芽了,。

　　他瞄準的正是自己最擅長的業(yè)務安全領域,，但切入的姿勢跟傳統(tǒng)的風控體系并不一樣。風控是基于規(guī)則引擎來判定一個行為是否合法,，老畢給我們舉了一個例子,，如果有一個QQ賬號，一登錄立馬就去查詢了Q幣余額,，緊接著進行了一筆消費,，這個操作乍一看就很有問題，太像惡意消費了。那是不是就應該寫一個規(guī)則,，觸發(fā)如此業(yè)務請求行為就進行限制或阻攔,？

　　但事實上，確實會有一些真實用戶,，他當時登錄QQ可能只是為了給女朋友充一個黃鉆,。世界如此多元，非黑即白的規(guī)則是很難精準地回答和解釋五花八門的用戶行為的,，業(yè)務的差異性必然導致風控引擎的有效性大大降低,。

　　另一方面，風控系統(tǒng)的運營成本很高,。因為每個企業(yè)的業(yè)務場景都有其特殊性,，產(chǎn)品之外必然需要大量的人力和服務去不斷調(diào)整優(yōu)化規(guī)則，以適配每一個具體業(yè)務的開展,，畢竟,，最了解客戶業(yè)務的人永遠是客戶自己。

　　這是過去每天都深陷業(yè)務場景的經(jīng)歷教給老畢的經(jīng)驗,。不僅是騰訊,，他也曾經(jīng)給B站和Musical.ly（2017年被字節(jié)跳動收購）做過安全咨詢，毫無疑問,，業(yè)務安全是大家普遍面臨的問題,，但是并沒有特別有效的通用產(chǎn)品可以快速解決，也并非每個公司都有資源和能力自研自建一套安全體系,。而隨著移動互聯(lián)網(wǎng)應用繼續(xù)普及,，線上業(yè)務場景更加常見便捷，安全缺陷是不可能被忽視的,。

　　老畢嗅到了機會,，剛好還揣著一身技能，他覺得,，那個「時候」到了,。

　　三年潛心積累情報能力

　　為業(yè)務安全的解法打開新的思路

　　那是2017年，擰開業(yè)務安全大門的鑰匙應該是什么,，老畢給出的答案是「情報」,。“我們一開始就否定了基于規(guī)則引擎的解決方式,，跟千變?nèi)f化的業(yè)務場景去掰扯,，永遠沒有精確的尺度。而業(yè)務風險情報最大的特點,，就是跟場景不相關,。”

　　據(jù)其解釋，無論是賬號,、IP地址,、手機號、設備,、自動化工具等等維度的因子,，只要被打上了惡意的標簽，它就是黑灰產(chǎn)團伙持有的,、可能會進行攻擊的資源,。老畢想提供的，便是這樣的一個標準化的情報庫,，它具有較好的可解釋性和很強的易用性,，只要惡意資源出現(xiàn)了，無論在什么樣的業(yè)務場景下,，都可以直接進行判定,，并通過實時更新的數(shù)據(jù)，去全面覆蓋已知和未知的風險威脅,。

　　創(chuàng)業(yè)的頭三年,，老畢只做了「情報」這一件事。

　　“想要構建一套標準化的業(yè)務安全解決方案,，底層情報能力一定得是非常強悍的,，對于情報維度的覆蓋、風險識別的全面和精準度,、數(shù)據(jù)量級的積累等等,，都需要技術和時間的沉淀?！边@也是老畢認為的核心壁壘所在——每一步的跋涉和積累而來的情報能力,，是別人盜不走也不能快速去超越的。

　　在2020年下半年,，他們將情報能力進一步下沉，推出了自己的業(yè)務風險感知系統(tǒng),，能夠從API層面去發(fā)現(xiàn)識別并阻斷業(yè)務活動中的風險威脅,，正是依靠這套情報體系建立起的API安全基線。

　　安全投入需要基于共識

　　API安全的價值將逐漸得到印證

　　讓我們特別好奇的是,，API并非新生事物,，為什么好似突然之間，就成了業(yè)界普遍關注的重要安全問題,，并順勢帶火API安全賽道,。

　　在數(shù)字化的業(yè)務活動中，種種服務都是通過API進行交互，API被廣泛使用,，正在成為整個IT架構中的重要基礎設施,。但是，老畢強調(diào),，面對API架構,，之所以需要一種新的安全產(chǎn)品，核心并不在于API架構變得更加復雜,，API被更多地使用,，而是API架構下面的風險類型是全新的風險挑戰(zhàn)。

