Einführung von Zero Trust: APIs und eine Geschichtslektion

Jan 07, 2024

Startseite » Security Bloggers Network » Einführung von Zero Trust: APIs und eine Geschichtsstunde

Sehen Sie sich diese Episode auf YouTube, Apple, Spotify, Amazon oder Google an. Die Shownotizen können Sie hier lesen.

In den letzten Jahren haben Angriffe auf die Lieferkette und ihre Auswirkungen den durch Ransomware verursachten Schaden übertroffen oder werden ihn bald übertreffen. Daher überrascht es nicht, dass APIs ein kritischer Angriffsvektor sind, den Bedrohungsakteure gerne ausnutzen. Dennoch wissen viele Unternehmen nicht genau, über wie viele Türen sie in ihre Daten gelangen.

Diese Woche unterhalten wir uns mit dem Paten von Zero Trust, Dr. Zero Trust, und einem Chief Security Officer über den aktuellen Stand der API-Sicherheitsreife. Mit Rücksicht auf unsere Gäste nutzten wir natürlich auch die Gelegenheit, uns ein wenig über die Geschichte von Zero Trust zu unterhalten.

Diese Woche haben wir drei ganz besondere Gäste:

John Kindervag, der Schöpfer (Pate) von Zero Trust

Chase Cunningham, alias Dr. Zero Trust, und jetzt Vizepräsident für Marktforschung bei G2

Richard Bird, Chief Security Officer von Traceable AI

Wie jedes andere Cybersicherheitskonzept müssen APIs über ein Asset-Inventar verfügen

Es gibt eine ausreichende Fehlerquote im Zusammenhang mit der beabsichtigten Verwendung von APIs, die eine kontinuierliche Überwachung/Verifizierung erfordern

Bei der Sicherstellung der Nutzung von APIs im Namen der Geschwindigkeit und Innovation besteht derzeit eine Reifelücke, und oft gibt es keinen etablierten Eigentümer

Wir werden im September eine Veröffentlichungspause einlegen, da meine Tochter angekommen ist und ich so viel Schlaf wie möglich nachholen muss. Wir sollten im Oktober zurück sein und die Ferien bis zum Ende durchziehen, bevor wir die zweite Staffel abschließen. Während meiner Elternzeit arbeite ich auch an einigen experimentellen Podcast-Serien, also bleiben Sie dran. Zumindest einer dürfte für unser Publikum hier besonders interessant sein. Wenn Sie außerdem für eine Cybersicherheitsorganisation arbeiten und daran interessiert sind, einen Podcast zu starten, schauen Sie in meinen Posteingang, wenn Sie Hilfe benötigen.

Gewinner der Verlosung

Wenn Sie unsere letzte Folge mit Yubico gesehen haben, haben Sie hoffentlich das Gewinnspiel gesehen. Sie waren so freundlich, den Zuhörern zwei Yubikeys anzubieten, und wir haben unsere Gewinner! John C und Simon D, Sie sind unsere Gewinner. Wir verbinden Sie mit Yubico, um Ihren Schlüssel zu erhalten. Sobald wir zurück sind, werde ich wahrscheinlich ein Flipper Zero-Gewinnspiel veranstalten.

Schneller PSA für LinkedIn-Benutzer

Wenn Ihr LinkedIn-Konto nicht über MFA/2FA verfügt, aktivieren Sie es jetzt. Seit 60 Tagen läuft eine massive Kampagne zur Kontoübernahme, und das ist die beste Möglichkeit, eine Sperrung Ihres Kontos zu verhindern. Sagen Sie den Leuten außerdem, sie sollen aufhören, Passwörter wiederzuverwenden.

Und nun zu unserer Folge …

Angesichts der unzähligen Tools, die uns zur Prävention, Erkennung und Eindämmung von Cyber-Bedrohungen zur Verfügung stehen, wissen wir alle, dass es kein Allheilmittel gibt, um ein Unternehmen vollständig zu schützen. Nennen Sie es Defense in Depth, Security by Design oder sogar Zero Trust, und jedes dieser Konzepte konzentriert sich auf die Entwicklung eines mehrschichtigen Ansatzes, um das Ziel auf Ihrem Rücken zu reduzieren.

Aber hier ist die Sache: Abgesehen von Zero-Day-Angriffen wissen wir in den meisten Fällen, wie Gegner wahrscheinlich versuchen werden, uns anzugreifen. Hier erfahren Sie, warum Konzepte wie Zero Trust für ein Unternehmen so viel wichtiger sind, als nur zu versuchen, Probleme mit Technologie und Tools zu lösen:

„Warum sollte ich die Krankheit heilen, wenn es mehr Geld zu verdienen gibt, wenn ich die Symptome behandeln kann? Ich weiß, hier ist eine weitere neue Funktion, von der ich weiß, dass sie diese andere Sache tun wird, aber sie wird nicht das ganze Problem lösen, obwohl ich weiß, dass ich es könnte, aber es wird nur eine kleine Kostprobe erfordern. Es ist wie ein ZT-Crack, oder?

Man schnuppert nur ein wenig daran, und dann will man noch mehr, und dann will man mehr, und es wird immer schlimmer und schlimmer und schlimmer, und ... Das, die Grundlagen, das ist, und John und ich reden Wir sind uns darüber ständig im Klaren darüber, wie die Grundlagen dessen, was wir tun sollten, sind. Es macht mich wahnsinnig, dass die Leute immer noch herumsitzen und sich fragen, worauf sie ihre Bemühungen konzentrieren sollen oder was auch immer, wenn wir umfangreiche Forschungsarbeiten und ganze Organisationen haben, die sich diesem Thema widmen, so als wäre dies der einzige Ort in der gesamten Kriegsführung, an dem der Gegner einem sagt, wie sie es tun. „Ich werde auf dich zukommen und die Leute sitzen herum und gehen, ich frage mich, wie das funktionieren soll.“

Das ist eine Menge zu bedenken, aber wir alle wissen, dass es sich dabei nur um Tatsachen handelt. Es gibt ein Tool für jeden Anwendungsfall, aber welchen Wert bringt es uns ohne die Grundlagen wirklich? Nicht viel. Werkzeuge behandeln nur Symptome, und Ihre Strategie besteht darin, die Krankheit zu heilen. Lassen Sie uns nun über das derzeit schwächste Glied sprechen, die API-Sicherheit.

„Ich würde Ihnen sagen, dass sich die API-Sicherheit im Hinblick auf den Reifegrad derzeit im Passwort- und Klartext-Zustand befindet“, sagte Bird.

Für den typischen Zuhörer dürfte dies ein klares Beispiel dafür sein, wie rudimentär die API-Sicherheitsreife heute ist. Für alle anderen ist es ein einfacheres Beispiel, wenn Sie Ihr Passwort auf einen Klebezettel schreiben und diesen auf Ihren Monitor oder auf die Oberseite Ihres Laptops kleben.

„Wir befinden uns im industriellen Komplex der Cybersicherheit. Denken Sie jetzt an das letzte Mal, als ein großes Unternehmen die Struktur seiner Sicherheitsorganisation geändert hat. Wenn man also hineingeht und sagt, wer für die API-Sicherheit verantwortlich ist, dann sitzen alle am Tisch und sagen: „Ich weiß es nicht.“

Weil es nicht passt. Völlig ein Rucksack. Es passt nicht ganz zum Thema Datensicherheit. Es passt nicht ganz in die Netzwerksicherheit. Und doch ist es mittlerweile zur größten Exploit- und Angriffsfläche geworden. Das ist also der aktuelle Stand. Und so sind wir auch zu der Erkenntnis gelangt, dass wir besser anfangen sollten, etwas gegen Zero Trust zu unternehmen“, sagte Bird.

