梆梆安全科技是干啥的

邦邦从二零一零年成立至今，一直是走的是这个移动安全的赛道，但是呢，就是随着近年来这个新型攻击的加持下 啊，就是我们可能就是在这个端这一侧可能做的东西就相对来说是比较少了，嗯，因为你像现在就是各个企业在数字化转型啊，当中呢，也会衍生出来大量的这个数字化应用 啊，你像传统的 app， 呃，呃，也会有这个新型的新应用，比如说是这个小程序或者是 h 五应用，是吧？尽管的这些就是渠道的这个应用的形态不同，嗯，但是他们都有一个共同点啊，就是他们都需要通过 api 接口来和咱 咱们的后端业务服务进行交互啊，那么这样就会产生大量的 api 接口啊，那么咱们企业当中的这个数据传出啊，无论是这个内部使用还是外部共享啊，都会体现在这个 api 接口上面 啊，因为 api 结果上面呢，一方面是承载着咱们的一些数据的一些交互啊，一方面也会承载上一些相应的，呃，业务方面啊，是吧？那么我们就 呃也是一个是跳出舒适圈，嗯，再一个呢，也是像这种新型的一些安全方向去拓展，嗯，其实是这样，嗯，好， 嗯，其实像 a p i 安全这个国外涉及的来说是比较早的，嗯，你像国外有一个 ows 组织，呃，他们在很多年前提出了针对于 a 偏安全的 top 十风险点，嗯啊，里面都是一些，呃大量的因为业务逻辑漏洞造成的，是吧？然后呢， 呃，就是据有关的一个数据调查，就是目前咱们企业当中的这个呃重要的业务有百分之八十三都是承载在这个 api 接口上面的，因为 api 安全他这个设计的面很广，他横跨了这个 数据安全、应用安全和业务安全啊，所以他这个面是非常广的。 其实现在很多市面上会有一些误区，呃，就是说是通过 waf 产品还有这个 api 业务网关就可以做 api 安全，嗯，其实不是这样的，会有一种误区，其实我们只需要了解这两类产品它的侧重点是什么， 我们就能明白。你像瓦夫，他是外部应用防火墙，他主要呢是应对于外部应用的一个这个针对于像叉四 s 攻击啊，色扣注入等等这些做一些奉献的防护啊。那么对于之前奥瓦斯组织提出的 api 安全风险 top ten 当中所涉及的 api 业务逻辑漏洞相关的，呃，他就做不了。再一个呢，袜服产品呢，他是采用这种单词包过滤的形式，呃，他欠缺于这种上下文的关联分析呃，呃，对于这种新型的攻击，比如说是对于数据进行，呃，这个 啊，大量的批量访问或者是低频的请求，这些袜服是呃做不到的啊，也检测不到啊。再像 a p i 业务网关呢，它是属于这种管理性产品，它是需要将 a p i 资产录入到 api 业务网关之后呢，再能进行一些，呃权限呀，欠权一些处理，嗯，它是一种管理性产品，但是很大情况下呢，就会呃导致衍生出一些僵尸 api 和影子 api。 再一个呢，就是如果说是 api 接口的请求是这个攻击者，呃通过攻击的方式进行伪造的，或者是进行呃对这个参数进行篡改，那么 api 网关也是做不到的。嗯，那么所以说是针对于 ap 安全这一块呢，还是需要一些创新性的产品来解决这些问题？嗯 嗯。其实，呃，像 api 安全呢，它不单单是对于某一点，嗯，呃，这块来来做，呃，我们必须要整合这种，就是前端应 用册的这种风险加后端业务流量的风险进行相结合啊，形成这种端到端的这么一整套的全渠道的风险防护措施。嗯，是这样，嗯。