播客 > Ep. 169 - API security for modern software services
Ep. 169
API security for modern software services
Pat Clawson, Chairman & CEO, Resurface Labs
Tuesday, March 14, 2023

在这一集中,我们采访了Resurface Labs董事长兼首席执行官Pat Clawson 。 Resurface Labs 是一种数据驱动的 API 安全服务,它使用连续的 API 扫描来实时检测和响应攻击。

我们讨论了 API 在现代软件架构中日益增长的重要性,以及公司在管理成百上千个 API 时面临的挑战。我们还探讨了 API 安全方面的独特挑战,例如对象级授权中断、API 参数篡改、会话黑客攻击和其他利用类型。

关键问题:

● API安全服务有哪些需要解决的问题?

● 为什么现有的安全系统,如防火墙和API 网关,不足以保护API 网络?

● 如图所示,通向攻击面的未知区域表示什么? (请插入播客中提到的图表的链接)

● 现代软件服务API 安全的重点领域是什么?

音频文字.

埃里克:帕特,下午好。欢迎来到播客。

帕特:谢谢邀请我。很高兴来到这里。

埃里克:我很期待这次谈话。网络安全正在扩展我的专业知识范围。因此,我总是喜欢与远远超出我专业领域的专家交谈。这当然是个案。特别是,我认为你进入这个领域是为了什么——现在是什么? 20多年?

帕特:是的,肯定有 21、22 年,还有一点点。

埃里克:企业家兼高管的混合体。所以,看起来你可能参与了——我的意思是,你也有董事会职位。因此,总的来说,您在某种程度上可能参与过 10 多家公司。但我想或多或少的程度。

帕特:是的,完全是。我大概运行了其中的六个。我已经加入了另外四个人的董事会。不过,这条路很有趣。我早在 2000 年、2001 年就开始涉足这个领域。那时候甚至是防火墙的早期阶段。人们仍在试图弄清楚它们是什么。我有一家纳斯达克扭亏为盈的第七层防火墙公司,它是这个星球上最好的公司之一。我们能够扭转这家公司的局面并发展它。我们试图收购竞争对手,而竞争对手也反过来收购了我们。我想,我们是在 06 年 1 月退出的。但那是第一次涉足它。那时防火墙正在发展。它们不仅仅是防火墙。他们是防火墙 VPN。我们收购了另一家公司,开始整合网络过滤。所以,这是开始。它开始膨胀。你从那里得到方式产品。当然,网关解决方案,第七层解决方案。

然后根据它的年份,我接手了一家名为 PatchLink 的公司。补丁修复平台在很大程度上是一种端点解决方案。完全不同。就在我到达那里之前,微软似乎很高兴免费赠送这些东西。因此,我们不得不转向并更多地转向更广泛的端点管理安全平台,我们确实将公司名称更改为 Lumention。最后,我们在全球拥有大约 3,500 名客户。因此,非常全球化,非常基于端点和代理的解决方案,这非常棒。我卖了那个。

有趣的是,我的下一步行动是进入数据领域。我们离开了产品,进入了真正的数据生命周期。那是一家名为 Blancco 的公司。我们在伦敦以外的 AME 交易所上市,并运行了两年半。让我们来看看。一路上,我是一家网络公司的董事会成员——我们的竞争对手,一家名为 eDMZ 的公司,这家公司非常有趣。我们把它卖给了 Quest,然后又卖给了戴尔。我是一家名为 Prolexic 的公司的董事会成员。 Prolexic 是卓越的 DDoS 保护平台。这是第一个真正在云中的。我们把它卖给了 Akamai。接管了一家暗网监控公司。我们将其发展成为一家名为 Terbium Labs 的数字风险保护公司,并在大约一年半前将其卖给了德勤。现在我们玩得很开心。我们处于一个全新的领域,即 API 安全。

埃里克:好的。听起来这是一段有趣的旅程,在很多情况下,你会进入,比方说,一家年轻、快速发展的现有公司,然后运营它。你是如何发展的——这似乎是你的专长。我还没有采访过那么多系统地做过这件事的人。我遇到过一些人,他们做过一两次,但这似乎是你的一种特殊能力。您是如何最终开发出这种能力的?