Wenn APIs ein Risiko darstellen und der Reifegrad derzeit niedrig ist, sollten wir dann im Namen der Sicherheit einfach aufhören, sie zu verwenden? Natürlich nicht.

„Ich denke, APIs sind magisch, oder? Wir sprechen über die API-Wirtschaft und darüber, wie APIs das Geschäft vorantreiben und unter anderem die Notwendigkeit von Standards überflüssig machen. Damit wir jetzt Interoperabilität ohne Standards haben können, weil Standards Innovationen hemmen. Wenn man also früher etwas mit Firewall X verbinden wollte, musste man eine ganze Reihe von Dingen erledigen, und das dauerte ewig“, sagte Kindervag.

„Jetzt gibt es eine API, die ich angeschlossen habe. Ich habe einige Fähigkeiten erweitert, und das Gleiche gilt für Zahlungen oder für welches Geschäft Sie auch immer tätig sind. Sie müssen also nicht über diese Zahlungen verfügen, wissen Sie, diese Standardausschüsse, in deren Aufbau sie einbezogen werden, wissen Sie. Das nächste zweite Sekretariat, das nächste reinrassige Rennpferd, und sie kommen mit einem achthöckrigen Kamel heraus, oder?“

Wir lassen Sie nicht mit einer der möglichen Lösungen allein, die ein gemeinsames Thema bei Zero Trust – Kontinuierliche Verifizierung ist. In dieser besonderen Situation bedeutet das jedoch, dass Sie in der Lage sein müssen, auf ungewöhnliche Nutzungen zu achten, nicht anders als Ihre SIEM-/SOAR-/XDR-Systeme zu überwachen und alle gekennzeichneten Elemente zu überprüfen.

„APIs können genutzt werden, um Dinge zu tun, für die sie nicht vorgesehen sind, da es innerhalb einer API genügend Spielraum für Missbrauch gibt, was bedeutet, dass man das Verhalten dieser APIs kontinuierlich und im Idealfall rückverfolgbar verfolgen und überwachen muss.“ Wir machen das. Ähm, wissen Sie, niemand sonst auf dem API-Sicherheitsmarkt macht das.

Wir verfolgen das Verhalten tatsächlich, weil unsere Gründer tatsächlich App-Dynamik geschaffen haben, und wir verfolgen das Verhalten kontinuierlich über den Lebenszyklus dieser API, damit wir wissen, was sie tun soll. Und wir wissen, wann es aus dem Takt gerät und wann es anfängt, sich ungewöhnlich zu verhalten“, sagte Bird.

Transkript

Dieses Transkript wurde automatisch erstellt und ist zweifellos voller Tippfehler. Wie immer geben wir den Maschinen die Schuld für etwaige Fehler.

Hallo zusammen, Elliot Volkman, der Produzent von Adopting Zero Trust oder AZT, hier mit einem kurzen Update, bevor wir uns mit der ganz besonderen Podcast-Folge befassen, die wir haben. Heute habe ich für Sie Tee gemacht. Zuerst vor anderthalb Wochen, vor zwei Wochen ist nun mein Erstgeborenes angekommen, also werde ich mir hoffentlich den ganzen September frei nehmen.

Wir werden natürlich ein paar Interviews führen, um die Dinge auf den Punkt zu bringen. Wir sollten im Oktober zurück sein, aber da wir nicht genug Schlaf haben ... Möglicherweise ein schreiendes Baby im Hintergrund. Ich muss nur ein bisschen die Trittfrequenz einstellen. Es wird also eine kleine Veröffentlichungspause geben. Das heißt, das wird eine Sache sein.

Apropos, wenn Sie unsere Shownotizen derzeit nicht sehen und kein Abonnement haben, können Sie sich tatsächlich an adoptingzerotrust wenden. com und erhalten Sie unsere Shownotizen. Es ist auch zum Sicherheitsboulevard portiert. Aber Sie können dort abonnieren. Wenn Sie also lieber auch einiges von dem sehen möchten, was wir zusammenstellen, ist dies ein guter Ort, um diese Updates zu finden.

In der letzten Folge haben wir dank Yubico auch unser erstes Giveaway herausgebracht, nämlich zwei Yubikeys. Die beiden Gewinner sind also John C und Simon D. Solange Sie also in den USA sind, werden wir Sie vernetzen und sie werden diese bekommen. Schlüssel, die Ihnen zugesandt werden. Vielen Dank, dass Sie daran teilgenommen haben.

Wir werden wahrscheinlich einen Flipper Zero machen, wenn wir aus dieser kleinen Sommerpause zurück sind. Und dann werden wir auch daraus einige Informationen heraussenden. Ich habe auch einen schnellen PSA. Daher bin ich leider ein Hausmeister des Internets, also insbesondere ein Moderator für Reddit, den LinkedIn-Subreddit.

In der Vergangenheit, ich weiß nicht, 60 Tage. Es gab einen großen Zustrom von Leuten, deren Konten übernommen wurden. Sobald ich genügend Informationen gesammelt habe, werde ich vielleicht sogar eine ganze Folge davon machen, aber der PSA hier ist wirklich einfach. Wenn Sie in Ihrem LinkedIn-Konto nicht über zwei Faktoren verfügen, ist dies das größte Hindernis für die Reduzierung dieser Kontoübernahmen.

Bitte aktivieren Sie daher zwei Faktoren, wenn Sie Ihr Passwort noch nicht geändert haben. Wenn Sie weniger versierte Personen kennen, stellen Sie außerdem sicher, dass diese das Passwort nicht wiederverwenden.

Denn ich bin mir ziemlich sicher, dass das dort sowieso das kritische Problem ist. Das sind also die Updates und der PSA. Wir werden bald einige neue Episoden veröffentlichen. Zum Glück bin ich vom Tagesjob in Elternzeit. Das bedeutet, dass ich etwas flexibler bin, was Zeit und Verfügbarkeit betrifft.

Ich werde also hoffentlich an ein paar neuen Serien arbeiten, die für einige von euch von Interesse sein werden. Einige der neuen Podcasts, an denen ich auch arbeite, haben nicht so sehr mit Cybersicherheit zu tun, aber ich werde sie veröffentlichen und wir werden sehen, ob Sie interessiert sind, und dann werden wir von dort aus weitermachen. Das ist es.

Kommen wir also zu der Episode, auf die Neal und ich ehrlich gesagt schon sehr lange gewartet haben, mit dem Paten von Zero Trust. Lass uns gehen.

Elliot Volkman: Hallo und willkommen zu einer weiteren Folge von AZT oder Adopting Zero Trust. Ich bin Elliot, Ihr Produzent, zusammen mit Neal, dem richtigen Moderator. Und heute, nach vielleicht, ich weiß nicht, zwei Jahren der Entwicklung, haben wir heute wahrscheinlich die durchgeknalltesten Zero Trust Rockstar-Diskussionsteilnehmer, die wir für euch alle bekommen können. Deshalb werde ich gleich darauf eingehen und ein paar richtige Einführungen geben, und von dort aus werden wir fortfahren.

Sie haben ihn also schon einmal in unserer Show getroffen. Sie hören sich auf jeden Fall seine Show an, wenn Sie unsere hören. Also Chase, ich werde das ganz schnell an dich weitergeben. Wenn Sie sich schnell wieder vorstellen möchten, Herr. Entschuldigung, Dr. Zero

Chase Cunningham:Chase Cunningham, pensionierter Marinechef, ehemaliger Regierungsunternehmer, ehemaliger Forstanalyst, jetzt Vizepräsident für Sicherheitsmarktforschung bei T2 und Moderator des Dr. Zero Trust-Podcasts.

