縱觀眾多創(chuàng)業(yè)者，創(chuàng)業(yè)之前往往都帶有一絲神奇的色彩，比如職業(yè)經(jīng)歷豐富，涉及領(lǐng)域眾多，人脈關(guān)系廣泛……但畢裕卻有所不同，他職業(yè)經(jīng)歷相當(dāng)簡(jiǎn)單。

2010年，畢裕本科畢業(yè)，直至創(chuàng)業(yè)前夕，他一直輾轉(zhuǎn)于金山與騰訊兩家企業(yè)。在此期間，從終端安全到業(yè)務(wù)安全，畢裕一直都在與黑灰產(chǎn)做對(duì)抗。

2011年，也就是畢裕踏入騰訊的這一年，自此往后，恰是國(guó)內(nèi)移動(dòng)互聯(lián)網(wǎng)爆發(fā)的階段，大量企業(yè)瘋狂崛起生長(zhǎng)，但遺憾的是，它們沒(méi)有同步打造抗擊黑灰產(chǎn)的安全能力。哪怕是當(dāng)時(shí)畢裕在職的騰訊，為了追求更高的業(yè)務(wù)發(fā)展效率，也導(dǎo)致其線上業(yè)務(wù)問(wèn)題異常突出。

在此過(guò)程中，畢裕看到，傳統(tǒng)安全在業(yè)務(wù)上的攻防（現(xiàn)在也叫業(yè)務(wù)安全或反欺詐），更多是從規(guī)則引擎入手，但這存在兩大弊端：

弊端一：需要有專家在后端不斷去運(yùn)營(yíng)規(guī)則，去推動(dòng)規(guī)則的有效性，這是一個(gè)必要條件；

弊端二：這是業(yè)務(wù)特征非常明顯的對(duì)抗方式。同樣的規(guī)則，換一個(gè)業(yè)務(wù)之后，復(fù)用性就會(huì)降低很多，所以不具備規(guī)?；?。

畢裕思索，應(yīng)該用什么方式來(lái)對(duì)抗業(yè)務(wù)風(fēng)險(xiǎn)？后來(lái)，他在情報(bào)維度找到了一個(gè)視角。

以前，安全運(yùn)營(yíng)往往耗費(fèi)大量精力去關(guān)注業(yè)務(wù)的流量，對(duì)于風(fēng)險(xiǎn)背后的作惡團(tuán)伙及行為并不了解。而著眼于情報(bào)之后，就會(huì)更加關(guān)注于作惡團(tuán)伙的技術(shù)、手段、行為，在此視角下，能抽象出很多能力，比如黑名單能力、攻防情報(bào)能力，繼而再去做業(yè)務(wù)上的風(fēng)險(xiǎn)，效率就會(huì)特別高。

對(duì)此，畢裕舉了一個(gè)簡(jiǎn)單例子，比如QQ盜號(hào)問(wèn)題。如果在情報(bào)上能做到對(duì)盜號(hào)木馬的實(shí)時(shí)監(jiān)控，盜號(hào)木馬只要一更新，監(jiān)控系統(tǒng)就能立即察覺(jué)，馬上就會(huì)進(jìn)到自動(dòng)化分析，去定位這次木馬的更新采用了什么樣的盜號(hào)策略。接著就能直接在后端形成一個(gè)檢測(cè)規(guī)則，把受到木馬影響的賬號(hào)篩選出來(lái)。

而以前做規(guī)則引擎對(duì)抗，更多是在后端拍腦袋。比如賬號(hào)怎么回事？前一小時(shí)在北京登錄，下一小時(shí)跑到福建登錄，是不是被盜了？

如此對(duì)比，高下立判！

在此期間，畢裕也給很多企業(yè)做業(yè)務(wù)安全相關(guān)的咨詢。那時(shí)，很多垂直領(lǐng)域的互聯(lián)網(wǎng)巨頭已經(jīng)開(kāi)始爆發(fā)，線上業(yè)務(wù)的問(wèn)題也相當(dāng)突出。

畢裕發(fā)現(xiàn)，這類(lèi)企業(yè)服務(wù)器資產(chǎn)從幾百臺(tái)到上千臺(tái)之后，在基礎(chǔ)安全上有很多標(biāo)準(zhǔn)化的產(chǎn)品，能夠讓他們的安全級(jí)別迅速提升。但在業(yè)務(wù)上的安全，仍需從0~1建立自己的團(tuán)隊(duì)，從傳統(tǒng)的規(guī)則對(duì)抗，一步一步去構(gòu)建自己的業(yè)務(wù)風(fēng)險(xiǎn)對(duì)抗能力。而乙方又因?qū)τ诩追綐I(yè)務(wù)了解的缺失，導(dǎo)致很難在此層面發(fā)力。

故而，畢裕思考，過(guò)去這些年積累下來(lái)的安全攻防經(jīng)驗(yàn)，是否能夠面向這類(lèi)業(yè)務(wù)風(fēng)險(xiǎn)場(chǎng)景，并由此提供一個(gè)標(biāo)準(zhǔn)化的基礎(chǔ)設(shè)施？于是乎，畢裕創(chuàng)業(yè)，即選擇從威脅情報(bào)出發(fā)。

