API攻击过去12个月增加了7倍,影响了95%的组织,Salt Labs发布的2022年第一季度API安全状况报告数据,受到广泛关注。
研究还表明,大多数企业没有准备好应对这些挑战,超过三分之一(34%)没有API安全策略。同样,传统的安全措施继续失败,给组织一种虚假的安全感。
随着云计算、移动互联网、物联网的蓬勃发展,企业拥有庞杂的API资产,起到连接服务和传输数据作用的API,成为黑客们攻击的重点对象。
企业因API而导致大量数据泄露的事件屡见不鲜。因为API安全漏洞遭到黑客攻击,Facebook2.67亿个用户的隐私数据被非法售卖,Parler1000万用户超过60TB的数据、Clubhouse的130万条用户记录也相继遭泄露。
成立于2017年的永安在线,是提供API安全管理标准化服务的企业之一,团队核心成员均来自于腾讯安全团队,拥有十余年的安全攻防经验。目前已签约腾讯、字节、百度、泰康保险、华泰证券等上百家头部客户,连续多年续签率超过90%。
永安在线创始人毕裕认为,近两年,企业对API安全管理重视程度日益提升,明年将是API安全产品商业变现的大年,也是在头部金融客户高渗透率的一个关键节点。国内API安全管理成熟度还有待进一步提升,企业可以做的事情还有很多。
业务情报领域的先行者
在腾讯积累了几年的安全攻防经验之后,毕裕决定创业。
创业的种子很早便在他心中埋下。毕裕拥有旺盛的好奇心,小时候他对太空非常着迷,房间里摆满了各式各样的国际空间站和卫星的模型。后来,在日常看电脑报和计算机杂志过程中,他开始痴迷计算机科学。
上学期间,毕裕无意中读到一本名为《清华制造》的书籍,讲述了一群清华毕业生在中关村创业奋斗的故事,那份热血始终驱动着他。
大学毕业后,毕裕南下深圳工作,肥沃的科技土壤,进一步打开他的想象空间。他曾先后担任腾讯业务安全情报团队负责人、猎豹移动高级安全技术经理,并为tiktok的前身Musical.ly以及早期B站做过安全咨询。
在业务情报领域,永安在线是先行者。这源于在腾讯给企业做咨询时,毕裕很早便发现了这一市场需求——随着企业快速发展,IT架构的变化,上层应用之间的交互也变得复杂,企业业务中滋生安全问题,如数据泄露、骚扰诈骗等多发。
诸如杀毒软件、防火墙等产品能够满足企业的基础安全需求,但他们急需一套标准化的产品去解决业务欺诈等难题。
从腾讯辞职之后,毕裕曾在猎豹移动有过两年工作经历,了解到很多海外安全攻防的发展。这位“前东家”也成为毕裕的天使投资人。
“更多还是老领导认可”,毕裕说,刚创业他并没有太多融资经验,双方的默契,让永安在线很顺利地获得第一笔融资。
毕裕跟猎豹创始人傅盛也会定期有一些交流。“作为技术管理出身的创业者,如何去成为一名合格的企业家。”傅盛的这句提醒给毕裕留下深刻印象,他坦言,角色转换是一个巨大的挑战。
创业之后,毕裕最大的变化是学会“慢下来”。“做技术管理者时候,你会盯着具体问题、具体事情,会很急,会期望每个人都有高效率的执行力。但现在,你需要去关注公司的运营和战略节奏。”
在团队组建上,永安在线的核心团队成员均来自于腾讯安全团队,通过标准化的情报体系,在云端的特征库直接对病毒木马团伙进行监控和识别,永安在线与腾讯、百度和字节跳动等几乎市面所有的头部互联网企业都达成合作。
永安在线还成立了一个黑灰产研究团队“鬼谷实验室”,负责发布黑灰产研究报告,对黑灰产的攻击方式以及风险进行评估分析。
作为情报业务的先行者,永安在线在业内也有过诸多首创,先后推出业内首个业务情报搜索引擎,发布首个业务安全蓝军测评标准。
在产品成熟度不断提升之后,从2018年开始,永安在线的客户除了互联网公司,还新增了金融机构和政府。永安在线的业务分为不同的模块,例如反欺诈情报监测平台、手机号风险画像、风险IP画像、银行卡风险画像等。
截至目前,永安在线已经签约包括腾讯、泰康保险、华泰证券、百度和字节跳动在内的300余家企业,连续多年续签率超过90%。
创投圈盯上API安全管理
随着每日数亿的情报运营能力及实时更新能力,2021年,永安将API安全作为主要方向,为企业提供API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等服务。
毕裕说,过往永安在线能力尚不足以搭建一个全面的标准化产品,只能按不同模块卖出去,但现在可以将其整合在一起交付给客户。
以永安在线服务某头部保险企业为例,随着庞杂的业务不断发展迭代,企业对于API资产情况不甚了解,很多企业并不清楚自己有多少个API,也不知道API处于什么状态,在面临黑客攻击时,企业会非常被动。