Elliot Volkman:Alles klar, Richard, wenn Sie sich und Ihre Rolle bei Traceable kurz vorstellen würden.

Richard Bird: Ja. Ich bin Richard Bird. Ich bin der Chief Security Officer für Traceable. Ich beschäftige mich jetzt seit etwa fünf Jahren mit Lösungen, davon 20 Jahre davor und mehr als 20 Jahre davor. Ich war völlig ausverkauft. Ich war eine Führungskraft im ITIT-Management. Ungefähr die erste Hälfte meiner Karriere und die andere Hälfte meiner Karriere war ich in der Informationssicherheit und Cybersicherheit tätig.

Ich sage beides, weil ich alt genug bin, dass wir damals keine wirklich coolen Begriffe dafür hatten. Und ich war ungefähr 16 oder 17 dieser Jahre im Bankwesen tätig. Gegen 11 Uhr bei JPMorgan Chase. Wissen Sie, ich bin also von der Praktikerseite zur Lösungsseite übergegangen und hatte eine Menge Spaß. Ich liebe es.

Elliot Volkman: Exzellent. Und gleich werden wir uns sicherlich damit befassen, aber wir müssen noch einmal eine letzte richtige Einführung machen, die schon lange in Arbeit ist. John, ich denke, jeder, der jemals von dem Wort „Zero Trust“ gehört hat, kennt Ihren Namen besser, außer, glaube ich, unser Freund bei Serby, der vielleicht versehentlich etwas eingeführt hat, das Sie geschaffen haben.

Abgesehen davon, John, Herr Pate von Zero Trust, wenn Sie uns ein wenig erzählen können

richtige Einführung in sich selbst.

John Kindervag: Ja, John Kindervag. Ich bin Senior VP bei einem Unternehmen namens ON2IT, einem Managed-Services-Unternehmen, das Managed Services aus der Zero-Trust-Perspektive anbietet. Davor war ich vier Jahre lang als Field CTO bei Palo Alto Networks tätig. Und davor war ich achteinhalb Jahre bei Forrester Research, wo ich Zero Trust gründete, die ersten, ach ja, ein halbes Dutzend Artikel schrieb und völlig gesund wurde, viele, viele pikante Namen von Leuten ausrief, die das dachten Das würde nirgendwohin führen, und ich war mir auch nicht sicher, ob es so war, aber es kam, und ich bin glücklich, heute mit zwei meiner besten Freunde, Richard und Chase, hier zu sein. Also, wir werden, wir werden es tun Ich werde heute Spaß haben, denn die drei, du, du denkst, du denkst, dein Kerl ist unkontrollierbar, du hast nicht mit diesen beiden rumgehangen, also, weißt du, wir werden es tun

Neal Dennis:Ich bin mir nicht sicher, was ich davon halten soll, im Moment als unkontrollierbar bezeichnet zu werden, aber weißt du, ich werde es akzeptieren

Elliot Volkman: Ich meine, ich habe gerade eine Episode geschnitten, in der wir in San Francisco waren, und vielleicht habe ich ihm kurz vorher Tequila-Shots gegeben. Also hielt er es zusammen.

Neal Dennis:Hmm.

Elliot Volkman: Wissen Sie, ich muss ihm dafür etwas Glaubwürdigkeit verleihen. Okay, also muss ich diese eine Frage stellen, bevor wir uns in die Tiefe von Zero Trust und API begeben.

Und dann weiß Gott, wohin Sie das alle bringen. Also muss ich einfach John fragen, ist das nicht verdammt komisch, das zu sehen? Etwas, das Sie geschaffen haben, hat sich zu absolut allem entwickelt, was heute fast kein Vertrauen mehr hat. Dieses Jahr vielleicht nicht so sehr bei RSA, weil dort die KI die Oberhand gewinnt, aber überall herrscht Null-Vertrauen.

Wissen Sie, was sind, was ist Ihre Sichtweise darauf, wie sehr sich das herausgebildet und verfolgt hat?

Du trägst einen Teil der Schuld dafür. Diese Produktplatzierung.

John Kindervag: Ja, nein, ich meine, es ist seltsam, oder? Ich meine, es ist erfreulich, es macht demütig, aber es ist seltsam. Ich meine, im wahrsten Sinne des Wortes haben sich die Leute schon früh über mich lustig gemacht. Und sagte mir, dass ich verrückt sei, nicht nur verrückt als Übertreibung, sondern im wahrsten Sinne des Wortes bist du verrückt, weil du das tust. Und aber, wissen Sie, bei Forrester war es damals nicht so, was den Leuten nicht klar war: „Oh, ich habe das rausgeschmissen.“

Es waren zwei Jahre Primärforschung, in denen ich um die Welt gereist bin und mit Menschen gesprochen habe. Und hier ist diese Idee, ich habe Löcher darin gestochen und gesehen, wo es passiert, und es weiterentwickelt. Und so, und dann, und als es dann zum Mainstream wurde, hatte ich es. Ich habe an der Gestaltung und dem Aufbau einer ganzen Reihe verschiedener Zero-Trust-Umgebungen gearbeitet und dann, wissen Sie, die richtigen Leute gefunden, mit denen ich wirklich zusammenarbeiten konnte.

Also gut, ich habe ihn ab und zu für Forrester rekrutiert, und dann hat er mich im letzten Moment abgewiesen, und ich habe ihn erneut rekrutiert, um für mich zu übernehmen, als ich ging, weil ich wollte, dass er der Richtige ist Nachfüllung, weil ich es nicht getan habe, wissen Sie. Ich vertraute nicht darauf, was passieren würde, wenn ich es nicht in gute Hände geben würde, und er brachte es auf die nächste Stufe.

Und dann ist es so: Wir kennen uns schon seit einiger Zeit, seit Sie aus der Marine ausgestiegen sind, schätze ich. Rechts. Und eine lange Zeit, wir gehen zurück, wissen Sie, guter Freund. Und dann, und so, wissen Sie, gab es immer ein paar Leute, die sagten, das hat wirklich Beine. Machen Sie weiter so, wirklich ermutigend, als mir die meisten Leute sagten: Nein, das wird nicht passieren, und viele von denen sagten, das wird nie passieren.

Es ist eine dumme Idee, dass es jetzt Zero-Trust-Experten gibt. Also, ich schätze, es macht Spaß, diese Veränderung zu sehen, zu sehen, aber es ist sehr, es ist, es ist demütigend. Weißt du, es ist wirklich seltsam. Es ist seltsam, wenn die Leute dich in einem Flugzeug erkennen und so. Es ist einfach, es ist einfach eine bizarre Sache.

Elliot Volkman: Absolut. Und ich denke, das, was Sie gerade erwähnt haben, lässt sich wahrscheinlich gut zusammenfassen. Ich weiß nicht, wer von Ihnen es geteilt hat. Ihr werdet alle damit interagieren. Auf LinkedIn versuchen sie, das Konzept des Zero Trust zu neutralisieren. Und dann, wie im nächsten Bild, war es übrigens,

Das ist unsere Variante von Zero Trust, einem Produkt

Chase Cunningham: Oh, das war Sean Connolly. Ja,

John Kindervag: Ja, das war Sean Connolly bei CISA, der seltsamerweise einer der ersten Fürsprecher war, als er noch im Außenministerium war, oder? Also, wissen Sie, Sie, sehen Sie, das sind die Art von Leuten, zu denen man geht, okay, ja, das wird irgendwohin führen. Und, und, und es ist, wissen Sie, für mich... Wie Sie wissen, waren alle anderen Diskussionsteilnehmer beim Militär.

