日前，以“促进数实融合 赋能千行百业”为主题2023（第二十二届）中国互联网大会在京开幕。梆梆安全 API 安全产品专家仇乐在大会期间接受采访。

  新华网：梆梆安全这么多年来一直深耕移动安全领域，请问是什么原因驱动梆梆安全向API安全领域拓展的？

  仇乐：梆梆安全从2010年成立至今一直深耕在移动安全赛道。近年来，各个企业在数字化转型中衍生出大量的数字化应用，传统的APP也出现以小程序和H5应用为代表的新型轻应用，尽管渠道应用的形态各不相同，但是它们都需要根据API接口进行业务交互，因此产生了大量的API接口。针对API接口的新型攻击方式需要新型产品来防御。因此我们选择跳出舒适圈，向新型安全方向拓展。

  新华网：请问对于API安全，您是怎么理解的？

  仇乐： API安全大部分风险点都是因为业务逻辑漏洞造成的。有关数据显示，梆梆安全目前的重要业务有83%都承载在API安全上面。API安全涉及的面很广，它横跨了数据安全、应用安全和业务安全领域。

  新华网：市面上有一些声音认为WAF产品以及相关API业务网关的就能做API安全，请问您对此怎么看待的？

  仇乐：认为带有API业务网关的WAF产品就可以做API安全，这其实是一种误区。 WAF是web应用防火墙，主要是应对web应用的XSS攻击、SQL注入等等的风险防护，像OWASP组织提出的API安全风险TOP10中涉及到的API逻辑漏洞它就做不了。再者，WAF产品采用的是单次包过滤的形式，在关联分析上有所欠缺。对于新型的攻击，大量的数据批量访问或低频请求，WAF都无法检测到。

  API业务网关是处于管理型场景，它需要将API资产录入到API业务网关之后才能进行权限、禁权的处理，但同时也会衍生出僵尸API和影子API。如果API接口收到的请求是攻击者通过攻击伪造的或者是经过篡改的参数，那么API业务网关也做不到安全防护。所以API安全领域还需要一些创新性的产品。

  梆梆安全的API安全将会整合前端应用侧与后端业务流量的风险，形成端到端的一整套全渠道的风险防护措施。