对话毕裕永安在线API安全的价值论

　　当前，数据安全很热，原因是多方面的，因为数字经济如火如荼方兴未艾，因为层出不穷日益增多的数据泄露事件，因为接二连三相关法律法规的出台，也因为数据安全无论从技术发展、管理实践还是综合治理方面，都成为越来越复杂的社会问题。
　　这其中，有个以往或被忽略，现在却成重中之重的领域，越来越成为一大焦点，那就是作为数据应用连接通道的API的安全问题。
　　永安在线起步于业务防欺诈，其特点是立足互联网，着眼各类应用场景，并以威胁情报驱动安全，当对业务场景的洞察与实践足够广泛并日渐深入后，抽象并聚焦于更普适也更本质的问题成为必然，这个普适且本质性的问题，就是与数据安全密切相关的API安全。
　　毕裕，永安在线创始人兼CEO，从踏入职场到创业至今，从 威胁情报到API安全 ，掐指一算已有十余载。深秋冬来之际，我们与毕裕进行了一场对话，听他聊聊十余年来的从业理念与创业故事。
　　—— 张耀疆 安在新媒体创始人
　　01 创业为何选择威胁情报视角？
　　纵观众多创业者，创业之前往往都带有一丝神奇的色彩，比如职业经历丰富，涉及领域众多，人脉关系广泛……但毕裕却有所不同，他职业经历相当简单。
　　2010年，毕裕本科毕业，直至创业前夕，他一直辗转于金山与腾讯两家企业。在此期间，从终端安全到业务安全，毕裕一直都在与黑灰产做对抗。
　　2011年，也就是毕裕踏入腾讯的这一年，自此往后，恰是国内移动互联网爆发的阶段，大量企业疯狂崛起生长，但遗憾的是，它们没有同步打造抗击黑灰产的安全能力。哪怕是当时毕裕在职的腾讯，为了追求更高的业务发展效率，也导致其线上业务问题异常突出。
　　在此过程中，毕裕看到，传统安全在业务上的攻防（现在也叫业务安全或反欺诈），更多是从规则引擎入手，但这存在两大弊端：
　　弊端一： 需要有专家在后端不断去运营规则，去推动规则的有效性，这是一个必要条件；
　　弊端二： 这是业务特征非常明显的对抗方式。同样的规则，换一个业务之后，复用性就会降低很多，所以不具备规模化。
　　毕裕思索，应该用什么方式来对抗业务风险？后来，他在情报维度找到了一个视角。
　　以前，安全运营往往耗费大量精力去关注业务的流量，对于风险背后的作恶团伙及行为并不了解。而着眼于情报之后，就会更加关注于作恶团伙的技术、手段、行为，在此视角下，能抽象出很多能力，比如黑名单能力、攻防情报能力，继而再去做业务上的风险，效率就会特别高。
　　对此，毕裕举了一个简单例子，比如QQ盗号问题。如果在情报上能做到对盗号木马的实时监控，盗号木马只要一更新，监控系统就能立即察觉，马上就会进到自动化分析，去定位这次木马的更新采用了什么样的盗号策略。接着就能直接在后端形成一个检测规则，把受到木马影响的账号筛选出来。
　　而以前做规则引擎对抗，更多是在后端拍脑袋。比如账号怎么回事？前一小时在北京登录，下一小时跑到福建登录，是不是被盗了？
　　如此对比，高下立判！
　　在此期间，毕裕也给很多企业做业务安全相关的咨询。那时，很多垂直领域的互联网巨头已经开始爆发，线上业务的问题也相当突出。
　　毕裕发现，这类企业服务器资产从几百台到上千台之后，在基础安全上有很多标准化的产品，能够让他们的安全级别迅速提升。但在业务上的安全，仍需从0~1建立自己的团队，从传统的规则对抗，一步一步去构建自己的业务风险对抗能力。而乙方又因对于甲方业务了解的缺失，导致很难在此层面发力。
　　故而，毕裕思考，过去这些年积累下来的安全攻防经验，是否能够面向这类业务风险场景，并由此提供一个标准化的基础设施？于是乎，毕裕创业，即选择从威胁情报出发。
　　2017年1月，毕裕创办威胁猎人，后改名为永安在线，继续一往无前地奔向他早有预判且矢志不渝的安全宏图。
　　02 为何从威胁情报进阶关注API安全？
