Adoptando Zero Trust: API y una lección de historia

Jan 07, 2024

Inicio » Red de bloggers de seguridad » Adopción de confianza cero: API y una lección de historia

Vea este episodio en YouTube, Apple, Spotify, Amazon o Google. Puedes leer las notas del programa aquí.

En los últimos años, los ataques a la cadena de suministro y sus impactos han superado o pronto superarán el daño causado por el ransomware. No sorprende entonces que las API sean un vector de ataque crítico que a los actores de amenazas les gusta explotar; sin embargo, muchas organizaciones no tienen una buena comprensión de cuántas puertas se encuentran con sus datos.

Esta semana charlamos con el padrino de Zero Trust, el Dr. Zero Trust, y un director de seguridad sobre el estado actual de madurez de la seguridad de API. Teniendo en cuenta a nuestros invitados, por supuesto, también aprovechamos la oportunidad para charlar un poco sobre la historia de Zero Trust.

Esta semana tenemos tres invitados muy especiales:

John Kindervag, el creador (padrino) de Zero Trust

Chase Cunningham, también conocido como Dr. Zero Trust, y ahora vicepresidente de investigación de mercado de G2

Richard Bird, director de seguridad de Traceable AI

Como cualquier otro concepto de ciberseguridad, las API deben contar con un inventario de activos

Existe suficiente margen de error relacionado con el uso previsto de las API que requieren monitoreo/verificación continuos.

Actualmente existe una brecha de madurez asociada con asegurar el uso de API en nombre de la velocidad y la innovación y, a menudo, no existe un propietario bien establecido.

Nos tomaremos un descanso editorial durante el mes de septiembre porque ha llegado mi hija y tendré que recuperar todo el sueño que pueda. Deberíamos regresar en octubre y continuar hasta las vacaciones antes de terminar la segunda temporada. También estoy trabajando en algunas series de podcasts experimentales durante mi licencia parental, así que estad atentos. Al menos uno en particular debería ser de interés para nuestra audiencia aquí. Además, si trabaja para una organización de ciberseguridad y está interesado en lanzar un podcast, deslícese por mi bandeja de entrada si necesita ayuda.

Ganador del sorteo

Si viste nuestro último episodio con Yubico, es de esperar que hayas visto el sorteo. Tuvieron la amabilidad de ofrecer dos Yubikeys a los oyentes, ¡y ya tenemos nuestros ganadores! John C y Simon D, ustedes son nuestros ganadores. Lo conectaremos con Yubico para obtener su clave. Una vez que regresemos, probablemente haré un sorteo de Flipper Zero.

Anuncio de servicio público rápido para usuarios de LinkedIn

Si no tiene MFA/2FA en su cuenta de LinkedIn, actívelo ahora mismo. Hay una campaña masiva de apropiación de cuentas en marcha que se ha extendido durante los últimos 60 días, y esa es la mejor manera de evitar que su cuenta sea congelada. Además, dígale a la gente que deje de reutilizar contraseñas.

Y ahora, a nuestro episodio...

En cuanto a las infinitas herramientas que tenemos a nuestra disposición para prevenir, detectar y mitigar las amenazas cibernéticas, todos sabemos que no existe una solución mágica para proteger completamente una organización. Llámelo Defensa en profundidad, Seguridad por diseño o incluso Confianza cero, y cada uno de estos conceptos se centra en desarrollar un enfoque en capas para reducir el objetivo en su espalda.

Pero aquí está la cuestión... además de los ataques de día cero, en la mayoría de los casos, sabemos cómo es probable que los adversarios intenten atacarnos. A continuación, Chase explica por qué conceptos como Zero Trust son mucho más críticos para una organización que simplemente intentar resolver problemas con tecnología y herramientas:

“¿Por qué iba a curar la enfermedad cuando puedo ganar más dinero si puedo tratar los síntomas? Lo sé, aquí hay otra característica nueva que sé que hará esta otra cosa, pero no resolverá todo el problema, aunque sé que podría, pero solo será cuestión de probar un poco. Es como, es como crack ZT, ¿verdad?

Simplemente lo hueles un poco, y luego quieres un poco más, y luego quieres más, y sigue empeorando, y empeorando, y empeorando, y... Los fundamentos, esto es, y John y yo hablamos. sobre esto todo el tiempo, al igual que los fundamentos de lo que deberíamos hacer, son bien conocidos. Me sorprende que la gente todavía se quede sentada preguntándose dónde deberían centrar sus esfuerzos o cualquier otra cosa cuando tenemos volúmenes de investigación y organizaciones enteras dedicadas a esto, como si éste fuera el único lugar en toda la guerra, el adversario te dice cómo lo hacen. Si vamos a venir hacia ti y la gente se quedará sentada, me pregunto cómo va a funcionar esto”.

