「解密企业」如何保护云原生下的API安全？原创

云安全中心基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一件，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手可得，安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。

你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。

你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。你在云上总共有哪些资产？核心资产是否加固？被遗忘在角落的影子资产可能是攻击者的突破口。在云安全中心，基于三道防线，快捷搭建你的云上安全体系，一键开启防护的时代已经到来，只需一键，就能一站式对云上业务进行360度安全体检。发现云上所有风险与告警端口漏洞暴露与强度较弱的密码是最常见的两类风险，他们导致了云上90%以上的安全问题，而告警意味着实际发生的攻击行为，有些甚至已经产生了财产损失。在云安全中心，你可以在一个页面一键处置所有风险与告警，随时随地触手。

可得安全在身边，全新腾讯云安全中心，一键搞定安全的新时代。尊敬的线上嘉宾，大家晚上好。欢迎来到原引擎余原生安全实战加速仓第三期的直播间。啊解密企业如何保护人生下的API安全？我是今天的主持人啊，CSDN的技术专家胡碧。呃，API发展十分迅速啊，但相关的安全措施并没有明显的更新，随着API安全的潘多拉被逐步的打开啊，API生产力的发展以及API的安全需求之间形成了主要的矛盾。

在传统的，在传统的网络架构中。啊，内外网一般有着明确的网络边界啊，安全防护都会集中在网络边界上，主要防护进出内网的南北向的流量啊，对于集群内部的API调用行为无法做到有效的防护，在原生的环境下存在着大量的服务之间的调用，这时候啊内部服务的API调用的安全风险就不得不考虑了。同时啊，在原生的环境中，内外网边界逐渐的模糊，更多的API会暴露在云上啊，随着API暴露面的增加，API攻击，API被攻击的风险也大大的增加。啊，传统的南北向的边界流量的防护体系，在原生的环境下啊，就显得有点力不从心了。

啊，本期直播啊，针对于人员生环境下的PI数据安全问题，我们邀请了腾讯资深的专家带来人员生环境下的API数据安全的解决方案和实操演练。首先啊给大家隆重的介绍一下今天线上分享的两位重量级的嘉宾，他们分别是啊腾讯安全的高级产品经理李宝新老师。以及腾讯安全高级产品经理赵思雨老师啊，非常感谢两位嘉宾的光临。在两位大咖演讲开始之前啊，提醒大家，在演讲中间我们为大家准备了丰厚的礼品啊，我们将在踊跃参与我们互动的用户中选出20位的旭日观众啊，欢迎大家积极的参与我们的互动。我身后的背景板上啊，有我们此次活动的微信群二维码，欢迎大家直接扫码进群啊，参与啊，我们之后的这么一个互动的环节。

好的啊，我们首先有请腾讯安全高级产品经理李宝新老师为我们介绍API数据安全的风险趋势以及防护思啊，有请李宝新老师。嗯，好的，呃，我这边共享一下我的PPT。

嗯，好，呃，大家好，我是腾讯安全负责生安全产品这块的一些呃产品销李宝兴，很高兴跟大家能够呃在今天交流一下关于API安全相关的一些话题，我们知道安全其实一直是一个攻防对抗的过程，那在这个对抗的过程中呢，攻击的技术，攻击的手段，还有攻击的一个方向都在不断的变化升级。那对于近期的话，其实API安全啊，就是这样一个不断升级之后，每个企业。都在关心的一个话题啊，很多的我们的一些安全公众号，包括一些安全的一些相关的一些呃网站都在不断的报道很多这个关于API全方面一些事件啊，是安全事件新闻的一些头版头条，那对API风险的多，企业也不敢轻视啊，尤其是呃，因为API引发的一些数据安全的风险的一些问，呃，数据安全的一些风险。

啊啊，导致的一些数据泄露啊，数据被扒了一些这些问题啊，我们也看到层出不穷，所以的话今天的话就简单我这边跟大家交流一下在这方面的一些风险趋势和防护思路。啊，我的内容的话，嗯，这边主要从这个API啊，数据安全的风险啊，相关的一些案例，还有防护的一些思路啊几个方面进行讲解啊，后面的话我们还会有，呃，其他同事啊，会从啊更加落地的一些产品方案和策略方面啊，给大家带来一些内容分享。啊，第一个是关于API数全的一些风险啊，我们知道近来的话，互联网行其实在蓬勃发展，业务类型也逐步有这种网页时代啊，步入到了APP小程序时代，那随着步入了APP小程序时代后啊，云原生微服务，还有低代码这些新的技术啊，也不断的在应用啊，同时的话也打破了我们传统的it治理架构，那API呢，逐渐的成为了各类终端的用和应用之间的交互通道啊，比如对于我们一个企业而言，我们有很多业业务系统是面向用户或者是面向员工啊，面向合作伙伴，包括一些面向一些外包同事的一些各类应用系统，然后这些应用系统的话，可能是APP，也可能是小程序，或者是外部网站，以及一些it的一些物联网平台，那这些业务系统啊，以及各类终端的应用，它其实的话都。

呃，是需要通过这个API，我们后台的一些业务系统啊，内部的系统，内部的一些平台进行打通的啊，进行一个呃交互，互相的一个交流，那这样一个趋势的话，其实。

就势必会导致整个API的数量啊，它是在一直在增长，一直在激增，同时的话，它所承载的功能也是在更加的一个复在现代，呃，在现代的整个应用程序中的架构中呢，其实是在API的话，发挥着一个越来越重要的一个作用，那与此同时的话，随着这个移动端业务的快速迭代，那整个API的呃，威胁暴露面也在大量的增加。像这个O，他对API安全的一个描述中呢，也提到了，说这个API呢，其实会暴露应用程序的一些逻辑和个人身份的一些信息啊等敏感信息等敏感数据。所以对一个我们企业而言的话，必须要首先要保证这个A，我们。产品的一个快速迭代，那其实从呃，从整个数据的方向的话，我们去看一下，就整个API，它当前的风险趋势究竟是怎么样的，这里的话，我们是从这个self security啊，它的一些最新的报告中啊做了一些分析，那像这个security呢，它是一家专门的呃做API安全的公司啊，由他们的实验室每年发布的这个API安全状况报告啊，也是我们业内唯一一份关于API安全风险，呃挑战和策略啊这方面的一些报告。

那根据这个实验室2022年三季度发布的API安全状况报告的话啊，我们发现在过去的一年啊，API的数量，API的调用量，以及他的攻击的流量啊，都在快速的增长啊，通过对这个平台的SaaS平台上托管的一些呃客户API原数据的调查结果，以及相关的一些经验数据的话，给我们提供了很多的发现啊，第一个就是关于在A的数量方面，目前的话，企业在API的呃程序开发的整个流程其实是相对而言比较成熟的，那逐步的采用了呃API去解决各种。

各样的一些呃，新的产品功能啊，以及呃，新的一些业务的系统啊，啊，包括一些关键的一些呃业务问题，那所以的话，整个的API其实他是在一个前所未有的一个水平进行一个创新，那在2021年七份的话，根据调查，每名客户啊，大概有89个API，但是的话，到了2022年7月啊，经过一年的这个增长，然后这个数字已经变成了162个，同比增长了82%，那整个的API的使用量说明是在一个爆炸式的一个增长。第二个就是API的调用量啊，也在急剧的增长，从以前的话，每个月大概是4亿7000万次的一个调用，增长到了啊，每个月12.6亿万次的，呃，这样一个调用。

那这样的话，其实整个的API调用量它也增长了将近168%啊，第三个就是这个API的恶意流量，那API的使用在急剧的增长，与此同时对API的一些攻击活动啊，也在同步的增长，那我们看根据整个的监测结果的话，整个目前针对API的攻击流量预计的话能够占到整个。呃，API总流量的一个2.1%，那在过去一年的话，整个恶意API的流量也增长了将近110%以上啊，平均的话就每个月，原来每个月是有大概1200万次的一个恶意调用，恶意攻击，增长到了现在的每个月有啊2600万次这样一个规模，那随着API程序的不断成熟啊，安全相关的问题其实已经越来越成为企业在API建设中啊，首先要关注的一个问题。

这其中的话，其实也经过一些调查啊反馈啊，20%的企业目前认为自己在API的安全投资方面是不足的啊，18%的企业认为他们现在正在运行的一些API，其实是存在一些安全问题，并没有没有得到解决的，那被问题啊，他们所担心的一些安全风险的时候啊，很多企业也给出了呃以下几类一些比较关心的方向，那第一个的话就是一个关于一个呃过时的僵尸的API，因为我们有很多的这个应用，它在快速迭代，有很多新的功能开发的时候，它就会有一些新的API啊被开发出来，那同时的话，一些旧的功能下线的时候，那就会形成这种过时的僵尸的API，但因为没有一些很好的一些措施，那这些呃，旧的，老旧的API就会成为这种僵尸API。

啊，第二个的话就是关于这种未知的引资的API，因为我们知道很多这种业务系统在开发的时候，它会涉及到很多的部门啊，每个部门的话可能会负责不同的功能模块，那每个部门究竟开发了什么样的API啊，开放到互联网上，对于我们安全运营人员的话，其实是不知道的。那这样的话就会形成一些未知的隐子的API，那这些API啊，存在什么样的一些风险啊，存在什么样的一些漏洞，会存在什么样的一些一调用我们也是不清楚的啊，第三个就是这些API上它呃有一些这种叫意外暴露敏感的一些API，因为有些API可能是。并不需要发布到互联网上，它只是内部服务之间的调用。那这像这一类的敏感的话，因为一些。可能管理的不善的一些问题，导致放到互联网上，那这些API的话，它往往会涉及到一些比较呃核心的一些数据，比较敏感的一些数据和信息服务啊，那这一类的话，也是很多企业会担心的一些啊风险，那根据其实整个调查报告的话，我们可以看出啊，第一个就是如何有效管理这些API的资产，以及对整个API的流量的一个实时的分析啊，从而呢，发现一些是否有一些敏感的外发数据啊，那是这些这些是很多企业啊担心的一个首要问题。

