【猎云网（微信：ilieyun）北京】7月7日报道（文/林京）

API攻击过去12个月增加了7倍，影响了95％的组织，Salt Labs发布的2022年第一季度API安全状况报告数据，受到广泛关注。

研究还表明，大多数企业没有准备好应对这些挑战，超过三分之一（34%）没有API安全策略。同样，传统的安全措施继续失败，给组织一种虚假的安全感。

随着云计算、移动互联网、物联网的蓬勃发展，企业拥有庞杂的API资产，起到连接服务和传输数据作用的API，成为黑客们攻击的重点对象。

企业因API而导致大量数据泄露的事件屡见不鲜。因为API安全漏洞遭到黑客攻击，Facebook2.67亿个用户的隐私数据被非法售卖，Parler1000万用户超过60TB的数据、Clubhouse的130万条用户记录也相继遭泄露。

成立于2017年的永安在线，是提供API安全管理标准化服务的企业之一，团队核心成员均来自于腾讯安全团队，拥有十余年的安全攻防经验。目前已签约腾讯、字节、百度、泰康保险、华泰证券等上百家头部客户，连续多年续签率超过90%。

永安在线创始人毕裕认为，近两年，企业对API安全管理重视程度日益提升，明年将是API安全产品商业变现的大年，也是在头部金融客户高渗透率的一个关键节点。国内API安全管理成熟度还有待进一步提升，企业可以做的事情还有很多。

业务情报领域的先行者

在腾讯积累了几年的安全攻防经验之后，毕裕决定创业。

创业的种子很早便在他心中埋下。毕裕拥有旺盛的好奇心，小时候他对太空非常着迷，房间里摆满了各式各样的国际空间站和卫星的模型。后来，在日常看电脑报和计算机杂志过程中，他开始痴迷计算机科学。

上学期间，毕裕无意中读到一本名为《清华制造》的书籍，讲述了一群清华毕业生在中关村创业奋斗的故事，那份热血始终驱动着他。

大学毕业后，毕裕南下深圳工作，肥沃的科技土壤，进一步打开他的想象空间。他曾先后担任腾讯业务安全情报团队负责人、猎豹移动高级安全技术经理，并为tiktok的前身Musical.ly以及早期B站做过安全咨询。

在业务情报领域，永安在线是先行者。这源于在腾讯给企业做咨询时，毕裕很早便发现了这一市场需求——随着企业快速发展，IT架构的变化，上层应用之间的交互也变得复杂，企业业务中滋生安全问题，如数据泄露、骚扰诈骗等多发。

诸如杀毒软件、防火墙等产品能够满足企业的基础安全需求，但他们急需一套标准化的产品去解决业务欺诈等难题。

从腾讯辞职之后，毕裕曾在猎豹移动有过两年工作经历，了解到很多海外安全攻防的发展。这位“前东家”也成为毕裕的天使投资人。

“更多还是老领导认可”，毕裕说，刚创业他并没有太多融资经验，双方的默契，让永安在线很顺利地获得第一笔融资。

毕裕跟猎豹创始人傅盛也会定期有一些交流。“作为技术管理出身的创业者，如何去成为一名合格的企业家。”傅盛的这句提醒给毕裕留下深刻印象，他坦言，角色转换是一个巨大的挑战。

创业之后，毕裕最大的变化是学会“慢下来”。“做技术管理者时候，你会盯着具体问题、具体事情，会很急，会期望每个人都有高效率的执行力。但现在，你需要去关注公司的运营和战略节奏。”

在团队组建上，永安在线的核心团队成员均来自于腾讯安全团队，通过标准化的情报体系，在云端的特征库直接对病毒木马团伙进行监控和识别，永安在线与腾讯、百度和字节跳动等几乎市面所有的头部互联网企业都达成合作。

永安在线还成立了一个黑灰产研究团队“鬼谷实验室”，负责发布黑灰产研究报告，对黑灰产的攻击方式以及风险进行评估分析。

作为情报业务的先行者，永安在线在业内也有过诸多首创，先后推出业内首个业务情报搜索引擎，发布首个业务安全蓝军测评标准。

在产品成熟度不断提升之后，从2018年开始，永安在线的客户除了互联网公司，还新增了金融机构和政府。永安在线的业务分为不同的模块，例如反欺诈情报监测平台、手机号风险画像、风险IP画像、银行卡风险画像等。

截至目前，永安在线已经签约包括腾讯、泰康保险、华泰证券、百度和字节跳动在内的300余家企业，连续多年续签率超过90%。

创投圈盯上API安全管理

随着每日数亿的情报运营能力及实时更新能力，2021年，永安将API安全作为主要方向，为企业提供API资产梳理、敏感数据管理、API风险感知、API安全缺陷评估等服务。

毕裕说，过往永安在线能力尚不足以搭建一个全面的标准化产品，只能按不同模块卖出去，但现在可以将其整合在一起交付给客户。

以永安在线服务某头部保险企业为例，随着庞杂的业务不断发展迭代，企业对于API资产情况不甚了解，很多企业并不清楚自己有多少个API，也不知道API处于什么状态，在面临黑客攻击时，企业会非常被动。

