中共中央、国务院印发了《数字中国建设整体布局规划》，提出要做强做优做大数字经济。“加强数字中国建设整体布局”是政府工作报告在提到数字经济发展的第一要点。运营商作为数字中国建设的主力军，一直处在数字化建设的最前沿。运营商海量数据具备高价值，是数字经济发展的核心。

依赖于API的数字经济，API置身其中，让资源之间形成更强的连接和互动关系，进行跨界加速融合创新，释放原有资产的价值，提升组织的服务能力。API在推动数字化转型的步伐的过程中，衍生出丰富的 API生态系统，与此同时API的安全问题也随之而来。星阑科技一直致力于帮助企业建立API全生命周期安全防护，保护所有应用程序和基础架构中的核心API。

关键挑战：

在数字化时代，API已经作为数据服务和功能接口广泛应用，由于不安全的 API 通过扩展应用程序的表面而减缓了创新，因此企业需要通过特定的方法和策略来保护API 的安全。

1.由于技术变革导致 API 数量大量增长，导致API资产梳理难。

2.API承载了应用各组件间数据的流动，成为数据交互最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象。

3.新旧业务和新旧架构并存，API体系复杂，业务部门可能在不同的本地或云环境中运行API可能会分散在许多位置，变得难以跟踪。

4.存在于容器、微服务架构的API，数量大、迭代快、生命周期长短不一，基于业务场景往往只能存活数秒或数分钟。

5.API 安全对于保护整个云原生环境的安全性至关重要，微服务间必然会使用大量 API 进行交互，这些 API 可能产生于 FaaS 函数、容器应用、Pod 等载体中。

6.数据信息需要通过API在企业与用户、企业与企业之间多方流通交互。存在过多爬取敏感数据，异常调用数据的情况。

项目介绍：

在国家标准层面，我国多部现行及制定中的国家标准针对API安全提出了安全要求。通信行业针对特定API 类型、API 应用场景等制定了一系列标准，细化了API 相关安全要求与规范。其中YD/T 2807.4-2015《云资源管理技术要求第4 部分：接口》对涉及的接口类型进行了梳理，规定了云资源管理平台及分平台间接口的技术要求。YD/T 3217-2017《基于表述性状态转移（REST）技术的业务能力开放应用程序接口（API）视频共享》则针对基于REST 技术的视频共享能力开放API进行了规范等。

鉴于运营商业务面临的安全问题，以及国家针对API提出的具体安全要求，星阑科技分析梳理了API技术面临的内、外部安全风险，针对事前、事中、事后不同阶段的安全需求差异，从API安安全管理、防护手段、风险管控等多角度为企业实现高效、灵活的API安全解决方案。

星阑萤火：

星阑科技“萤火”通过采集整个应用程序的API流量，并利用AI/ML来发现所有API及其暴露的数据，基于星阑科技实验室安全专家积累的漏洞分析、应急响应能力，为运营商提供实时、准确的威胁检测与防护方案，阻断正在发生的攻击事件。此外，由于API的数据传输属性，星阑科技提供符合国家多部现行及制定中的针对API安全的标准与规范，在细分标准的敏感数据实体识别与分类分级能力上，针对API恶意攻击事件、数据泄露事件、撞库攻击进行实时告警，使运营商能够从容应对漏洞攻击、黑客入侵、数据泄露以及账号滥用风险。

核心场景：

·全域API资产梳理

通过全流量分析、多维度的有效数据采集和智能分析能力，实时监控流量中全部API接口的安全态势、漏洞风险、数据暴露风险和业务风险等，让管理员可以清楚的感知全业务域有多少API、是否安全、哪里不安全、具体薄弱点、攻击入口点等，围绕攻击链（kill-chain）来形成一套基于“事前检查、事中分析、事后检测”的安全能力，看清全网API威胁，从而辅助决策。

·API 身份认证实时监控

加强 API 身份认证实时监控能力，对异常登录、调用行为进行分析，发现恶意行为及时告警。实时监控接口运行中的单因素认证、弱密码、密码明文传输等脆弱性问题，建立账号登录行为画像，形成用户常规登录特征基线，对不同 IP 登录、连续认证失败、境外 IP 访问等敏感操作进行监测分析，发现账号共享、借用、兼任等违规行为及时对相关账号操作及时告警，避免安全事件的发生或扩大。

·智能分析能力，应对API未知威胁

随着黑客的技术发展以及变种、爬虫与反风控技术的不断改进，传统安全设备的静态规则防御手段已经捉襟见肘，依靠规则无法防御API爬虫、API数据泄露等未知威胁。星阑科技萤火API安全分析平台具备智能分析技术，利用机器学习、关联分析、UEBA、隐私识别等新数据分析模型，能够学习每一个API的历史行为模式，并针对异常行为序列进行告警，充分检测数据泄露、异常访问、越权攻击、账号滥用行为。模型通过数据输入进行不断的自我迭代，使效果能够越来越贴近业务模式，降低误报漏报发生的概率。

·API 数据流向监控

建立 API 数据流量监测机制，实时监控数据流向，加强数据流向监控能力建设。通过分析访问和被访问 IP 的局域、地域或法域，实现对数据流向的实时监控，防范数据接收方非法出售或滥用个人信息风险，发现相关违法违规事件及时告警 API 接入，为后续溯源调查积极存证。此外，企业应对境外 IP 访问内网 API 或者内部 IP 访问境外 API 的情况重点关注、及时预警，确保敏感数据出境活动合法合规。

客户寄语：

在我们快速变化的数字化转型世界中，API优先战略已成为一个重要的发展趋势。随着企业逐渐认识到API在提高系统互操作性和业务扩展能力方面所具有的巋然价值，越来越多的组织正在将其作为关键优先事项。

安全领域也在迅速地向API转移。如今，越来越多的安全解决方案都利用API来提供更强大的功能和更广泛的集成能力。这种转变意味着企业需要重新审视安全策略，确保在这个日益依赖API的时代能够有效地防护网络攻击、数据泄露等安全风险。

星阑科技正是站在企业安全战略的前沿，帮助我们在数字化转型过程中加强API安全。借助于星阑科技先进的技术和专业团队，不仅可以确保API的安全性和合规性，还可以为内部开发团队提供强大的工具，从而降低开发成本、缩短业务迭代时间，以及确保业务持续增长。

总结：

全球企业在积极采用数字化优先战略,将数字化转型带到了一个不同的层次，运营商通过促进一个开放的环境去支持最终用户。包含运营商自己开发的业务，第三方的业务，以及原企业市场的客户，为了实现高效、低成本、高可扩展的“共享”必须要求新旧架构之间基于简单、标准化的接口进行互通，API则成为了各层次之间沟通的关键手段。

云原生时代已经到来，API成为服务交付的必选，API遭遇的安全困局成了数据安全面临的一个共性关键问题。

未来，API在数字化转型中扮演的角色愈发重要，亟需有效的解决方案对开放共享的数据核心资产提供保护。星阑科技将一如既往地关注API安全领域，并针对市场和客户需求，不断优化和升级现有产品与服务，在API安全领域实现更大的发展和进步。