那除了呃。除了我们从一个。呃呃从呃，除了从这些调查报告上啊，去分析一个整个API发展趋势的话，我们也从一些相关的一些技术创新的一些角度做了一些分析，那其中一个关键的就是这种云生技术的发展，其实随着企业这个上云趋势的成熟的话，越来越多的企业会把他们一些业务啊，更多的业务去部署在一个公有云的环境中，那这样的话，其实呃，第一就是在云约生的环境下，它其实会有大量的服务之间的一些调用是通过这个API进行的，那内部服务的这些API，呃的一些调用，那是否都是一些正常的调用，还是说可能因为一些漏洞问题，因为一些开放的一些权限问题，被一些黑客存在一些异常的调用，那这一类的安全风险的话，就是需要我们去额外的去重点考虑啊，第二个就是在这个云原生的环境下，因为这个内外网的边界其实是逐步的去模糊了啊，因为有很多随着这种。

呃，系统的上线，一些新功能的上线之后，你因为各种各样功能的需要，可能原来是很多内部的一些功能，它因为需要通过这种API就会发布到互联网上，那导致整个的内外网的边界的模糊啊，这也就导致了其实会有更多的A暴露在云上。

那随着这个暴露面的增加的话，那我们API的这个攻的风险就会大大增加，第三个就是这种传统的叫南北向的这个边界流量的防护体系，其实在整个云镇环境下，它的防护是显得力不从从心的啊，因为我们有很多，呃，不仅是传统的五元组的一个开放，它其实很多是通过应用层的呃，API或者某些接口啊，某些这个。应用层的一些东西去，呃开放，开放到互联网上啊，包括对这些系，对这些应用的攻击的话，它也不再是可能传统的一些漏洞，利用这些行为，可能更多的是通过这种BOO的流量攻击啊，或者是一些恶意的扫描攻击啊，那这些问题啊，这些问题的话，都使得一些云A云API的一些特点更加的突出，那这几个特点的话，第一个就是它的呃呃第一个特点就是快，呃整个云API的话，它的一些迭代，它的更新速度都很快，因为我们很多互联网的应用的话，它的整个的呃，功能的迭代，版本的迭代都会更快一些，那每个新的功能出现的时候，往就会有一些新的API去被开发出来啊，去迭代更新。

第二个就是数量多啊呃接入的形态多，接入的方式也多，这是因为我们现在有很多的这种应用，它其实是会通过各种各样的方式发布到互联网，像这个小程序APP或者是一些呃PC网呃或者是一些外部外部网站，那每一个形态的话都会呃形成一个攻击的一个流量入口啊，那对这个API的呃一个暴露面啊，它的防护的风险会越来越大啊。第三个就是这种纵深的扁平化啊呃，因为我们整个的呃防护的话，它其实有很多应用通过API就会直接的发布到外网的话，那整个的这种纵深的防护体系其实是啊，已经被破坏了啊，整个的防卫边界已经被破坏了，那越来越扁平化的一个架构中的话，那对这种API的防护啊呃，其实是一个，也是一个比较大的一个，呃，挑战特点。

那针对这个云原生API的话，目前目前的整个云原生安全治理其实是一直存在的一个挑战，这里的话主要是第一个就是这种开源软件的应用啊，我们知道在呃。现在的很多互联网的应用的话，它其实对这种开源的一些组件啊依赖是越来越多的，那随着开源软件应用的越来越多的话，随之带来的整个开源软件的漏洞啊也会随之增多，像这种今年大量爆发的这个log for two啊，包括这个就是这些，呃，这些漏洞的话，其实都是今年爆发的一些，呃，开源组建的一些漏洞，并且的话对很多应用的一些安全风险。都造成了比较大的一些威胁。那第二个就是这种多混杂和原生的这种，呃。

环境啊，那云生环境的话，其实它给我们带来便捷的同时的话，也带来了一些环境配置的一些问题，那尤其是在多云混合云的这样一个环境配置的呃情况下，如果存在一些这种环境配置不当啊，就很容易出现一些应用安全的一些风险啊，比如说像这种容器逃逸啊，API配置不当，还有文件流命令执行等这这一类的风险啊，第三个就是这种应用安全的这个逐步左移，我们知道其实现在在现在的整个的安全运营治理过程中的话，逐步的在加入了一些这种开发安全的一些能力啊，使得呃，其实是在一定程度上已经帮我们收敛的很多基础安全的漏洞，但这个的话，其实也就会不可避免的导致一些攻击者，他的一些攻击的视线也逐步的会呃与我们的业务，与我们的数据安全对齐结合。像一些。那针对呃，以前的这种基础安全漏洞的攻击，逐步的话就展现了，针对这种业务逻辑漏洞，还有这种API问题，API安全的一些问题，还有这月钱方面的一些呃攻击向这个方向去转移。

那第四个就是这种多端的接入啊，客户端的一个接入方式，我们涉及到现在更加多变，也就导致了我们同样一个业务其实会有多种客户端同时接入，那这个的话，其实对我们整个云人生环境的话，会造成不同端上的一个防护力度，还有这个处置策略啊不一致的现象，那这个的话也很容易啊，被一些攻击者的话，进行针对性的伪装啊，从而来进行一些攻击啊。第五个的话就是这种逻辑，呃逻辑呃流量攻击的一些增加啊，比如说呃，这块的话，主要针对我们业务流量的一些攻击，像这种CC攻击，还有这种多元低频的CC，还有BOT爬虫啊等，那这一类的话，其实都对整个的安全运营成本啊造成了增加，同时的话，对整个安全运营的规则也需要快速的迭代应对啊，才能很好的应对好这种这种攻击的一些风险，那在这些众多复杂的一些挑战下，一些很多API安全。

事件的发生啊，也就变得不可避免。所以接下来的话是，呃，根据我们从一些具体的例发去分析一下些A带来的一些事件些。那近年来的话，其实因为API缺陷导致这种安全攻击事件是屡见不鲜啊，比如说在2021年的时候啊，美国的一个互动健身平台，他就因为后端的这个API存在一些呃，未授权访问的一些缺陷，导致的话，近300万的个人隐私数据啊，涵盖一些用户的ID，他的一些位置啊，包括用户的体重啊，性别啊，年龄啊等这些非常敏感的个人信息啊，被随意的获取。

啊，另外一个就是在2021年的时候，也是某大型电商平台啊呃，被曝出他们上面的一些商品详情信息的API和信息分享的A发。可以被一些攻击者所利用。进行呢，用户的一些数据，涵盖一些用户的一些数字，ID昵称和。他的一些用户的一些手机号的信息啊，呃被报了呃还呃被扒取了将近11.8亿条这样的一个规模，那更多的话，比如说像这个某分享交流平台啊，他们一些用户查询的API接口啊，被非法调用，导致呃上面的一些用户私人信息也是在一些案网上售卖，好吧，还有就是这个像Facebook他们报出来的业务安全漏洞等，都是跟API呃风险相关的一些几个事件，从这几件其中API数据安全事件的处理结果的话，其实我们不难看出啊，企业这个API一旦受遭受攻击的话，他的一些业务数据，它的一些敏感数据，以及很相关的一些个人信息数据都很容易被泄露，那泄露之后的话，其实它会造成呃几个非常严重的后果啊，比如说我们一些用户的敏感数据泄露，很有可能被一些不法分子所利用啊，进行一个诈骗。

他对企业的话，就是这种高额营收的一些损失，因为我们这些不管是老用户，可能新用户都会因为这些个人数据的一些泄露，造成对他的一些疑虑啊，不再进行一些付费啊，包括这个品牌的生誉受损等严重后果，那其实这些事件我们具体的利用过程的话，我们可以呃具体的来分析一下这个啊推的事件，来来进一步详细的呃说明一下啊推的话其实是在2022年七暂啊网络犯罪分子的话，在这个黑客论坛上啊，报出了要以以可以以这个3万美元的一个价格出售推的数据库，这里面的话，其实涉及到了呃540万呃条这个用户的一些数据。

嗯，其中就也包括了很多名人和公司的一些用户数据，后来经推特证实的话，整个数据泄露其实是由网络犯罪分子利用这个推特在2021年12月份披露的一个呃，API漏洞所造成的，那么这个攻击者是如何利用啊推特的API漏洞去窃取用户的数据的呢？啊，这里面的话就提到了一个，这个针对API漏洞用的一个法号，呃，法号的一些攻击窃取用户信息的一个行为。那总的来说的话，他这个推的漏洞API漏洞的话，其实是呃，允许任何一方啊，在没有任何认证的情况下，通过提交这个电电话号码或者是电子邮件就可以，呃，就可以获得任意用户的一个推的一个ID，从而的话使得攻击者可以利用这个漏洞啊进行这个大规模的扫号攻击。