2017年1月，畢裕創(chuàng)辦威脅獵人，后改名為永安在線，繼續(xù)一往無(wú)前地奔向他早有預(yù)判且矢志不渝的安全宏圖。
 

如今，永安在線主打API安全產(chǎn)品，那API安全與情報(bào)到底是何關(guān)系？為什么要關(guān)注API安全？

畢裕認(rèn)為，情報(bào)是解決標(biāo)準(zhǔn)化攻防的一個(gè)關(guān)鍵要素。單賣(mài)一套軟件產(chǎn)品，跟客戶說(shuō)不需要再動(dòng)產(chǎn)品，只需更新版本就能搞定安全問(wèn)題，這顯然不可能。

所以，永安在線在產(chǎn)品策略上，期望把情報(bào)能力做到最好。不管是多維度的豐滿度，還是準(zhǔn)確率。下個(gè)階段，再基于情報(bào)能力，給客戶提供業(yè)務(wù)場(chǎng)景標(biāo)準(zhǔn)化的基礎(chǔ)設(shè)施，能夠幫助客戶覆蓋到線上業(yè)務(wù)的安全問(wèn)題。

畢裕笑稱：“以前我們是賣(mài)錘子的，需要客戶拿著錘子回家自己釘釘子?，F(xiàn)在則是更多地直接幫助客戶解決問(wèn)題。”

至于為何關(guān)注API安全，畢裕介紹，API安全是業(yè)務(wù)安全發(fā)展到一定階段成熟之后，逐漸被大家理解和認(rèn)可的一個(gè)分支。在PC互聯(lián)網(wǎng)時(shí)代，其實(shí)并沒(méi)有業(yè)務(wù)安全，那時(shí)更多關(guān)注主機(jī)，人們使用PC大多是聊天、看電影，業(yè)務(wù)場(chǎng)景并不復(fù)雜，API復(fù)雜度自然也不高。

然而，隨著移動(dòng)互聯(lián)網(wǎng)的蓬勃發(fā)展，業(yè)務(wù)安全發(fā)生了巨大變化。一是互聯(lián)網(wǎng)應(yīng)用場(chǎng)景增加，比如OTO線上交易等；二是API所承載的功能性在發(fā)生巨大變化。不再單是以前文本和圖片的推送，還包含很多邏輯的交互、授權(quán)、驗(yàn)證等復(fù)雜功能，這就導(dǎo)致線上業(yè)務(wù)問(wèn)題比較嚴(yán)重。

于是，對(duì)于整個(gè)行業(yè)而言，大家對(duì)于業(yè)務(wù)安全的認(rèn)知會(huì)有一個(gè)階段。

一開(kāi)始，大家會(huì)從問(wèn)題出發(fā)去理解場(chǎng)景，比如賬號(hào)總被盜，就會(huì)誕生出一個(gè)概念叫賬號(hào)安全；又如大家做線上營(yíng)銷(xiāo)，在線上就把錢(qián)撒出去，營(yíng)銷(xiāo)欺詐就成了一個(gè)場(chǎng)景。在這個(gè)階段下，人們看待業(yè)務(wù)安全，就是按照各種場(chǎng)景去理解業(yè)務(wù)安全。

慢慢地，大家會(huì)逐漸理解業(yè)務(wù)安全也有不同的分支。一種是完全業(yè)務(wù)導(dǎo)向的業(yè)務(wù)安全，比如銀行的交易安全。這不太可能標(biāo)準(zhǔn)化出來(lái)一個(gè)基礎(chǔ)設(shè)施去幫助銀行解決這類(lèi)問(wèn)題。另一種是企業(yè)在快速發(fā)展的過(guò)程中，IT架構(gòu)的變化、上層應(yīng)用之間的交互變得復(fù)雜而導(dǎo)致的業(yè)務(wù)安全問(wèn)題，比如撞庫(kù)、掃號(hào)、爬蟲(chóng)以及API濫用導(dǎo)致的數(shù)據(jù)泄露問(wèn)題，這些問(wèn)題本質(zhì)上是API的攻防問(wèn)題，這些是可以抽象出來(lái)進(jìn)行標(biāo)準(zhǔn)化。

這些能夠標(biāo)準(zhǔn)化出來(lái)的問(wèn)題，不是以前的場(chǎng)景問(wèn)題，而是API架構(gòu)在發(fā)展和成熟過(guò)程中會(huì)帶出來(lái)的安全問(wèn)題。對(duì)于企業(yè)而言，也會(huì)從以前哪里有火撲哪里，逐步轉(zhuǎn)變?yōu)閺腁PI架構(gòu)去考慮整體的業(yè)務(wù)安全問(wèn)題。

實(shí)際上，API安全概念的提出已有數(shù)年之久，但至于被業(yè)內(nèi)人士接受度達(dá)到了多少，恐怕身在其中的人更有深刻體會(huì)。