Ich war es nicht, mein Vater war es, aber ich war es nicht, aber es ist das gleiche Konzept, oder? Es geht darum, auf eine Mission zu konzentrieren, und wir kämpfen gegen einen Gegner, oder? Es gibt also drei kontroverse Unternehmen. Es gibt das Militär, es gibt Strafverfolgungsbehörden und es gibt Cybersicherheit. Und General John Davis, ein Zwei-Sterne-Mitglied im Ruhestand.

Ehemalige Spezialeinheiten, aber wer stand auf, was, was schließlich zum Cyber-Kommando wurde, arbeitete mit mir in Palo zusammen und einmal zog er mich beiseite und legte seinen Arm um mich und beugte sich vor und sagte: „John, ich habe gekämpft.“ meine wars schon. Du gehst raus und kämpfst gegen deine. Und diese Art von Ermutigung kann Sie wirklich am Laufen halten.

Und deshalb brauchen Sie diese Menschen, Sie brauchen die Verfolgungsjagden, Sie brauchen die Richards, Sie brauchen diese Menschen in Ihrem Leben, die Sie ermutigen, weiter voranzukommen. Und, und das ist es, was wir der Gemeinschaft zurückgeben müssen, oder? Danke schön.

Elliot Volkman: In Ordnung. Das ist also die ganze Zeit, die ich tun werde. Danke schön. Nörgl dich wegen des Konzepts. Ich meine, wissen Sie, Sie haben das auf millionenfache Weise behandelt. Chases gesamter Podcast ist diesem Thema gewidmet. Gehen wir also ein paar Ebenen tiefer und unterhalten uns über die Elemente der API, die mit Zero Trust verknüpft sind.

Wir wissen natürlich, dass Angriffe auf die Lieferkette aus Risikosicht ein absolut entscheidender Faktor sind. Aber ja, Richard, vielleicht können wir das irgendwie an dich weitergeben. Wie ist der aktuelle Stand der API in der Cybersicherheit und welche Auswirkungen hat sie heute auf Unternehmen?

Richard Bird: Wow. Das gibt es, also werde ich für John meinen Lieblings-Richardismus verwenden. Hier gibt es so viele verschiedene Fäden zu ziehen. Und wissen Sie, wenn ich darüber nachdenke, würde ich Ihnen sagen, dass sich API Security vom Reifegradstandpunkt aus derzeit im Passwort- und Klartextstatus befindet.

Wissen Sie, das ist eine sehr interessante Reihe von Problemen, die sich verbreitet haben. Man kann argumentieren, dass die API-Wirtschaft seit mindestens einem Dutzend Jahren in Wirklichkeit den Aufstieg der API-Wirtschaft erlebt hat, die APIs verwendet, um auf alle Dinge zuzugreifen. Aber APIs reichen offensichtlich noch viel weiter zurück, oder? Wir kehren einfach zum Skripting zurück und kehren zu SSH-Schlüsseln, Schlüsseln und Anrufen und all dem Zeug zurück.

Es gibt sie schon lange, aber mit der Virtualisierung von allem hat uns die Virtualisierung von allem die Möglichkeit eröffnet, alles zu verbinden. mit APIs. APIs sind also Proxys und/oder funktionieren wie Netzwerke. Sie funktionieren wie ein Datentransport. Sie funktionieren wie eine Datentransformation.

Weißt du, alter ETL. Sie machen all das und um das Ganze wieder auf den Punkt zu bringen, wie Sie wissen, Chase und John und ich und eine Reihe anderer Leute haben begonnen, wirklich über diese Vorstellung von Layer-7-Sicherheit nachzudenken. Das alles geht auf ein Gespräch zurück, das John und ich eine Reihe von Gesprächen geführt haben. Nun, es muss vor zwei, zwei, zwei Jahren gewesen sein, gleich nachdem wir aus der COVID-Krise herausgekommen waren, waren John und ich in Miami auf einer Podiumsdiskussion, und John macht so etwas Es war eine großartige Arbeit, ungeschminkt darzustellen, wie Zero Trust wirklich funktioniert, und er stand auf, trat vor das Publikum und sagte: Wissen Sie, wenn wir das alles richtig machen, wird die Sicherheit auf die siebte Ebene getrieben Politik.

Und als ich zu Traceable kam, hatten sie plötzlich die Erkenntnis, dass Layer-7-Sicherheit scheiße ist. Ich meine, es ist schlecht. Wenn wir über die Geschichte der Anwendungssicherheit nachdenken, ist es schrecklich, wenn es um Sicherheitskontrollen geht. Wissen Sie, es ist sehr grobkörnig. Entweder haben Sie Zugriff auf etwas oder Sie haben keinen Zugriff auf etwas.

Es gibt keine Nuancen, es gibt keine Feinheiten und der größte Teil des Treibstoffs für APIs wird durch die Autorisierung gesteuert, egal ob Auth N oder Auth Z, und es gibt keine Sicherheitskontrollen rund um die Autorisierung. Wenn wir uns also den aktuellen Stand der API-Sicherheit ansehen, denke ich, dass es einen massiven Schritt gegeben hat, durch die Nutzung von APIs einen enormen Geschäftswert zu erzielen.

Und es ist ungefähr so, als würde man einem 8-jährigen Kind eine Schrotflinte geben. Rechts? Sie haben ihnen alle Macht gegeben, aber keine der Rechenschaftspflichten und Verantwortlichkeiten aus Sicht der Sicherheit und Sicherheitsorganisationen sind wirklich institutionalisiert. Eigentlich wollte ich auf das eingehen, was John über seine Erfahrungen sagte.

Wir befinden uns im Industriekomplex Cybersicherheit. Denken Sie jetzt an das letzte Mal, als ein großes Unternehmen die Struktur seiner Sicherheitsorganisation geändert hat. Wenn man also hineingeht und sagt, wer für die API-Sicherheit verantwortlich ist, dann sitzen alle am Tisch und sagen: „Ich weiß es nicht.“

Weil es nicht passt. Völlig ein Rucksack. Es passt nicht ganz zum Thema Datensicherheit. Es passt nicht ganz in die Netzwerksicherheit. Und doch ist es mittlerweile zur größten Exploit- und Angriffsfläche geworden. Das ist also der aktuelle Stand. Und so sind wir auch zu der Erkenntnis gelangt, dass wir besser anfangen sollten, etwas gegen Zero Trust in der API-Ebene zu unternehmen. Oder wir laufen Gefahr, dass die gesamte Arbeit und der gesamte Aufwand in allen anderen Bereichen, in denen wir Zero Trust anwenden, unteroptimiert wird.

Neal Dennis: Ja, ich denke, das ist, ich schätze, ich werde einschreiten. Also, da bin ich vollkommen einer Meinung. Weißt du, ich denke, wenn ich bei einem Produktunternehmen arbeite, das eine AP hat, muss zunächst einmal gesagt werden, dass jeder eine AP haben muss. Auch wenn sie keine API wollen, wenn sie ein Produkt besitzen, wird immer jemand danach fragen. Aber bei vielen Unternehmen, die gerade erst richtig Fuß fassen, scheint es ein nachträglicher Einfall zu sein.

Es scheint von Natur aus davon auszugehen, dass die API sicher ist, wenn wir sie einrichten. Gehen Sie weg und tun Sie nichts. Aber Ihrer Meinung nach handelt es sich eigentlich nur um einen Benutzernamen und ein Passwort, die darauf warten, dass jemand etwas anderes damit macht, oder? In diesem Sinne bin ich irgendwie neugierig und denke darüber nach: Wir haben das Problem, oder? Die API ist scheiße, es gibt bessere Möglichkeiten, Dinge zu erledigen, es gibt bessere Möglichkeiten zur Sicherung.