永安在线首先会帮助企业迅速梳理出一个动态的API架构情况，帮助企业实时感知到API具体情况。然后基于情报能力，在API架构上面去做风险识别，帮助企业甄别哪些API正在被攻击。据毕裕介绍，永安在线API识别的平均精准度为97.8%，远高于市面平均水平。

毕裕说，希望企业API架构上面的安全，不再是一个“裸奔”的状态，企业可以非常清晰、量化地知道自己的安全风险。

近两年，毕裕也明显感知到API供需两端的变化。“最开始服务客户时，他们会有质疑，甚至有一些声音认为，这就是你们这帮乙方造出的词，这东西根本就不重要。”

API处于数字化体验的中心，APP、Web和应用程序核心功能、云体系与微服务架构等等，均离不开API的支持，据Akamai统计，在企业应用通信数据中，API通信流量占比83%，预计2024年API访问量将达到42万亿次。

一方面，随着国内外企业因为API而导致的用户数据泄露频发，公众开始认识到API管理的重要性。Imperva通过对近117000起特定的网络安全事件分析估计发现，API安全威胁每年导致410-750亿美元的损失，大型企业发生API相关安全事件的比例更高，收入至少为1000亿美元的企业遇到API安全问题的可能性是中小型企业的3-4倍。

另一方面，360、奇安信、深信服和绿盟等安全厂商也纷纷加码API安全管理。资本的关注度也进一步提升。

API赛道正成为炙手可热的赛道。Gartner也曾预测，到2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。

尤其是去年，全球最大的API企业Postman以56亿美元的估值完成了2.25亿美元的D轮融资，点燃了创投圈对API的热情，一批API赛道的企业密集获得融资，包括红杉、高瓴资本在内的明星投资机构纷纷入局。

2021年以来，中国API行业出现了密集的投融资事件。2021年10月API管理平台Eolinker获得数千万元Pre-A轮融资，由红杉中国种子基金独家投资；11月，星阑科技完成由苹果资本领投、国君景泰跟投的过亿元人民币Pre-A+轮融资；12月，API研发协同一体化平台厂商ApiPost获高瓴创投数千万元Pre-A轮融资；

今年2月底，永安在线也完成数千万元新一轮融资，由金沙江创投独家投资，计划用于加大企业人才梯队建设的投入，加大API安全产品研发投入，并持续深耕业务安全相关产品及应用，丰富产品体系，扩展行业市场覆盖范围。

值得注意的是，此轮融资也是永安在线继去年11月A+轮之后的又一轮融资。今年6月，永安在线入选深圳市2021年度“专精特新”企业名单。

就毕裕观察来看，企业从技术层面的认可，到采购预算机制的健全，都发生明显变化。

他相信，明年企业的API安全管理需求会更加明确和坚决，明年也会是API安全产品在头部金融客户高渗透率的一个关键节点。“明年的渗透率会翻倍，甚至是两倍以上。如果今年认为渗透率只有3%的话，我认为可能明年会超过10%的渗透率。”

深耕产品基因，提供标准化服务

作为一支产品基因能力深厚的团队，毕裕一直坚持的底层创业逻辑是在细分的关键点上做长期投入，最终在某些点上，能够为企业提供价值超过五倍以上的优势产品，最终在市场上形成差异化竞争力。

随着API赛道入局者变多，尤其是许多企业会提供一整套数据安全的解决方案，把API安全定位成其中一个模块，对部分客户来说，非常有吸引力。

作为一家初创企业，毕裕说，永安在线坚持垂直和专业，通过不断打磨产品，构筑起一个足够扎实的竞争壁垒。

永安在线为企业提供的是一套API安全管理标准化解决方案，重点在“标准”二字，这是其差异化竞争力。比如，市面上很多基于规则引擎的产品，API扩展和整体灵活性便是它们的弱点。

毕裕做了一个比喻，就像杀毒软件便是一个标准化的产品，每个人用杀毒软件目的相同，但杀毒软件解决的问题并不是标准化的，因为每一个病毒都不一样，核心是通过病毒的特征库、情报库，来实现标准化的木马和病毒检测。

因此，病毒库的能力构建，是安全软件产品想要去实现标准化的一个必要要素。以此类比，API安全管理的标准化，便考验着企业如何在云端构建识别引擎，也即情报能力。

虽然API安全管理近两年声量渐长，但毕裕认为，欧美在整个API架构的成熟度是远超在国内的，在API全生命周期管理里，像IBM、谷歌和微软等在内的巨头企业已经入局。其中，IBM是面向于超头部企业提供API的全生命周期管理，Postman则是面向于中小“长尾”客户。

永安在线目前则是更像前者，主要面向大客户提供标准化的API安全管理方案。“国内API安全管理市场前景非常广阔，企业可以做的事情还有很多。”毕裕说。