Hay mucho que asimilar, pero todos sabemos que no es más que un hecho. Existe una herramienta para cada caso de uso bajo el sol, pero sin los fundamentos, ¿qué valor nos aporta realmente? Poco. Las herramientas sólo tratan los síntomas y tu estrategia es la que cura la enfermedad. Ahora hablemos de los eslabones más débiles actuales: la seguridad API.

"Les diría que desde el punto de vista de la madurez, la seguridad de la API se encuentra actualmente en su estado de contraseña y texto sin cifrar", dijo Bird.

Para el oyente típico, este debería ser un claro ejemplo de cuán rudimentaria es la madurez de la seguridad de las API en la actualidad. Para todos los demás, un ejemplo más simple es si pones tu contraseña en una nota adhesiva y la colocas en tu monitor o en la parte superior de tu computadora portátil.

“Estamos en el complejo industrial de la ciberseguridad. Ahora bien, piense en la última vez que una gran organización empresarial cambió la forma en que estaba estructurada su organización de seguridad. Entonces, cuando entras y dices quién está a cargo de la seguridad de la API, todos se sientan alrededor de la mesa y dicen, no lo sé.

Porque no encaja. Totalmente mochila. No se ajusta completamente a la seguridad de los datos. No encaja del todo en la seguridad de la red. Y, sin embargo, ahora se ha convertido en la superficie de ataque y explotación más grande. Entonces ese es el estado actual. Y así es como llegamos a reconocer que es mejor que empecemos a hacer algo con respecto a la confianza cero”, dijo Bird.

Si las API son un riesgo y la madurez es actualmente baja, ¿deberíamos dejar de usarlas en nombre de la seguridad? Por supuesto que no.

“Creo que las API son mágicas, ¿verdad? Hablamos de la economía de las API y de cómo las API impulsan los negocios y una de las cosas que hacen es eliminar la necesidad de estándares. De modo que ahora podemos tener interoperabilidad sin estándares porque los estándares inhiben la innovación. Entonces, en los viejos tiempos, si querías conectar algo al firewall X, tenías que pasar por un montón de cosas y tomaba una eternidad”, dijo Kindervag.

“Ahora hay una API. La he conectado. He mejorado algunas capacidades y lo mismo con los pagos o cualquier negocio en el que se encuentre. Así que no es necesario tener estos pagos, ya sabes, estos comités de estándares donde se construyen, ya sabes. La siguiente segunda secretaría, el próximo caballo de carreras de pura sangre, y salen con un camello de ocho jorobas, ¿verdad?

No lo dejaremos colgado con una de las posibles soluciones, que es un tema común en Zero Trust: verificación continua. Sin embargo, en esta situación particular, eso significa que debe tener la capacidad de estar atento a cualquier uso anormal, al igual que monitorear sus sistemas SIEM/SOAR/XDR, y verificar cualquier elemento marcado.

“Las API se pueden aprovechar para hacer cosas que no estaban destinadas a hacer porque hay suficiente margen para el abuso dentro de una API, lo que significa que hay que rastrear y monitorear esos comportamientos de las API de forma continua e idealmente rastreables. Nosotros hacemos esto. Ya sabes, nadie más en el mercado de seguridad API hace esto.

De hecho, rastreamos los comportamientos porque nuestros fundadores crearon dinámicas de aplicaciones y rastreamos el comportamiento continuamente durante el ciclo de vida de esa API para que sepamos qué se supone que debe estar haciendo. Y sabemos cuándo se sale de banda y cuándo comienza a comportarse de manera anormal”, dijo Bird.

Transcripción

Esta transcripción se creó automáticamente y, sin duda, está llena de errores tipográficos. Como siempre, culpamos a las máquinas de cualquier error.

Hola a todos, Elliot Volkman, el productor de Adopting Zero Trust o AZT, les presentamos una breve actualización antes de pasar al episodio de podcast tan especial que tenemos. Prepárate para ti hoy. Primero hace una semana y media, hace dos semanas, en este momento llegó mi primogénito, así que, con suerte, me tomaré todo septiembre libre.

Vamos a hacer algunas entrevistas, por supuesto, para preparar las cosas, deberíamos regresar en octubre, pero entre la falta de sueño… Potencialmente un bebé llorando de fondo. Sólo necesito establecer un poco de cadencia. Entonces habrá una pequeña pausa en la publicación. Así que eso va a ser una cosa.

Hablando de eso, si actualmente no ves las notas de nuestro programa y no te has suscrito, puedes ir a adoptarzerotrust. com y obtenga nuestras notas del programa. También está conectado al bulevar de seguridad. Pero puedes suscribirte allí. Entonces, si prefieres ver también algunas de las cosas que estamos reuniendo, ese es un buen lugar para encontrar esas actualizaciones.

