持续提升API安全产品能力,「永安在线」完成新一轮4000万元融资
安全厂商「永安在线」已于日前完成新一轮融资。据介绍,本轮融资金额在4000万元,投资方为国科投资,指数资本担任独家财务顾问。公司表示,至此「永安在线」本年度已完成7000万元融资。
永安在线是36氪持续报道的一家企业,成立于2017年1月。公司早前专注于业务威胁情报的积累,当前也正凭借这一领域的积累,以及每日数亿的情报运营能力及实时更新能力,持续进行API安全产品的打磨。
公司CEO毕裕向36氪表示,2020年永安在线已经将情报能力基本积累完善,此时公司也开始拓展更契合业务威胁情报落地的场景——API安全。在业务威胁情报和API安全的逻辑关系上,毕裕介绍,他认为API安全方案需要具备几个特点,即梳理出完整的安全攻击面和数据暴露面、对API安全缺陷进行自动化地持续监测,以及实时检测针对API的逻辑攻击等。但是通过实际经验总结,他发现仅通过WAF或者人工测试的方式无法达到这些效果。
这是因为,API的基本逻辑是输入请求和输出相应数据,针对API的攻击往往是基于业务逻辑来实现的。如攻击者通过大量的秒拨代理IP,伪装成正常的请求访问,对API接口进行低频攻击或数据爬取,传统WAF或基于规则引擎技术的安全产品都不具备这方面的检测能力。
对比之下,其认为通过情报(如攻击者利用的IP、自动化工具等资源)构建API安全行为基线,能更有效地感知外部API风险,误判率低,可用性更高。据介绍,目前永安在线API安全管控平台风险事件预警的精准度平均值可达97.66%。
其中,由于API资产常处于时刻变化的状态,所以帮助客户及时、持续地感知风险是毕裕眼中API安全方案需要解决的最大挑战。针对这一点,他着重介绍,永安在线如今已经打磨出一款不断更新的识别引擎。这一引擎的运作逻辑是,通过收集、分析互联网流量,总结出资产特征和风险等信息,再通过云端的方式向客户输出分析结果,保证对缺陷的持续评估资产梳理的持续性。
在威胁情报能力的基础上,永安在线的API安全管控平台主要将能力展现在API资产测绘、数据安全合规自审、数据泄露风险感知和内部违规行为审计等场景上。
在资产测绘方面,永安在线首先会通过刚刚提及的引擎,及时发现API的增删查改情况。而且其平台中还会内置资产梳理模块,可以把资产信息及时同步给相关业务或者安全人员。
另外,数据安全合规自审则主要针对数据出境业务。毕裕表示,自去年数据出境相关法律法规逐步完善开始,永安在线即开始布局这一场景。由于API是一种重要的数据流通渠道,所以永安在线会帮助客户梳理数据接口和其中数据的敏感性,帮助客户判断自己数据出境业务的合规情况。
而谈及数据泄露风险感知,毕裕表示,当前不少企业客户希望直接了解自身数据泄露的风险和解决方案,而永安在线的产品同样能够基于云上情报平台,结合外部蜜罐和客户自身流量进行分析,帮助客户做数据泄露的监测。在内部违规行为审计场景中,由于当前不少企业敏感信息不再单纯以文件形式承载,而是以API为渠道在各个系统中流转,所以这一场景也成为永安在线的重点关注对象。
可以看出,当前API安全和数据安全关系紧密。针对这一问题,毕裕坦言,"当前确实有不少客户会从数据安全的角度慢慢了解、采购API安全产品。"但他也进一步补充到,由于API在提升研发效能和安全综合管理能力上具备独特价值,所以在未来一段时间内,随着安全建设的进展,相信会有越来越多的企业从更整体的角度理解API安全的意义。
另在商业化进展上,毕裕介绍,最近半年永安在线已经重点拓展了金融、政务和互联网行业的客户,完成近20家标杆客户的项目落地。在本轮融资之后,公司也将持续提升产品的标准化交付能力,完善产品的更多功能。并且,为了整体推进公司在API领域的进展,永安在线当前也在进行高管团队的完善。而且,公司当前还在重点招聘具备多年营销经验的合伙人,希望通过高管能力的补充,帮助公司完成业务进阶。
关于投资:
国科投资董事总经理李海斐表示,互联网暴露面大增、云化和微服务使得API数量成倍增长,API安全是基于漏洞防护的传统网络安全无法解决的领域,防护技术提升刻不容缓。永安在线在API安全领域具备特点,以威胁情报引领整体解决方案,并且情报与AI相辅相成,可以大幅度提升AI的学习效果,有望成为这一全新领域的头部企业。