　　他為我們列舉了近年來一個較為典型的API安全事件——國內(nèi)某大型社交平臺5.38億用戶數(shù)據(jù)泄露,。該平臺一直提供查詢通訊錄好友昵稱的服務,，也就是說，用手機號注冊賬戶后,，授權平臺讀取通訊錄,，可以知道手機通訊錄中聯(lián)系人在該平臺的基本信息。那么,，地下黑產(chǎn)團伙便可以通過收集大量手機號,，攻擊用戶查詢API來反向收集平臺的用戶信息，關聯(lián)捆綁后進行售賣,。

　　顯而易見,，這種攻擊不像漏洞利用等傳統(tǒng)的攻擊手段，攻擊者的行為特征,、路徑會與正常的訪問請求完全不同,，因此可以通過規(guī)則去識別判定出攻擊行為。如上述事件,，在API架構之下,，攻擊請求和正常的用戶請求，本質上沒有任何差別,，這就是老畢所言之「全新的風險挑戰(zhàn)」——正常流量中的惡意攻擊流量難以通過規(guī)則運營及滲透測試去發(fā)現(xiàn),，因此API風險的感知難度很高，進而更難以有針對性地阻斷,，傳統(tǒng)安全產(chǎn)品對此力不從心,。

　　永安在線所提出的基于情報建立API安全基線的方式，可以說是為業(yè)界提供了一種新的解題思路,。首先,，通過旁路流量分析，以持續(xù)動態(tài)的方式梳理API資產(chǎn),，做到只要API一上線或開始服務就能夠被快速梳理出來,。其次,，借助情報的力量，可以從黑灰產(chǎn)的攻擊流量或工具中提取出哪些API及業(yè)務正在遭遇攻擊,，如此一來,，風險識別問題就得到很好的解決。與此同時,，在對流量進行提取分析時,，還可以識別出它們有別于正常用戶的一些特征，例如編碼的請求參數(shù)出現(xiàn)前后不一致的情況等等,，這些都可用以提高風險識別的準確性,。最后，基于情報去解釋攻擊的來源（如某個團伙或是某個自動化工具）,，進而可以幫助用戶完成攻擊溯源的工作,。

　　當前，API安全賽道逐漸升溫,，競合者們的快速入場讓市場上的聲音變得紛繁嘈雜,。老畢的心態(tài)卻非常平和，他認為,，一個企業(yè)的技術基因將決定其產(chǎn)品的走向和公司的戰(zhàn)略方向,。

　　他將安全劃分為底層的基礎安全、中間層的應用安全以及上層的業(yè)務安全,，但彼此之間并不意味著安全級別的高低,。當我們站在API的視角去觀察，一些企業(yè)出于自身原始能力的積累,，比如擅長攻防,，自然會更側重關注API的漏洞、架構缺陷等,，其未來的產(chǎn)品將在此方向上延伸,，解決的是基礎安全層面的問題。同理,，還會有關注API安全網(wǎng)關,、API資產(chǎn)流動等等方向的企業(yè)。

　　而永安在線自成立以來就聚焦于業(yè)務安全,，將所謂業(yè)務拆解,，在底層邏輯上就是API的安全，其通過構建強大的情報體系來解決API的風險識別,、阻斷及溯源，正是水到渠成的,。業(yè)務安全關注的是用戶交互過程中遇到的風險威脅,，它頻繁且多變,，是目前黑灰產(chǎn)緊盯著的環(huán)節(jié)，也是絕大多數(shù)企業(yè)都會面臨的場景,，這也是永安在線所認為的長期巨大市場空間的所在,。

　　因此，雖然定位于API安全的企業(yè)越來越多,，但大家的產(chǎn)品邏輯,、發(fā)展方向其實并不一致，賽道未來也一定是百花齊放的,。

　　在老畢看來,，他們的API安全解決方案目前正處于產(chǎn)品價值證明的階段?！鞍踩耐度胧腔诠沧R的”,，老畢講道，“隨著API的大量應用,，API風險事件的頻繁爆發(fā),，用戶會逐漸意識到所謂的API安全究竟是什么，也能夠在具體實踐中理解我們的安全思路和產(chǎn)品能力,，以及與傳統(tǒng)安全邏輯的區(qū)別,。在這種大浪淘沙的過程中，API安全的定義將被正確書寫,，半年之內(nèi)應該可以看到行業(yè)共識的建立,。”