帕特:你知道,我认为它植根于我的灵魂。当我还是一个刚大学毕业的年轻人时,我在亚特兰大一家名为 Lanier 的伟大公司工作。他们有一个令人难以置信的培训计划。他们训练你如何销售。他们训练你如何管理销售人员。他们训练你如何管理单位、业务单位。我一直能够接受它。我学会了那些基本的业务规则和工具,而且无论我到过哪里,我都能够应用它们。其中的一部分,它打破了你是什么,你不是什么。你必须对自己诚实。有时,当您身处其中时,您不在。所以,让我们把它分解,弄清楚你是谁,然后弄清楚如何成长。我很幸运能够成功地做到这一点。

埃里克:我想网络安全市场是一个有趣的空间。因为它也是一个快速发展的市场,你总是会遇到新的挑战,新的公司就会诞生来解决这些问题。如果您回顾自己的职业生涯,您如何看待网络安全威胁形势的演变,以及试图解决这些威胁的技术创新浪潮?

帕特:伙计,这是一个很大的问题。我记得早期试图阐明它是如何向前发展的。有大公司。他们可能是赛门铁克和迈克菲。这些名字真的已经不存在了,对吧?现在你有了 CrowdStrike 和各种各样的 FireEye。你说出其他已经发展的大公司的名字,还有 Proofpoint。你选他们。它们随着时间的推移而进化。关于袭击如何发生的一切都在不断变化。一旦你觉得自己已经取得了技术进步来尝试管理它,他们就会找到一个新的载体。

我们今天要讲的是 API 安全。随着网络流量开始更多地转向 API,随着应用程序的激增,随着设备的激增,并且所有这些都在使用 API 进行连接,你看到了——我想那是几年前的事了。 Akamai 表示,现在 83% 的网络流量都通过 API。但有趣的是,我们并没有做很多事情来保护世界的那一部分。这是一个全新的事情。随着行业的变化,通信的变化,存储的变化。所有这些都开始招致新的攻击媒介。 API 是当今新的攻击媒介。

埃里克:是的,让我们讨论一下。 API 正在成为新的攻击媒介,因为它们被大量使用。也许遗产不是正确的术语。但是比方说,老牌玩家,他们为什么不能快速的做出一个产品,进入这个市场呢?他们有客户群,等等。他们肯定会找出问题所在。为什么有空间让年轻公司成为这个领域的市场领导者?

帕特:嗯,我认为情况一直如此。当你查看某种网络安全等级时,你会看到大公司。然后是中层,然后是新贵。暴发户正试图解决大人物太慢而无法做出反应的问题。他们拥有庞大的客户群。他们每天都在努力解决很多问题。有一堆错误的标记下一代技术是行不通的。

幸运的是,API 安全性得到了难以置信的大量投资。它在 T-Mobile 最近的攻击中得到了认可。这是一个非常严重的问题,目前没有得到很好的处理。所以,我认为他们会做的是,他们会让像我们这样的人解决问题,并为客户积累的最佳方法而战,然后可能会在路上的某个地方敲我们的门。

埃里克:是的。好的。知道了。我想将研发外包给年轻的公司似乎是解决这些新问题的可行策略。

帕特:确实如此。

Erik:那我们来讨论一下 API 安全性吧。也许在我们进入技术细节之前,从业务的角度,从管理的角度来看,这里要解决的问题是什么?对企业有什么威胁?

帕特:让我作为一个想成为消费者但还不知道产品存在的人来回答这个问题。当我经营一家名为 Terbium Labs 的公司时,我们拥有非常专用的 API,用于向全球大客户交付我们的技术和产品。直到客户告诉我们有问题,我才知道我们有问题。所以,我不知道流量的质量如何以及我们各个 API 的性能如何——它们质量好吗?我有执行缓慢的代码吗?我有性能缓慢的 API 吗?我们不知道。你只有在有人告诉你你有问题时才知道。

我也不知道它们有多安全。这些东西安全吗?当然。他们是安全的一切,我们告诉你。但是随后,您开始阅读它。 2018 年左右,你开始看到分析公司开始发布和撰写有关 API 完全缺乏安全性的文章。他们被推出并快速推出。他们是。 API 以两种主要方式表现出来。第一,我们称之为东方和西方。这些是公司内部在其不同系统之间使用的系统,等等。然后你有北方和南方,那些面向外部的。

