Redactie - 11 januari 2022

Noname Security beoordeelt koppelingen op alle aspecten

Noname Security beoordeelt koppelingen op alle aspecten image

Het cement van moderne IT-landschappen: API’s (Application Programmable Interface). Zij verbinden applicaties en apps aan databases en/of aan elkaar. Onvermijdelijke hulpmiddelen en tegelijk riskante koppelingen. Noname Security heeft er werk van gemaakt om elk API-platfom te beveiligen.

API’s zorgen voor alle interacties tussen applicaties, gegevens en apparaten. Ze maken de overdracht van gegevens van systeem naar systeem mogelijk en bieden een gestandaardiseerde toegang tot alle applicatiegegevens of apparaten; of het nu gaat om toegang tot cloudapplicaties zoals Salesforce of om winkelen met een mobiele telefoon. Volgens het ProgrammableWeb zijn er 5000 algemeen beschikbare API’s voorhanden met daarnaast nog de vele duizenden die organisaties zelf hebben gebouwd. Het voordeel van deze koppelingen is dat ontwikkelaars ze niet zelf hoeven te schrijven, maar ze kunnen integreren in hun eigen code. Het maakt het ontwikkelwerk een stuk efficiënter. Hoewel er verschillende soorten API’s zijn, is het niet moeilijk om ze te schrijven of toe te passen.

En daar schuilt één van de riciso’s volgens Oz Golan en Dirk Marichal. De eerste is mede-oprichter en CEO van Noname Security, de tweede is Vice President EMEA bij hetzelfde bedrijf. Zij spreken van shadow-API’s naar analogie van shadow-IT: koppelingen die zijn geprogrammeerd zonder dat de IT-afdeling daarvan op de hoogte is. En dat is riskant, want je kunt niet beveiligen waarvan je het bestaan niet weet.

De andere kant

Golan heeft zijn universitaire kennis over computerwetenschappen verfijnd in het Israëlische leger. Gedurende vijf jaar werkte hij voor Unit 8200 – Israeli Intelligence Corps. “Daar maakten we er werk van om zo veel mogelijk informatie te halen uit geautomatiseerde systemen van derden. Erg uitdagend en interessant werk. Maar na een paar jaar wilde ik wel aan de andere kant zitten: voorkomen dat iemand informatie uit jouw systemen weet te halen. Toen ik daar met mijn vriend Shay Levi over sprak, zagen we de kwetsbaarheden die API’s met zich meebrengen. Samen hebben we daarom Noname Security opgericht, waar Shay werkt als CTO.”

Marichal is een bekende in Nederland. Hij heeft zijn sporen verdiend bij onder meer Nutanix, Cohesity en Infoblox. Zijn missie is start-ups naar Europa te brengen om ze tot gevestigde namen te brengen. “Belangrijk daarbij zijn dat het bedrijf een oplossing heeft voor een opkomend probleem, dat er een ‘hot’, adresseerbare markt voor bestaat en dat oprichters en management-team tot de top behoren. Noname Security scoort goed op al die drie punten. Daarom denk ik dat Noname Security ‘the next big thing’ is en partners bereid zijn te helpen het bedrijf groot te maken. We zullen snel het kanaal vorm geven, zodat onze partners ons API Security platform kunnen leveren aan hun enterprise-klanten.”

Bijzonder veel interesse

Nog voordat ze één regel code hadden geschreven, zo vertelt Golan, was het duidelijk dat er bijzonder veel interesse bestaat in een oplossing die API’s beveiligt. “Wij hebben zo’n anderhalf jaar informatierondes gehouden om na te gaan waar de API-pijnpunten liggen. We hebben bijvoorbeeld gesproken met mensen van Walmart en Starbucks. Allen erkenden dat API-security broodnodig is en dat er op dat moment geen enkel bedrijf was die dit kon bieden. Alle reden dus om Noname Security in het leven te roepen.”

Dit is ook Marichals ervaring. “Iedereen praat erover. De laatste jaren is alles digitaal. En zijn er versneld koppelingen gelegd met klanten, met partners, consumenten, overheid, noem maar op. Er is alle reden om even pas op de plaats te maken en na te gaan of al die koppelingen wel veilig zijn.”

Holistische aanpak

Een paar jaar geleden voorspelde Gartner dat dit jaar API-aanvallen het meest zouden gebeuren, met als gevolg inbreuken op de gegevens van bedrijfsapplicaties. Die verwachting is uitgekomen met de Log4j kwetsbaarheid als recentst schrikbeeld.

“Het gaat erom dat je API’s als geheel, dus ook hun plaats binnen het systeem, beoordeelt. Wij hebben een holistische aanpak. Bij het evalueren van de beveiliging van het API-landschap is het uiterst belangrijk om alle componenten en alle principes van een API-beveiligingsstrategie in overweging te nemen. Wij bekijken de infrastructuur, de configuraties én de code. Wij hanteren de DART-strategie: Discover, Analyse, Remediate en Test. Wij weten alle kwetsbaarheden te vinden, te identificeren en te blokkeren voordat ze kwaadwillenden de kans geven binnen te dringen. Wij brengen alles automatisch in kaart: bekende en onbekende kwetsbaarheden.”

Ook Marichal roemt de holistische aanpak. “Daarmee onderscheiden we ons op de markt.”

Alleen al het in kaart brengen van API’s bij een organisatie werkt verhelderend. Marichal: “Onlangs hebben we dat gedaan bij een top 3 farmaceutisch bedrijf. Zij waren ervan overtuigd 12.000 API’s in bedrijf te hebben; wij vonden er 14.000.”

Vervolgens blijkt dat misconfiguraties veel voorkomen; onder meer door de in silo’s opererende onderdelen van een IT-afdeling. Ook load-balancers, firewalls, microservices, routering, encryptie (om enkele aspecten te noemen) spelen een rol bij de veiligheid van een API. Wie niet al die kenmerken in hun samenhang beoordeelt, kan zo maar een API laten functioneren als een poort waarlangs criminelen binnen kunnen komen.

Kennisoverdracht

Wie met Golan en Marichal praat, komt er al snel achter dat het niet eenvoudig is een goed beeld te krijgen van de gezondheid van alle koppelingen. “Dat geldt niet alleen voor de bedrijven die API’s beheren, maar evenzeer voor hun interne en externe IT-dienstverleners. Hier ligt een taak voor onze partners. Zij kunnen zich ontpoppen als adviseurs en via onze software ook als aanbieder van een managed security- of SOC-omgeving.”

Noname Security zal de komende tijd nadruk leggen op kennisoverdracht. Op het belang van beveiliging van API’s en hoe je dat met Noname Security kunt inrichten. “Vaak denken mensen dat een API-gateway voldoende is om API’s te beheren, maar dat regelt alleen het verkeer van bekende API’s. Het stroomlijnt de inzet van bekende API’s, maar inspecteert ze niet op kwetsbaarheden, misconfiguraties en afwijkingen. Het beheert niet de onbekende of kwaadaardige API’s. Je hebt ook met een API-gateway beveiliging nodig.”

Door: Teus Molenaar en Witold Kepinski

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!