啊，那攻击者的话，像这个推特的API接口，提交了他之前的一些已经收集好了一些手机号，或者是电子邮呃邮件，那这些的话，可能就是比如说我们刚才提到的同呃一些那个大型啊商场平台，电子商商务平台上面的他的一些接口啊，被盗取下来的一些手机号，那单独的手机号的话，可能还没办法定位啊说这是一个什么样的一些用户，但是的话，通过结合这个推特的API接口，那提交这个手机号之后。那API接口的话，就会根据啊提交的信息啊，去快速的匹配一些啊去提呃，快速的匹配匹配一些结果啊给他一些提示，由此的话，其实攻击者的话就可以判断出。呃，这个账号他是否已经注册啊，然后的话，并并且的话，呃，如果是已经注册的账户，那这些账户信息的话，就可以拿来快速的匹配他的一些账户的ID啊，通过账户ID啊，攻击者就可以直接获取用户与Twitter啊账户绑定的一些个人资料信息啊，包括他的一些名称啊，他的未知信息啊，他的一些兴趣爱好，甚至是一些社会身份啊，并且的话，结合这个大数据分析，就可以给他输出一些比较完整的这个推特，用户账号的一些精准画像。

从而的话就可以实施对这些用户实施一个精准的诈骗。那这一类社交平台大规模的数据泄露之后，数百万的一些用户私密信息被一些不法利用。不法分子一旦利用。那这个风险其实是呃不可小觑的，那这一类的案例攻击的话，其实还有很多啊，比如说啊，像这个某某银行啊，爆发了他们的信用卡在线业务，卡进度一些查询的一些业务，那里也是里面相关的一些API接口，只需要传入一些任意的身份证号啊，不需要经过一些身份的认证啊，就可以查询到一个对应身份人，他呃是否有在该银行办理一些信用卡，以及他的一些申办信用卡的一些申请的时间啊，他的状态产品等用户信息。

那犯罪分子的话，其实根据这些信息啊，就可以包装出更加真实的诈骗场景和话术，从而呢，对我这些用户进行一个精准的诈骗，那受害者的话，其实因为这些更加真实的一些话术，一些信息，往往会更容易上当受骗，那这些案例的话，其实他并没有直接泄露用户手机号，但是的话，其实很多黑产啊，会把这些信息以及根据其他其他平台获得的一些手机号进行相关的一些结合，就会形成一个完整的用户画像啊，从而呢对我们的用户进行一个。呃，进行一些相关的一些诈骗，那其实这一类的话，像这个造成信呃数据信息泄露之后，对企业对个人其实都会造成很大的一些困扰，根据这个中国呃互联网络信息中心啊发布的一个中国互联网络呃发展状况统计报告里面显示的话，其实截止2021年12月，已经有将近22.1%的网民，也就超过了两一的网民，他都遭受了一个个人信息的泄露，那个人信息泄露之后，那个人用户往往会遭受到一些频繁的电话骚扰啊，甚至是被一些黑产利用个人信息呢，利用这些信息进行一个诈骗带来的呃或者是。

呃，造成一些资金的一些被盗用啊，恶意欺诈的这一类的风险，还有就如果是一些公众人物的话，他可能会受到一些被这些信息被曝光之后，极有可能引发一些人身或财产的一些威胁。

那同样对于企业而言的话，数据泄露也不仅会招致大量的用户投诉啊，还有可能面临一些法律处罚，或者是监管一些处罚啊，严重的话会严重损害的一些企业的经济，还有它的一些品牌的一些声誉，那这里面的话，比如说像在2021年九暂啊实施的数据安全法中啊，里面就提到了，它整个的最高的罚款额度其实会达到这种1000万啊，在2021年11月实施的个人信息保护法中，它里面的最高的罚款额度能达到了5000万，或者是上亿年度年营业额的5%。那这一系列的话，其实呃也给我们说明，从整个法国家法律层面的话，它对一些呃个人信息，对一些敏感数据这方面的一些保护和监管，其实是呃越来越呃加严，呃越来越是要求严的，那同时需要特别强调的，在2022年啊，九暂发布的这个呃关于修改中华人民共和国的网络安全法里面的征求意见稿中也显示预计啊，可能现行的这个网络安全法中里面最高原来最高罚款是100万的一个条款，也调整为整整个罚款额度会达到5000万，或者是或者是上一年度营业额5%，这样一个力度，与个人信息保法保护法是完全一致，那这里面的话，其实对一些企业在安全方面的一些建设都是一。

呃，更高的一个要求，那此外的话，其实也可以责令企业暂停相关的一些业务啊，停业整顿，或者是吊销相关的一些这种许可证，或者是呃，吊销这个营业执照啊，对这个直接负责的主管人员，或者是其他直接的负责人的话，进行啊相关的处罚，或者是一定期限的一些从业禁止处罚，那这里面的话，就从这些都可以看到，在呃，一旦造成这个数据信息泄露后的个人和企业其实都会造成一个比较严重的后果，而这里面的话，就是API安全已经作为首的一个风险点啊，就是需要我们企业也是要重点关注。

啊，那。呃，那同时这块的话，有企业的API安全又存在什么样的一些问题的话，我们也从一些案例中做了一些总结。主要的话就是四大方面，第一个就是企业这个自身的API资产清晰可见。因为我们在这个传统的互联网时代的话，我们企业可以针对我们PC端的服务，呃，它的一些API进行一些爬取啊，或者是通过一些开发维护，呃，通过我们的开发人员维护和更新我们的API文档，可以梳理好自身的这种API的资产，然而的话，在现在这种APP小程序时代啊，整个移动应用啊，它的业务业务反比较繁多啊，整个API接口的变化也非常的快啊，其实这样的话就对我们企业开发人员它的理成本是极高的啊，因此的话，安全人员对企业开放的这种API的数量啊，包括老旧API是否下线，包括它里面传输的一些参数啊，还有敏感数据的流动等这些信息其实都是未知的啊，同时因为也无法进行相关的一些渗透测试，所以说一些我们的安全措施也比较难以覆盖。

啊，第二个就是这个敏感数据多方流通啊，整个调用取呢也很难审计，因为开放性是我们整个互联网的一个固有属性，那数据信息也需要通过API在企业与用户，企业和企业之间啊多方的流通和交互，那企业的开放性呃，本身的话，它会让整个的互联更加的高效啊，降低这种互联网企业啊多方交互的成本，但是的话，因为由于互联网企业它本身呃拥有大量的一些用户敏感数据，那开放性它其实会给企业带来比较严峻的这个数据安全的挑战。

我们企业的话，其实也很难啊，感知到跟我们合作的这种合作方第三方机构啊，他们是否存在过多取啊，我们企业的用户的敏感数据，是否存在一些异常调用数据的一些情况。啊，第三个就是这个整个的业务迭代更新快，那因为呃业务的快速迭代要求很多API的话容易带上线，互联网行业现在这个呃竞争激烈，很多产品的话更新的频率都比较高，那强调敏捷开发的同时的话，企业往往以这种业务优先啊，安全测试投入方面可能会进行一个相对的缩水啊，而承载这些敏感数据的一些开放API，如果我们在上线开放呃前未有没有经过一个充分的安全测试，那就很容易造成一些未授权的一些访问啊，或者是一些关键的明数据啊，未脱敏或者是委脱敏啊等缺陷，从而的话直接把这种缺陷的API暴露在呃攻击者面前。

啊，第四个就是这个，呃。黑产攻击的话，逐步的趋于一个隐蔽，很多未知攻击的话很难防御啊，现如今的话，因为黑产攻击的话，它呃攻击是其实会大量利用大量的低成本这些动态IP去伪装成一个正常的流量啊去。呃，正常的一个请求流流量啊，从而的话去绕过我们传统的一些啊，或者API的策略啊，对这些敏感一些数据的API的话，进行一个低频慢速的一个爬取啊，同时的话，因为API它承载着企业的一个业务逻辑啊，有时的话，其实单个API看似啊符合一些安全规范，但是的话，如果攻击者我们通过一些组合的方式啊，把多个API的啊进行这种同时实施攻击，那就会可能导致这种传统的防御措施就会失效啊，整个的攻击流量啊也会也很，呃现在也很容易隐藏在正常的业务流量中，那对我们的企业而言的话，就对这种API的攻击啊，在这种无感知的情况下，就会造成这种攻防不对等的一个。

情况。所以针对一些以上的一些问题啊，我们应该在，呃，在针对API数据安全方面，应该是有什么样好的一些防护，应该怎么样做这块的一些防护呢？啊这里面的话，其实。我们也梳理了几个方向，那首先首先的话就要要应对好这种我们的业务上云之后，逻辑升级上云之后，它带来的一些暴露了更多的一个攻击面的一个问题，那这里面的话就涉及到啊，说我们要怎么样去管我们好我们的API，那这是我们的第一步，那关于API的话就要知道，呃，清楚的知道我们有多少API开放出去。然后这些API有什么样的一些风险点。

那第二个的话就是呃针对应对以前啊强调这种开发速度啊，灵活性啊啊忽略呃API安全的一些重要性的问题的话，这里面也要呃做好这种确这种已经开发A它是一个安全的，一旦有一些风险的话，要能够及时的检到啊，并且进行一个下架处理啊。然第三个的话就是呃应对好这种啊外部的内外部一些接口缺乏这种呃脚验维护的一些风险，从而引发一些攻击隐的问题，然针对这一类的API，要及时的能够发现它存是否存在一些异常，一些权限啊，一旦有些调用的话，也进行及时的一个告警。那第四个的话就是针对这种呃，纵深边界被打破，这种API风险增加的呃情况下啊，造成的一些安全措施的一些呃，在可能一些安全措施不到位的情况下啊，造成一些API的异调度的一些行为啊，这针对这类的呃，呃行为流量啊，也可以做好一个很好的一个呃监测。