有不同的规则。公司越大,问题越大。因为有人在没有任何规则的情况下支持 API。他们可以连接到某些东西,让他们的生活更轻松。但是在它进入那里之前没有对其进行质量检查。没有注册过程。如果那个人离开了公司,它就会像僵尸一样坐在那里。随着时间的流逝,随着 API 的激增,随着企业与其他企业的合并,以及人员的来来往往,你已经积累了完全不受管理的公司腿上的血管。完全没有管理。有些在防火墙之外。有些可以利用,但没有人知道您正在使用它们——有时是出于好的原因,有时是出于坏的原因。所以,这个问题的蜘蛛网已经演变了五年。

埃里克:是的,这是一个有趣的观点。 API 不同于公司经常构建的其他基础设施,因为他们不一定有专门的经理。可能有多少个 API——我想这与公司规模不同。但是,就个人而言,我们谈论的数量是多少?

帕特:好吧,你可以用几种不同的方式来看待它。一个是 API 的数量。老实说,我们接触过的几乎每家公司都会告诉我们,“我们不太确定。我们认为是 X。有时是 5,000。有时是 6、7、10。有时我们只有 10 或 20。它可能是银行环境,这是他们的移动应用程序和他们的 b2b 银行业务。因此,API 的数量可能会有很大差异。

第二件事是通话,通话量。我会让你知道一些关于它的事情。您可能有一家地区性银行,每天要接听 40 到 5000 万个电话,但他们的电话量很小。然后你有一个存储图像的政府实体。他们可能拥有的数量要少得多,但呼叫量更大。因此,API 流量及其构成因素存在很多变数。每个企业都有点不同。我回答了吗?

埃里克:是的,这是一个有趣的观点。几个月前,我正在与另一家更专注于物联网端点的网络安全公司进行对话。你提到了性能这个话题。他们可能有类似的问题,那就是人们不知道他们的网络上有多少物联网设备。他们只是不知道。他们不知道。因此,它们是一种网络安全解决方案。但他们发现,他们的解决方案对于帮助公司管理网络性能也非常有价值——只要知道我们有多少设备,它们在哪里,它们是开着还是关着——这不一定是网络安全问题,但它们如果你有你正在处理的数据,你就可以解决这些问题。确切地。听起来这可能与这里的情况类似,其中存在与网络安全相关的问题,但还有其他与性能相关的问题。相同的数据集可以帮助您在某种程度上解决这两个问题。

帕特:他们可以。如果您遵循更大的管理实体(NIST 就是其中之一)的指导方针,那么不仅仅是攻击。所以,有几个类别。有一个名为 OWASP 的管理机构。他们有自己的前 10 名。我们有 API 安全性前 10 名。因此,您希望能够确定其中是否有任何东西超出范围,以便进行修复。然后你就有了已知的攻击类型,你希望能够立即标记这些类型,这很有帮助。然后你就有了他们所说的异常。这些异常是,它们可能是性能不佳。它可能执行缓慢,就像未来的 DDoS 攻击一样。这可能是错误的代码。他们看待 NIST 异常的方式是他们未来的攻击面。坏人会弄清楚什么地方不对劲,然后想办法利用它。因此,这不仅是今天的攻击,而且还将自己呈现为未来的攻击面或工具。这有意义吗?

埃里克:是的,这是有道理的。我猜你有你现有的安全系统。所以,你有你的防火墙。您可能有一个 API 网关。比如说,其他系统,为什么这些不足以保护您的 API 网络?

