练习时长两年半的API安全练习生

2021年，很多人同时忙着一件事——从26个英文字母随机挑选几个拼成一个新词，并做出释义：趋势、价值、未来。其他人努力搞懂这些词到底是啥意思。

某专家指出，只要大家掌握了26^4=456,976种字母的排列组合，就能完全理解安全产品的品类了！然而隔日便宣称自己的新解决方案用了5个字母，是绝对的创新！

当时我们也讲了一个「以API安全为切入点，向多场景转化数据价值」的故事，跟着赛道发展，转眼间成了时长两年半的练习生。

01 API安全

国外API安全领域自19年起逐渐火热，以面向云环境的串行防护/分析/管控一体化形态为主，SaaS+私有化结合着卖，21-22年出现了几个收购退出案例。

国内这两年来也陆续出现了二十来个厂商的方案，「API安全」的释义似乎从来都没有固定过，大家探索出了很多玩法——毕竟，软件咋能离开API呢？ChatGPT不就是用API交付的吗？

API无处不在，容易被集成，和应用安全、云安全、零信任、数据安全、风控等方向均有结合，主要产品形态有：

1. 防护类：WAF加入API场景变成了WAAP（Gartner）。机器与人的交互，Web=API+UI；机器与机器的交互，就是纯API了。WAF用户开个API防护模块顺理成章。

2. 分析类：通过旁路流量、日志分析的方式，进行资产梳理、威胁监测、数据追踪等。

3. 终端类：生产服务器的RASP、办公终端的DLP，都可以加入针对API的Detect&Response能力，这种模式效果与侵入性都很强。
   

4. 管理类：一方面是安全解决方案（ASM）的融合，包括资产发现与漏扫能力；另一方面是API Infra厂商（以云、API网关、API管理平台、APM为主的解决方案）的融合，作为API业务中台解决方案的安全底座。

我们选择的是旁路分析模式，因为PMF要快，价值体现也要快，先做无侵入，验证了价值，大家才能有深度配合。

从21年开始，这两年半时间里非常克制，没折腾什么产品矩阵，也没做与主线业务无关的项目，从第一版MVP的四个功能页面，到当前2.9版本的二十多个功能页面，一套数据分析底座，承载不同的场景化功能。

02 客户价值

客户价值指的是：任何意义上（政治/经济/心理上），通过任何媒介（产品/服务/咨询/活动），企业为客户提供的效用组合（以人为中心的，主观的、边际的）。

* 可以说一切都是产品，或者一切都是服务，总之都是传递价值的方式。

C端更加关注体验——心理上的；B端更加关注效率——经济上的；而安全的特殊性在还有很重要的管理意义和政治价值。

项目为什么要做？客户需要一个理由：

* 实战-漏洞多被打痛过？

* 合规-数据安全合规来啦？

大部分厂商都这么讲。

API安全这个方向，其实早期的获客优势就是「新」。

 「新」是不是需求？信息差大的行业是。卖土豆不需要讲故事，卖保健品需要，卖内存条不需要讲故事，卖软件需要。

但只靠「新」是不可持续的，早期卖的很快，后面增长乏力，被市场证伪。信息差被填平后，要么性价比领先，要么不断地创造差异化价值。

新的东西也有困难，客户不知道怎么落地，渠道不知道怎么卖，需要搭配咨询式服务，从商品制造-销售路径-价值落地的整个链条自己蹚出标准化模式。

03 服务

服务的过程是非常重要的积累业务knowhow、提升产品功能竞争力的过程，这里指的是产品配套服务：方案咨询、产品租用、模型调优、拓展研究等。

服务的另一个价值是传递信任。信息差越大，信任越重要。在学习心理咨询中的咨访关系时总结了一句话，我认为同样适用于长期关系的维护：

认真细致、真诚一致、如其所是。

所谓理解客户，最难的是放下自己的价值观，尊重客户的价值观，如其所是。

自动化一定比人工更好吗？人工就一定落后吗？先进团队一定要用xxx吗？

做技术需要think big and aim high；做服务一定要有一颗客观的、无住的、谦虚的心。

04 差异化

API这个方向真正差异化是：

* API中流动的数据具备强业务价值，且未被挖掘。

安全角度，API的「强业务属性」模糊了基础攻防和业务风控的界限，其安全问题以业务逻辑、权限、数据为核心，不以漏洞为核心。

甲方安全视角下，把漏洞能力迁移到API的场景上即可，不需要重复建设，而API的资产暴露面梳理、数据流转可见性、业务行为及业务风险，具备独特价值。

IT与运维的视角下，正在面对「复杂性与成本」之间的矛盾，研发敏捷了、架构分布了、资源弹性了，可观测性越来越困难，极少人能够回答项目有多少个功能接口、正在传输什么数据、健康度如何。