那整个的，呃，整个的API安全治理的话，从整个防护思上应该围绕这个API啊，为企业真正构建一个从这种基础安全，业务安全到数据安全这样一个多维度的一个安全防护体系啊。基础安全的话，整个方案里面应该可以解决API存在了一些啊，外部漏洞的一些侵害啊，防止这种0N的攻击，业务安全的话，要能够很好的护好来自一些越权啊，自动化的一些攻击方面，呃呃，这一类的攻击，保护好我们的业务逻辑不受侵害啊。数据安全方面的话，就是围绕它的一些数据信息啊，要防止因为一些越权啊，泄露啊等风险造成业务损失啊，呃，造成我们的业务呢损失一些数据啊，防止些攻击者啊去。呃，防止一些攻击者去窃取一些企业的啊敏感数据，那整个的防护方案的话，其实这里面就是需要一个呃，一个相对应的安全解决方案，它的话的话可以实现对整个企业API资产，还有它的些敏感数据流动的一些动态梳理，呃，还有就是它的一些API缺陷的检测识别，以及API风险的一些及时发现，那这里面的话，其实我们是强调要以API安全的话，应该以API安全生命周期为线索啊，再解决它的一些协议覆盖啊，它的一些资产梳理啊，攻击检测。

的基础上啊，通过对业务流量数据的一些学习啊，整合一些各方面的一些安全能力。达到的话，几个攻击预防，攻击阻断以及敏感数据泄露防护的这样一个目的。最终的话实现。API行时候的一个全护状，那实现的话里就包括两大面四个内容，两方面，第一个方面就是这个啊，API的资产梳理和API的流量分析，那这里面的话，这两块应该是它全方位自动化里也可以梳理API的一些资产和敏感数据的一些流动情况，那这个自动化梳理中的话，可以针对我们的一些PI小程序以及网页中啊，面向啊我们的一些用户啊，各类啊员工的，呃，不同的一个开放场景中的API。

那建立完善的一个可视化的这个API资产清单啊，及时了解API的开放数量啊，它的API的活跃状态，以及一些呃僵尸API，缺陷API和API等等啊，通过这个流量梳理API资产，同时还可以对里面呃流量中流动的一些用户敏感数据进行一个识别和提取啊，并对提取出来的敏感数据的话，类型可以进行一个分级分类啊，确保这个数据资产它的一个持续更新和可视化，同时的话，对可返回的一些包括这个三要素呃四要素这一类的一些数据可以进行一个重点的监测啊，确保整个敏感啊数据它的应用是安全合规的啊，第二类的话。

就是API事件管理和API安全护这块，那这里面的话主要是呃，就是一个持续及时的检测API存在的一些异常事件，并且的话，针对这一类事件可以提供对应的一些防护规则进行一个处置，那在API和数据资产可见的基础上啊，还要对API在设计和开发时存在的一些风险进行一些评估啊，比如全面检测异常的一些全限调度，机械化的一些调度行为啊，事件类型，事件等级啊等等这些的啊，漏洞缺陷。那通过这一类的方案的话，其实呃整个腾讯呃云的API安全能力，我们这一块呃是呃也是借助了整个万这块的一些流量接入和协议解析相关的能力啊，助力我们企业去接入，呃对一些接入的业务啊，进行一个直接可以进行一个全方面的API资产清点啊，智能发现这些API动态变化，呃API的一些动态变化，还有它的一些风险类啊，从而的话精准的识别一些API的一些暴露面以及敏感数据啊，并且的话，针对这些风险可以一键的添加防护规则啊，帮助企业收敛API的暴露风险。

那这这个呃，这个产品这一类方案的话，其实我们目前的话，主要也为客户规划了一下几个应用场景啊，第一个就是API的一些资产发现场景，那这个场景的话，其实通过对API资产的有效呃发现和管理，其实是可以有效识别一些羊毛板，在优惠活动中啊，通过利用爬虫批量进行注册作弊啊，签到作弊，抽奖作弊啊，这个虚假交易的这些恶意的一些行为啊，防止这个营销资源一些浪费啊。啊第二个就是这个API的。呃，合法性校验啊，这块的话，可以有效识别到原来一些，呃，这个未授权的一些API，它可能会被一些黄牛党利用这个爬虫批量的一些抢购啊，抢票啊，占座啊等这些。

呃，恶意的行为啊，降低这个无效的订单，给我们企业带来一个损失，保护用户的一些正常的利益。第三个就是API的一些攻击者画像，那这里面的话，通过这个准确的识别啊，API流量中一个友好的或者是恶意的一些机器一些流量啊，帮助一些电商啊，招聘啊，影视这些企业，对他们这些流量进行一个分类管控啊，可以阻断过滤一些恶意的流量啊，提高这个业务的稳定性，降低一些损失。第四个方面的话，就是这种API的生命周期管理，那这块的话，可以有效阻止一些恶意用户通过这个A的一些漏洞，或者是一些恶意程序，对一些账号密码进行暴力破解，获取一些登录权限的一些恶意行为，从而的话，降低一些恶意用户对一些业务带来的一些风险，然通过以上几个防护场景的话，就是用客户可以这个全方位有效的应为应对各类这种API的风险啊。

那以上就是我讲解的内容啊，谢谢大家的一些观看。好的，非常感谢李宝新老师的分享啊。精彩的演讲过后啊，我们的第一轮抽奖环节也就要正式开始了啊，本轮我为大家准备了十个虎年公仔。请大家先扫描屏幕上的二维码进群。啊，我们大家这次取礼的一个密钥参加获得。好啊，大家赶紧扫码入群啊。好的啊，接下来请大家在我们的微信群内发布口令引擎云原生安全实战加速仓啊。

请大家将原引擎于原生安全实战加速仓发布到我们的微信群内。好的，看一下大家有没有发起来啊。好啊，恭喜前十名的同学啊，请联系我们群内的小助手领取我们的礼品。啊，屏幕前的你如果没有入群啊，请马上扫描我们大屏幕上的二维码入群啊，后面还有更加精彩的礼品啊等着你。好的，欢迎大家回到我们的直播现场啊，接下来会有腾讯安全高级产品经理赵思雨老师啊为我们分享。我们有请。

诶，好的，大家大家好，我是腾讯安全的赵思雨，那我来共享一下我的屏幕。啊，各位老师能看到我的这个播放的屏幕吗？可以的。好的。呃，那今天我们袁晴给大家呃，这个介绍的，呃内容呢，除了前面我们宝新老师已经啊介绍过的我们的这个API安全的一些风险和趋势，那接下来就是我带大家一块去一下这个API安全啊，我们腾讯的是如何来，我们通过什么样的解决方案来解决前面提到的这些客户的问题。嗯，那在这里呢，我们其实可以看到API安全前面已经总结到的一些挑战，那这些挑战呢，其实本质上来说是我们技术目前发展的这个阶段所带来的一个必然，对吧？那现在A呢，其实在这个整体的互联网的流量的比例已经非常高了，有数据统计就是在去年呢，我们整个互联网流量的83%是被呃，API的这个流量占据的。

那么呃，在这个访问量上也是以每年30%的这个速度逐年在增长啊，所以这个量是非常大的啊，包括我们目前在这个呃云计算的这个逐渐的普及啊，这个容器化分布式服务的这种发展，发展的这个趋势下，那么企业它现在它在面临它自己的这个呃发展创新，以及他的这个数字化转型的这个过程中，那必然他要选择一种技术啊，这个技术能够呃比较好去进行这种模块化，能够重用，能够进行可扩展的啊这样一种软件架构，那这种软件架构下API它不仅仅是在技术层面，作为一种这种技术的方式，它更多的呃甚至演变成了一种啊软件的一个思想API first对吧，所以有了这样的一个呃API呢，能够比较好的去实现啊，又又比较强大，又不容易出错，它自然成为各个企业的一个首选，但是在这个快速发展这个过程中呢，呃，必然会导致它在之前的这个，呃，整体的这个。

呃，安全的考虑不足，那么对于整个API，包括客户云上的这个资产来说，那么A就会极大的暴露你在这个呃，云上的这个暴露面，那成为你，呃被黑客或者网络攻击者啊所瞄中的这样一个目标，所以在这个趋势下，那首先我们面临的挑战就是你的API资产是暴增的，而且在这个过程中，你的API资产是没有办法啊能够非常精确的。或者说能够呃呃不依赖于其他的这个呃安全防护的措施啊，或者说自己的这种管理平台啊，能够对于API资产进行有效梳理啊，同时呢，那么我们在这个企业在进行快速的这种技术创新和迭代的过程中，会发现，那API呢，作为它的这种敏捷开发的一个重要组件，那它在不断的迭代，那么它的安全自然没有办法跟进它的这个迭代速度，所以这里是必须要对API进行进一步的这个强化和这种安全上的一个补足啊，那同时呢，在我们这个企业在做这个呃自己的这个开发的过程中啊，那么以功能实现，或者说它的整个的这个呃业务架构的这个功能性作为第一优先级的，那内部的接口，其实对于它的维护的投入相对来说比较少的，那就会留有啊，不同种的这种啊漏洞也好，或者说我们啊关注到的这个，呃，这个安全的一些风啊，这样一些一些风险，那这些风险呢，最终就会成为黑。

