梭罗在《瓦尔登湖》中曾说：“有些人步伐与众不同，那是因为他们听到了远方的鼓声”。当大家对未来还在踌躇时，先知先觉的行动派，早已穿透层层浓雾，掀开了黎明前的窗纱。在行动派中，星阑科技的创始人王郁是很具代表性的一位，作为API安全赛道代表型厂商的首席操盘手，他始终不走寻常路。从国际黑客竞赛选手到网安行业最年轻的创业者，从双清路30号的清华学子到中关村U30的佼佼者，王郁在用实际行动让我们看到了一个年轻创业者的蜕变。近期福布斯中国公布了2022年度30 Under 30榜单，星阑科技CEO王郁成功入选该榜单，成为“工业制造&科技”领域年轻的新锐精英人物。为此，我们采访了王郁，带大家了解一下这个年轻人身上的理想与抱负。

头角峥嵘，蓄势待发

1、先恭喜您入选福布斯30 Under 30榜单，同时也想问一下您当初为什么选择创业这条道路？

王郁：谢谢。促使我做出创业选择的其实是多方面的原因。首先，是我自身性格方面，本身就喜欢做一些挑战性的事情，对自己的工作也会有极度强烈的价值追求，在这样的性格倾向下，如果能够从0到1的build一个体系，并用新的产品和技术为行业贡献自己的一份力量，这于我而言会是一件非常有价值感和突破自限的事情。

此外，我认为有一句话说的很对：和什么样的人同行，就会吸收什么样的能量，便会长成什么样的人。在我之前的经历中，很幸运的是我身边有一大批前辈、学长都是非常优秀的创业者，他们也做了许多非常有想象力的事情，看到他们在用很高端的格局，去勇敢拥抱一个不一样世界的时候，带给了我一种非常强烈的震撼和冲击，让我不自觉地向他们靠近，成为像他们一样的人。所以，最终我选择了创业。

2、对于年轻的创业者这个标签，您是怎么看待的呢？

王郁：没有人可以永远年轻，但永远有人正年轻。随着时代不断变化，创业者扮演的角色一直都很重要，而年轻创业者们则是其中一个非常具备愿力的群体。由于年轻，他们可能会缺乏一些经验，会踩一些坑，但他们也因为年轻会较少的受到既有条框的限制，从而可以凭借热情和努力去做更多改变现状和突破界限的事情。我身边有两位大我几级的学长，一位创建了目前国际上享有盛誉的数据库独角兽公司，一位在首次智能芯片创业成功后又投入运载火箭和商业航天领域，现在也都是刚30岁左右的年纪。所以我认为年轻的创业者有其独特的优势，如果能够在创业的过程中不断保持快速的迭代进化，遇到问题快速调整，并保持坚定的信念不断敢于冲击新的高度，是非常有机会的。于我而言，创业更像一种生活方式，是一个持续挑战自身的过程，就像爬山登顶后总会望向下一座山峰。我很感激能够在这样的一个时间点去做创业这件事情。因为年轻，从时间维度上，我也有更多的试错和努力的机会，让我能够持续进行迭代和调整，从而有更多机会达到理想的人生目标。

3、据我了解星阑现在的主要业务是API安全，那么请问在创业初期，您为什么义无反顾地选择这个赛道？它的价值在哪里？

王郁：感谢您的提问，API的出现本质上是为了实现不同技术栈的应用在架构和开发上的融合和解耦；通过API，我们可以把过往在孤立系统上的能力开放出来，实现不同组件在业务能力上的纵横交织，进而构建出一个更加开放、互联的数字世界。

现在各类API通信已经承载了大多数的数据传输/功能交互，并在云/容器/微服务/网关等新型Infra的生态的推动下，API数量正在以非常快的速度增长。此外，OpenBanking/能力中台/智慧城市/物联网/多方数据交换及各行业的很多应用场景，也都需要基于API能力来进行实现。在API体系里，我们有机会去同时实现多种安全价值，包括攻防能力、数据流转的监测与审计能力、风控与行为分析能力等，从而构建一个智能化Defender。