Wir haben in der Show schon ein wenig darüber gesprochen, locker, aber Chase, John, sind auf jeden Fall neugierig auf Ihre Gedanken, die Sie zu dem Problem hinzufügen könnten, und dann vielleicht auf einige Gedanken zur Behebung dieses Problems.

Was sind einige der ergänzenden Ideen?

John Kindervag:Nun, vorher, weil ich

Ich weiß, dass Chase reden wird

um

Neal Dennis:Ja.

John Kindervag:sie zu hacken, weil das sein Hintergrund ist,

Rechts? Aber ich möchte über den Geschäftswert sprechen, weil ich der Bemerkung, dass APIs scheiße sind, nicht zustimme. Konzeptionell, oder? Ich denke, APIs sind magisch, oder? Ich denke, APIs, wir reden über die API-Wirtschaft und API treibt das Geschäft an.

Und es macht unter anderem Standards überflüssig. Damit wir jetzt Interoperabilität ohne Standards haben können, weil Standards Innovationen hemmen. Wenn man also früher etwas mit der Firewall X verbinden wollte, musste man eine ganze Reihe von Dingen erledigen, und das dauerte ewig.

Jetzt gibt es eine API, die ich angeschlossen habe. Ich habe einige Fähigkeiten erweitert, und das Gleiche gilt für den Zahlungsverkehr oder das, in dem Sie tätig sind. Sie müssen also nicht über diese Zahlungen verfügen, wissen Sie, diese Standardausschüsse, in denen sie aufgebaut werden, wissen Sie. Das nächste zweite Sekretariat, das nächste reinrassige Rennpferd, und sie kommen mit einem achthöckrigen Kamel heraus, oder?

Das ist es, was Normungsgremien tun. Jetzt können wir also Innovationen haben, und das ist wie bei allem anderen auch. Hier ist dieses magische Ding. Oh, lasst uns über etwas Sicherheit nachdenken, denn Sicherheit ist immer ein nachträglicher Gedanke, aber weil es so ist, wissen Sie, ich denke, wir können ziemlich schnell herausfinden, und wir machen das bei Traceable, wie wir das sichern können.

Aber bevor die Leute das in der Zwischenzeit in den Griff bekommen, werden sie natürlich alles daransetzen wollen. Und dort ist es. Wissen Sie, Chases Fachwissen bei Dingen, über die er nicht reden will, kommt ins Spiel.

Chase Cunningham:Ich meine, ich glaube, vor einiger Zeit gab es die Diskussion über die Identitäten, den neuen Perimeter, was auch immer, ich denke, dass APIs jetzt das Netzwerk sind, ich dachte, ich denke, dass ich mir wirklich keine Sorgen um eine Firewall mache Denn eine Firewall ist im Grunde ein Paketschaufeln, wissen Sie, Sieve und ich, ich bin gut darin, diese Sache zu machen.

Aber wenn ich mich nicht um APIs kümmern kann, bauen wir zum Beispiel eine Burg auf einem Sandfundament. Und wenn Sie mit Entwicklern da draußen sprechen und sagen, dass Sie etwas erstellen möchten, fragen sie als Erstes: Gibt es eine API? Sie fragen nicht einmal nach Code. Sie fragen nicht nach Sprachen und was auch immer. Sie sagen: Nun, in welche API wird eingebunden?

Und ich meine, wie John sagt, ich finde APIs auch großartig, weil sie die Art und Weise, wie wir Geschäfte machen, verändern und die Art und Weise beschleunigen, wie sich die Dinge weiterentwickeln. Aber es ist immer noch das selbstleckende Eis, das immer schlimmer und schlimmer wird, je tiefer man sich darauf einlässt. Und es gibt einfach noch mehr auf der anderen Seite.

Und wenn Sie nicht über eine Bestandsaufnahme und kein Verständnis dafür verfügen, was diese APIs tun und was sie berühren, ist es mir egal, wie gut Ihre Architektur Ihrer Meinung nach gesichert ist, denn ich werde jemanden finden, der das tut, und mich anrufen Ich und ich vergleichen mit zwei oder drei Leuten, die ich kenne, ein Jahresgehalt mit deinen Sachen und wir kriegen dich, als ob das gar keine Frage wäre. Und mein Gehalt ist gering.

Es wäre also wahrscheinlich etwas, das Sie bereit wären, zu riskieren, aber ich sage es nur

Richard Bird:und wenn wir können, meine ich, eine zu fahren

Neal Dennis:Ja, ich

Richard Bird: weisen darauf hin, dass sowohl John als auch und. Chase hat darüber gesprochen, dass die APIs einfach eine enorme Menge an Möglichkeiten bieten, alle Aspekte der digitalen Welt zu verbessern, oder? Das Problem ist, dass es doch das Uncle Ben Peter Parker-Problem ist, oder?

Das heißt, mit großer Verantwortung geht große Verantwortung einher, oder mit großer Macht geht große Verantwortung einher, oder? Es handelt sich um den Teil der Verantwortung, der heutzutage in den meisten großen und mittleren Unternehmen oder bei Regierungsbehörden nicht wahrgenommen wird, wenn es um APIs geht. Wenn Sie ein CISO sind. Oder wenn Sie ein Experte für Informationssicherheit sind und ich Sie bitte, drei Fragen zu beantworten.

Wie viele APIs haben Sie? Wo befinden sich diese APIs? Und was machen diese APIs? Was machen Sie? Und auf alle drei kann man nicht positiv antworten. Und wenn Sie alle drei Fragen negativ beantworten, haben Sie ein ernstes Problem. Rechts? Ein ernstes Problem. Da es in der Sicherheit nichts gibt, was am Anfang steht, ich habe keine Ahnung, was auf mich zukommt, endet mit einem guten Ergebnis.

Rechts. Es sind immer die unbekannten Unbekannten, die letztendlich Ihre Heldentaten, Ihr Risiko und Ihre Angriffsfläche darstellen. Und doch gibt es Unternehmen, bei denen allgemein bekannt ist, dass niemand diese APIs außerhalb eines Gateways und einer Firewall kontrolliert. Und beides reicht bei den Angriffen nicht aus und die Exploits werden heute mit APIs genutzt.

Neal Dennis: Ich denke, das sind berechtigte Argumente. Und um es noch einmal zu wiederholen: Ich glaube nicht, dass APIs scheiße sind. Ich denke, die Sicherheitsimplementierung von APIs ist das Schlimmste, um es ganz klar zu sagen. Ich nutze sie jeden Tag, wie hier. Da gibt es also eine Menge Dinge. Aber abgesehen davon bin ich glücklich: Ja, wissen Sie, ich denke, APIs verändern das Spiel, wenn sie verfügbar sind.

Bei der Implementierung gibt es viele Probleme, und wenn man dann nach der Implementierung nachgeht, hat man all diese Endpunkte. Und ich muss sagen, aus meiner Sicht, und das ist eine Frage, habe ich viele Konsolidierungen von Endpunkten auf Anbieterseite gesehen, bei denen sie versuchen, sie schließlich auf ein oder zwei Endpunkte zu konsolidieren.

Haben Sie das Gefühl, dass die Dinge bei vielen, vielen Anbietern da draußen immer noch so laufen, dass sie zumindest versuchen, von 8 verschiedenen Endpunkten wegzukommen? Vielleicht zu diesem Konsolidierungsansatz und schließlich vielleicht dazu, einer sichereren Umgebung ein Stück näher zu kommen. Vielleicht geben Sie das ganz schnell dem Hacker auf der Jagd nach, und dann werden wir sehen, was die anderen denken.

