专注API安全，解放创造力，开启无限可能！｜喜数信息孙峰·大咖访谈

孙峰

喜数信息联合创始人/CTO

近20年IT架构、网络安全及软件研究和开发实际经验，服务过众多500强企业，具备丰富的架构及安全实战经验。

孙总，您在IT安全领域也已经有了很多年的经验，为什么现在会看好API安全市场？

孙峰：这要从API的发展开始说起。21世纪初期随着ERP、CRM等企业内部管理系统的普及，各类系统沉淀了海量的关联数据，基于早期的数据库和http1.0通信协议，系统集成进入1.0时代。随着web2.0时代到来，企业信息和资源跨出企业内部，各企业系统不再是孤立状态，系统资源和数据的整合需求也扩散至外部，进而出现了应用更广泛的接口形式。2015年后，随着云服务主导了企业服务市场，大型企业在内部系统集成理顺的基础上，将企业核心资源以带有适当安全和监管措施的“API+云服务”形式向合作伙伴、客户、乃至普通大众输出。基于此，RESTful API开始被大量应用，API服务正式进入爆发式增长的时代。

当前API的应用已经广泛存在于互联网、物联网、移动应用等场景。所以我们真正开始关注API的这个安全是从最近几年开始的。在之前API还没有发展到足够引起人们重视的程度，但随着API的爆发式的增长，接口的安全问题也将会越来越突出。据Salt Security《State of API Security Report, Q3 2021》报告显示，2021年上半年，整体API流量增长了141%，而API攻击流量则增长了348%。从本质上看，API公开了应用程序逻辑和敏感数据，例如个人身份信息（PII），因此，API越来越成为攻击者的目标。

2021年发生了很多重量级的API攻击事件，引发了社会各界的广泛关注，例如：黑客通过API漏洞入侵了7亿多Linkedln用户的数据，并在暗网上出售这些数据；黑客攻击Parler网站的API安全漏洞，非法获得1000万用户超过60TB的数据；Clubhouse因API安全漏洞泄露了130万条用户记录。

可以预见，2022年针对API的攻击将成为恶意攻击者的首选，越来越多的黑客利用API窃取敏感数据并进行业务欺诈，为API构建安全防护体系已势在必行。

那么喜数信息的API安全产品能做到什么？

孙峰：简单来说，我们的APISEC主要是做认证鉴权、API漏洞检测防护、数据防泄漏、防病毒、行为审计等安全功能。API安全检测功能可以针对API特有场景的问题做安全及漏洞检测，比如数据过度暴露，身份鉴权等等问题。APISEC收集了大量安全事件，结合人、物、时间、操作等不同分析维度并利用多种学习算法，分析安全事件，提供丰富的数据查询报表。同时针对API所承载的数据，我们提供数据脱敏，防病毒，敏感数据识别等功能，以保证数据通道安全合规。

在您看来，喜数API安全产品的优势体现在哪方面？

孙峰：我们拥有业界领先的语义分析、内容识别、AI、大数据分析等技术，为业务内容安全、逻辑安全提供了保障。

另外，喜数建立了API安全实验室和API经济研究院，为我们的API安全产品更新迭代提供源动力，并为企业提供API安全解决方案、进而解放创造力，开启新的无限可能性！

好的，最后想问下，喜数信息的愿景是什么？

孙峰：我们公司定位是“专注信息化安全、服务生产力提高”，我们希望我们的API安全产品能推动API经济效能释放。我们的文化是“专业、创新、家公司、利他”，这是希望我们在技术上不断发展，始终具有领先性，同时为员工幸福生活而服务，并为客户提供最优质的安全产品和服务。

往期回顾