畢裕認(rèn)為，API安全在國(guó)內(nèi)的發(fā)展演進(jìn)，主要有兩個(gè)維度催生推動(dòng)。

? 第一個(gè)維度是API演進(jìn)，可以說(shuō)與一些安全事件不無(wú)關(guān)系。如前文提到的API的應(yīng)用場(chǎng)景和功能性都發(fā)生了很大的變化，其數(shù)量大增，圍繞API的攻擊也越來(lái)越多。近兩年來(lái)，包括線上政務(wù)的一些安全挑戰(zhàn)，以及很多頭部企業(yè)數(shù)據(jù)泄露的挑戰(zhàn)，最終發(fā)現(xiàn)都是源自于API管理盲區(qū)導(dǎo)致的問(wèn)題。

? 第二個(gè)維度是甲方共識(shí)問(wèn)題。永安在線最早在2020年就已經(jīng)推出了一個(gè)產(chǎn)品，叫業(yè)務(wù)風(fēng)險(xiǎn)感知系統(tǒng)。跟如今的API安全產(chǎn)品相比，其實(shí)就是一個(gè)產(chǎn)品在不斷發(fā)展的過(guò)程。只不過(guò)當(dāng)時(shí)沒(méi)有命名叫API安全產(chǎn)品，其原因是，因?yàn)楫?dāng)時(shí)業(yè)內(nèi)許多人士不太理解API概念。產(chǎn)品命名要去符合市場(chǎng)的一個(gè)共識(shí)和認(rèn)知，所以只能更多地從解決問(wèn)題角度來(lái)定義產(chǎn)品。

這兩個(gè)維度到2021年初，不管是資本的維度，還是安全事件的頻發(fā)，都有了極大的變化。比如資本，海外API安全企業(yè)融資的規(guī)模性非常大，近幾年發(fā)展也相當(dāng)好，進(jìn)而讓國(guó)內(nèi)安全行業(yè)對(duì)API安全形成了認(rèn)知層面的快速提升。

接著，畢裕談到API安全在細(xì)分領(lǐng)域上限高度問(wèn)題，他認(rèn)為，國(guó)內(nèi)的企業(yè)安全市場(chǎng)，其實(shí)天花板一直都是大家比較詬病的一個(gè)難點(diǎn)，跟海外安全市場(chǎng)差別還是蠻大。

海外安全市場(chǎng)之所以有很多小公司創(chuàng)業(yè)并迅速做大，跟海外市場(chǎng)大家在專業(yè)度上的認(rèn)可和理解，包括價(jià)值驅(qū)動(dòng)要素的重要性，都有較大的關(guān)系。而在國(guó)內(nèi)，合規(guī)要素是一個(gè)比較重要的要素在推動(dòng)，其專業(yè)性能夠影響的客群，相對(duì)而言還不是那么廣泛。

所以，畢裕坦率道：“國(guó)內(nèi)非常多的優(yōu)秀創(chuàng)業(yè)公司，從0~1會(huì)做得非常好，但是從1~10要去影響更多客戶的時(shí)候，會(huì)發(fā)現(xiàn)其專業(yè)品牌、產(chǎn)品能力很難影響客戶的決策。”

永安在線聚焦API安全也有兩年時(shí)間，對(duì)于自家API安全在安全行業(yè)中的狀況，畢裕則稱他們過(guò)去兩年在API領(lǐng)域的理解上完成了0~1。為何這么說(shuō)？

兩年前，畢裕去跟一些客戶交流時(shí)講API安全，普遍會(huì)遇到一些客戶直接說(shuō)這是在造概念、是扯淡。但現(xiàn)在已有明顯改善，大家已有一個(gè)共識(shí)，就是API安全值得關(guān)注，應(yīng)該要去關(guān)注。

當(dāng)然，任何事物的發(fā)展壯大都需要一個(gè)過(guò)程，企業(yè)客戶從接納API安全的概念，再到立項(xiàng)、預(yù)算，并不是一蹴而就，畢裕認(rèn)為還需要一定的時(shí)間去推進(jìn)。

畢裕從接觸的客戶中發(fā)現(xiàn)，很多時(shí)候客戶都是從數(shù)據(jù)安全治理視角去理解API安全，那么API就會(huì)成為其數(shù)據(jù)安全治理中的一個(gè)子模塊。因?yàn)榭蛻舻睦斫夂芎?jiǎn)單，API就是一個(gè)數(shù)據(jù)管道，那就得知道有多少API，以及其中傳輸哪些數(shù)據(jù)。實(shí)際上從API的管理和安全挑戰(zhàn)來(lái)看，這些都還只是一個(gè)非?；A(chǔ)的工作。

永安在線每個(gè)季度都發(fā)布一份API報(bào)告，該報(bào)告是完全基于他們的情報(bào)在當(dāng)季發(fā)現(xiàn)的一手事件匯集而成，所以能夠直接代表在API安全領(lǐng)域內(nèi)，從實(shí)際發(fā)生的風(fēng)險(xiǎn)角度上，近期是一個(gè)什么樣的趨勢(shì)。