帕特:这是一个很好的问题。我们有一张图片,我希望我能神奇地抛出并与大家分享。但作为一名前防火墙专家,您拥有 WAF 和网关。我们不做他们做的事。我们正在寻找那些。当人们使用像 Peloton 这样的凭据进行身份验证时,他们攻击了有效的凭据,但在他们通过这些产品后做了恶意的事情。所以,有些事情他们能够看到效果。但我们追求的是那些和微服务。因此,我们看到了 API 中发生的一切——它们完整的请求和响应数据集。这是他们看不到的东西。

它也有点独特。因为我们正在查看完全未编辑、未加密且处于运行时的状态。所以,我们得到了不同的画面。我们喜欢提到它的方式是,说,“看,我们不做他们做的事。我们帮助他们变得更聪明。”因为当我们实施时,例如,像 Tyk 这样的网关提供商,我们希望能够让他们知道我们所知道的,以便它可以调整其设置以在网关上更有效,如果这有任何意义的话。

埃里克:是的,你有这个“盒子里的安全分析师”的概念。但这基本上就是您访问未经过滤的信息的概念吗?因此,您直接使用 API 服务。

帕特:是的,在某种程度上。但我们尝试做的是尝试使用 ML 来查看在客户端环境中注册的攻击。而不是说,“哦,你今天在你的企业中触发了 58,000 次这种类型的攻击,”这就是发生的数字。那对你没有用,对吧?发送 55 个警报或 55、58,000 封电子邮件,或 58,000 个 Slacks,或 Teams,或任何可能使产品对他们无用的东西。因此,我们尝试为他们提供背景信息。我们会向他们发送一个单一的警报到 Slack,上面写着,“嘿,这是正在发生的攻击。在过去的 24 小时内,你已经发生了 58,000 次这样的事情。这就是它。这是你应该采取的补救措施用来拿。”但这种攻击本身,这种攻击警报,也有一个针对现有平台的补救路径,一个他们已经拥有的安全平台。它可能会转到 XDR 平台或 SOAR 平台,以便他们可以开始他们的剧本或编排以进行补救。

所以,我们将这个过程自动化。我们让管理员知道,所以他们不必坐在那里担心或看屏幕。我们让他们知道这个问题有多普遍。但在幕后,我们已经告诉他们现有平台之一它是什么以及它周围的所有细节,以便他们可以开始修复它。

埃里克:好的。明白了我正在看这张图。我想这可能就是你提到的那个。我们将在演出说明中对此进行链接。你有 Resurface 在 API 网关和 API 微服务之间捍卫的区域,以及一些要监控的潜在主题,比方说。因此,内部人员、供应链合作伙伴、API、KPI 等等。然后你就有了这个未知的区域,它基本上通向攻击面。这说明什么?这里有什么未知数?

帕特:除非你有一个 API 安全平台,它是真正的 API 安全平台——不是位于 WAF 上的平台,也不是位于网关上的平台——一个在这些平台之后存在光的平台,那就是未知区域。今天的大多数企业对攻击面的那个元素没有那种看法。现在,它被笼罩了。只是,我们只是不知道。除非问题发生,否则我们不知道。这就是我们试图为其他人带出黑暗的未知地带。

埃里克:好的。因此,这是一种思维方式的转变,从一旦发现攻击就做出反应,转变为主动了解网络中的行为并确定可能存在攻击的可能性,或者可能正在进行攻击,或者可能存在某些特定的攻击。然后您需要标记并做出反应的行为。

帕特:是的,正确的。因此,我们专门围绕我谈到的这三个类别制定了这一系列规则。那里发生了什么违反 OWASP Top 10 的事情吗?因为我们必须告诉别人。我们拥有所有已知的攻击类型。这里有什么东西看起来或闻起来像是正在发生的攻击类型吗?因为我们需要让别人知道。第三个桶是,是否有任何 - 是否有任何异常的软件、API 行为我们应该提醒开发团队或 AppSec 团队或其他什么,以便他们能够在它前面而不是成为一个问题?

埃里克:好的。知道了。好吧,让我们退后一步,从不同的角度来看这个问题,这是与您一起工作的人的角度。今天每个人都在管理 API,对吗?我想,假设,任何人都可以成为你的客户。但我敢肯定,在某种程度上,你关注的是某些公司类型、某些行业。重点领域是什么?那你为什么选择它们作为重点市场?

