随着企业数字化转型的加深，大量企业能力以接口或SaaS化的API服务方式与第三方厂商集成，大量企业数据通过APl进行传输，API在给企业数字化转型带来便利的同时，安全问题也成为了焦点。在直播中，星阑科技CTO徐越与Eolink CEO刘昊臻，结合实践案例就当前企业API安全所面临的挑战、如何保障企业的API安全、API安全全生命周期防护体系所包含的内容及星阑科技API安全产品等话题进行了相关探讨。

关于企业在API安全建设中的难点问题，徐越表示：通过我们对客户的分析和了解中发现，企业API安全建设过程中会出现资产理不清、攻击看不见、数据管不住这三大难点问题，而传统的安全产品比如IDS，WAF关注漏洞，而API的攻防关注数据和业务，所以企业需要针对性建设系统化的防护方案。

在直播过程中，徐越提到：从攻击面上讲，API面临的攻击面包括越权、敏感数据暴露、代码漏洞、API基础设施漏洞、错误配置、业务逻辑缺陷等，攻击造成的后果将导致资产失陷或数据泄露。针对企业面临的API威胁，应采用API全生命周期安全防护体系来应对，即通过对API通信行为的采集、监控、分析等手段，通过资产梳理、风险监测、敏感数据分级分类的方式，快速搭建企业的API安全能力，最终围绕API的设计、开发、测试、运行、下线等不同阶段建立API全生命周期安全管理方案。为辅助企业落实API数据安全监管、API攻击防护效果，更好地做好API全生命周期安全建设，星阑科技研发出“萤火”API安全平台，为企业提供API资产梳理、API威胁检测、API数据管理能力，缓解企业的API风险。

徐越表示：“萤火”API安全平台基于实时大数据中台对流量进行数据建模，可以识别出API通信协议并对同类的API进行自动聚合分析，生成API的行为画像并对异常行为如API爬虫、API异常访问、API敏感数据泄露进行告警。此外，基于安全攻防实验室的长期漏洞积累，团队持续跟踪行业内的漏洞情报并在第一时间进行分析研判，目前系统内部集成了Web API漏洞、中间件API漏洞与API协议攻击方式上百种，全面覆盖API后端应用漏洞攻击风险。在架构方面，该产品充分适配传统IT架构及云原生容器化、微服务架构，以应对数字化转型过程中云端分布式架构的API风险，全面提升企业API安全水平。

面向未来，加强网络安全依然任重道远。星阑科技将继续凝心聚力，不忘初心，在技术创新、人才培养、生态合作等方面持续加大投入力度，在不断增强“内功”的同时，为国家网络安全产业高质量发展贡献自己的力量。