報(bào)告顯示，最近一年時(shí)間內(nèi)，從風(fēng)險(xiǎn)角度看到，很多行業(yè)普遍存在因?yàn)锳PI的管理盲區(qū)導(dǎo)致的數(shù)據(jù)泄露、業(yè)務(wù)攻擊問(wèn)題，包括現(xiàn)在很多傳統(tǒng)企業(yè)在線上化的過(guò)程中往往只考慮功能的完成度，而忽視了線上應(yīng)用交互、數(shù)據(jù)傳輸?shù)陌踩?，其中由API導(dǎo)致的數(shù)據(jù)泄露非常普遍，遠(yuǎn)遠(yuǎn)超出預(yù)期。

目前，永安在線已經(jīng)在與公安緊密合作，成立網(wǎng)絡(luò)黑產(chǎn)偵察實(shí)驗(yàn)室，對(duì)多條線的多個(gè)案子進(jìn)行追蹤。

對(duì)此，畢裕無(wú)奈笑道：“痛心疾首，是做安全的宿命。”

那么，既然API引發(fā)的安全問(wèn)題頻多，那具體都有哪些呢？對(duì)此，畢裕認(rèn)為主要有三類(lèi)：

這是當(dāng)下一個(gè)相當(dāng)突出的安全問(wèn)題。以前企業(yè)業(yè)務(wù)可能就是通過(guò)社交平臺(tái)，發(fā)送一個(gè)excel表格來(lái)去交互?，F(xiàn)在很多企業(yè)內(nèi)部業(yè)務(wù)用OA來(lái)流程化，確實(shí)非常方便。但其中會(huì)有很多權(quán)限管理的難題，即是組織架構(gòu)越來(lái)越復(fù)雜，企業(yè)數(shù)據(jù)資產(chǎn)越來(lái)越多元，數(shù)據(jù)跟人員角色的匹配，很難通過(guò)原有的權(quán)限授權(quán)管理來(lái)維持。

在數(shù)據(jù)管理過(guò)程中，面向于內(nèi)部員工或者外包人員、合作伙伴，勢(shì)必會(huì)有一些盲區(qū)，即有些人員能觸碰到一些不必要的數(shù)據(jù)。比如，通過(guò)API批量拉去通訊錄數(shù)據(jù)，賣(mài)給黑產(chǎn)組織人員進(jìn)行詐騙。

諸如此類(lèi)，其實(shí)都是因?yàn)槠髽I(yè)內(nèi)部流程數(shù)字化、API數(shù)量變多之后，帶來(lái)的API管理難點(diǎn)。能不能做好這些行為監(jiān)管，做好數(shù)據(jù)流動(dòng)的監(jiān)測(cè)，這是一個(gè)關(guān)鍵要素。

風(fēng)險(xiǎn)管理是API安全架構(gòu)面臨的一個(gè)重要挑戰(zhàn)，API架構(gòu)面臨的很多風(fēng)險(xiǎn)跟基礎(chǔ)安全面臨的風(fēng)險(xiǎn)完全不一樣。

畢裕舉了一個(gè)永安在線情報(bào)系統(tǒng)監(jiān)測(cè)到的真實(shí)案例，某家企業(yè)做線上營(yíng)銷(xiāo)活動(dòng)，有一個(gè)中獎(jiǎng)信息查詢的API接口，除了返回前端需要展示的頭像、昵稱、城市、脫敏手機(jī)號(hào)之外，還返回了很多前端根本不需要的敏感數(shù)據(jù)，包括中獎(jiǎng)人的姓名、收貨地址、明文手機(jī)號(hào)等，此外API本身拉取的數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)前端頁(yè)面展示的數(shù)量，甚至能拉到5000個(gè)名單數(shù)據(jù)。

這個(gè)事件本質(zhì)上是黑產(chǎn)利用營(yíng)銷(xiāo)活動(dòng)API存在敏感數(shù)據(jù)過(guò)度暴露的缺陷，爬取大量用戶數(shù)據(jù)。這類(lèi)情況普遍出現(xiàn)在企業(yè)數(shù)字化過(guò)程中，特別是一些傳統(tǒng)企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中，可能衍生出來(lái)的API管理難點(diǎn)：一方面是API的缺陷問(wèn)題能否檢測(cè)到，另一方面是黑產(chǎn)這種“無(wú)特征”、與正常API調(diào)用無(wú)差別的攻擊行為能否及時(shí)識(shí)別。

隨著數(shù)字化發(fā)展，通過(guò)API流動(dòng)數(shù)據(jù)創(chuàng)造價(jià)值，已成為企業(yè)創(chuàng)新發(fā)展的關(guān)鍵，API也逐漸被理解成數(shù)字時(shí)代的關(guān)鍵IT資產(chǎn)。那么，API資產(chǎn)的管理問(wèn)題，影子API、僵尸API等威脅，企業(yè)能否主動(dòng)去發(fā)現(xiàn)。企業(yè)在做安全評(píng)估的時(shí)候，API資產(chǎn)是不是在評(píng)估范圍之內(nèi)，這也可能變成一個(gè)難點(diǎn)。
 