很多企业引进了API战略中台（网关、开放平台）来做统一管理，而方案落地推广仍需要摸清底盘：谁需要接入？如何推动接入？哪些老旧系统可以下线？能节约多少成本？这些都可以利用API的基础数据来支撑。

业务视角的风控、用户画像、探索型挖掘方面，也看到了很多场景。

一方面，对API为商品的SaaS化业务而言，API的数据就是业务数据，例如：开发者平台、SaaS产品、数据交易、AI大模型等；另一个角度，基础IT团队拿到的数据是跨业务的，可以拓展「内部业务」的视野边界；同时，在一定情况下，中台团队能比业务团队更快推动数据采集，降低重复建设，达成共赢。

总体来说，API生态发展背后的趋势是：业务与技术正在融合，企业需要以更高的迭代效率来应对市场变化。

05 技术底座

在客户交流过程中，有很多技术大牛让我印象深刻。有些会开门见山：你们几家的产品我都看过，说说数据怎么采集的？底层用的什么架构？数据能不能导出？

应用技术，壁垒大多在工程上，坑没踩过就是门槛，踩过了就是壁垒。我们的产品能力无非是数据怎么采，怎么分析，然后转化到了哪些行业的哪些场景。

几个要点：采集、计算、分析、可视化。

听起来和BI很像，传统BI重可视化，以各种花里胡哨的报表、大屏展示价值为主，不过这玩意没有壁垒，随着业务在线化程度不断加深，新的BI厂商开始卷OLAP。

我们在早期的版本就使用了Flink做计算以及Doris做OLAP——schema灵活、支持明细数据、高并发的点查和大数据量的Join，适应探索型分析场景。但因Doris发展时间短，自己在配套基础设施如容错、高可用、数据恢复上踩了很多坑，也给社区贡献了一些bug和feature，长期来看我们对Flink+Doris的演进路线非常有信心。另一方面，自研数据探针的过程踩了一堆坑，包括协议适配、架构适配、性能、侵入性，解决了分析工具“难为无米之炊”的冷启动问题。

关于定制问题，互联网大厂们都脱下长衫了，大家考虑的不是「要不要定制」，而是「如何高效定制」。一个扎实的数据底座以及良好的模块化功能设计非常重要，我们正在做的一件事就是将绝大部分功能从页面到能力，全部开放可配，使技术人员能够在POC过程中快速覆盖客户的独特场景，看到效果。

有两个反思：一是根据PMF的节奏控制成本，不要上来就谈终局；二是只把握少量的核心点，其他大部分问题都可以「到相似场景中买经验」，不要什么都闷头鼓捣。

全面开放数据底座，快速定义功能，不断积累业务knowhow，为头部客户提供高效率定制，为腰部客户提供开箱即用的能力，是我们的主要路线。

06 市场

值此寒冬，所有人都体会到了市场的重要性。

早期做SaaS的产品时候，正值云计算、互联网、安全三浪叠加之时，能一边做研究一边往产品里转化，各种资源拿来就用，回想起来倍感幸福——在企业里花钱做研究，一定是有人回答过价值问题。

如今，大家讨论的话题多为缩减成本、开辟新的融资通道、结合政府/优势产业、出海。

市场规模决定了分工的程度——假设企业花1000块做技术研究，效果是每个产品能多卖10块，那么至少要有100个客户的预期，才有动力启动这项研究，规模很重要。很多企业或主动或被迫探索出海之路，于行业而言，于技术发展而言，都是好事。

危机，或许对变现而言是「危」，但很多地方酝酿着结构性变化，对做事而言是「机」。

我们能做的一直都是找到问题，解决问题，无论环境如何。

原文始发于微信公众号（乐枕迭代日志）：练习时长两年半的API安全练习生