　　成為合格的企業(yè)家

　　要學會發(fā)現(xiàn)人才,、成就他人

　　在交談中,，我們能明確地感受到老畢始終揣著一股子堅定，定位清晰,，心無旁騖,。但老畢同時也告訴我們，創(chuàng)業(yè)并沒有可復制的完美模板,，任何從0到1的事,，都不可能是一帆風順的。

　　這五年以來,，最讓其感慨良多的還要數(shù)如何從一個技術管理者成長為一個合格的企業(yè)家,。

　　一開始，從大廠員工過渡到創(chuàng)業(yè)者,，老畢覺得,，只是身份變了，繼續(xù)腳踏實地地干活就好,。但是,，當他肩負起一個公司的前途與發(fā)展,，還需要依靠一幫優(yōu)秀的人才來共同完成這份事業(yè)，技術管理者不擅長用人的短板就開始暴露,。

　　老畢是這樣形容當時的狀態(tài)的,，“看待下屬好似一個個工具，機械地安排他們?nèi)ネ瓿梢恍行写a,、一個個模塊,，項目變成了流水線，忽略了大家作為有血有肉的個體的思維與能動性,，而我也因此極度容易陷入具體的細節(jié)中去糾結,。”

　　在這種忙累的消耗中,，老畢抽身回頭,，才發(fā)現(xiàn)，合格的老板不應該去剝奪員工努力嘗試,、發(fā)揮價值的機會,，而是要學會放手，站在更遠的一點的地方,，把握好公司前進的目標與方向,，找尋到在各個專業(yè)方向上比自己優(yōu)秀的人才，認可他,，并且去幫助他,、成就他。

　　“對于我們這種目標驅動型的公司來說,，人多并不代表效率高,、價值大，我們需要著眼于目標本身,，充分發(fā)揮人才的潛力和價值,，依靠現(xiàn)有的資源去解決問題，而不是修房子壘磚頭,，把大家都定位成千篇一律的螺絲,，最終分工不清晰、協(xié)同效率低下,，也帶不來良好的結果,。”老畢說道,，“時至今日,，這仍是一個需要持續(xù)修煉的過程?！?/p>

　　長期看好市場潛力

　　將從API安全管理進階到API綜合管理

　　志同道合的人才的加入是企業(yè)成功的有利因素之一,，在資本市場高度關注網(wǎng)絡安全行業(yè)的今天,，資本的力量，也在大規(guī)模地加速或改變企業(yè)發(fā)展的進程,。公開資料顯示，永安在線于2021年11月底完成了最新一輪5500萬元融資,，目前處于A+輪,。這個節(jié)奏與金額，在資本大舉進入安全行業(yè)的周期里,，并不算特別搶眼,。

　　老畢在此問題上展示出慣有的堅定，他表示,，首先僅從資金的角度來看,，對于技術創(chuàng)新型企業(yè)而言，資本的入場可以極大地幫助企業(yè)在前期的投入上加快節(jié)奏,，減少商業(yè)上的顧慮,，對于打磨產(chǎn)品是非常有幫助的。

　　另一方面,，資本與企業(yè)是否意氣相投,，是老畢選擇資方的一個重要考量因素，“我們愿意花很長的時間去沉淀自己的情報能力,，再把它下沉到API層面,，才能說我們有實力去幫助客戶真正解決業(yè)務安全的問題。將軍趕路,，不追小兔,，作為一個長期主義者，我們合作的資本機構也有著同樣的價值觀,，可能在短期內(nèi)看不到明確的財務回報,，但我們認可這個事情的價值和未來巨大的市場空間，就會按照既定的節(jié)奏走好過程中的每一步,?！?/p>

　　具體落實到產(chǎn)品的規(guī)劃上，老畢的方向很清晰,，API安全管理只是開局,，接下來將在API資產(chǎn)梳理、API敏感數(shù)據(jù)管理,、API缺陷識別以及API風險識別等幾方面建立起能力上的優(yōu)勢,，鞏固企業(yè)的立身之本，并向著更全面,、綜合的方向去拓展,。

　　“長期來看,，我們將從API安全管理的基礎上逐步拓展到API全生命周期的綜合管理，在混合云架構成為企業(yè)普遍的架構模式的未來,，API全生命周期綜合管理這塊市場大蛋糕必然是第三方供應商的優(yōu)勢高地,，基于我們前期的積累，我們有能力去覆蓋API從設計,、開發(fā),、測試、部署,、運營直到下線的全部過程,，給客戶提供包含安全在內(nèi)的一整套產(chǎn)品和服務?！崩袭呎f道,。

更多信息可以來這里獲取==>>電子技術應用-AET<<