帕特:完美。谢谢。当我第一次来到这里时,我们做了很多研究。在我们的行业中,有 9 或 10 个不同的垂直领域,每个人都在努力争取。所以,我们不能那样做。让我们选择我们认为需求最高、监管最严格、失败时损失最大的三个。

排名第一的是 BFSI 类别——银行、金融证券和保险。那是我们的第一名。这是美元的大部分。他们对巨额罚款进行了严格监管。他们的移动应用程序、B2B 应用程序和 B2C 应用程序等高度依赖 API。我们关注的下一个是世界医疗保健。同样,无论您是在保险方面,还是在提供者方面,或者您是门诊的,您都很敏锐,都没关系。 API 正在如此影响您的世界。即使是医疗设备人员也严重依赖 API 来使这些医疗设备保持最新状态等等。所以,它非常大。我们关注的第三个是高科技,包括电信和国防。该类别本身约占全球网络安全支出的 40%。这是我们最关注的三个。这就是我们今天来自世界各地的客户类型的来源。

就业务规模而言,这听起来有点逆势,但我们最初认为会有很多中端市场的人会购买它。他们的团队中没有专家。他们不了解 API 带来的风险。他们的员工很少。他们一次只能处理这么多问题。他们会说,“好吧。我的 WAF 已经满足了我的要求。”您进入适合这三个类别的较大公司;他们的团队中有人知道这个问题。他们来找你,告诉你他们的问题是什么,你如何帮助他们解决这个问题。因此,我们的目标市场在这些垂直领域中更大,因为他们有一些人在遇到问题并希望在他们首先遇到问题之前解决它。

埃里克:好的。是的,这很有趣。它确实有道理。那么,与您共事的人,通常是来自 CIO 的自上而下的方法,还是由个别团队、个别产品负责人发现现场问题,然后与您联系以解决这些具体问题?

帕特:这很有趣。一开始,主要是 CISO 或 CTO 的推动,“你需要找到解决这个问题的方法。告诉我们我们的选择是什么。”我们被卷入了这些谈话。我们在 2022 年看到的很多情况是,这是第一次进行这些对话。 CISO 让团队查看平台,试图了解成本、规模、影响、工作量、他们如何发出警报以及存在什么样的补救路径。 2023 年的预算要多很多,因为这个问题已经被认识到了。但同样,主要是 CISO 团队、CTO 团队和他们的直接下属。

埃里克:好的。这意味着这些是公司希望在整个组织内标准化的解决方案,而不是允许使用或个人产品所有者为他们的产品选择解决方案。

帕特:我们看到了。我想告诉你这是 100% 的情况,但我们看到的是两种方式。公司越大,他们在收购和地域方面就越分散。所以,我们看到了一切。但我会很好。

这是挑战的一部分。一家大公司可能有五个不同的网关提供商。您有不同的网络或云解决方案。所以,这些人可能就是 AWS。这些家伙可能就是 Azure。这些人可能是 IBM OpenShift。我的意思是,你得到了一切进展。你必须弄清楚如何在所有不同的环境中工作。

埃里克:地理话题很有趣。我不知道这对你的影响有多大。我的意思是,当然,在云层面,中国有自己的生态系统。印度也开始朝这个方向看。欧洲有自己的一套法规,有些独特。这是否会影响您与不同地区的公司合作的能力,或者您是否需要在任何程度上对其进行定制以解决这些不同地区的监管差异?

帕特:这是一个很好的问题。这是我加入这家公司的原因之一。我们的创始人 Rob Dickinson 这不是他的第一个可观察性平台。但是当他建造这个时,他意识到了一个问题。其中一部分是,您可以采用世界上最严格的法规,并且您了解我们的垂直行业在我们所做的事情中是谁。如果我们需要在运行时查看所有未编辑和未加密的 API 流量,这在第三方 AWS 环境或 Azure 中永远不会发生。它需要在他们的环境中发生,这样才安全,并且他们不会违反 GDPR 或任何其他关于数据所在位置的规则。另一种方法是你必须大量编辑它。然后它潜伏在第三方环境中。你只是看不到一切。你不知道。

我们是第一方解决方案,但我们与云平台无关。因此,我们添加了 OpenShift。我们不得不添加阿里巴巴的云,因为沙特电信已经为他们的客户实现了标准化。所以,我们离他们只有几英寸。在我们的网站上,您可以看到我们现在开箱即用地支持四、五、六种不同的云平台。我们将自己扩展到世界各地的能力非常简单。