既然API安全正朝著愈發(fā)重要的方向前行，那么對(duì)于有此安全需求的企業(yè)而言，正如《禮記·中庸》中所言“凡事豫則立，不豫則廢”，應(yīng)當(dāng)予以適當(dāng)關(guān)注，并加以認(rèn)知與理解，并結(jié)合自家實(shí)際情況進(jìn)行考量。

畢裕看到，對(duì)于企業(yè)而言，如果想要做好安全管理，全生命周期的管理視角是一個(gè)必要的視角。

何出此言？畢裕舉了一個(gè)例子，比如當(dāng)我們?nèi)タ紤]一個(gè)操作系統(tǒng)安全問(wèn)題的時(shí)候，一定不會(huì)從系統(tǒng)的開(kāi)發(fā)環(huán)節(jié)就去考慮安全，因?yàn)橄到y(tǒng)不是我們開(kāi)發(fā)的。在行業(yè)里面，大家都是用的標(biāo)準(zhǔn)化產(chǎn)品，所以在解決方案上也有很多選擇，這給企業(yè)提供了一種很好的供應(yīng)方式。但在API對(duì)象層面，情況卻不一樣。
 

首先，API是企業(yè)的私有化資產(chǎn)，從設(shè)計(jì)和開(kāi)發(fā)就是在企業(yè)內(nèi)部完成，也就是說(shuō)，API問(wèn)題的產(chǎn)生也是由企業(yè)自身產(chǎn)生。所以企業(yè)在管理角度上，有必要從開(kāi)發(fā)和設(shè)計(jì)環(huán)節(jié)，就開(kāi)始去考慮整個(gè)API的管理。

其次，API在整個(gè)業(yè)務(wù)生命周期當(dāng)中變化非常快，隨著業(yè)務(wù)需求變化，API的實(shí)現(xiàn)邏輯發(fā)生改動(dòng)都是很正常的現(xiàn)象，研究團(tuán)隊(duì)每天做的事情其實(shí)就是在迭代API。API實(shí)現(xiàn)邏輯一旦發(fā)生變化，很容易引入新的風(fēng)險(xiǎn)，特別是當(dāng)開(kāi)發(fā)人員認(rèn)為前期已經(jīng)做過(guò)非常多的安全檢測(cè)后不太可能再出問(wèn)題時(shí)。這也會(huì)給企業(yè)的安全管理帶來(lái)新的挑戰(zhàn)。

因此，通過(guò)對(duì)API全生命周期來(lái)考慮API安全，圍繞設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、上線運(yùn)行、迭代到下線的每一個(gè)環(huán)節(jié)加強(qiáng)安全建設(shè)，就顯得更有必要。

在畢?？磥?lái)，永安在線現(xiàn)在更多是在生產(chǎn)環(huán)境下先幫助企業(yè)做一個(gè)“把門(mén)”。企業(yè)擁有那么多業(yè)務(wù)，到底有沒(méi)有安全問(wèn)題？若是真有安全問(wèn)題發(fā)生，有人在惦記企業(yè)資產(chǎn)的時(shí)候，永安在線能夠先幫企業(yè)把好這道門(mén)。

畢裕介紹，永安在線接下來(lái)的產(chǎn)品策略，將會(huì)圍繞著API全生命周期，也就是設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、生產(chǎn)環(huán)境、上下線等環(huán)節(jié)，為企業(yè)提供一個(gè)閉環(huán)的全生命周期的管理能力。這是永安在線產(chǎn)品戰(zhàn)略上的一個(gè)定義。
 

正所謂“一花獨(dú)放不是春，百花齊放春滿園”。尤其在安全行業(yè)中，針對(duì)一個(gè)問(wèn)題的解決方案，往往各家安全廠商千差萬(wàn)別、不一而同。API安全同樣存在這樣的狀況。于是難免會(huì)好奇，對(duì)于API安全這種新生物種，業(yè)內(nèi)的解決方案都走了哪些路線？

畢裕對(duì)此深有同感，他鄭重說(shuō)道：“我非常贊同一個(gè)觀點(diǎn)，技術(shù)都是要融合的，不是絕對(duì)的。”

在畢裕的認(rèn)知中，當(dāng)今在API安全管理角度上，主要有三種技術(shù)棧。

畢裕坦言，這是現(xiàn)在國(guó)內(nèi)API安全產(chǎn)品的主流。其缺點(diǎn)非常明確，即不具備標(biāo)準(zhǔn)化程度和規(guī)?；?yīng)。如果企業(yè)有十個(gè)業(yè)務(wù)，產(chǎn)品部署完畢之后，面向于每個(gè)業(yè)務(wù)的規(guī)則，都需要后期專業(yè)的和高壓的持續(xù)迭代。這會(huì)讓很多企業(yè)后面的安全運(yùn)營(yíng)工作非常頭疼。

