4月15日上午，由數(shù)世咨詢舉辦的“2022 API安全之道 創(chuàng)新沙龍?北京”在網(wǎng)安小酒館順利舉辦。沙龍邀請了API安全行業(yè)企業(yè)代表，圍繞API安全技術(shù)發(fā)展趨勢、行業(yè)洞察、落地應(yīng)用等熱門話題展開思想交流與觀點(diǎn)分享。星闌科技作為網(wǎng)絡(luò)安全新銳力量、API安全賽道優(yōu)秀企業(yè)代表受邀參加并進(jìn)行主題演講。

會上，數(shù)世咨詢創(chuàng)始人李少鵬在開場中表示，隨著云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的蓬勃發(fā)展，越來越多的應(yīng)用開發(fā)深度依賴于API之間的相互調(diào)用，API安全受到廣泛重視。與此同時，API也正成為攻擊者重點(diǎn)光顧的目標(biāo)，國際國內(nèi)API遭受攻擊的事件屢見不鮮，眾多企業(yè)面臨新的安全挑戰(zhàn)。因此，不斷優(yōu)化升級安全技術(shù)，幫助企業(yè)探索適應(yīng)新需求的安全體系具有重要意義。

會上，數(shù)世咨詢發(fā)布了《API安全研究報告》。該報告旨在切實(shí)指導(dǎo)用戶在企業(yè)發(fā)展過程中解決 API安全問題，實(shí)現(xiàn)數(shù)世咨詢的第三方參考價值，幫助企業(yè)用戶在數(shù)字浪潮之中屹立潮頭。報告從API的技術(shù)應(yīng)用能力和商業(yè)塑造能力兩方面闡述了API作為數(shù)字時代基礎(chǔ)設(shè)施的重要性，并從其面臨的風(fēng)險、自身復(fù)雜度和實(shí)際應(yīng)用情況描述了API安全理念，最后簡要介紹了國內(nèi)外最佳實(shí)踐者和API安全參考框架。星闌科技作為中國內(nèi)最佳實(shí)踐者之一出現(xiàn)在報告中，表明業(yè)內(nèi)專業(yè)人士對星闌在API安全方面工作的認(rèn)可。

星闌科技CTO徐越在沙龍上分享了《企業(yè)API安全防護(hù)體系建設(shè)》他提到，在萬物互聯(lián)、各行業(yè)數(shù)字化轉(zhuǎn)型的時代背景下，大量企業(yè)能力以SaaS化的API服務(wù)方式與第三方廠商集成，如金融OpenBanking、數(shù)字政務(wù)平臺、大規(guī)模分布式互聯(lián)網(wǎng)應(yīng)用、智慧城市、物聯(lián)網(wǎng)等場景。企業(yè)數(shù)據(jù)通過API進(jìn)行傳輸，API數(shù)量不斷增長，導(dǎo)致API安全問題成為焦點(diǎn)。一方面，隨著API逐漸成為承載數(shù)據(jù)流動的“主干道”，其弱點(diǎn)也逐漸被網(wǎng)絡(luò)攻擊者關(guān)注。另一方面，隨著《數(shù)據(jù)安全法》、《個人隱私保護(hù)法》的正式實(shí)施，企業(yè)數(shù)字化轉(zhuǎn)型過程同樣面對數(shù)據(jù)傳輸安全監(jiān)管要求。企業(yè)應(yīng)對API安全風(fēng)險可以從API生命周期入手，在API的設(shè)計(jì)-研發(fā)-測試-運(yùn)行-下線不同階段植入安全保護(hù)能力，同時技術(shù)側(cè)的解決方案應(yīng)兼顧業(yè)務(wù)需求與云化的IT基礎(chǔ)設(shè)施。

奇安信資深安全專家、銳安全主理人張曉兵在《從框架看世界-看清安全過去 窺測安全未來》講到：世界是什么樣子，取決于我們看待這個世界的框架是什么樣子。他從技術(shù)、合規(guī)、架構(gòu)等不同角度講述了在不同框架下的安全是怎樣的。當(dāng)我們將安全看作一個接口，那就是API安全，大家對API安全的理解雖然有相似，有交叉，但一定是不同的。比如信通院《API數(shù)據(jù)安全研究報告》認(rèn)為API安全是數(shù)據(jù)安全的一部分，它承擔(dān)不同復(fù)雜系統(tǒng)環(huán)境、組織機(jī)構(gòu)之間的數(shù)據(jù)交互、傳輸?shù)闹厝?；在奇安信《API安全能力建設(shè)桔皮書》中認(rèn)為，API是一種云原生技術(shù)、資源集中連接的利器、數(shù)字化轉(zhuǎn)型的核心能力。提到自己對API的看法，他則認(rèn)為API是一種全新的安全邏輯，安全行業(yè)邏輯經(jīng)歷了四個階段，從最初的面向單一的安全問題、到面向環(huán)境和IT架構(gòu)解決綜合威脅，再到與業(yè)務(wù)緊耦合解決業(yè)務(wù)風(fēng)險，最終再發(fā)展為面向連接，即基于抽象架構(gòu)來使用松耦合和可擴(kuò)展的方式來解決更多綜合性威脅；而API就是屬于面向連接中的一種。

在網(wǎng)安三人行圓桌討論環(huán)節(jié)中，數(shù)世咨詢創(chuàng)始人李少鵬、奇安信資深安全專家、銳安全主理人張曉兵與星闌科技CEO王郁圍繞“如何確保API安全”話題展開討論。從“什么是API安全、API安全到底有多重要、目前國內(nèi)存在哪些行業(yè)場景、對API安全的需求最為迫切、企業(yè)API安全建設(shè)當(dāng)從何處入手”等多個問題進(jìn)行了深刻的討論和交流。

談到API安全，王郁表示，目前API承載著越來越復(fù)雜的應(yīng)用程序邏輯和越來越多的敏感數(shù)據(jù)，API基礎(chǔ)之上也誕生了非常多的新興通信場景。作為一把雙刃劍，API在為企業(yè)提供便利的同時，也成為攻擊者關(guān)注的重點(diǎn)目標(biāo)。星闌科技通過API資產(chǎn)智能識別、API威脅及行為監(jiān)測、API數(shù)據(jù)流動監(jiān)測等維度為數(shù)字金融、開放銀行、云計(jì)算等應(yīng)用場景提供API安全防護(hù)能力，并提供開放靈活的場景配置能力，致力于幫助企業(yè)建立API全生命周期防護(hù)。

張曉兵提到，API可以解決高價值和高交互的問題，在新技術(shù)驅(qū)動下，該市場會有更廣闊的前景。另外，他還表示優(yōu)秀的API安全產(chǎn)品需要關(guān)注前期的動態(tài)資產(chǎn)梳理，實(shí)時幫助客戶理清API資產(chǎn)才能做到更全面地防護(hù)，減少因資產(chǎn)不明確帶來的一系列安全問題，從而才能開展后期的API全生命周期安全建設(shè)。

心有所信，方能行遠(yuǎn)。在探索API安全的道路上，星闌科技從未止步。未來，星闌科技還將進(jìn)一步投入到API安全的相關(guān)標(biāo)準(zhǔn)制定工作中，站在API安全行業(yè)的發(fā)展前沿，不斷輸出成熟的優(yōu)秀的產(chǎn)品與優(yōu)質(zhì)的解決方案，為各行各業(yè)API安全提供保障，為網(wǎng)絡(luò)安全行業(yè)發(fā)展創(chuàng)造更多的可能，為做大做強(qiáng)API安全市場貢獻(xiàn)力量。