埃里克:好的。有趣的。也许我们可以从决策过程的其他几个角度来看待这个问题。我想全球标准化是一个领域。听起来您拥有可以解决这些问题的基础架构。我想性能可能是另一个问题。你说的是非常高的流量。你说的是实时分析。我想性能将是 CISO 的一件事——

帕特:把我们放在边车里。我们像 Kubernetes sidecar 一样运作。因此,我们不会影响他们的表现。这就是该架构的伟大之处。我们能够让他们疯狂地奔跑,而我们不会妨碍他们。

埃里克:好的。分析与数据流方面的延迟是多少?

帕特:这是立竿见影的。这里很热。它正向你袭来。

埃里克:好的。有趣的。我的意思是,这是一个差异化因素,还是其他提供商也会有的东西?我只是在考虑这里的技术挑战。

帕特:是的,我知道。我们是唯一的第一方平台。我认为这是一个。只是我们对此公开交战。我还没有与世界上一家大型银行、医疗机构、电信公司或国防实体的 CISO 交谈过——你可以选择——将他们的数据完全放在第三方环境中是可以的。真正做到并理解的唯一方法就是拥有他们的。所以,我认为这是独一无二的。

第二部分即将展开,其中有两部分会自行打开,因为我们是第一方。首先,它没有被编辑。我们在运行时得到它,所以我们看到它。其他供应商不能,因为没有人会让他们这样做。他们不会让所有这些数据进入第三方环境。因此,我们看到了所有我们认为非常重要的请求和响应数据集。但它也允许我们创建一个至少包含最近 30 天 API 流量的数据湖。因此,当零日攻击发生时,他们毫无头绪。

我们在我们的数据库中构建了一个类似于 Google 的疯狂小搜索工具,让他们可以说,“嘿,我有一个 J 的新日志,”它会立即分析他们的流量并让他们知道他们是否受到了影响、哪些 API 等等,以便他们可以确定中介的优先级。没有其他人能做到这一点。因为没有人会让您在第三方环境中创建数据湖。因此,一些非常独特的功能。它们非常实用,因为我们所处的位置,我们能够处理这些问题。

埃里克:好的。有趣的。谈论网络安全等话题总是很有趣。因为你构建的底层基础设施,你构建的架构真正决定了你如何解决问题。一旦你建立了架构,10年后,当你在解决不同的问题时,很难演化到那些问题,对吧?

帕特:是的。

埃里克:我想,至少,也许还有其他人。但另一个肯定会成为首要考虑的问题是定价,以及定价规模如何。因为您谈论的是管理大量 API 和流量的公司。您如何看待定价问题?你如何解决这些问题?

帕特:简单。看,我们采取了一点——我们试图解决的问题之一是我们行业的定价标准是什么。如果我们观察来自世界各地的 10 个不同的竞争对手,他们会使用 20 或 30 个不同的变量来表示端点数量和开发人员数量。这非常复杂。

我们真的,真的不关心这个。在架构上,我们是 Docker、Kubernetes 和 Trino。 Trino 就是那个数据库结构。它曾经是 Facebook 中的 Presto 团队。他们中有 13 或 14 人离开了。它是一个开源的、可大规模扩展的 SQL 数据库。所以,我们有标准的 Trino。然后我们有冰山。它实际上是节点的数量。在我们基本的小流量环境中,每百万到两百万次调用就是一个额外的节点。我们有客户。所以,你可以进入它大约 18,000 一年的单个节点。但是如果你去冰山,我们每个节点有 5 亿次调用。因此,您拥有可即时访问数据的庞大日常功能。这接近每个节点 32,000 美元。它是每个节点。这实际上取决于您的通话量和通话量。就是这样。

埃里克:好的。知道了。所以,听起来你正在寻找较小的组织,也许是五位数,然后,我想较大的组织在扩大规模时可能会更多地关注七位数或更多。

帕特:是的,在小的方面,我们看到平均交易规模在 54,000 到 55,000 之间。在较大的交易规模中,您会看到它们从 150 左右开始,最高可达 950。

埃里克:好的。知道了。实际上,解决 API 安全问题似乎并没有那么多钱,因为——

帕特:我们同意你的看法。

埃里克:是的,嗯,我想人们在被烧伤一两次之后总是更容易证明这一点,然后他们就会看到责任。

帕特:那已经打开了,那个问题本来可以解决的,他们已经注意到了。但他们是一家很棒的网络公司。他们不是应用层公司。所以,他们并不真正了解我们所展示的那些应用程序的风险,对吗?