作为攻击的一个跳板，或者说我们现在面临的一个攻击隐患，然后同时呢，API作为调用各个服务的一个中间人，他其实中间呃传输的这些数据啊，往往没有通过加密，或者没有通过较好的这种数据安全的一些呃治理，那么其中携带的一些敏感数据或者高价值数据，其实也是黑客啊把呃API作为一个首要目标啊，攻击和窃取的一个呃终极的一个目的，那就是拿到你的核心资产和核心数据，所以这里面那它又又安全性又弱，那又蕴含着这种比较大的这个数据资产的这个价值，所以它自然那成为各个黑客的一个首要目标，那也就给各位企各个企业呢，就带来巨大的一个隐患。

我们在调研客户的这个，呃呃，这个对API的这个，安全建设的这个。呃，进展的一个过程中啊，我们也会看到很多客户，他其实对于这个自己业务有多少API是完全说不清楚的，而且这个误差呢，不是像我们之前在对于这个，比如说IP的这些资产，我们在管理的过程中，那可能这个误差是相对来说比较小的，尽管也有啊，比如说可能我们会漏掉一些影子资产，那比如说我之前上线了一个测试的这个，呃，这个这个机，那这个拟可能往下掉了，最终成为影资产，那这种其实属于少数情况，但是对API来说，那么呃，这个。

安全部门啊，业务部门啊，对他的这个估计往往会差出很多啊，可能有的客户呃，他估计了一下，他的这个API可能有2万，但实际排查下来有6万，这个差距甚至有几倍之多，所以这里面隐藏了大量的影子资产。那所。呃，带来的这种暴露面，以及它的这个安全的一些隐患就非常大了，第二呢，就是不仅我不知道我的资产有多少啊，我的API被什么，哪些人访问了，哪哪些IP在访问，哪些API我在受到攻击啊，我在受到了什么样的攻击，以及我里面的这个，呃，传输过程中的这个敏感数据是否已经被泄露了，这客户都是完全不清楚的啊，基本上处于很多的这个API在开放的过程中，属于这个裸奔的状态，他有可能是像啊公众。这个开放也有可能是对他的这个第三方的一些供应商啊，软件的一些合作商，合作伙伴啊开放，那其中呢，这里面啊，存在的这个安全隐患都是非常大的。

我们也详细调研了一下，就是客户对于我的API安全，我到底需要做哪些这个呃防护，也就是说客户最关心的是什么啊，那我这里呃给大家简单列了一下啊，第一个就是API的攻击有哪些啊，怎么样去做相应的防护，怎么样来阻止我现在已经存在的这种啊，业务上的一些逻辑漏洞啊，包括这个啊，可能类似于这种这个拒绝服务攻击的这样的一种资源滥用的一些情况。那第二呢，就是我的这个，对于这个API我到底有有多少啊，谁能告诉我一个准确的信息，那业务部门他在开发的过程中，他其实没有关注啊，资产的这个梳理和这个啊统筹的一些管理，业务部门报给我的API有可能就是错的，那我作为安全部门，我要知道他攻击有哪些，我首先知道手里我有多少家底，我要知道我有多少的这种API的资产信息啊，现在这个都是不全的。那第三个呢，就是那么我的API，呃里面的这个调用其实相对来说比较复杂的，它调用了哪些数据，传输过程中有哪些敏感的数据是存在这个泄入风险，我也不知道，那第四呢，就是在这里呢，我是这个客户，是希望我能够建立这样API的这种行为机械或者访问机械，那这个基线是能够满足相关的这种合规要求的啊，也就是说那么我在这个安全建设这个过程中，我要有据可循，同时呢，我要达到这个合规的一个要求啊，第五呢，就是呃，客户在不断的这个云化的这个过程中啊，那么结合在S，那我要做完整的这种生周期管理啊，我不只是一点啊，我去补足一下我的资产管理，我去补足一下我的攻击防护能力，我去补足一下我的数据安全的这种能力，而是我在未来我要去，呃，做到长久可持续的这种啊，整体化的管理，那这里就需要。

呃，带来这种完整的生命周期的管理的一些能力啊，我需要这样的一个能力，那最终啊，第六个就是这个访问追这个可追踪啊，可溯源啊，那出了问题我知道哪里出了问题，我才能够查漏补缺，那其实从客户关心的这个几个主要的问题，我们再结合到这个O提供的这个，呃，A的这个十大关键点。

啊，Top ten的这个呃漏洞来说，其实他很多地方也有非常多的重合，比如说呃排在比较靠前的，像这个呃失效的一些这种呃授权，然后包括用户的身份验证，包括过度的这个这个数据暴露，这是我们说的这个呃敏感数据的这个泄露的风险，包括这个数据限制啊，然后以及这个失效的一些功能授权等等，那这个我们看到和客户关注的这些点是有很很大的一个匹配性的。与此同时呢？那么我们总结来说，就是客户需要的这样一个这个API安全的一个防护能力，不管它是一个产品还是一个解决方案，那它需要满足哪几点呢？我认为首先啊，从这些呃，我们了解到的调研到的客户的关注点，以及这个各个机构出具的这些核心的一些能力啊，我认为第一个，那它需要具备对于识别所有的这种API，能够锁定它的这种风险因素，能帮助用户进行生命周期的这种监测测试啊，检测收敛攻击面，进行全面的API安全漏洞或者敏感数据的这种管理的这样一个能力，这是第一点，那第二点呢，就是我们需要在这个呃。

建设过程中，在API的这个业务场景中，我发现风险之后，我应该能够联动一些啊，基础安全的一些设施啊，比如说我的这个袜啊，或者是这些呃，BOO管理啊，防护啊，CC攻击防护啊等等这些能力，那能够针对我的API安全的这种呃事件，不管是数据安全的事件，还是业务安全的一些事件，包括网络攻击的事件啊，能够联动这些进行有效的这个处置，那第三呢，就是在这个呃，整体的这个管理的层面，我需要能够有资产，包括事件的维度，我去来理解整个API业务的这样逻辑，来实现我们对于这个API运行时候这种防护安全的一个呃状态，最终达到我们。

最终是要为企业去做这种提质增效的这样一个目的啊，来预防安全资产。呃，预防这个安全风险啊，所以我们来看一下，那么其中最最关键的就是我们如何来实现这个整个API的全生命周期的一个管理啊，那在这里呢，呃，我们从这个接入，包括整个API生命周期的这个维度啊，那要实现整个生命周期管理，第一在这个进入这个循环之前啊，我们首先能够让客户在现有的状态下能够实现快速的一个接入啊，我认为这是呃其中比较重要的一点，就是我们能够零成本的进行接入，那在这个过程中呢，也不能够影响客户目前已经上线的一些业务，同时后面在管理的过程中，我可以去不断的呃形成这种管理的一个啊这样的一个闭环，就是我们进到这个循环当中了，然后那首先呢，我们做API的这个资产发现啊，这是我们整个生命周期管理的啊最啊除了这个接入的这个过程中啊，最先头的一步，在发现的过程中，我们去识别到这些啊资产的一些变。

话，包括呃有没有一些顺免的一些API，然后呢，就可以对这些资产进行有效的一些管理，在管理的过程中啊，需要我们人为的和这个呃，业务部门去不断确定我哪些API是我重点关注的，哪些API是存在高危风险的，呃在这个过程中呢，我们必然会遇到已经有高危风险，包括这个敏感数据泄露的等等这样一类的安全事件，所以这里就遇这个进到我们事件检测的这个步骤中啊，那这里会帮助用户去发现所有的这种API事件，包括它的脆弱性，包括这个事件的一些风险等级的一些评估，包括事件的这个详情，那么呃，有了对于事件的这个综合的这个检测之后，我们可以通过事件的这种处置啊，利用API本身的这个处置能力，包括啊wa自身的一些比如说防控制，比如说CC，比如说不防护等等这一系列的措施，对于API的事件进行进一步的处置，然后再回到我们的循环。如果新上线的这种API，那。

继续走这个循环，让所有的这种API资产在发现过程中就进入到管理检测，包括处置的这样一个循环中啊，这样能确保我们整个的这个API生命周期的一些管理才能够不断的持续，那也为我们的安全部门未来去做整个这个API的。呃，持续性的管理，包括后续的一些迭代啊，能够和这个业务部门的这种快速创新，是能够跟上他的脚步。好，那我们来看一下啊，我们就从一步一步的来看，那现在大家呢，就可以呃带入到这个客户的场景来看一下，如果我们呃，通过腾讯的这个呃呃wa啊，我们的这个外部用防火墙里面的这个API的功能是如何来呃帮助我们去实现整个生命周期的管理，首先呢，第一步呢，就是我们在这里可以接触于wa呢，实现这种呃即开即用的方式啊，零部署的这种方式，那我们已经接入的这种呃wa的这个域名，我就可以一键的打开我的API安全管控的这样一个能力啊，所以开通是非常便捷的，那在这里我大家也可以看到就是这个API安全，我对于我需要防护的这些域名，只需要点一个小开关啊，那这里我们就可以快速的接入到API安全防护的这个能力了啊，包括其实在这里面我们还有其他的一些能力可以呃，同步的和我们的这个API的功能相去联动，比如说情报能力，比如说可以联动我们腾讯天域的这些这部分的一些能力啊。