　　如今，永安在线主打API安全产品，那API安全与情报到底是何关系？为什么要关注API安全？
　　毕裕认为，情报是解决标准化攻防的一个关键要素。单卖一套软件产品，跟客户说不需要再动产品，只需更新版本就能搞定安全问题，这显然不可能。
　　所以，永安在线在产品策略上，期望把情报能力做到最好。不管是多维度的丰满度，还是准确率。下个阶段，再基于情报能力，给客户提供业务场景标准化的基础设施，能够帮助客户覆盖到线上业务的安全问题。
　　毕裕笑称：＂以前我们是卖锤子的，需要客户拿着锤子回家自己钉钉子。现在则是更多地直接帮助客户解决问题。＂
　　至于为何关注API安全，毕裕介绍， API安全是业务安全发展到一定阶段成熟之后，逐渐被大家理解和认可的一个分支。 在PC互联网时代，其实并没有业务安全，那时更多关注主机，人们使用PC大多是聊天、看电影，业务场景并不复杂，API复杂度自然也不高。
　　然而，随着移动互联网的蓬勃发展，业务安全发生了巨大变化。 一是互联网应用场景增加，比如OTO线上交易等；二是API所承载的功能性在发生巨大变化。 不再单是以前文本和图片的推送，还包含很多逻辑的交互、授权、验证等复杂功能，这就导致线上业务问题比较严重。
　　于是，对于整个行业而言，大家对于业务安全的认知会有一个阶段。
　　一开始，大家会从问题出发去理解场景，比如账号总被盗，就会诞生出一个概念叫账号安全；又如大家做线上营销，在线上就把钱撒出去，营销欺诈就成了一个场景。在这个阶段下，人们看待业务安全，就是按照各种场景去理解业务安全。
　　慢慢地，大家会逐渐理解业务安全也有不同的分支。 一种是完全业务导向的业务安全 ，比如银行的交易安全。这不太可能标准化出来一个基础设施去帮助银行解决这类问题。 另一种是企业在快速发展的过程中，IT架构的变化、上层应用之间的交互变得复杂而导致的业务安全问题 ，比如撞库、扫号、爬虫以及API滥用导致的数据泄露问题，这些问题 本质上是API的攻防问题 ，这些是可以抽象出来进行标准化。
　　这些能够标准化出来的问题，不是以前的场景问题，而是API架构在发展和成熟过程中会带出来的安全问题。对于企业而言，也会从以前哪里有火扑哪里，逐步转变为从API架构去考虑整体的业务安全问题。
　　03 API安全在国内市场现状如何？
　　实际上，API安全概念的提出已有数年之久，但至于被业内人士接受度达到了多少，恐怕身在其中的人更有深刻体会。
　　毕裕认为，API安全在国内的发展演进，主要有两个维度催生推动。
　　▶ 第一个维度是API演进 ，可以说与一些安全事件不无关系。如前文提到的API的应用场景和功能性都发生了很大的变化，其数量大增，围绕API的攻击也越来越多。近两年来，包括线上政务的一些安全挑战，以及很多头部企业数据泄露的挑战，最终发现都是源自于API管理盲区导致的问题。
　　▶ 第二个维度是甲方共识问题。 永安在线最早在2020年就已经推出了一个产品，叫业务风险感知系统。跟如今的API安全产品相比，其实就是一个产品在不断发展的过程。只不过当时没有命名叫API安全产品，其原因是，因为当时业内许多人士不太理解API概念。产品命名要去符合市场的一个共识和认知，所以只能更多地从解决问题角度来定义产品。
　　这两个维度到2021年初，不管是资本的维度，还是安全事件的频发，都有了极大的变化。比如资本，海外API安全企业融资的规模性非常大，近几年发展也相当好，进而让国内安全行业对API安全形成了认知层面的快速提升。
　　接着，毕裕谈到API安全在细分领域上限高度问题，他认为，国内的企业安全市场，其实天花板一直都是大家比较诟病的一个难点，跟海外安全市场差别还是蛮大。
　　海外安全市场之所以有很多小公司创业并迅速做大，跟海外市场大家在专业度上的认可和理解，包括价值驱动要素的重要性，都有较大的关系。而在国内，合规要素是一个比较重要的要素在推动，其专业性能够影响的客群，相对而言还不是那么广泛。