埃里克:是的,我明白了。除了这些主题之外,当 CISO 评估我们是否应该解决这个问题时,还有什么是关键的决策因素?那么我们在寻找什么解决方案呢?

帕特:是的,我认为数据隐私可能处于最尖端,最尖锐的一端。这是他们必须关心的事情。我认为另一件事——这是最重要的事情之一。 Gartner 真正做到了这一点。发现是一件大事。是的,我们可以插入 API 网关或 VPC 镜像等现有工具。但作为供应商,您需要能够发现他们不知道的东西——您的僵尸 API,诸如此类。组织越大,未知数就越多。对于您来说,能够将其关联起来并将其带回给您的客户是非常有帮助的。

我们很多人都不想承认他们不知道。我们明白这一点。但是,当他们查看前几周的分析时,他们也会睁大眼睛。他们就像,“哇,那是不同的。”所以,我认为拥有一个真正了解发现过程的供应商,可以运行运行时,可以接受数据隐私法,以及欧洲、日本、新加坡、加利福尼亚等地实施的数据驻留法,我认为这是一种标准你必须考虑。

埃里克:好的。也许我们可以通过查看几个用例来结束这里。如果需要,请随意匿名化客户名称。但我认为从头到尾看一些东西总是很有趣。你和谁一起工作?问题是什么?他们为什么联系你?为什么他们会找到解决方案?那他们是怎么部署的呢?他们取得了哪些成果?

帕特:我可以马上给你三个。第一个是银行环境。这是国际化的。它在 IBM OpenShift 中运行。我认为这些评论——我只是想回忆一些引述。我们有时会使用它们。这是他们第一次真正在一个地方看到全部 API 流量。那么 API 流量的实际结果是什么——它们有重定向吗?他们有畸形吗?他们有实际的攻击发生吗?他们有客户端错误吗?我认为对他们的另一个评论是他们从未真正理解 API 会增加他们的攻击面。但一旦他们看到所有流量的结果,就会调整他们的看法,就像“哦,这是个问题。”我们并没有真正的现有解决方案来实际查看我们的 API 内部发生的事情,对吗?无论你是像 SentinelOne 这样的伟大平台,你选择它,还是 Palo Alto,他们不一定知道 API 内部发生了什么。他们可以杀死一个 API,但他们无法停止其中的一项服务。我们必须在那里向前移动一点。所以,我认为这是一种攻击面。第一,他们从未真正意识到风险。

我想 — 我在这里查看我的备忘单只是为了帮助我弄清楚。第二家是另一家国际银行。他们的评论大同小异,他们不知道他们实际上有定期实时发生的实际攻击,也不知道他们的 API 基础设施中的异常程度。这对他们来说是一个震惊。我认为它还允许他们识别流氓和/或僵尸 API。但重要的是,它们具有遗留 API。他们无法插入他们的网关。他们太老了,他们不会那样工作。但我们也能够观察到它们,并帮助它们改进和保护它们。除了通过我们的产品,他们别无他法。

第三个进入医疗器械领域。它实际上是围绕审计和合规性。这些人在很大程度上是由 API 驱动的。但他们需要证明自己的合规性,以及这些医疗设备的连接性和可用性。这不像 — 另一个主题的伙伴前几天对我说,你知道,银行业,你可以证明你拥有完成它所需的一切。在医疗保健领域,你不能。实际上,您必须能够审核、呈现并证明它是真实的、有效的、未被感染的,并且始终在做正确的事情。这是三个不同的用例,具有来自买家的三种不同需求,所有这些都是由 CISO 或 CTO 驱动的。

埃里克:好的。我在想一个用例。我不知道这是否是一个用例。也许你可以分享你的想法。在本主题中围绕 ChatGPT 进行了大量讨论。 Andreessen Horowitz,他们在本周早些时候或上周进行了一次小型播客讨论,他们询问了一些合作伙伴您对 2023 年最感兴趣的主题是什么。其中一位合作伙伴表示他们对以下主题感兴趣银行业的合规性。因为显然,在银行,它已成为总收入的 10%,有时甚至更多,用于合规。这意味着一家大型银行有 15,000 名员工从事合规工作。那么看起来,好吧,在未来五年内,是否会从外包到印度转向使用 GPT-6?还是成熟到一定程度,基本上是用AI算法来做这件事?

