4月15日上午,由数世咨询举办的“2022API安全之道创新沙龙・北京”在网安小酒馆顺利举办。沙龙邀请了API安全行业企业代表,围绕API安全技术发展趋势、行业洞察、落地应用等热门话题展开思想交流与观点分享。星阑科技作为网络安全新锐力量、API安全赛道优秀企业代表受邀参加并进行主题演讲。
会上,数世咨询创始人李少鹏在开场中表示,随着云计算、移动互联网、物联网的蓬勃发展,越来越多的应用开发深度依赖于API之间的相互调用,API安全受到广泛重视。与此同时,API也正成为攻击者重点光顾的目标,国际国内API遭受攻击的事件屡见不鲜,众多企业面临新的安全挑战。因此,不断优化升级安全技术,帮助企业探索适应新需求的安全体系具有重要意义。
会上,数世咨询发布了《API安全研究报告》。该报告旨在切实指导用户在企业发展过程中解决API安全问题,实现数世咨询的第三方参考价值,帮助企业用户在数字浪潮之中屹立潮头。报告从API的技术应用能力和商业塑造能力两方面阐述了API作为数字时代基础设施的重要性,并从其面临的风险、自身复杂度和实际应用情况描述了API安全理念,最后简要介绍了国内外*实践者和API安全参考框架。星阑科技作为中国内*实践者之一出现在报告中,表明业内专业人士对星阑在API安全方面工作的认可。
星阑科技CTO徐越在沙龙上分享了《企业API安全防护体系建设》他提到,在万物互联、各行业数字化转型的时代背景下,大量企业能力以SaaS化的API服务方式与第三方厂商集成,如金融OpenBanking、数字政务平台、大规模分布式互联网应用、智慧城市、物联网等场景。企业数据通过API进行传输,API数量不断增长,导致API安全问题成为焦点。一方面,随着API逐渐成为承载数据流动的“主干道”,其弱点也逐渐被网络攻击者关注。另一方面,随着《数据安全法》、《个人隐私保护法》的正式实施,企业数字化转型过程同样面对数据传输安全监管要求。企业应对API安全风险可以从API生命周期入手,在API的设计-研发-测试-运行-下线不同阶段植入安全保护能力,同时技术侧的解决方案应兼顾业务需求与云化的IT基础设施。
奇安信资深安全专家、锐安全主理人张晓兵在《从框架看世界-看清安全过去窥测安全未来》讲到:世界是什么样子,取决于我们看待这个世界的框架是什么样子。他从技术、合规、架构等不同角度讲述了在不同框架下的安全是怎样的。当我们将安全看作一个接口,那就是API安全,大家对API安全的理解虽然有相似,有交叉,但一定是不同的。比如信通院《API数据安全研究报告》认为API安全是数据安全的一部分,它承担不同复杂系统环境、组织机构之间的数据交互、传输的重任;在奇安信《API安全能力建设桔皮书》中认为,API是一种云原生技术、资源集中连接的利器、数字化转型的核心能力。提到自己对API的看法,他则认为API是一种全新的安全逻辑,安全行业逻辑经历了四个阶段,从最初的面向单一的安全问题、到面向环境和IT架构解决综合威胁,再到与业务紧耦合解决业务风险,最终再发展为面向连接,即基于抽象架构来使用松耦合和可扩展的方式来解决更多综合性威胁;而API就是属于面向连接中的一种。
在网安三人行圆桌讨论环节中,数世咨询创始人李少鹏、奇安信资深安全专家、锐安全主理人张晓兵与星阑科技CEO王郁围绕“如何确保API安全”话题展开讨论。从“什么是API安全、API安全到底有多重要、目前国内存在哪些行业场景、对API安全的需求最为迫切、企业API安全建设当从何处入手”等多个问题进行了深刻的讨论和交流。
谈到API安全,王郁表示,目前API承载着越来越复杂的应用程序逻辑和越来越多的敏感数据,API基础之上也诞生了非常多的新兴通信场景。作为一把双刃剑,API在为企业提供便利的同时,也成为攻击者关注的重点目标。星阑科技通过API资产智能识别、API威胁及行为监测、API数据流动监测等维度为数字金融、开放银行、云计算等应用场景提供API安全防护能力,并提供开放灵活的场景配置能力,致力于帮助企业建立API全生命周期防护。
张晓兵提到,API可以解决高价值和高交互的问题,在新技术驱动下,该市场会有更广阔的前景。另外,他还表示优秀的API安全产品需要关注前期的动态资产梳理,实时帮助客户理清API资产才能做到更全面地防护,减少因资产不明确带来的一系列安全问题,从而才能开展后期的API全生命周期安全建设。
心有所信,方能行远。在探索API安全的道路上,星阑科技从未止步。未来,星阑科技还将进一步投入到API安全的相关标准制定工作中,站在API安全行业的发展前沿,不断输出成熟的优秀的产品与优质的解决方案,为各行各业API安全提供保障,为网络安全行业发展创造更多的可能,为做大做强API安全市场贡献力量。