可以說，API（Application-Programming-Interface，應用程序編程接口）是當今數字世界的基礎設施。無論是云上應用，還是物聯時代，API都是SaaS和web應用程序的關鍵組成部分，尤其隨著云原生的發展，API的應用會越來越廣泛。相應的，API已為攻擊者的重要目標，眾多數據泄露事件都與API的安全問題有關。在數字化轉型浪潮的今天，沒有安全的API，創新和發展都無從談起。

　　7月23日，星闌科技發布了新產品螢火“API-Intelligence”安全分析平臺。該產品聚焦API安全，采用“大數據分析+異步實時阻斷”的方式，提供全景化API識別、API高級威脅檢測、復雜行為分析等能力，構建全生命周期的API運行保護體系。

　　作為一家人工智能、信息安全領域的雙料科技公司，星闌科技利用自身專業的技術團隊和豐富的網絡安全經驗，選擇了API安全作為數字時代的安全體系基石。在信息化社會，API已經無所不在，支撐著網絡和應用的飛速發展。但API的安全問題長久以來卻一直得不到足夠重視，在這個灰色地帶中，各類風險正在不斷擴大。

　　星闌科技CEO王郁認為，在全球加速邁向數字經濟的時代，API面臨的環境比傳統的Web安全更為復雜，API安全是一個交叉方向上的新生安全問題，其面臨的10大安全問題包括：無效的對象級授權、無效的用戶身份認證、過度的數據暴露、資源缺乏和速率限制、無效的功能級授權、批量分配、安全配置錯誤、注入、資產管理不當、日志和監視不足。涉及到的安全場景包括數據安全、業務安全等。

　　“萬物互聯時代，API是承載應用數據交換的‘血液’。”王郁強調。但當前API安全面臨著種種挑戰：API數量快速增長，攻擊面不斷擴大；API安全的實踐經驗匱乏；外部環境不斷變化帶來的合規性挑戰。為此，在萬物互聯的未來，我們需要用數據智能的方法去解決復雜的API安全問題，螢火產品的出發點就是構建面向復雜行為的API防護體系。通過以API為切入點， 實現API上面各種載體的安全性。王郁認為，API的安全價值轉化和傳統的安全思路有非常大的差異，API安全的價值轉化是縱向的，即以API為能量入口，構建解決不同場景問題的API的安全應用和服務，縱向轉化成不同場景下的安全價值，最終解決數據安全、應用安全的問題。

　　星闌科技CTO徐越對螢火安全分析平臺進行了詳細介紹。螢火平臺可以實現對API使用情況的實時監控，異常訪問的可視化。對流量中的API自動聚合、分類、自定義標簽化管理；并以樹狀圖的方式便于管理員進行探索和調查從而實現API統一管控。通過匯集一線紅隊與Star-Cross Portal實驗室的漏洞研究成果，全方位發現API的Web漏洞、應用漏洞、協議漏洞以及數據泄露風險，提供修復方案與加固建議，防患于未然。還能基于企業級大數據分析平臺以及機器學習數據實體識別算法，提供符合ISO PI PII標準以及金融、政府、通信行業細分標準的敏感數據實體識別與分類分級能力，并在此基礎上針對API惡意攻擊事件、數據泄露事件、撞庫攻擊進行實時告警，使企業能夠從容應對漏洞攻擊、黑客入侵、數據泄露以及賬號濫用風險。此外，產品通過AI驅動的數據模型分析每一次API調用，區分正常訪問與惡意攻擊，自動更新防御邏輯，聯動API網關實現毫秒級攻擊攔截，在不影響業務的可用性與性能的前提下，主動屏蔽99%以上的攻擊向量。

發布會還邀請了資深行業專家，以主題演講和圓桌論壇的形式，圍繞API安全態勢和發展，進行了解讀和分享。

　　中國計算機學會計算機安全專委會榮譽主任嚴明：對數據要素掌控和利用能力，已成為衡量國家之間競爭力的核心要素。數據安全是網絡安全、社會安全乃至國家安全不可或缺的關鍵要素，而數據安全保護中，API安全是一個常見但又不為人熟知的挑戰，需要安全服務商提供更強有力的技術支持和服務保障。

　　蘋果資本創始人胡洪濤：對應現實世界，API就像隨處可見的道路，它是數字世界的基礎設施，重要程度不言而喻。很多API通信標準，例如RESTful API，已經在物聯網、微服務、云原生等場景都得到了非常廣闊的應用。根據Adroit市場報告顯示，到2028年API管理市場總規模216.8億美金，其中API安全占了30%，API安全市場具有無限的潛力。

　　360政企安全集團首席戰略官潘柱廷：API安全已日漸成為網絡應用方面的主要技術需求之一。未來，開發人員需要進一步加大對于API業務模型、分析能力、技術藍圖、以及合規性與標準化方面的深入研究與開發。

　　騰訊安全玄武實驗室負責人于旸：星闌此次發布的API安全產品螢火，在彌補傳統安全方案中不足的同時解決了新興的API安全風險，解決了傳統API安全網關的部署與維護成本高的問題，符合當今技術發展趨勢，具有非常重要的意義。

　　華為云首席安全生態官萬濤：云原生是必然的IT演進趨勢，在數據交互的方式上API占比將越來越高，云時代下，API出了問題，不僅會影響用戶的使用體驗，威脅個人的隱私安全，也會使企業面臨數據安全風險。所以，在云原生時代下做好API安全至關重要。

　　元起資本創始管理合伙人何文俊：從投資角度看安全產業的發展有三個維度，第一是有沒有新的IT對象需要被保護，第二是行業是否會出現新的安全機會，第三是安全攻防技術的演進和迭代。API安全問題符合第一個特征，未來市場對API安全的需求會不斷增加，前景看好。

　　數世咨詢創始人李少鵬：無論在國內還是國際上，API安全日漸成為網絡應用方面的主要技術需求之一。研發人員需要進一步加大對于API業務模型、分析能力、技術藍圖、以及合規性與標準化方面的研究與開發。

　　“聰者聽于無聲，明者見于未形”，API安全這個新賽道在充滿挑戰的同時，也充滿無限可能。王郁在總結中表示，未來在復雜的API生態體系下，星闌科技將以用戶需求為指引，進行更多的技術創新和場景落地，推出更多新產品，不僅從技術層面做好API安全的防護工作，并且注重對于API監管和合規價值的轉化，以滿足更多各行各業用戶的安全需求，“讓智能化的安全能力守護用戶的每一次網絡調用”。