接下来，杨旭鹏对星阑科技API安全解决方案的实践案例进行了介绍。

某互联网公司云平台有多个对外商业化SaaS业务，API访问量极大，内网网络拓扑复杂。公司自建了API网关，公司外部、内部定期组织攻防演练，API成为主要攻击面。在此背景下，公司需要通过网关层持续发现未纳入安全管控的影子API。同时，建立持续化API攻击监测及溯源能力。

星阑科技通过软件部署模式，针对两种API数据采集点位，以自建API网关进行导流，分别进行七层日志实时分析、小时级pcap分析。部署完成后，由客户红队安全工程师模拟多种攻击方式，对比同类产品检出率最高。

通过星阑科技的安全部署，该互联网公司在多次攻防演练中，成功识别到数十次API安全事件。发现数百个未纳入安全管控的API，从API视角加强了整体业务安全管控能力。

在访谈互动环节，主持人与杨旭鹏就API安全的相关问题进行了热烈互动。

针对全球API威胁的现状，杨旭鹏表示，API网络安全属于一个新兴的赛道，随着企业信息化转型加速，API调用量呈指数级增长，API的安全问题爆发式凸显。一方面由于API是公开的，目标多，加上API传输大量的、重要的、敏感数据及一些认证信息，一旦被攻破，会直达核心系统。此外，API攻击防范非常难，API的一些漏洞是传统的安全检测设备无法覆盖的，因此黑客们非常青睐API攻击。目前全球API安全产业的市值大约3000-3500亿，国内预计600-700亿的量级。

提到API安全产品与传统安全产品的差异，杨旭鹏认为，一是协议上，传统安全产品只支持IT通信协议（如HTTP、FTP），API安全产品支持更多的协议，能更细粒度的识别和解码；二是能力覆盖上，传统的安全检测设备更多关注入侵的问题，大多基于单包检测，而API安全产品基于流量分析，能把流量中的API进行聚合，从而识别出API资产；三是检测深度上，像API漏洞协议、API异常行为等是传统安全检测设备的盲点，而API安全产品是基于流量的长效监测，能针对API行为进行分析，从而识别出恶意访问与正常流量；四是IT架构的适配性上，API安全也是一个生态，会涉及与API网关、API管理平台、API测试工具等进行适配。

关于星阑科技API安全产品的优势与价值点，杨旭鹏表示，优势在于星阑科技非常理解用户的诉求，产品功能上原创度非常高，对于漏洞能智能化覆盖与更新，兼容主流API协议且部署灵活。从价值点来看，能快速帮助企业从0到1搭建其安全防护能力，产品功能及准确度也受到用户的认可，同时星阑科技参与了由工业和信息化部网络安全产业发展中心牵头组织的《数据传输安全白皮书》的编写，推动了政策在行业内的落地。

本次分享活动，让与会人员对API威胁现状有了更深刻的了解，对星阑科技的API安全产品有了更清晰的认识。北京软协希望相关厂商和应用企业能通过北京软协平台有更多的交流互动机会，共同推动API安全产品的发展，保护各行业企业的API安全。