我当时在想,可能只有大量的 API 流量。我不知道那是否是 API 流量。也许不会。但是,做一些与合规性非常相关的事情。它拥有独特的监管环境。但是你怎么看——我的意思是,这只是一个用例。但你可以想象,有很多公司正在考虑将手动流程转变为机器驱动流程、人工智能驱动流程。您如何看待这对您业务中的 API 流量的影响?会不会有影响,还是这种题外话?

Pat:不,我认为它继续推动 API 作为通信工具的爆炸式增长。我认为它只会变得更大。 API 的规模和增长,有很多数字。我现在不能说服他们。但它是如此极端。然后像 GraphQL 之类的新版本刚刚启动并接管业务。看,我认为这是拼图的一部分。但是分布式越多,我们做的物联网就越多,所有这些事情都依赖于 API。

我认为最大的问题之一是,当我们开始意识到 API 是为提高生产力、创收以及所有这些目的而构建的时,它们不一定是为了安全而构建的。因此,当您介绍这些新 API 的爆炸式增长时,从一开始就向左移动并获得安全性的概念是一个非常健康的对话。能够理解和运行您的 API,并在将它们投入生产之前了解其中是否存在异常是另一个健康的对话。

埃里克:是的,很有趣。我再次与另一家网络安全公司交谈。这个专注于医疗技术。同样,在物联网设备上。但他们有一些统计数据。我没有准确捕捉到它。但是,与在开发期间解决安全问题相比,在设备投入现场后追溯保护设备的成本要高出 10 倍。我想这里有某种类似的乘数。

帕特:是的,一直都是这样。回到汽车世界。如果你交付的是有保修期的废车,那么保持它正常运行可能比一开始就把它做好要花更多的钱。

埃里克:太好了。那么,路线图上有什么?显然,这仍然是一个发展非常迅速的空间。所以,如果你看看未来 12 个月、24 个月的 Resurface,你的首要任务是什么?

帕特:你知道,我认为一切都围绕着安全,暴露不同的姿态。我认为,它也是成功的——我们以简单为荣。如果你在 15 分钟内让我们站起来,在一个家庭命令中,我们很快。我们直截了当。我认为技巧来了。与那里最好的网关供应商、与 GCP 的用户、与 AWS、IBM、阿里巴巴以及所有这些人的关系。因为 F5 中的那些交互,你选择,这些关系不仅允许了解问题,而且允许你创建一个网络,由同样感兴趣的供应商组成,这些供应商也希望解决问题。知道它是一回事。补救,这是另一回事。让这些关系无缝衔接是我们付出的巨大努力。我们的社区,我们的合作伙伴关系是我们目前关注的重点。

埃里克:是的,太好了。好吧,帕特,你在这里建立的公司非常有趣。听众有什么最后的想法吗?

帕特:哦,只是,不要害怕承认这是一个问题,这是一个攻击面问题。它比你想象的要大。不要害怕举手说:“让我免费试用。让我了解我的问题,”然后我会来和你谈谈。它是真实的。弄清楚它不需要花费任何费用。

埃里克:是的,太好了。我看到你在你的网站上提供了一个演示。所以,对于正在收听的人来说,那就是 resurface.io。帕特,谢谢你今天抽出时间来。感谢您的款待。

联系我们

欢迎与我们交流!
* Required
* Required
* Required
* Invalid email address
提交此表单,即表示您同意 IoT ONE 可以与您联系并分享洞察和营销信息。
不,谢谢,我不想收到来自 IoT ONE 的任何营销电子邮件。
提交

感谢您的信息!
我们会很快与你取得联系。