专注API安全,解放创造力,开启无限可能!|喜数信息孙峰·大咖访谈
孙峰
喜数信息联合创始人/CTO
近20年IT架构、网络安全及软件研究和开发实际经验,服务过众多500强企业,具备丰富的架构及安全实战经验。
孙总,您在IT安全领域也已经有了很多年的经验,为什么现在会看好API安全市场?
孙峰:这要从API的发展开始说起。21世纪初期随着ERP、CRM等企业内部管理系统的普及,各类系统沉淀了海量的关联数据,基于早期的数据库和http1.0通信协议,系统集成进入1.0时代。随着web2.0时代到来,企业信息和资源跨出企业内部,各企业系统不再是孤立状态,系统资源和数据的整合需求也扩散至外部,进而出现了应用更广泛的接口形式。2015年后,随着云服务主导了企业服务市场,大型企业在内部系统集成理顺的基础上,将企业核心资源以带有适当安全和监管措施的“API+云服务”形式向合作伙伴、客户、乃至普通大众输出。基于此,RESTful API开始被大量应用,API服务正式进入爆发式增长的时代。
当前API的应用已经广泛存在于互联网、物联网、移动应用等场景。所以我们真正开始关注API的这个安全是从最近几年开始的。在之前API还没有发展到足够引起人们重视的程度,但随着API的爆发式的增长,接口的安全问题也将会越来越突出。据Salt Security《State of API Security Report, Q3 2021》报告显示,2021年上半年,整体API流量增长了141%,而API攻击流量则增长了348%。从本质上看,API公开了应用程序逻辑和敏感数据,例如个人身份信息(PII),因此,API越来越成为攻击者的目标。
2021年发生了很多重量级的API攻击事件,引发了社会各界的广泛关注,例如:黑客通过API漏洞入侵了7亿多Linkedln用户的数据,并在暗网上出售这些数据;黑客攻击Parler网站的API安全漏洞,非法获得1000万用户超过60TB的数据;Clubhouse因API安全漏洞泄露了130万条用户记录。
可以预见,2022年针对API的攻击将成为恶意攻击者的首选,越来越多的黑客利用API窃取敏感数据并进行业务欺诈,为API构建安全防护体系已势在必行。
那么喜数信息的API安全产品能做到什么?
孙峰:简单来说,我们的APISEC主要是做认证鉴权、API漏洞检测防护、数据防泄漏、防病毒、行为审计等安全功能。API安全检测功能可以针对API特有场景的问题做安全及漏洞检测,比如数据过度暴露,身份鉴权等等问题。APISEC收集了大量安全事件,结合人、物、时间、操作等不同分析维度并利用多种学习算法,分析安全事件,提供丰富的数据查询报表。同时针对API所承载的数据,我们提供数据脱敏,防病毒,敏感数据识别等功能,以保证数据通道安全合规。
在您看来,喜数API安全产品的优势体现在哪方面?
孙峰:我们拥有业界领先的语义分析、内容识别、AI、大数据分析等技术,为业务内容安全、逻辑安全提供了保障。
另外,喜数建立了API安全实验室和API经济研究院,为我们的API安全产品更新迭代提供源动力,并为企业提供API安全解决方案、进而解放创造力,开启新的无限可能性!
好的,最后想问下,喜数信息的愿景是什么?
孙峰:我们公司定位是“专注信息化安全、服务生产力提高”,我们希望我们的API安全产品能推动API经济效能释放。我们的文化是“专业、创新、家公司、利他”,这是希望我们在技术上不断发展,始终具有领先性,同时为员工幸福生活而服务,并为客户提供最优质的安全产品和服务。
公司简介
往期回顾