此外，規(guī)則引擎在內(nèi)網(wǎng)安全，比如漏洞、木馬的防護(hù)上，有效性其實(shí)還是可以。但在API風(fēng)險(xiǎn)識(shí)別方面此類(lèi)方案的缺陷就比較突出，一個(gè)API里面的流量，通常一方面是正常人的訪問(wèn)，一方面是攻擊者的請(qǐng)求，很多時(shí)候一個(gè)請(qǐng)求一個(gè)響應(yīng)就完成了，從行為上很難區(qū)分誰(shuí)好誰(shuí)壞。

攻擊者輸入的內(nèi)容是企業(yè)自己定義的，也就是說(shuō)企業(yè)怎么定義的參數(shù)，攻擊者就怎么輸入，并沒(méi)有去違規(guī)，就是按照企業(yè)定義設(shè)置的參數(shù)去完成攻擊。

如此就給規(guī)則引擎帶來(lái)了更高的難度，即在API攻擊層面，很多時(shí)候攻擊請(qǐng)求當(dāng)中并未包含任何攻擊特征。

所以，畢裕對(duì)規(guī)則引擎的定義是，可以完成0~60分，但是60分再往上走，效率就比較低。

畢裕介紹，在海外能夠看到，一些公司在API架構(gòu)上的機(jī)器學(xué)習(xí)兩種應(yīng)用方式。

第一種叫關(guān)系引擎。即是將客戶所有API盤(pán)點(diǎn)完畢之后，對(duì)于正常業(yè)務(wù)的調(diào)用，會(huì)繪制出API的調(diào)用關(guān)系。如果突然出現(xiàn)一個(gè)API的調(diào)用關(guān)系不在正常邏輯之內(nèi)，那就可以懷疑這是一個(gè)攻擊請(qǐng)求。

實(shí)際上就是基于攻擊的流量跟正常行為不一樣，通過(guò)API的關(guān)系引擎去做異常識(shí)別，本質(zhì)上是通過(guò)AI在API的調(diào)用關(guān)系上去建立一個(gè)baseline，然后基于這個(gè)baseline再去做異常識(shí)別。

第二種是在業(yè)務(wù)流量上繪制出一個(gè)基本面。比如游戲業(yè)務(wù)，一到周六用戶量就爆漲，通過(guò)AI去學(xué)習(xí)業(yè)務(wù)的規(guī)律，將這個(gè)規(guī)律定義成API架構(gòu)的baseline。如果周三某個(gè)API的流量突然暴增，那就認(rèn)為這是一個(gè)不符合業(yè)務(wù)特征的異常行為，需要做預(yù)警。

這實(shí)際上是從業(yè)務(wù)角度去繪制出一個(gè)baseline，然后在baseline上做異常識(shí)別。這是海外主流的一個(gè)技術(shù)棧。

然而，這種技術(shù)的弊端是，必須要有一個(gè)前提，就是業(yè)務(wù)本身是一個(gè)相對(duì)比較穩(wěn)定的業(yè)務(wù)。比如業(yè)務(wù)年初是1000萬(wàn)用戶，年底用戶變成2500萬(wàn)，那這個(gè)baseline就很難繪制。

故而，畢裕覺(jué)得，海外互聯(lián)網(wǎng)生態(tài)相對(duì)變量沒(méi)那么多，這類(lèi)技術(shù)在這樣的土壤上應(yīng)用有很大空間。但在國(guó)內(nèi)的場(chǎng)景，純粹基于AI去構(gòu)建baseline，效率提升仍存在很大的瓶頸。這也是他在之前實(shí)踐中看到的一個(gè)結(jié)果。

這即是永安在線選擇的方案，本質(zhì)上是基于攻擊者使用的攻擊資源如攻擊IP、工具、賬號(hào)、行為等風(fēng)險(xiǎn)情報(bào)，構(gòu)建API訪問(wèn)的行為基線。

舉個(gè)簡(jiǎn)單例子，比如一個(gè)API訪問(wèn)量，第一天100萬(wàn)，第二天50萬(wàn)，第三天200萬(wàn)，變化很大。通過(guò)情報(bào)就繪制出一個(gè)指標(biāo)，如API請(qǐng)求流量中的風(fēng)險(xiǎn)IP流量占比指標(biāo)。

在沒(méi)有攻擊的情況下，風(fēng)險(xiǎn)IP流量占比可能是0.03%。一旦有攻擊，風(fēng)險(xiǎn)IP流量占比會(huì)迅速飆到2%、3%。從整體流量上看，風(fēng)險(xiǎn)流量占比變化并不是很大。但是如果有情報(bào)能力，在情報(bào)指標(biāo)上面，就能看到一個(gè)量級(jí)的變化，基于這個(gè)變化就可以直接判定該API當(dāng)下一定受到攻擊。

這種基于情報(bào)的判定方式不受API流量波動(dòng)影響，無(wú)論該API的流量是10萬(wàn)還是100萬(wàn)，如果風(fēng)險(xiǎn)流量占比從0.03%變到了3%，可直接判定該API存在風(fēng)險(xiǎn)攻擊事件。