当然我们今天重点去讲这个API防护的这个模块，那第二呢，就是既然我们已经打开了，那下一步就是我们在整个循环中的第一步，我要了解我整个的资产，我加紧有多少，它访问有多少，这就是我们资产发现的这样一个过程，那在呃这个过程中呢，其实呃这个我们呃内置的这个能力，就可以通过底层的这些流量，包括我们业务访问的一些日志，自动的来帮我们企业去发现我的API资产，然后可以帮你动态的去梳理整个资产的这种用途和变化，那在这里的这个界面，大家也可以看到，就是我们在资产上，我不仅能看到总数，能看到我最近孝发现的这个API，以及它的活跃程度啊，包括在这个资产管理的过程中，会有一些呃，让我们能够人为去确定去这个这个呃，确认状处理状态的这样一个啊，这个界面啊，也就是说我扫描到的或者说我发现的PI是非常多的，但是不是所有的API你都要每一个做精细化的管理，其中有非常多的API，其实啊，它基本上包含这种敏感数据。

可能它的这个作用也不是很高，那这里我们在这个安全管理过程中，其实我们可以进行忽略，然后还有很多的API，那这里需要我们人为的去确认，因为很多的这个API，它的呃标准不同，然后包括它实现的这种方式啊，以及它的这个，呃，这个在业务部门这一侧视角看，它的作用也不同，那我们的安全部门是否都要对这个API进行重点的一些关注，包括它里面的一些安全风险，是否要做下一步的这种处置，那这里是需要有一些人为的一些确认，这个不是一个放射四海接准的一个标准，所以这里必然要有一些灵活性的啊，一些弹性措施，那我们在这里就可以啊，借助于一些批量的确认，或者说单独的我们可以安全管理员和业务部门通过沟通来确认这个API我是否要啊，进行这个处理的这样一个状态。

啊，然后与此同时呢，我们在整个这个API资产发现啊，这边我们可以看到，那么当我们识别到这些API的一些接口和资产过程中，我们可以看到它，呃呃识别到它里面是否有一些这种呃高危的一些风险，是否涵盖的这个这个敏感数据，包括这里面我们会识别到它的一些数据，数据这个这个这个标签啊，具体敏感数据是身份证还是银行卡，还是你的其他的一些业务数据啊，那么它的应用场景，我们也能够借助于这个呃快速梳理能够帮我们去看到啊，比如说是否我们在这个API这里是这个文件上传的这个场景，还是说你去做这个业务回调接口的一个场景，还是啊，比如说我们电商的一些客户，他会有优说优惠券分发的一些场景啊，还有一些业务的一些客户，他会有这种短信验证码的这种场景啊，这个场景的识别能够有效的帮我们进行快速的一些治理，我们借助于这个分类，那就可以有效的去呃为我们后面这个决策做一定的这个辅助。

然后呢，呃，那么在这个场景识别之后，我还会对它整个的这个流量进行分析，比如说它的请求方式，它的这种啊参数信息啊，包括我们的这个，呃，这里的一些概览啊，那右边的这个图就可以看到我们在这个API详情这里能给大家带来的一些数据，比如说它的一些访问趋势啊，一些概览，在这个概览页我们就可以看到访问它的这个IP啊，地址啊，然后包括它的这个，呃，地理上的一些位置，以及它的一些请求特征，比如说上面一些特征，包括UA的这些类型啊，这些都是可以我们在这个资产发现的过程中能够看到的啊，当然不仅如此啊，这个详情里面还有更多的啊，随着我们在不断的这个学习和这个识别的这个过程中，我们对于这个详情还会有进一步的，比如说它的攻击的趋势概览啊，近些天遭受的这个外部攻击，CC的攻击，爆头的一些攻击，它的一些趋势的一些变化。

然后还有一些呢，就是针对于他的。呃，API内部的一些参数，我们可以通过这种泛化的方式给到他一些这个呃，请求的一些呃。这个样例，那这些样例呢，它其实是一个这个泛化过的一个样，一个这个样本，那这个样本呢，就可以帮助我们快速的去判断，比如说我具体是哪个字段里涵盖里有这个，比如说敏感数据啊，然后还会对于全部的这个参数啊，有这个识别和列表。那也方便我们进行这个呃，这个对于呃，某一个API的这个参数的进行编辑，同时建立它的这个访问机械，然后呢，在这里呢，呃，对于每一个API也有和它相关联的一些事件，比如说有一些API的事件存在高危或者说中危的这一类的安全事件，那么它的告警也会在这个详情里面进行关联，那后面我们就可以根据它的这个事件进行下一步的这种啊一键处置，包括对于他状态的一些变更啊，那这里可以通过人为的一些确认，去确认我这个事件是否已经啊处置完成，包括整个API在后面的这个资产变更的一些历史，我们都可以看到，他在什么时候上线的啊，什么时候有这因为API资产它也是有这个循环的，最后有这个plan built到这个operate到retire这个这样一个循环的一个过程，很多资产，呃，很多这个API，它会随着这个使用的这个变更，包括业务系统的一些调整会下线啊，那这样我们有助于帮助我们在这个详情里面去完整的看到我们API。

资产的这个啊能力啊，所以这样我们既有了列表，有了它的API的这种访问源的一些识别场景的一些识别，也有它的参数详细详情的这样一个啊识别，这样我们就非常清楚我的API啊，这个资产到底有多少啊，到底哪些存在风险啊，风险是什么。

啊，那同时呢，在这里面呃，其实呃大家最关注的，尤其是这个在API治理这核心的一些问题，就是对于这个敏感数据的一些治理啊和这个呃这个这个梳理，那这里呢，也是我们呃功能上的一个呃重点我们在这里呢，会通过这个数据标签帮我们预先识别到一些我们已经内置的一些这个呃敏感数据的一些这种标签和数据类型，那这样可以依据我们这个呃企业自身的这种分级分类的一些标准，或者说根据国家那个分级分类标准啊，然后参照数据安全法的要求，我们建立这种。下一步的这种数据安全的一些处置的一些措施，那同时呢，在这个。API资产中的这种敏感数据啊，那么包括它的等级啊，包括它的这个数据类型，那这里我们也可以，呃，借助于在详情里面，我们会对它的这种资产进行有效的一个识别，然后同时呢，还有一些啊敏感的这个数据特征，那这里可能对于呃，不同的企业或者不同的这个客户来说，那么它的重要程度是不一样的，那这里我们也可以自定义的去开启我们这个数据的一些赦免的一些规则，那有助于我们比较有效的啊，去针对性的啊，来发现我们这种敏感的一些数据啊。

好，那这里边就是我们在这个资产过程中啊，我们可以看到的一些详情，那同时呢，这一部分的这个能力呢，也会在我们整个的这个流量分析里做进一步的一个汇总啊，包括我们前面提到的对于资产的一些概览，然后包括前这个近期比较活跃的这些API啊，前面的一些排名，这样有助于我们知道这么多的API里面，我们哪些是我们最重要关注的一些重点，哪些可能存在于呃，最大的一个这个威胁，然后同时呢，这里我们也可以看到所有的你的API里面哪些这个市民的API啊，占比有多少，那么它大概是这个什么样的一个敏感的一些等级，以及我在市免里面数据的类型是哪些，那如果你啊，更多的这个社免的类型，比如说涉及到用户的这个银行卡号啊，包括他的一些实名信息，那这里就是啊，我们需要去重点的进行关注，进行这个呃，从代码层面或者从其他层面再进行数据的一个这个筛选啊。

的这样一个这个改造的过程啊，包括你对API接口的一些改造，然后同时呢，在API的这种发现事件里，也同样存在的这样的一个事件的一个风险占比啊，我们知道高危占多少，包括我的事件的啊，Top的这个API是哪些啊，以及我的事件类型有哪些，那这样我们可以一目了然的知道我的API现在存在的一些风险是啊什么样的啊，而且通过这个数数据安全的这个不断治理过程中，我们借助于这个API事件的一个趋势，是可以看到我的治理的整体的一个效果的。那么在API的这个资产的这个闭环管理的过程中啊，我们就形成了这样一个在资产这个维度，我们又形成了一个闭环，就是在我新发现的这个资产过程中，那么我去能够进一步的进行啊资产的确认和梳理，那在这个过程中我去认领需要去这个重点关注一些资产，包括去忽略掉啊，呃，和这个这个业务无关的，或者和安全风险无关的一些啊，或者已经处置掉的这个攻击事件的一些资产，他们可以进一步的进行这个忽略，然后呢，在这个发现的过程中，我们还可以进一步的去确认我的API安全的一些啊，详情事件，包括整个风险，那这样也形成了一个闭环的一些管理啊，然后在每个状态这里，我们都可以通过这个处置来去变更它的一个状态。

那么有了资产的这个闭环管理，那下一步我们进到这个事件的这个检测过程中啊，事件的整个这个呃，处置的这个环节，那么在这API事件这里呢。我们一样啊，这里有API事件的呃，整个的一个界面啊，我们对大量的这种API的事件的进行这种分类啊，啊这个呃上线的过程中还会比这个更加丰富，那么在这个事件里面，我们也可以去呃不断的呃，借助于这个呃持续的这个监测去识别到我们的事件类型，包括事件里面所关联的这个API，那么它现在的一个危险等级，那这里重要的还会提示我们目前的一个处置状态啊，因为有非常多的这个事件呢，是要不断的处置循环或者再处置的这样一个过程啊，那这样的话，我们在处置状态这里也可以根据我们处置的这个呃，这个目前的这个状态进行不断调整，这样我们的安全工作人员，其实你是知道你哪些是当前的一个，呃，这个重要紧急，哪些是我已经处置完的这个安全事件啊，然后包括对于他后面的这个，呃，处置的内容，我们也有相应的这种闭环措施，比如说我们进到一个事件的一个详情里面，首先会。