Chase Cunningham: Ich meine, ich denke, dass es viele Anbieter gibt, die viele wirklich gute Dinge tun. Und ich denke, im Allgemeinen konzentrieren sich die Menschen, denen dieser Bereich wirklich am Herzen liegt, darauf, Probleme zu lösen. Aber ich denke auch, dass wir eine Art haben, ich mag das, ich mag es, es ist wie Big Pharma für Cyber.

Wo, warum sollte ich die Krankheit heilen, wenn es mehr Geld zu verdienen gibt, wenn ich die Symptome behandeln kann? Ich weiß, hier ist eine weitere neue Funktion, von der ich weiß, dass sie diese andere Sache tun wird, aber sie wird nicht das ganze Problem lösen, obwohl ich weiß, dass ich es könnte, aber es wird nur eine kleine Kostprobe erfordern. Es ist wie ein ZT-Crack, oder?

Man schnuppert nur ein wenig daran, und dann will man noch mehr, und dann will man mehr, und es wird immer schlimmer und schlimmer und schlimmer, und ... Das, die Grundlagen, das ist, und John und ich reden Wir sind uns darüber ständig im Klaren darüber, wie die Grundlagen dessen, was wir tun sollten, sind. Es macht mich wahnsinnig, dass die Leute immer noch herumsitzen und sich fragen, worauf sie ihre Bemühungen konzentrieren sollen oder was auch immer.

Wenn wir umfangreiche Forschungsarbeiten und ganze Organisationen haben, die sich diesem Thema widmen, wie zum Beispiel, dass dies der einzige Ort in der gesamten Kriegsführung ist, an dem der Gegner einem sagt, wie er einen angreifen wird, und die Leute herumsitzen und mitmachen, frage ich mich, wie das gehen wird arbeiten.

John Kindervag: Rechts. Ich meine, weil, und, und du hast es gesagt, Richard, richtig? Früher haben wir uns mit Informationssicherheit beschäftigt, jetzt beschäftigen wir uns mit Cybersicherheit. Das grundlegende Problem dabei ist, was ein Cyber ​​ist und warum ich ihn schützen sollte. Rechts? Wir haben es so geändert, dass wir zumindest an einem Punkt Informationen sichern. „Cyber“ ist ein von Platon in der Republik verwendetes Wort für ein Steuerrad auf einem Schiff, und er benutzte es für das Konzept der Regierung.

Regierung ist Cyber, Kyber, daher kommen auch Kubernetes. Aber wissen Sie, das ist ein cooles Wort, denn ... Einer dieser Autoren, Neil Stevenson, oder jemand anderes hat es in einem Science-Fiction-Buch verwendet. Wir wollen, dass es cool ist, aber jetzt sind wir aus dem Fokus geraten und müssen etwas schützen. Und die Leute wissen nicht nur nicht, wie viele APIs sie haben, sie wissen auch nichts darüber, was sie schützen.

Deshalb spreche ich ständig mit Leuten über Zero Trust. Ich habe gerade Widget X oder Gadget Y gekauft. Was mache ich damit? Nun, was versuchst du zu schützen? Na ja, darüber habe ich noch nicht nachgedacht. Dann wirst du scheitern, oder? Also werde ich APIs schützen. In diesem Gespräch werde ich APIs schützen. Sie müssen also herausfinden, welche APIs Sie verwenden?

Welche APIs geben Sie an andere weiter? Mit welchen APIs stellen Sie eine Verbindung her? Wie verbinden sie all diese Dinge? Jetzt wissen Sie, was Sie schützen müssen, oder? Wissen Sie, beim Militär wissen Sie immer, was Sie schützen und was die Mission ist. Und wir haben es verstanden. Wir müssen uns die Denkweise aneignen und herausfinden, was wir schützen wollen.

Wissen Sie, wir reden darüber, dass wir generell kein Vertrauen haben, und das ist Greg to Hill, der Leiter der Zertifizierungsabteilung, der ein Freund von uns ist. Und er zitiert immer, immer, er zitiert Frederick, den großen Wer, der laut Greg, und er würde es wissen. Weil ich nie ein General war, aber er sagt, Friedrich der Große habe einmal gesagt, dass man nichts beschützt, wenn man versucht, alles zu beschützen.

Und das ist es, was wir versuchen. Wir versuchen, alles zu schützen, nur ein kleines bisschen, anstatt die Dinge zu schützen, die wirklich, wirklich wichtig sind

ein ganzes

viel.

Neal Dennis: Ja, Richard, gibt es noch etwas hinzuzufügen? Hat irgendwie zum Auftakt beigetragen

Richard Bird: Ja, ich meine, ich meine. Ja, solange wir uns mit griechischen und römischen Philosophen und Schriftstellern befassen, nicht wahr? Es macht mir Spaß, wenn man von einem rein stoischen Standpunkt aus darüber nachdenkt, nicht wahr? Bei der stoischen Bewegung geht es, wissen Sie, um schrittweise Verbesserungen.

Rechts. Verbessere dich jeden Tag ein wenig. Und dann, wissen Sie, wird es Ihnen am Ende einer bestimmten Zeitspanne viel besser gehen. Und ich denke, dass das direkt damit zusammenhängt. John und Chase haben sich nur speziell auf Zero Trust und APIs bezogen. Genauer gesagt, und das ist wohl die lustigste Antwort, die Sie heute von jemandem bekommen, der über API-Sicherheit spricht, darin, in einen großen Raum, ein Unternehmen, eine Keynote-Plattform zu gehen und einfach die folgende Frage zu stellen.

Ich verwende ein ZT-Prinzip. Reduzieren Sie Ihre Angriffsfläche. Wie viele von Ihnen im Raum haben gestern, am Tag davor oder am Tag davor Ihre Angriffsfläche für APIs reduziert? Oder wie viele erleben ein exponentielles Wachstum Ihrer API-Angriffsfläche und unternehmen nichts dagegen? Rechts? Und es ist immer eine wirklich interessante Reihe von Fragen, weil die Leute irgendwie daran ersticken, oder?

Sie sagen: Oh ja. Ich meine, ich denke, wenn ich den Zero-Trust-Prinzipien folge, sollte ich nicht nur, Sie wissen schon, den API-Angriffsdienst reduzieren, sondern alle Angriffsflächen. Aber darüber hinaus sollte ich schrittweise Verbesserungen erzielen. Und leider ist eines der Dinge, wissen Sie, eine 35-jährige Karriere, die für mich frustrierend war, dass viele Dinge, die alt sind, immer noch gut sind.

Rechts. Wir denken also über das umfassende Qualitätsmanagement nach Deming, wissen Sie, all diese Idee der kontinuierlichen Prozessverbesserung, all dieses Wissen ist in der Unternehmenswelt verloren gegangen, wir erfinden das Rad ständig neu. Wenn Sie dies verbessern möchten, fragen Sie jemanden in einem Unternehmen, ob sein CFO weiß oder nicht, dass in verschiedenen Teilen seiner Organisation mehrere redundante APIs entwickelt wurden, denn CFOs hören gerne von Redundanz, deren Aufbau auf Ressourcen beruht Es.

Rechts? Denn das sind verschwendete Kosten, verschwendete Energie, verschwendete Effizienz. Aber wir haben keine dieser Vorstellungen von Prozessverbesserung mehr. Aber sie sind leicht anwendbar. Rechts? Ich glaube, John hat das erwähnt. Wir wissen, was wir tun sollten. Wir haben uns einfach entschieden, mit diesen Dingen aufzuhören, wissen Sie, egal, wie der Tag aussehen mag.