Último episodio gracias a Yubico, también hicimos nuestro primer sorteo que estamos dando, bueno, están regalando dos Yubikeys. Entonces, los dos ganadores son John C y Simon D. Mientras estés en los EE. UU., te conectaremos y ellos los obtendrán. llaves enviadas a usted. Muchas gracias por participar en eso.

Probablemente hagamos un Flipper Zero cuando regresemos de estas pequeñas vacaciones de verano. Y luego también enviaremos información sobre eso. También tengo un PSA rápido. Desafortunadamente, soy conserje de Internet, lo que significa moderador de Reddit en particular, el subreddit de LinkedIn.

En el pasado, no sé, 60 días. Ha habido una gran afluencia de personas cuyas cuentas están siendo tomadas. De hecho, podría hacer un episodio completo de eso una vez que recopile suficiente información, pero el anuncio de servicio público aquí es realmente simple. Si no tiene dos factores en su cuenta de LinkedIn, póngalo como ahora, que es prácticamente el mayor bloqueador para reducir esas apropiaciones de cuentas.

Por lo tanto, active dos factores si aún no ha cambiado su contraseña. Si conoces a personas menos inteligentes, asegúrate también de que no reutilicen la contraseña.

Porque estoy bastante seguro de que ese es el problema crítico de todos modos. Esas son las actualizaciones y el anuncio de servicio público. Próximamente tendremos algunos episodios nuevos. Afortunadamente estoy de baja por paternidad del trabajo diario. Eso significa que tengo un poco más de flexibilidad, creo, en cuanto a tiempo y disponibilidad.

Así que, con suerte, voy a estar trabajando en algunas series nuevas que serán de interés para algunos de ustedes. Algunos de los nuevos podcasts en los que estoy trabajando también, no tanto relacionados con la ciberseguridad, pero los publicaré y veremos si están interesados ​​y partiremos de ahí. Eso es todo.

Entonces, vayamos al episodio que Neal y yo honestamente hemos estado esperando durante mucho tiempo con el Padrino de Zero Trust. Vamos.

Elliot Volkman: Hola y bienvenido a otro episodio de AZT o Adopting Zero Trust. Soy Elliot, su productor, junto con Neal, el presentador adecuado. Y hoy, después de tal vez, no sé, dos años de preparación, tenemos probablemente a los panelistas de Zero Trust Rockstar más golpeados que podemos conseguir para todos ustedes hoy. Así que voy a pasar directamente a eso y haré algunas presentaciones adecuadas, y partiremos de ahí.

Entonces ya lo conociste antes en nuestro programa. Definitivamente escuchas su programa si estás escuchando el nuestro. Entonces, Chase, te entregaré esto muy rápido. Si desea volver a presentarse rápidamente, Sr. Lo siento, Dr. Zero.

Chase Cunningham:Chase Cunningham, jefe retirado de la Marina, ex contratista gubernamental, ex analista forestal, ahora vicepresidente de investigación de mercado de seguridad en T2 y presentador del podcast Dr. Zero Trust.

Elliot Volkman:Muy bien, Richard, si fueras tan amable de presentarte y explicar cuál es tu función en Traceable.

Richard pájaro: Sí. Soy Richard Bird. Soy el jefe de seguridad de rastreable. He estado en el lado de la solución durante unos cinco años durante los 20 años anteriores a los más de 20 años anteriores a eso. Yo era un completo traidor corporativo. Fui ejecutivo en la gestión de ITIT. Durante aproximadamente la primera mitad de mi carrera y la otra mitad de mi carrera, estuve en seguridad de la información y seguridad cibernética.

Digo ambas cosas porque soy lo suficientemente mayor como para que en aquel entonces no tuviéramos términos muy interesantes para describirlo. Y estuve unos 16 o 17 de esos años en la banca. Alrededor de las 11 en JPMorgan Chase. Ya sabes, pasé del lado del practicante al lado de la solución y me divertí muchísimo. Me encanta.

Elliot Volkman: Excelente. Y en un momento, sin duda profundizaremos en eso, pero tenemos una última introducción adecuada que hacer nuevamente, que lleva mucho tiempo preparándose. John, creo que es mejor que todos los que hayan oído hablar de la palabra Zero Trust conozcan tu nombre, excepto creo que nuestro amigo de Serbia pudo haber introducido accidentalmente algo que tú creaste.

Dicho esto, divagando a un lado, John, señor padrino de Zero Trust, si pudiera darnos un poco de información

presentación adecuada a usted mismo.