会有这个事件的一个基本信息，那么比如说他的域名，它事件，比如说疑似什么样的一个攻击啊，发生了一个在什么样的时间，那其实我们在这里呢，已经智能的为大家提供了一些这个呃处置的建议，而且是有123啊多条建议，比如说在这个安全事件中，那么系统自动给到的建议就是你建议您去添加一个CC防护的一个啊规则，对于它的这个速率进行进一步的一个限制啊，然后包括识别方式，建议您通过session的方式，那么可以更加精准的啊进进行这个这个相应数据的限制啊，匹配的方式啊，包括访问的一些频次，那这里我们在右边就可以点击一键添加这个规则。

啊，当然还有建议二和建议三，那么它侧重点也会有些不同，那同时呢，我们可以也可以看到在这个事件上，我已经添加到的这些安全的，呃，访问的一些规则啊，比如说我在这里防控制已经加了三条，CC防护也加了三条啊，那这时候我可以看到和这个事件相关联的相应的这种规则，同时呢，在这个过程中，呃，API的这个资产的一个变更历史以及攻击源的这个详情，那我，呃，如果。

判断到那这里我需要给他去加黑名单，或者说进一步进到攻击的这个详情日志里面，那都可以通知里啊，一键的进入，所以我们整个的闭环管理在一个界面上就可以完成，非常方便啊，然后同时呢，在处置的这个过程中，我们从不认为API的事件单独通过一个API的策略可以完成，那它是一个综合的，呃，一个防护，比如说啊这个漏洞，比如说你的这个频率上的一些限制，比如说它呃是借用于API，其实是爬虫对于数据的一个这个恶意爬取，所以在这里呢，我们要强调啊，在API识别资产的发现的这个过程中，借助于wa的包括BOT防护的这个能力，我们进行联动，那这样使得我们在这个。外币应用安全的这个层面，能够呃完整的形成我们对于这个呃，不同种类事件的这种防护的一个能力啊，那比如说这里我们可以呃对于这种爬虫的一些行为啊，或者说这种恶意的这个BOT啊，包括一些执行脚本，比如说攻击你的某一个漏洞，都可以借助于BOT，我去添加一个自定义的规则，那么从这种匹配条件参数上，我去设置多条参数，进行一个执行的一个动作，然后同时呢，在频率限制上，如果我发现有这种啊拒绝服务攻击，那我就这里可以去啊，通过IP啊或者session的方式来添加一条CC的一些访问规则啊，包括这个访问控制也是一样的，我借助于这个B自带的这个al的一些策略去添加这个控制能力啊，所以这样呢，在这个整个事件处理过程中，对于数据安全，我们有API来进行这种数据的敏感信拟息的一些发现，对于一些业务安全的层面的问题，我借助于BOT可以来去防护你比如说一些啊越权啊，自动化的一些脚本的攻击啊，然后还有一些基础安全的，比如说外边应用的一些漏洞。

的这些啊漏洞我可以借助于袜来进行安全的一些防护啊，所以这样形成了一个多维度的一个防护措施。那有以上这个能力，我们的API事件的这个闭环处理也就完成了啊，从我的这个资产发现到我的事件的一个初始状态，然后在事件的这个过程中，我也可以通过这个呃状态的一些变更来完成呃去去动态的进行管理我所有的这种API的安全事件，那处置方式前面有多种啊，那从这个事件的这个状态上，那我们可以重点去关注和处置一些高危的一些类型，然后借助于这种处置建议一键的添加规则，来大大减少我们对于这种啊较多API的这种啊，处置风险的这个呃时间窗口啊。

所以有了前面这个资产管理的这样一个呃循环啊，闭环的一个处理，包括API事件的一个闭环处理，我们可以看到前面我们提到的这些挑战啊，就是在资产上云的这个过程中啊，包括在开发的过程中，在维护的过程中，以及数据泄露这个层面，我们的应对方案是什么样的，那在资产上云的这个过程中，我们可以通过这种自动的API资产的识别，去实时的了解到我们资产的这种变化，那么在呃，应对于我们这种快速迭代的过程中，那么你的API安全，不管现在你的API建设成什么样，那我们现在一键的这种接入，以及这种对业务完全无影响的这种检测的方式，那可以快速的帮你去发现整个API过程中这种风险事件啊，包括呃，提供你相应的这些告警。

那么对于已经存在的一些攻击的隐患，那或者已经存在的这种攻击，我们可以快速的帮你进行攻击类型的这些识别，而且给到直接的一些建议啊，可以进行一键的添加这种规则进行封堵，当然也可以自定义啊。那么对于存在的这种敏感数据的一些泄露的这些隐患，那么借助于API的对于这种敏感数据的一些识别啊，包括这种告警，那我们可以进一步的去降低来减少这个API，比如说接口返回的一些数据类型啊，或者说对数据进一步的进行筛选啊，那这样来去减少我们敏感数据泄露的这个风险。啊，同样我们看到在客户前面最关注的一个排行里面，那么对于攻击的防护啊，我们有这种一键添加规则闭环处理事件的一个能力，对于客户呃，关注的这种资产信息，那我们可以智能的去识别整体的一个资产的这个，呃呃详情包括这个管理的一个过程啊，形成一个闭环，那么对于敏感的。

这个API的数据，那我这里通过API的一些识别，包括呃敏感信息的一些告警，来给到客户更多的一个建议，那么对于在这个呃合规的要求，包括基线访问这里啊，我们也有相应的这种攻击识别，识别包括这种啊访问基线的一个啊，从攻击日志里去看到这个的能力啊，然后包括我们在这个完整的生命周期管理，前面大家已经看到，我们会有整个的一个闭环，从资产到事界的维度，进一步的去帮你梳理整个API的这个逻辑啊，那最终呢，我们借助于整个流量日志的一个可视化，也帮助用户实现了它的这种访问流量的这种可跟踪性。

好的，那今天啊，我给各位介绍的就是我们现在呃，腾讯B能够给大家在API安全里提高提供的一些能力，也欢迎那个线上的各位老师和同仁能够有机会啊去试用我们现在这个上的API安全的能力啊，目前还在公测阶段，大家可以随时的啊点击试用。好，那今天就是我分享的全部内容，非常感谢各位的观看。好的啊，欢迎大家回到我们的直播的现场啊，在这我们的直播的过程中，有很多同学都在积极的互动啊和提问。我们取了一些有共性的啊，以及有代表性的一些问题，来邀请我们两位专家来进行一下解。我们先来看一下我们的第一个问题啊。A。

嗯，好，其实这块的话，我们梳理下来的话，在环境下主要是有四方面的一个挑战，第一个就是在我们的应用和逻辑上迁移上的过程中啊，它这个暴露的很多API的数量啊，类啊都比较多，容易暴露很多的这种攻击面，那这里面的话就涉及到怎么去有效的去管我们API的一些挑战，那第二个是我们在以前开发这种，呃，以前强调这种开发速度和灵活性，忽略了很多API的一些，呃，API安全本身的一个重要性嘛，所以说我们在针对这种已经运行的API怎么去保证啊这个预运行A全性这块的些挑战。第三个是在这种呃，我们叫内外部的一些接口缺少一些呃验维护的一些呃情况下，那这里面可能会存在很多这种被攻击的隐患，这里面的话就需要说针对这种API异常的一些么，进行的有效的一些出挑，第四个就是在这个云原生环境下，它的整个的纵深边界被打破啊，API本身的风险就会在增加，如果一些防护措施在没有。

做的不是很到位的时候，那我们的API呃，被一些这种进行了一些恶意调度的时候，那我们也要呃及时的发现啊，检测数据块的一些常调度啊，这块挑战，那这几个挑战的话，其实也就要求我们在对整个企业它的一些API的资产，还有及它些敏感数据流动方面一些动态梳理，以及API的一些缺的，还有A方面的一些呃进行及时的一些感知啊，对这方面能力会有一些要求。好的啊，感谢李老师的解答，我。

嗯嗯，这个这个问题提的蛮好，就是呃呃，其实我理解那个API安全市场的这个快速兴起，其实本质上来说，呃，其实前面我有有一部分提到，就是我们技术发展趋势下的一个必然结果啊，是一个必然结果，这个可以说，呃放到几年前我们也是可以预见到，那么企业它面临的主要的任务其实就两个，一个是快速创新，一个是数字化转型。那在这个过程中呢，它可以呃其实催生出了很多的这个呃应用啊，包括这个交付形态，比如说我们现在举例子啊，以前我们用的这个网站啊，包括现在呃大去使用这种包括小程等的一些交付形，其实我们看到的这种上的化后的呃是技术架构的一个演进，那是这样的一个演进来促进了我们这种API的这种宽的一个应用啊，那在这个应用过程中呢，衍生出了一些新的安全风险，那么自然就带动了这种安全市场的一个风向的一个变化，其实近两年呢，这个我们说的这个演进呢，主要就是指我们在这种延生微服务啊，代报报S这个过程中。

这个API，这个服务它作为一个，你比如说这个容器作为一个核心的这种组件，其实呃应用是非常广泛的啊，然后呢，企业呢，它在这个快速创新，包括数字化展型过程中，它需要去做呃，具备它的这个软件架构，具备这种模块化，具备这种可扩展性来应对这种市场的一个变化嘛，啊，那所以API它作为一个，呃，又能独立把发布，又能这个无缝衔接到其他系统的这样一个这个首选的一个架构，那么自然就成为了企业它在主观上去选择的这个啊研发径之一啊，或者说呃，甚至有的把这个API已经作为一种首选的一个研发。