永安在线首先会帮助企业迅速梳理出一个动态的API架构情况,帮助企业实时感知到API具体情况。然后基于情报能力,在API架构上面去做风险识别,帮助企业甄别哪些API正在被攻击。据毕裕介绍,永安在线API识别的平均精准度为97.8%,远高于市面平均水平。
毕裕说,希望企业API架构上面的安全,不再是一个“裸奔”的状态,企业可以非常清晰、量化地知道自己的安全风险。
近两年,毕裕也明显感知到API供需两端的变化。“最开始服务客户时,他们会有质疑,甚至有一些声音认为,这就是你们这帮乙方造出的词,这东西根本就不重要。”
API处于数字化体验的中心,APP、Web和应用程序核心功能、云体系与微服务架构等等,均离不开API的支持,据Akamai统计,在企业应用通信数据中,API通信流量占比83%,预计2024年API访问量将达到42万亿次。
一方面,随着国内外企业因为API而导致的用户数据泄露频发,公众开始认识到API管理的重要性。Imperva通过对近117000起特定的网络安全事件分析估计发现,API安全威胁每年导致410-750亿美元的损失,大型企业发生API相关安全事件的比例更高,收入至少为1000亿美元的企业遇到API安全问题的可能性是中小型企业的3-4倍。
另一方面,360、奇安信、深信服和绿盟等安全厂商也纷纷加码API安全管理。资本的关注度也进一步提升。
API赛道正成为炙手可热的赛道。Gartner也曾预测,到2022年,API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。
尤其是去年,全球最大的API企业Postman以56亿美元的估值完成了2.25亿美元的D轮融资,点燃了创投圈对API的热情,一批API赛道的企业密集获得融资,包括红杉、高瓴资本在内的明星投资机构纷纷入局。
2021年以来,中国API行业出现了密集的投融资事件。2021年10月API管理平台Eolinker获得数千万元Pre-A轮融资,由红杉中国种子基金独家投资;11月,星阑科技完成由苹果资本领投、国君景泰跟投的过亿元人民币Pre-A+轮融资;12月,API研发协同一体化平台厂商ApiPost获高瓴创投数千万元Pre-A轮融资;
今年2月底,永安在线也完成数千万元新一轮融资,由金沙江创投独家投资,计划用于加大企业人才梯队建设的投入,加大API安全产品研发投入,并持续深耕业务安全相关产品及应用,丰富产品体系,扩展行业市场覆盖范围。
值得注意的是,此轮融资也是永安在线继去年11月A+轮之后的又一轮融资。今年6月,永安在线入选深圳市2021年度“专精特新”企业名单。
就毕裕观察来看,企业从技术层面的认可,到采购预算机制的健全,都发生明显变化。
他相信,明年企业的API安全管理需求会更加明确和坚决,明年也会是API安全产品在头部金融客户高渗透率的一个关键节点。“明年的渗透率会翻倍,甚至是两倍以上。如果今年认为渗透率只有3%的话,我认为可能明年会超过10%的渗透率。”
深耕产品基因,提供标准化服务
作为一支产品基因能力深厚的团队,毕裕一直坚持的底层创业逻辑是在细分的关键点上做长期投入,最终在某些点上,能够为企业提供价值超过五倍以上的优势产品,最终在市场上形成差异化竞争力。
随着API赛道入局者变多,尤其是许多企业会提供一整套数据安全的解决方案,把API安全定位成其中一个模块,对部分客户来说,非常有吸引力。
作为一家初创企业,毕裕说,永安在线坚持垂直和专业,通过不断打磨产品,构筑起一个足够扎实的竞争壁垒。
永安在线为企业提供的是一套API安全管理标准化解决方案,重点在“标准”二字,这是其差异化竞争力。比如,市面上很多基于规则引擎的产品,API扩展和整体灵活性便是它们的弱点。
毕裕做了一个比喻,就像杀毒软件便是一个标准化的产品,每个人用杀毒软件目的相同,但杀毒软件解决的问题并不是标准化的,因为每一个病毒都不一样,核心是通过病毒的特征库、情报库,来实现标准化的木马和病毒检测。
因此,病毒库的能力构建,是安全软件产品想要去实现标准化的一个必要要素。以此类比,API安全管理的标准化,便考验着企业如何在云端构建识别引擎,也即情报能力。
虽然API安全管理近两年声量渐长,但毕裕认为,欧美在整个API架构的成熟度是远超在国内的,在API全生命周期管理里,像IBM、谷歌和微软等在内的巨头企业已经入局。其中,IBM是面向于超头部企业提供API的全生命周期管理,Postman则是面向于中小“长尾”客户。
永安在线目前则是更像前者,主要面向大客户提供标准化的API安全管理方案。“国内API安全管理市场前景非常广阔,企业可以做的事情还有很多。”毕裕说。