　　所以，毕裕坦率道：＂国内非常多的优秀创业公司，从0~1会做得非常好，但是从1~10要去影响更多客户的时候，会发现其专业品牌、产品能力很难影响客户的决策。＂
　　永安在线聚焦API安全也有两年时间，对于自家API安全在安全行业中的状况，毕裕则称他们过去两年在API领域的理解上完成了0~1。为何这么说？
　　两年前，毕裕去跟一些客户交流时讲API安全，普遍会遇到一些客户直接说这是在造概念、是扯淡。但现在已有明显改善，大家已有一个共识，就是API安全值得关注，应该要去关注。
　　当然，任何事物的发展壮大都需要一个过程，企业客户从接纳API安全的概念，再到立项、预算，并不是一蹴而就，毕裕认为还需要一定的时间去推进。
　　04 国内企业API安全存在哪些问题？
　　毕裕从接触的客户中发现，很多时候客户都是从数据安全治理视角去理解API安全，那么API就会成为其数据安全治理中的一个子模块。因为客户的理解很简单，API就是一个数据管道，那就得知道有多少API，以及其中传输哪些数据。实际上从API的管理和安全挑战来看，这些都还只是一个非常基础的工作。
　　永安在线每个季度都发布一份API报告，该报告是完全基于他们的情报在当季发现的一手事件汇集而成，所以能够直接代表在API安全领域内，从实际发生的风险角度上，近期是一个什么样的趋势。
　　报告显示，最近一年时间内， 从风险角度看到，很多行业普遍存在因为API的管理盲区导致的数据泄露、业务攻击问题 ，包括现在很多传统企业在线上化的过程中往往只考虑功能的完成度，而忽视了线上应用交互、数据传输的安全性，其中由API导致的数据泄露非常普遍，远远超出预期。
　　目前，永安在线已经在与公安紧密合作，成立网络黑产侦察实验室，对多条线的多个案子进行追踪。
　　对此，毕裕无奈笑道：＂痛心疾首，是做安全的宿命。＂
　　那么，既然API引发的安全问题频多，那具体都有哪些呢？对此，毕裕认为主要有三类：
　　>>>>第一类：内部员工的行为管理问题。
　　这是当下一个相当突出的安全问题。以前企业业务可能就是通过社交平台，发送一个excel表格来去交互。现在很多企业内部业务用OA来流程化，确实非常方便。但其中会有很多权限管理的难题，即是组织架构越来越复杂，企业数据资产越来越多元，数据跟人员角色的匹配，很难通过原有的权限授权管理来维持。
　　在数据管理过程中，面向于内部员工或者外包人员、合作伙伴，势必会有一些盲区，即有些人员能触碰到一些不必要的数据。比如，通过API批量拉去通讯录数据，卖给黑产组织人员进行诈骗。
　　诸如此类，其实都是因为企业内部流程数字化、API数量变多之后，带来的API管理难点。能不能做好这些行为监管，做好数据流动的监测，这是一个关键要素。
　　>>>>第二类：业务面向于外部的风险管理。
　　风险管理是API安全架构面临的一个重要挑战，API架构面临的很多风险跟基础安全面临的风险完全不一样。
　　毕裕举了一个永安在线情报系统监测到的真实案例，某家企业做线上营销活动，有一个中奖信息查询的API接口，除了返回前端需要展示的头像、昵称、城市、脱敏手机号之外，还返回了很多前端根本不需要的敏感数据，包括中奖人的姓名、收货地址、明文手机号等，此外API本身拉取的数量远远超过前端页面展示的数量，甚至能拉到5000个名单数据。
　　这个事件本质上是黑产利用营销活动API存在敏感数据过度暴露的缺陷，爬取大量用户数据。这类情况普遍出现在企业数字化过程中，特别是一些传统企业数字化转型过程中，可能衍生出来的API管理难点：一方面是API的缺陷问题能否检测到，另一方面是黑产这种＂无特征＂、与正常API调用无差别的攻击行为能否及时识别。
　　>>>>第三类：API资产的管理问题。