Der heutige Trend ist KI, wie Sie bereits erwähnt haben, Elliot, nicht wahr? Aber wissen Sie, aus welchem ​​Grund auch immer, wir opfern gute Lösungen. Gute Praktiken und gutes Denken für eine schnelle Markteinführung, Einnahmen und was auch immer. Also,

John Kindervag: Ja, ich meine, es ist das Gleiche, was die Lehren aus Six Sigma betrifft, oder? Konzentrieren Sie sich mehr auf Ihre Ausgabemetriken als auf Ihre Eingabemetriken. Wenn ja, konzentrieren Sie sich nur auf Ihre Lieferkette, aber nicht darauf, wie gut das Auto vom Band kommt. Dann wird niemand dein Auto kaufen, oder? Und wissen Sie, am Ende verlieren Sie Ihren Wettbewerbsvorteil, weil sich jemand anderes um die Qualitätskontrolle kümmert.

Und genau das tun wir hier in der Cybersicherheit. Das ist Qualitätskontrolle. Und so scherze ich immer, dass die, die Sec-Ops-Leute und die Dev-Ops-Leute und die Dev-Sec-Ops-Leute und die, wie auch immer, Op-Sec-Entwickler oder was auch immer, die Art, wie wir es ausdrücken werden diese, diese Dinge zusammen.

Das sind die Ricky Bobbies. Von der Cybersicherheit, oder? Ich will einfach schnell gehen. Neben mir sitzt ein Puma. Ich will einfach nur schnell gehen, oder? Schütteln und backen. Und, und wenn das Ihre einzige Sorge ist ... Es wird eine enorme Menge an Fehlern in diesem System geben, denn Cybersicherheit ist ein unglaublich komplexes System und es ist ein System, das vielleicht nicht mit der Geschwindigkeit mithalten kann, die die Leute wollen es zu tun und einige der Dinge, in die wir so verliebt sind, vielleicht sehen wir, dass wir vielleicht nicht so verliebt sein sollten

Liebe mit ihnen über die ganze Zeit

Jahre

Neal Dennis: Ich denke, das sind berechtigte Argumente. Und ich weiß nicht, ob irgendjemand den Film „Michael Keatons Gung Ho“ aus den 80ern kennt, oder? Der Autohersteller muss eine bestimmte Menge Dinge vom Band bringen, sonst wird die Fabrik geschlossen. Er bringt sie vom Band, oder? Aber es würde nicht fahren, aber vielleicht einer von ihnen.

Abgesehen davon denke ich, dass das gute Argumente für Qualität versus Sicherheit und ein paar andere Dinge sind. Ungefähr 10 Minuten. Ich bin neugierig, vor allem angesichts der Firma, die wir hier in den E-Mail-Domänen hinter uns haben. Welche Konstrukte gibt es hier? Was die Lösung angeht, hilft es, all dies zusammenzubringen, um sicherzustellen, dass zumindest ich als Unternehmen, vielleicht nicht unbedingt ein Hersteller von Produkten wie SAS oder so etwas, aber zumindest als Verbraucher, welche Ideen dabei helfen können .

Wissen Sie, erstens minimieren Sie diesen Platzbedarf und zweitens wird die API-Welt ganz allgemein etwas sicherer.

Richard Bird:Also,

Neal Dennis: Ich werde das wegwerfen. Das ist eine offene Frage für jeden, der damit beginnen möchte.

Richard Bird: Ich werde näher darauf eingehen, weil ich denke, dass es wirklich wichtig ist, diese Problemstellung zu vereinfachen, weil ich denke, dass die Leute mit glänzenden Augen über all die coolen Dinge blicken, die APIs leisten können. Ich beginne also immer mit einigen wirklich einfachen Basismandanten, was Sie gegen die API-Sicherheit tun können.

Das erste ist, ist. APIs sind erkennbar, und das ist eine sehr wichtige Tatsache bei APIs. Bei APIs kann man anhand ihrer Codierung erkennen und sagen, was eine API tun soll, oder? Das bedeutet, dass Sie auch das Verhalten dieser API im Vergleich zu diesem Basisdesign verfolgen können. Rechts. Deshalb ist es so wichtig zu wissen, welche APIs Sie haben und was sie tun sollen.

Die andere Sache ist, dass Sie verstehen müssen, dass eine API, die für eine bestimmte Aufgabe konzipiert ist, auch für andere Aufgaben genutzt werden kann. Und die Art und Weise, wie ich das erkläre, ist die Hammer-Analogie. So, so. A, es gibt einen Klauenhammer, einen Klauenhammer eines Zimmermanns, der zwei Dinge tun soll: Nägel einschlagen und Nägel herausziehen.

Und da ein Hammer so oft verwendet wird, kann er doch auch dazu verwendet werden, jemandem den Schädel einzuschlagen, oder? Gleiches Design, gleiche Physik, gleiche Bewegung, gleiche Geometrie, oder? Aber es kann jemandem den Schädel zertrümmern. Und ich glaube nicht, dass es einen Hammerdesigner gibt, der sagt: „Ja, ich möchte eine Mordwaffe entwerfen.“ Bei APIs ist es genauso. APIs können genutzt werden, um Dinge zu tun, für die sie nicht vorgesehen sind, da innerhalb einer API genügend Spielraum für Missbrauch besteht. Das bedeutet, dass Sie das Verhalten dieser APIs kontinuierlich und im Idealfall rückverfolgbar verfolgen und überwachen müssen. Wir machen das. Wissen Sie, das macht sonst niemand auf dem API-Sicherheitsmarkt.

Wir verfolgen die Verhaltensweisen tatsächlich, weil unsere Gründer tatsächlich App-Dynamik erstellt haben und alle diese Spuren kennen. Sie verfolgen, wir verfolgen das Verhalten kontinuierlich über den Lebenszyklus dieser API, damit wir wissen, was sie tun soll. Und wir wissen, wann es aus dem Takt gerät und wann es anfängt, sich ungewöhnlich zu verhalten.

Rechts? Und am Ende kommt es dann wahrscheinlich wirklich auf den letzten Teil an, bei dem es um die API-Sicherheit geht. Rechts? Es kommt nicht vor, dass Sie in einem Raum stehen und Ihre Organisation fragen. Wer ist für die API-Sicherheit verantwortlich? Und die Antwort ist, dass niemand es weiß, oder? Das ist eine ernste Sache und stellt lediglich die nächste Iteration oder Entwicklung innerhalb der Technologie dar.

Aber es gibt keine Entschuldigung, diesen Wandel in der Entwicklung nicht anzuerkennen und zu sagen: Nun ja, ich werde einfach alle meine Netzwerktechniker im Personal behalten, und ich werde einfach alle meine, Sie wissen schon, datenbasierten Sicherheitsleute weiterbeschäftigen Personal. Ich arbeite jetzt mit Unternehmen zusammen, die ganze Sicherheitskräfte für die Infrastruktur übernehmen und umschulen.

Über APIs und API-Sicherheit. Wir müssen den Wandel in dieser digitalen Landschaft anerkennen. Und wenn wir das nicht tun, ist die schlechte Nachricht, dass die Bösen diese Veränderung vor etwa sechs oder sieben Jahren erkannt haben. Und sie nutzen es jetzt und in Zukunft wirklich aus.

Neal Dennis: Ich mag es. Ich denke, es ist die Identität dessen, was passiert, oder? Und lustigerweise hatten wir gestern oder so ein Gespräch über Identität versus Authentifizierung, oder? Identifikation versus Authentifizierung. Abgesehen davon denke ich, dass das ein ziemlich solider Ansatz ist. Ich spreche viel über Verhaltensanalysen, nicht nur in diesem Podcast, sondern auch mit anderen Leuten in der Umgebung, wie sich dadurch die Fingerabdrücke und die Möglichkeit ändern werden, sicherer zu sein.