在一个快速增长的基础设施上，结合丰富的应用场景创造复合安全价值，在我们看来是一件非常有挑战和有吸引力的事情。

劈荆斩棘，发奋蹈厉

4、以您这些年的从业经验看来，解决API安全问题的重点和难点在哪里？星阑科技为解决这些问题做出了哪些努力？

王郁：API安全问题的成因很多，比如：作为新事物的API的漏洞/威胁尚不被熟悉；API生态的多方性导致安全责任分配不清，无人管理；边界消失，脱离原有网络区域划分；数量庞大、管理体系缺失导致访问控制失效/影子API等等。现在几乎所有企业都在进行数字化，API作为万物互联时代数据流动的载体，属于横跨各个架构与应用的“IT基础设施”，所以从安全管理的维度，需要做好API全生命周期的安全防护，在设计、开发、测试、运行、下线阶段都做好对应的安全措施。

在这个过程中主要的难点在于帮助企业解决资产可视、链路可视、权限管控这些问题。比如关于权限问题，因为现在API不止对公司内部产生价值，对外部也有很大的价值，包括B2C的各种手机APP，B2B的比如风控业务、Openbanking等，所以如何帮助企业明确权限开放了多少，开放给了谁，这些只是其中一部分难点。

同时，在现有API生态下，做好API安全，需要具备兼容多种云基础设施的API资产梳理能力；传统基于流量分析的资产识别方式在云环境收效甚微，甚至我们难以找到一个“核心交换”节点来捕获所有业务的流量。为完整捕获API通信、识别API资产，应针对目前云环境各种基础设施（如：VM、容器、微服务、SaaS服务、云平台等）并以不同方式采集流量，持续性、自动化捕获未纳入安全管理视野的API，针对API行为、访问者行为、访问拓扑等多维度对API行为进行智能建模，充分了解内部API运行状态。

此外，面对通过API敏感数据爬取、越权、薅羊毛、扫号的场景，需要建立以数据分析为主的技术手段。风控与漏洞攻防的差异在于，漏洞防御可以基于流量侧单包报文特征，而风控需要采集行为数据并应用「智能化」的算法解决方案。在API安全场景中，需要解决好「智能」与「性能」的冲突，或者说计算成本和安全效果之间的冲突。在API高并发量、毫秒级延时的要求下，复杂算法难以直接串行落地，业务场景中可以采用旁路计算、多层流量过滤机制、模型策略配置、设备联动来解。

目前，我们服务的客户中绝大部分都处理过API安全事件。首先，我们会帮助客户明确自己要保护哪些API资产，建设什么样的分析能力，这部分分析能力如何与业务场景相结合，从而制定相应的战略规划；然后针对API的全生命周期提供高效的安全分析工具，解决API入侵、API数据泄露和行为风控等问题。

5、作为新锐的网安公司，您觉得星阑科技相比其他同类型的公司优势在哪里？

王郁：优势方面，首先是产品的价值和实用性。我们在做产品前就做了很多的调研和案例分析，在此基础上规划和完善我们的产品。包括我们曾在多个客户的大型云场景上，实现异构化API基础设施的通信接入能力，汇总镜像探针流量、网关探针流量、容器东西向流量形成统一的API通信拓扑视图和动态台账，从而能够为风险管控与数据管控提供统一化的新视角。另外，结合一些客户的业务安全/内部审计场景，我们也实现了API访问的Session级行为追踪，呈现每一个会话的访问模式，并能够通过策略配置识别各类业务异常，来保证业务安全。在分析能力方面，我们实现了一个非常强大的数据平台，对数据实体识别、威胁特征识别、行为模式识别都能够让用户进行灵活的自定义策略配置和灰度启停，从而去满足各个数据安全场景、威胁检测场景、行为分析场景上的业务差异性和异构的问题。

另外，我们在产品的战略路径上，主要采用纵向路径，即以分层思想会降低软件冗余，在同一套流量采集逻辑下转化多场景的安全价值；从甲方视角来看，这样可以降低不必要的成本。我们的产品形态模式是：中台+多场景转化，与业务应用场景深度结合，真正意义上的从引擎、到中台、再到场景，形成“全链条”闭环安全，实现数字化链条的打通和融合。