　　随着数字化发展，通过API流动数据创造价值，已成为企业创新发展的关键，API也逐渐被理解成数字时代的关键IT资产。那么，API资产的管理问题，影子API、僵尸API等威胁，企业能否主动去发现。企业在做安全评估的时候，API资产是不是在评估范围之内，这也可能变成一个难点。
　　05 如何帮助企业建设API安全？
　　既然API安全正朝着愈发重要的方向前行，那么对于有此安全需求的企业而言，正如《礼记·中庸》中所言＂凡事豫则立，不豫则废＂，应当予以适当关注，并加以认知与理解，并结合自家实际情况进行考量。
　　毕裕看到， 对于企业而言，如果想要做好安全管理，全生命周期的管理视角是一个必要的视角 。
　　何出此言？毕裕举了一个例子，比如当我们去考虑一个操作系统安全问题的时候，一定不会从系统的开发环节就去考虑安全，因为系统不是我们开发的。在行业里面，大家都是用的标准化产品，所以在解决方案上也有很多选择，这给企业提供了一种很好的供应方式。但在API对象层面，情况却不一样。
　　首先，API是企业的私有化资产，从设计和开发就是在企业内部完成，也就是说，API问题的产生也是由企业自身产生。所以企业在管理角度上，有必要从开发和设计环节，就开始去考虑整个API的管理。
　　其次，API在整个业务生命周期当中变化非常快，随着业务需求变化，API的实现逻辑发生改动都是很正常的现象，研究团队每天做的事情其实就是在迭代API。API实现逻辑一旦发生变化，很容易引入新的风险，特别是当开发人员认为前期已经做过非常多的安全检测后不太可能再出问题时。这也会给企业的安全管理带来新的挑战。
　　因此，通过对API全生命周期来考虑API安全，围绕设计、开发、测试、上线运行、迭代到下线的每一个环节加强安全建设，就显得更有必要。
　　在毕裕看来，永安在线现在更多是在生产环境下先帮助企业做一个＂把门＂。企业拥有那么多业务，到底有没有安全问题？若是真有安全问题发生，有人在惦记企业资产的时候，永安在线能够先帮企业把好这道门。
　　毕裕介绍， 永安在线接下来的产品策略，将会围绕着API全生命周期，也就是设计、开发、测试、生产环境、上下线等环节，为企业提供一个闭环的全生命周期的管理能力。 这是永安在线产品战略上的一个定义。
　　06 目前业内如何解决API安全问题？
　　正所谓＂一花独放不是春，百花齐放春满园＂。尤其在安全行业中，针对一个问题的解决方案，往往各家安全厂商千差万别、不一而同。API安全同样存在这样的状况。于是难免会好奇，对于API安全这种新生物种，业内的解决方案都走了哪些路线？
　　毕裕对此深有同感，他郑重说道：＂我非常赞同一个观点，技术都是要融合的，不是绝对的。＂
　　在毕裕的认知中，当今在API安全管理角度上，主要有三种技术栈。
　　>>>>第一、传统的规则引擎。
　　毕裕坦言，这是现在国内API安全产品的主流。其缺点非常明确，即不具备标准化程度和规模化效应。如果企业有十个业务，产品部署完毕之后，面向于每个业务的规则，都需要后期专业的和高压的持续迭代。这会让很多企业后面的安全运营工作非常头疼。
　　此外，规则引擎在内网安全，比如漏洞、木马的防护上，有效性其实还是可以。但在API风险识别方面此类方案的缺陷就比较突出，一个API里面的流量，通常一方面是正常人的访问，一方面是攻击者的请求，很多时候一个请求一个响应就完成了，从行为上很难区分谁好谁坏。
　　攻击者输入的内容是企业自己定义的，也就是说企业怎么定义的参数，攻击者就怎么输入，并没有去违规，就是按照企业定义设置的参数去完成攻击。
　　如此就给规则引擎带来了更高的难度，即在API攻击层面，很多时候攻击请求当中并未包含任何攻击特征。
　　所以，毕裕对规则引擎的定义是，可以完成0~60分，但是60分再往上走，效率就比较低。
　　>>>>第二、机器学习。