Also einfach neugierig, es fortzusetzen, wirf es ganz schnell hierher zu John, weißt du, deine Meinung dazu oder zu anderen Dingen rund um diese Art von Aufwand für die ID vs. Auth und, und die Einstellung dazu, welches und wie und ähnliches Das.

John Kindervag:Nun, ich

Also, wissen Sie, warum bin ich als Berater zu Traceable gekommen? Einer davon ist, dass Richard mich darum gebeten hat. Wenn Richard Sie also bittet, etwas zu tun, sagen Sie, ja, sicher, wahrscheinlich. Solange es legal ist, oder? Ist das also legal? Ja ok. Aber wissen Sie, was, was, was wir bei Traceable tun, sind die ersten beiden Schritte von Zero Trust im fünfstufigen Implementierungsmodell.

Was müssen Sie schützen, wenn Sie Ihre Schutzoberfläche bestimmen? Sie müssen also Ihre APIs schützen, oder? Welche APIs habe ich also? Eine Bestandsaufnahme davon machen. Schritt zwei besteht darin, den Transaktionsfluss zu verwalten oder zu betrachten, den Transaktionsfluss zu betrachten und ihn abzubilden. Wie arbeiten sie zusammen? Wenn Sie diese beiden Dinge nicht wissen, können Sie nichts schützen, oder?

Wenn Sie also über diese Fähigkeit verfügen, können Sie die richtige Kontrollstruktur automatisieren, um dies zu erreichen. Und dann können Sie auch innerlich eine Richtlinie erstellen. In Schritt 5, Überwachen und Warten, nehmen Sie die Telemetriedaten und lernen daraus, damit Sie ein antifragiles System erstellen können. Wir haben eine ganze Menge Philosophen und Denker mitgebracht, aber Taleb ist einer meiner Favoriten.

Er schrieb ein Buch mit dem Titel „Anti Fragile“ darüber, wie man unter Belastung und unter Stress mit der Zeit stärker werden kann. Ein Stressor kann also ein System stärken. Er tut das also für Finanzsysteme. Er nimmt den menschlichen Körper als Beispiel, oder? Wenn Sie trainieren, belasten Sie Ihren Körper.

Das macht dich stärker. Weißt du, Chase war, Chase sieht jetzt aus wie Captain America, weil er so viel trainiert hat. Das ist sein neuer oder Chef, ich schätze, er wäre es, er wäre nicht Captain America, er wäre Chief America, oder? Oder etwas ähnliches. Aber, wissen Sie, man kann ein System mit der Zeit stärker machen.

Das ist eine erstaunliche Sache, die technologisch möglich ist. Also, da würde ich das sagen. Und ist Identität dann der neue Perimeter? Ich meine, darüber haben Richard und ich in Cleveland gesprochen, oder? Als ich ihm sagte, dass Identität innerhalb von Zero Trust verbraucht wird. Es ist nicht Zero Trust selbst. Und das können wir mit drei, drei Worten beweisen.

Snowden, Manning, Texarea, richtig? Im High-Side-Netzwerk gab es keinen Zweifel an ihrer Identität. Aber niemand schaute auf ihre Pakete. Niemand fragte: Was machen sie? Rechts? Ich meine, wie hat Texarea das gemacht, was er getan hat? Ich meine, das ist einfach eine erstaunliche Sache. Du gehst aus einem Boot, druckst es irgendwie in einem Boot aus, faltest die Papiere zusammen, du bist rausgegangen, niemand hat nachgesehen, und dann machst du ein Foto bei dir zu Hause und stellst es auf Discord?

Ich meine ... Wissen Sie, Chase schüttelt den Kopf, weil er viel Zeit bei SCIFS verbracht hat. Und so spielte es keine Rolle. Die Identität, die Authentifizierung und die Autorisierung spielten keine Rolle, wenn Sie nicht tiefergehende Fragen stellen

das System.

Neal Dennis: Chase, möchtest du dem noch etwas hinzufügen? Ich, ich fühle deinen Schmerz aus der Skiff-Perspektive,

Aber

Chase Cunningham: Früher ließ ich meine Matrosen, Flieger und Soldaten ihre Taschen leeren und es mir persönlich zeigen, bevor sie das Boot verlassen durften, und wenn sie nein sagten, gab es eine körperliche Korrektur. Also, ja. Ich weiß nicht, wie das passiert ist, aber hey, Wache ist alles, was ich sagen kann. Bewachen. Ja. Wie dem auch sei, ich bleibe immer noch bei der Idee, dass, wenn Ihr Ziel in der Cybersicherheit darin besteht, sich gegen einen Gegner zu verteidigen, der versucht, Sie anzugreifen, Sie meiner Meinung nach grundsätzlich regelmäßig selbst angegriffen werden sollten und dann schauen wie Sie reagieren und Ihre Verteidigung basierend auf den von Ihnen ermittelten Schwächen planen.

Es ist so... Es nützt nichts, diese Mickey-Mouse-Stifttests durchzuführen und, wissen Sie, Ihre Scans durchzuführen und dann zu sagen, dass Sie gut sind, und dann Ihr kleines Clippy-Board und Clickety-Click zu holen und auf Ihre Art und Weise weiterzumachen, oder Was auch immer sonst, weil sie einen anderen Weg finden werden, um gegen Sie vorzugehen. Aus meiner Sicht und denke ich, dass dies auf APIs und alles andere in der Infrastrukturstrategie zutrifft. Wenn Sie verteidigt werden möchten, müssen Sie Ihre Abwehrmaßnahmen testen, indem Sie das tun Führen Sie auf realistische Weise einen Red-Team-Mob.

Ansonsten machen Sie nur Kentucky-Windage. Und wenn der Wind die Richtung ändert,

Neal Dennis: Eindrucksvoll. Nun, wie ich schon sagte, wir haben ein paar Minuten Zeit. Ich werde es Elliot zurückgeben, damit er uns zusammenbringt und sieht, was er in den nächsten zwei Minuten sonst noch zu bieten hat, aber noch einmal: Schätzen Sie es, Leute.

Elliot Volkman: Ja, so sehr ich es auch liebe, uns zu einem typischen Kaninchenbau zu führen, den ich am Ende gerne anstupse, weiß ich, dass Sie vielleicht allen unter der Sonne verpflichtet sind, die über Cybersicherheit und Nullvertrauen reden wollen. Nachdem dies gesagt ist, werde ich es hier und jetzt abschließen. Ich möchte mich nur ganz herzlich dafür bedanken, dass Sie sich uns angeschlossen haben.

Es hat lange gedauert, euch alle hierher zu bringen. Es war für Richard eine wahre Freude, einen Einblick in das zu bekommen, was Sie alle aufbauen, und zwar ganz allgemein. Chase, es tut mir leid, dass du mindestens alle zwei Monate mit uns zu tun hast. Aber John, vielen Dank, dass du hier bist.

Wir wissen das wirklich zu schätzen.

Neal Dennis:Vielen Dank, meine Herren, einmal

mehr. Schätzen Sie das Gespräch. Auch wenn wir auf den Tintenfisch warten mussten

*** Dies ist ein syndizierter Blog des Security Bloggers Network von Adopting Zero Trust, verfasst von Elliot Volkman. Lesen Sie den Originalbeitrag unter: https://www.adoptingzerotrust.com/p/adopting-zero-trust-apis-and-a-history