那么在这个呃呃，这个安全的视角，如果我们切回来去看的话，那么还有一点促进了这个。API市场的一个发展，也是就是传统的边界，对于API来说，呃已经逐渐失效了，那么API它作为整个音乐系统的一个呃关键的入口，呃目前它是所有这个应用安全链条中最薄弱的一环，那么很多的方式就是它即便不是针对于API的，那么这个攻击的一些手段，传统的一些攻击手段，如果它和API结合到了一起，那就会有很大的一个安全问题啊，啊同时呢，这个API它不仅是这个我用于一些接入或者用一些请求，那么他在这个过程中还有这种，比如说数据集啊，去修改的这些这些行为，那就意味着我的API不仅我这个很薄弱，同时我这个对于攻击者来说我还很有价值。啊，我在这个，呃，就就跟没有上锁的一个金库一样，那么我有最薄弱的防护，我去通向最有价值的资产，那么必然就会成为黑客啊，这些攻击者的这个头号目标，那与之相对应的，我对抗这些黑客的啊，这些这个API安全的市场也就应运而生啊，因此我就说这个API安全的市场兴起，它其实是整个技术发展趋势下的一个必然结果。

它其实内在是有一定的这个客观规律的，那么我们腾讯安全来说呢？呃A安全一直是我们云产品的一个重要场景，其实早在呃一九年的时候，呃，腾讯的这个云就有了API安全能力的这个1.0啊，只没有没有当做一个特别独立显眼的一个模块存在，那么到二二年我们现在发布的这个。API安全的一个2.0呢，是一个全新的一个呃能力上的一个升级啊，那么是针对于API场景的一系列增强能力的这样一个打造，比如说我们对于这种呃，API接口的一些识别，API画像的一些分析，包括呃前面重点强调的这种敏感信息泄露的这一部分的新的能力，它是涵盖整个API生命周期的各个阶段的这种防护和管理的啊，能够帮助我们的这个用户去全面守护我们在这个API接口上的这种基础安全，包括业务安全。

嗯。好的啊，感谢赵子怡老师。我们再来看一下第三个问题啊。嗯，对，呃，这块的话，其实我们给出来的一个方案和建议，还是应该从整个呃API安全，应该以这种API全的一个生命啊，一个线索，从这个API的一个流量入接入的话，要考虑的一些相关的些解协议啊，还有就是他的一些资产的一些梳理，攻击的检测的基础上啊，对他的一些业务流量和他的数据啊，能够进行一些充分的学习啊，同时的话，针对这些API本身啊，因为它本身也是一个应用层的一个流量，可以整合一些我们现有的一些外应用，一些攻攻击防护的一些能力啊，整合这块的一些安全资源，达到这种攻击预防，攻击阻断，以及它的相关些敏感数据泄露防护的这块一些目的啊，最终保护它整个运行时的安全状态，那这里面的话就主要包括四个方向，一个是首先是。

针对这种API的资产一些梳理啊，针对这些接入的流量啊，这些我们能够很好的识别到这里API，它有哪些，这种API的一些啊，名称啊，类型啊，它的些风险等级啊，它所属域名，它一些功能场景，它的一些数据标资产状态，以及这些API的一些变更的一个呃流程进行可以很好的一个追踪，第二个就是它的这个A的流量分析啊，可以很好的分析到它的一些活跃程度，以及这些API里面的一些数据，它一些的一些级别啊，它的安全事件啊，有什么样一些风险，它的事件类型是什么。

啊，第三个就是针对这个A事件呢，能做的一啊，那是存在些常权调度，械化些调度一些行为，那针对这种呃，事件的类型，事件的等级啊，会有这个不同的处置建议啊，同时的话，在处置过程中，对他的处置状态可以进行一个跟踪啊，第四个就是它的API安全的一些防护啊可以啊，能够针对这种API里面的一些参数啊，比如它的一些分水也好，或者是什么样一些参数进行一个匹配啊，包括对它里面的数据一些敏感规则可进行一些相关的一些检测，那围绕这个四个方面的话，去规划我们整个API的一些防护措施。好的啊，感谢李宝新老师。

我们再来看一下最后一个问题啊。当前API全产或者说解决方案啊，大致有几种类型呢？我们请赵思老师为我们解答一下。嗯，好好的，呃大致几种类型啊，就是呃，目前其实市面上我们看到的这个API的这种，呃安全安全产品或者安全解决方案呢。这个有一些我们可以归类一下，就是有一部分它是侧重于这种呃，统一管理的啊，就是我涉及到的，比如说API的这种呃，规划设计，然后包括测试啊，发布啊，运营啊，调用啊，版本管理啊等等这样的一个，呃，API的一个管理工具啊，然后在这个管理工具的过程中去监测它的一些这个啊，比如说他的工具集或者策略的一些这个管理啊等等这部分的一些能力啊，然后还有一些呢。就是它呃侧重于就是数据安全这个层面，比如说对于API的一些数据管理的，就像比如说一些那个敏感数据发现啊，审计啊，然后包括一些脱敏的这些这这一类的一些能力啊啊然后呢，呃这个也是呃很多是应对于这个呃就是呃数据安全法的一些相关的一些要求啊。

来衍衍生出的这一类的一些产品，那有些可能它都不是独立的产品啊，有一些它就是一个呃解决方案可能啊，这个在功能和手段上还是依托于传统的一些产品啊，还有一呢，就是以这种呃API的一些防护手段来为核心的这一类的这种解方案，比如说我去呃去防护一些拒绝服务攻击，去防护一些这种非授权的一些访问啊，那这部分呢，比如说像API网关等等这类的一些产品啊。然后呢，但是其实呢，呃呃在我们看来啊，就是呃一方面随着这个数据加源法啊，我们颁布了我们这个讲叫以网络安全为技术手段，以数据安全为核心目的的数字安全时代，对吧？那在这个数字安全时代来说啊，那其实安全它已经是和你的核心业务是融为一体的了，那么你的企业想要可持续发展，那么安全能力必须是作为一个支撑支撑点来存在的啊那么呃，其实传统的这种呃API的安全产品呢，当然它有发挥它自己重要的一些这个呃这样一些作用，但是更多的像一种单点式的或者被动式的这种保障方法，是没有办法来应对现在的这个API的安全的一些呃这个这个挑战的啊呃我们在这个调研过程中也发现，其实很多的企业在这个API安全建设中，还还是有一些这种呃共性的一些呃问题存在的，比如说呃，比如说像这个呃有一些API威胁防护效，它主。

原因就是我的这个A网，包括我的这个，我的这个务部门的这个都属于一个队啊，那么就导了我们在这个呃防护效果或者管理效果上的一个一个一个缺失，所以为什么我们不要把这个呃API的这个能力集升到里面，那这样我们可以借助于API的这个呃发现的这能力，然后借助于的一些防护的能力，那么使得安全部门能够成一套闭环的一套管理体系啊，那这样我们在这个安全防护能力上呃有有更多的一个抓手。

然后呢，在这个呃还有一个就是呃，很多企业对于这种API的这些呃这个可见性啊，我就是发现的这个API的一些能力，那是相对来说比较缺乏的，那就这就导致了就是你在API前面的这个资产梳理的这个过程中，你就有一定的这个缺失，那你后面的这个安全就可以说是这个无从下手了，所以呃解决这个呃，我们认为解决这个API安全能力是应该通过这种平台化的这种整体解决方案啊，然后在这个的这个能力的这个加持下来，作为一个整体化的一个能力来体现的，而不是呃作一个简单的扫描API扫描器啊，或者做一个工具啊，来去能够解决它的这个呃问题啊，所以我所以我们也在强调就是API安全的一个全生命周期的一个管理。

方案嘛，因为你存在的这个不管是漏洞啊，风险啊，包括这个逻辑缺陷啊等等啊，这个阶段是贯穿在整个API安全的这个生命周期的，所以我们呃，也是这个孝发布的这个2.0，也是通过这种全生命周期的方式，然后呃，借助于API安全的能力，在借助于的一个加持，能够给客户来提供一体化的这种管理的一个平台，嗯。好的啊，感谢两位老师的解答啊，也感谢大家的踊跃发言和互动啊，因为时间的关系，我们今天的在线问答就先告一段落了。然后大家可以继续的码群啊，我们专家进行一些更多的交流和互动，下来我们的奖环节将会再次的啊，本轮我们为大家准备了十个怪头。

首先大家还是先扫描我们屏幕的二维码进群啊。一我们的二码进去密。好的啊，接下来大家听我的密啊密钥口令云原生安全体系化防御，更高效，更安全，更省心。啊，大家将云原生安全体系化，防御更高效，更安全，更省心啊，发布到我们的微信群。看一下啊，大家赶紧的。好嘞啊，恭喜前十名的同学啊，请联系我们的呃，微信群的小助手啊，领取我们的奖品。啊，今天两位老师啊，带来了关于A全以及解决方案，可说是货满是由于系一段意犹未尽啊，我们原我们原安全实战加仓。

还会有多系列的这样一个课与你分享啊，那这我们今天的播啊，就要跟大家说再见了啊，我是主持人胡碧腾啊，再次感谢所有的观，以及感谢两位老师的讲解和解答啊，谢谢大家。我们下期再。嗯。