　　毕裕介绍，在海外能够看到，一些公司在API架构上的机器学习两种应用方式。
　　第一种叫关系引擎。即是将客户所有API盘点完毕之后，对于正常业务的调用，会绘制出API的调用关系。如果突然出现一个API的调用关系不在正常逻辑之内，那就可以怀疑这是一个攻击请求。
　　实际上就是基于攻击的流量跟正常行为不一样，通过API的关系引擎去做异常识别，本质上是通过AI在API的调用关系上去建立一个baseline，然后基于这个baseline再去做异常识别。
　　第二种是在业务流量上绘制出一个基本面。比如游戏业务，一到周六用户量就爆涨，通过AI去学习业务的规律，将这个规律定义成API架构的baseline。如果周三某个API的流量突然暴增，那就认为这是一个不符合业务特征的异常行为，需要做预警。
　　这实际上是从业务角度去绘制出一个baseline，然后在baseline上做异常识别。这是海外主流的一个技术栈。
　　然而，这种技术的弊端是，必须要有一个前提，就是业务本身是一个相对比较稳定的业务。比如业务年初是1000万用户，年底用户变成2500万，那这个baseline就很难绘制。
　　故而，毕裕觉得，海外互联网生态相对变量没那么多，这类技术在这样的土壤上应用有很大空间。但在国内的场景，纯粹基于AI去构建baseline，效率提升仍存在很大的瓶颈。这也是他在之前实践中看到的一个结果。
　　>>>>第三、情报技术。
　　这即是永安在线选择的方案， 本质上是基于攻击者使用的攻击资源如攻击IP、工具、账号、行为等风险情报，构建API访问的行为基线 。
　　举个简单例子，比如一个API访问量，第一天100万，第二天50万，第三天200万，变化很大。通过情报就绘制出一个指标，如API请求流量中的风险IP流量占比指标。
　　在没有攻击的情况下，风险IP流量占比可能是0.03%。一旦有攻击，风险IP流量占比会迅速飙到2%、3%。从整体流量上看，风险流量占比变化并不是很大。但是如果有情报能力，在情报指标上面，就能看到一个量级的变化，基于这个变化就可以直接判定该API当下一定受到攻击。
　　这种基于情报的判定方式不受API流量波动影响 ，无论该API的流量是10万还是100万，如果风险流量占比从0.03%变到了3%，可直接判定该API存在风险攻击事件。
　　当然，毕裕坦诚说道，这种技术也有一个大前提，就是怎么保证精准率和覆盖率。这其实就是永安在线为什么这么长时间都在做情报这事。
　　07 永安在线API安全产品核心能力
　　理念虽好，能够化为切实有效的产品，才是理念落地的关键。
　　毕裕颇为自豪地介绍称，目前在国内，永安在线在API安全投入上，应该算是最大的那几家之一。因为说一千道一万，没有什么比真金白银的资本投入更有说服力。
　　当然，毕裕对当下也有比较清醒的认知，他如实道：＂我们投入非常大，有大几十的研发人员，有长期的投入。在产品成熟度上，目前我们位置应该是非常靠前。但是放眼整个安全领域来看，我认为API安全还仍然有蛮长的一段路要走。要尊重客观情况。＂
　　毕裕的理念与信心，如今已经真实转化为永安在线的产品，也是目前永安在线聚力打造的唯一一款产品，名为＂API安全管控平台＂。
　　＂API安全管控平台＂究竟能解决怎样的安全问题，毕裕也做了详细的介绍，主要有几大功能：
　　■ 第一、资产管理。
　　解决的是API资产可视化问题，这是一个最基础也是最关键的问题。企业有多少API？有哪些API传输了什么类型的敏感数据？资产的发现，包括敏感数据类型标签的识别，是不是全自动化？
　　毕裕认为这是一个很重要的关键能力，难点在于标准化这一步。
　　API安全管控平台内置资产梳理模块，能够以持续动态的方式去梳理面向客户、内部员工、合作伙伴、开源组件和中间件等场景下的API，做到只要API一上线或开始服务就能够被快速识别出来，并建立完整的API资产清单，全面了解API开放数量、API活跃状态、僵尸API、影子API等安全风险信息，还可以把资产信息及时同步给相关业务或安全人员。