當(dāng)然，畢裕坦誠(chéng)說(shuō)道，這種技術(shù)也有一個(gè)大前提，就是怎么保證精準(zhǔn)率和覆蓋率。這其實(shí)就是永安在線為什么這么長(zhǎng)時(shí)間都在做情報(bào)這事。
 

理念雖好，能夠化為切實(shí)有效的產(chǎn)品，才是理念落地的關(guān)鍵。

畢裕頗為自豪地介紹稱，目前在國(guó)內(nèi)，永安在線在API安全投入上，應(yīng)該算是最大的那幾家之一。因?yàn)檎f(shuō)一千道一萬(wàn)，沒(méi)有什么比真金白銀的資本投入更有說(shuō)服力。

當(dāng)然，畢裕對(duì)當(dāng)下也有比較清醒的認(rèn)知，他如實(shí)道：“我們投入非常大，有大幾十的研發(fā)人員，有長(zhǎng)期的投入。在產(chǎn)品成熟度上，目前我們位置應(yīng)該是非常靠前。但是放眼整個(gè)安全領(lǐng)域來(lái)看，我認(rèn)為API安全還仍然有蠻長(zhǎng)的一段路要走。要尊重客觀情況。”

畢裕的理念與信心，如今已經(jīng)真實(shí)轉(zhuǎn)化為永安在線的產(chǎn)品，也是目前永安在線聚力打造的唯一一款產(chǎn)品，名為“API安全管控平臺(tái)”。

“API安全管控平臺(tái)”究竟能解決怎樣的安全問(wèn)題，畢裕也做了詳細(xì)的介紹，主要有幾大功能：

■ 第一、資產(chǎn)管理。

解決的是API資產(chǎn)可視化問(wèn)題，這是一個(gè)最基礎(chǔ)也是最關(guān)鍵的問(wèn)題。企業(yè)有多少API？有哪些API傳輸了什么類(lèi)型的敏感數(shù)據(jù)？資產(chǎn)的發(fā)現(xiàn)，包括敏感數(shù)據(jù)類(lèi)型標(biāo)簽的識(shí)別，是不是全自動(dòng)化？

畢裕認(rèn)為這是一個(gè)很重要的關(guān)鍵能力，難點(diǎn)在于標(biāo)準(zhǔn)化這一步。

API安全管控平臺(tái)內(nèi)置資產(chǎn)梳理模塊，能夠以持續(xù)動(dòng)態(tài)的方式去梳理面向客戶、內(nèi)部員工、合作伙伴、開(kāi)源組件和中間件等場(chǎng)景下的API，做到只要API一上線或開(kāi)始服務(wù)就能夠被快速識(shí)別出來(lái)，并建立完整的API資產(chǎn)清單，全面了解API開(kāi)放數(shù)量、API活躍狀態(tài)、僵尸API、影子API等安全風(fēng)險(xiǎn)信息，還可以把資產(chǎn)信息及時(shí)同步給相關(guān)業(yè)務(wù)或安全人員。

■ 第二、風(fēng)險(xiǎn)管理。

當(dāng)資產(chǎn)管理做完之后，風(fēng)險(xiǎn)這塊是不是能夠發(fā)現(xiàn)？風(fēng)險(xiǎn)管理是API安全架構(gòu)面臨的一個(gè)重要挑戰(zhàn)：

? 一方面是API缺陷檢測(cè)問(wèn)題。

哪些API存在未授權(quán)、越權(quán)、數(shù)據(jù)偽脫敏等缺陷可被黑產(chǎn)利用。

永安在線基于特有的情報(bào)技術(shù)和攻防研究，可持續(xù)跟蹤攻擊者如何利用新型API漏洞進(jìn)行攻擊，并提取新型攻擊面和攻擊特征，持續(xù)優(yōu)化API漏洞檢測(cè)引擎，能及時(shí)覆蓋最新的業(yè)務(wù)API邏輯漏洞和第三方組件、開(kāi)源系統(tǒng)API的未授權(quán)漏洞等。

? 另一方面是API攻擊感知問(wèn)題。

API架構(gòu)面臨的很多風(fēng)險(xiǎn)跟基礎(chǔ)安全面臨的風(fēng)險(xiǎn)完全不一樣。針對(duì)API的典型攻擊是無(wú)特征的、不存在紕漏，這種情況下基于木馬的特征識(shí)別、基于漏洞攻擊識(shí)別，就無(wú)法起到效果。

譬如，攻擊者通過(guò)黑產(chǎn)資源池的海量小號(hào)、秒撥代理IP偽裝成正常的請(qǐng)求訪問(wèn)，對(duì)API接口進(jìn)行低頻攻擊或數(shù)據(jù)爬取，傳統(tǒng)WAF或基于規(guī)則引擎技術(shù)的安全產(chǎn)品就不具備這方面的檢測(cè)能力。