6、您刚才讲到贵司产品上的特点，让人印象非常深刻，那么团队组建上您有什么想法？您会选择什么样的人员来加入星阑的团队呢？

王郁：对于我们现有的团队，我还是很自豪的。以技术团队为例，很多同事来自于阿里、字节、明略、滴滴的核心安全和研发岗位，具备非常好的安全产品化能力，一些同事之前做的就是海量数据下的高性能分析平台，这部分工程经验也对我们的产品力起到了非常好的支持。

在团队组建方面，除了要求非常良好的专业技能外，也会要求大家具备激情、有责任感、能够不断变革&自驱并且面对难题和对手敢于挑战，永不服输……这样的一群充满活力、特色、有趣的小伙伴，相信我们可以一起并肩走得很远。

萤火之光，遂成燎原

7、想要继续在API安全防护领域长足发展，有哪些必须注意的事项？

王郁：我认为由于API领域的开放性和异构性，想要继续在API安全防护领域长足发展首先需要注意的是，要有变通的能力，不断摸索和创新。随着时间的变换，市场和客户的需求也会随之变化，你的产品不可能一次性满足所有客户的需求，这就需要我们在这个过程中，只有不断的吸取高价值场景，进行创新和迭代，在现有的基础上不断向前迈进，使我们的产品不断适应客户和市场的需求。

其次，无论是API的安全还是企业数据资产的安全，都不是仅仅依靠任何一个单一的产品就能彻底解决所有问题的，市场上也没有能够一劳永逸的产品。攻防对抗是漫长的一个过程，有独特的价值和独特的方式，将多种在逻辑关系上关联的安全产品形成互补增益，才是我们需要做的。

8、除了专注服务客户与产品迭代，星阑在其他方面还有行动吗？

王郁：在客户和产品工作之外，我们也非常希望能够为行业发展贡献自己的一些力量。今年我们在工信部的指导下协同多个高校和企业共同编制了《数据传输安全白皮书》，以促进产业的高质量发展，为行业提供规范指引；也在中国信通院的指导下联合业内专家共同编写了《云原生安全能力要求第一部分：API安全治理》标准；还与一些权威机构合作发表了国内首个API安全报告白皮书，从讲述了API作为数字时代基础设施的重要性，并从其面临的风险、自身复杂度和实际应用情况描述了API安全，介绍了国内外最佳实践者和API安全参考框架。

在技术方面，我们的Portal Lab实验室开放了API漏洞Fuzz工具Scalpel，以及自动化安全工作台QingTing，希望能够帮助大家在API漏洞检测和安全流程处理上提供一些能力。

我们希望给这个行业带来的不仅仅是一些安全产品，还有一些认知积累和赋能，为API安全提供更多的参考，丰富和充盈这个赛道，从而促进网络安全更好地发展。

9、您对自己以及星阑的未来有什么规划吗？

王郁：当下，我们会以追求极致的心态来持续迭代打磨产品，希望通过我们的安全技术及产品创新研究，以及对更多业务模式的理解，向更多行业的客户提供更好的API安全方案，获得更广泛的解决方案适配度和更快速的业绩增长。

此后，我们也将站在API这个通信和数据的汇聚点和交叉点上，扩展新应用场景，转化更多价值，做更多破界和有想象力的事情，解决各类技术上的难题，守护数字世界的每一次网络调用，成为不断破界、具备世界影响力的顶级安全科技公司。这就是我们想做的事情，希望我们不断实现更高的追求。作为新时代的年轻网安人，我们会更加努力，在行业中探索更多的可能性，让世界看到中国年轻创业公司的风采，看到中国网络安全的新兴力量。

青年之势，百年之变! 我们总说在合适的年龄做合适的事，但却总有那么一些人，想用他们的故事去定义什么叫合适的事。他们在他们不成熟的年龄，在他们应当享受美好大学时光的时候，做了最酷的事情，选择用创业这种方式去追寻自己的梦想、去度过自己的青春岁月。就像王郁在采访中说的：“能和一群志同道的年轻人，为热爱和梦想而‘躁动’，真好”。