　　■ 第二、风险管理。
　　当资产管理做完之后，风险这块是不是能够发现？风险管理是API安全架构面临的一个重要挑战：
　　▶ 一方面是API缺陷检测问题。
　　哪些API存在未授权、越权、数据伪脱敏等缺陷可被黑产利用。
　　永安在线基于特有的情报技术和攻防研究，可持续跟踪攻击者如何利用新型API漏洞进行攻击，并提取新型攻击面和攻击特征，持续优化API漏洞检测引擎，能及时覆盖最新的业务API逻辑漏洞和第三方组件、开源系统API的未授权漏洞等。
　　▶ 另一方面是API攻击感知问题。
　　API架构面临的很多风险跟基础安全面临的风险完全不一样。针对API的典型攻击是无特征的、不存在纰漏，这种情况下基于木马的特征识别、基于漏洞攻击识别，就无法起到效果。
　　譬如，攻击者通过黑产资源池的海量小号、秒拨代理IP伪装成正常的请求访问，对API接口进行低频攻击或数据爬取，传统WAF或基于规则引擎技术的安全产品就不具备这方面的检测能力。
　　永安在线基于情报能力（如攻击者利用的IP、自动化工具资源等）构建API安全行为基线，可不受业务波动影响，能更有效地感知外部API风险，误判率底，这也是产品主打优势之一。
　　■ 第三、数据合规审计。
　　API是应用之间数据传输的重要通道，通过API流动交换数据来创造价值。如何做好流动数据合规建设，也是企业安全管理的一大难点。
　　如今年《数据出境安全评估办法》的落地，对企业提出了新的要求，企业对自己的数据出境要有管理，而且要主动申报。企业API是数据出境的重要管道。那企业是不是能有一个符合管理办法的模块，能够帮助在整个动态过程中完成自审工作和申报工作。
　　API安全管控平台通过流量梳理API资产的同时，会对流量中流动的敏感数据资产进行识别和提取，对敏感数据类型进行分级分类，确保数据资产持续更新和可见。通过平台的 ＂数据地图＂ 可以观测到当前企业存在哪些涉敏数据及其聚集分布的站点情况，从而对自身流动数据资产分布有全面的认知。
　　该平台也上线了 ＂数据出境合规自查＂ 功能，支持对不同业务的境外涉敏请求流量进行审计与记录，评估出境的数据资产是否存在出境风险，即使业务分布在多个云上或不同数据中心，也可通过分布式部署方案实现全面的出境数据资产评估。
　　08 尾声：每个拓荒者都是时代的英雄
　　对于未来，毕裕也有很多美好的向往，他介绍说，今年想基于标杆客户，把产品成熟度进一步做好。因为永安在线的目标，从来都不是比友商做得好一点，而是围绕着客户的需求，真的踏实做好。
　　毕裕认为， 你研发的产品，是把原来的风控规则引擎简简单单基于API对象做了包装，还是真的把其中标准化问题解决，这对于客户在后续使用的持续价值是有极大不同。
　　＂比如客户线上API，可能每天都有增删改减。客户又增加了，你是不是能准确识别出来？客户可能会不断遇到新的攻击类型，你是不是又能够覆盖到？这不能派两个人每天盯着系统，所以我们一直坚持标准化来做这事。但坦率来讲，我也仍然认为我们仍需专注在这个点上做长期的打算，持续的投入，才能在未来给客户提供一个真真正正的，不只是在国内，甚至在全球市场，也是能够拥有竞争力的产品。＂
　　说到最后，毕裕的眼中有光，神色坚定，恰似一名执剑纵马的骑士，将继续在他认定的道路上一往无前。
　　安全领域，世界范围内发展已有数十年，国内汹涌火热也差不多有十年光景。在国内安全创业赛道上，无数人来了又走，走了又来。
　　回首看，道道标杆立于身后；抬望眼，茫茫荒原无迹可寻。成功立标者固然可佩，而勇于去荒野探寻开拓之辈，同样是属于这个时代的英雄。
　　详情请关注安在新媒体—人物、热点、互动、传播，有内涵的信息安全新媒体。