永安在線基于情報(bào)能力（如攻擊者利用的IP、自動(dòng)化工具資源等）構(gòu)建API安全行為基線，可不受業(yè)務(wù)波動(dòng)影響，能更有效地感知外部API風(fēng)險(xiǎn)，誤判率底，這也是產(chǎn)品主打優(yōu)勢(shì)之一。

■ 第三、數(shù)據(jù)合規(guī)審計(jì)。

API是應(yīng)用之間數(shù)據(jù)傳輸?shù)闹匾ǖ?，通過(guò)API流動(dòng)交換數(shù)據(jù)來(lái)創(chuàng)造價(jià)值。如何做好流動(dòng)數(shù)據(jù)合規(guī)建設(shè)，也是企業(yè)安全管理的一大難點(diǎn)。

如今年《數(shù)據(jù)出境安全評(píng)估辦法》的落地，對(duì)企業(yè)提出了新的要求，企業(yè)對(duì)自己的數(shù)據(jù)出境要有管理，而且要主動(dòng)申報(bào)。企業(yè)API是數(shù)據(jù)出境的重要管道。那企業(yè)是不是能有一個(gè)符合管理辦法的模塊，能夠幫助在整個(gè)動(dòng)態(tài)過(guò)程中完成自審工作和申報(bào)工作。

API安全管控平臺(tái)通過(guò)流量梳理API資產(chǎn)的同時(shí)，會(huì)對(duì)流量中流動(dòng)的敏感數(shù)據(jù)資產(chǎn)進(jìn)行識(shí)別和提取，對(duì)敏感數(shù)據(jù)類(lèi)型進(jìn)行分級(jí)分類(lèi)，確保數(shù)據(jù)資產(chǎn)持續(xù)更新和可見(jiàn)。通過(guò)平臺(tái)的“數(shù)據(jù)地圖”可以觀測(cè)到當(dāng)前企業(yè)存在哪些涉敏數(shù)據(jù)及其聚集分布的站點(diǎn)情況，從而對(duì)自身流動(dòng)數(shù)據(jù)資產(chǎn)分布有全面的認(rèn)知。

該平臺(tái)也上線了“數(shù)據(jù)出境合規(guī)自查”功能，支持對(duì)不同業(yè)務(wù)的境外涉敏請(qǐng)求流量進(jìn)行審計(jì)與記錄，評(píng)估出境的數(shù)據(jù)資產(chǎn)是否存在出境風(fēng)險(xiǎn)，即使業(yè)務(wù)分布在多個(gè)云上或不同數(shù)據(jù)中心，也可通過(guò)分布式部署方案實(shí)現(xiàn)全面的出境數(shù)據(jù)資產(chǎn)評(píng)估。

對(duì)于未來(lái)，畢裕也有很多美好的向往，他介紹說(shuō)，今年想基于標(biāo)桿客戶，把產(chǎn)品成熟度進(jìn)一步做好。因?yàn)橛腊苍诰€的目標(biāo)，從來(lái)都不是比友商做得好一點(diǎn)，而是圍繞著客戶的需求，真的踏實(shí)做好。

畢裕認(rèn)為，你研發(fā)的產(chǎn)品，是把原來(lái)的風(fēng)控規(guī)則引擎簡(jiǎn)簡(jiǎn)單單基于API對(duì)象做了包裝，還是真的把其中標(biāo)準(zhǔn)化問(wèn)題解決，這對(duì)于客戶在后續(xù)使用的持續(xù)價(jià)值是有極大不同。

“比如客戶線上API，可能每天都有增刪改減。客戶又增加了，你是不是能準(zhǔn)確識(shí)別出來(lái)？客戶可能會(huì)不斷遇到新的攻擊類(lèi)型，你是不是又能夠覆蓋到？這不能派兩個(gè)人每天盯著系統(tǒng)，所以我們一直堅(jiān)持標(biāo)準(zhǔn)化來(lái)做這事。但坦率來(lái)講，我也仍然認(rèn)為我們?nèi)孕鑼Ｗ⒃谶@個(gè)點(diǎn)上做長(zhǎng)期的打算，持續(xù)的投入，才能在未來(lái)給客戶提供一個(gè)真真正正的，不只是在國(guó)內(nèi)，甚至在全球市場(chǎng)，也是能夠擁有競(jìng)爭(zhēng)力的產(chǎn)品。”

說(shuō)到最后，畢裕的眼中有光，神色堅(jiān)定，恰似一名執(zhí)劍縱馬的騎士，將繼續(xù)在他認(rèn)定的道路上一往無(wú)前。

安全領(lǐng)域，世界范圍內(nèi)發(fā)展已有數(shù)十年，國(guó)內(nèi)洶涌火熱也差不多有十年光景。在國(guó)內(nèi)安全創(chuàng)業(yè)賽道上，無(wú)數(shù)人來(lái)了又走，走了又來(lái)。

回首看，道道標(biāo)桿立于身后；抬望眼，茫?；脑瓱o(wú)跡可尋。成功立標(biāo)者固然可佩，而勇于去荒野探尋開(kāi)拓之輩，同樣是屬于這個(gè)時(shí)代的英雄。