John Kindervag: Sí, John Kindervag. Soy vicepresidente senior de una empresa llamada ON2IT, que es una empresa de servicios gestionados que ofrece servicios gestionados desde una perspectiva de confianza cero. Antes de eso, estuve cuatro años en Palo Alto Networks como director de tecnología de campo. Y antes de eso, estuve ocho años y medio en Forrester Research, donde creé Zero Trust, escribí los primeros, oh, media docena de artículos, y me recuperé completamente, llamé muchísimos nombres picantes por personas que pensaban que Esto no iba a ir a ninguna parte, y yo tampoco estaba seguro de que fuera así, pero así fue, y estoy feliz de estar aquí hoy con dos de mis mejores amigos, Richard y Chase. Nos divertiremos hoy, porque los tres, tú, crees que tu chico es inmanejable, no has salido con estos dos, así que, ya sabes, vamos a

Neal Dennis:No estoy seguro de qué pensar acerca de que me llamen inmanejable en este momento, pero ya sabes, tomaré

Elliot Volkman: Quiero decir, acabo de editar un episodio en el que estábamos en San Francisco y podría haberle estado dando tragos de tequila justo antes. Así que se mantuvo firme.

Neal Dennis:Mmm.

Elliot Volkman: Ya sabes, tengo que darle algo de credibilidad por eso. Muy bien, tengo que plantear esta pregunta antes de que, ya sabes, profundicemos en la profundidad de la confianza cero y la API.

Y luego Dios sabe adónde llevarán esto. Así que sólo tengo que preguntarle a John, ¿no es muy extraño verlo? Algo que usted ha creado se convirtió en una bola de nieve que se convirtió en absolutamente todo lo que hoy en día toca la confianza casi nula. Quizás no tanto en RSA este año, porque la IA está tomando el control, pero la confianza cero está en todas partes.

Ya sabes, ¿cuáles son, cuál es tu perspectiva sobre cuánto se ha multiplicado y perseguido?

Tienes parte de la culpa. Esa colocación de productos.

John Kindervag: Sí, no, quiero decir, es raro, ¿verdad? Quiero decir, es gratificante, humillante, pero es extraño. Quiero decir, literalmente, la gente se burló de mí desde el principio. Y me dijo que lo estaba, que estaba loco, no sólo tan loco como una hipérbole, sino que literalmente estás loco por hacer eso. Y, ya sabes, en Forrester en ese momento, lo que la gente no se da cuenta es que no fue simplemente como, Oh, tiré esto.

Fueron dos años de investigación primaria en los que viajé por todo el mundo y hablé con la gente y aquí está esta idea, le hice agujeros y vi dónde sucede y la evolucioné. Y así, y luego, y luego, cuando se volvió algo común, lo hice. Trabajé en el diseño y la construcción de una gran cantidad de entornos de confianza cero y luego, ya sabes, encontré a las personas adecuadas con quienes realmente asociarnos.

Así que persigue aquí, bueno, lo recluté para Forrester una vez y luego, y luego, en el último minuto, él me rechazó y lo recluté nuevamente para que se hiciera cargo de mí cuando me fuera porque quería que él fuera el rellenar porque no lo hice, ya sabes. No confiaba en lo que pasaría si no lo dejaba en buenas manos y él lo llevó al siguiente nivel.

Y entonces nos conocemos bien desde que saliste de la Marina, supongo. Bien. Y hace mucho tiempo, retrocedemos mucho tiempo, ya sabes, buen amigo. Y luego, y entonces, ya sabes, siempre hubo algunas personas que dijeron que esto realmente tiene piernas. Continúe siendo realmente alentador cuando la mayoría de la gente me decía, no, esto no va a suceder y muchas de esas personas que dijeron que esto nunca sucederá.

Es una idea tonta: ahora somos expertos de confianza cero. Así que supongo que es divertido ver ese cambio, pero es muy humillante. Sabes, es realmente extraño. Es raro cuando la gente te reconoce en un avión y esas cosas. Es sólo que es algo extraño.

Elliot Volkman: Absolutamente. Y yo, creo que lo que acaban de mencionar probablemente se pueda resumir bien en un, no sé cuál de ustedes lo compartió. Todos interactúan con él. Fue en LinkedIn donde están intentando neutralizar el concepto de confianza cero. Y luego, como en el siguiente fotograma, fue, oh, por cierto,

este es nuestro sabor de confianza cero, que es un producto

Chase Cunningham: Ah, ese era Sean Connolly. Sí,

John Kindervag: Sí, ese era Sean Connolly en CISA, quien, curiosamente, fue uno de los primeros defensores cuando estaba en el Departamento de Estado, ¿verdad? Entonces, ya sabes, ese es el tipo de personas a las que les dices, está bien, sí, esto irá a alguna parte. Y, y, es, ya sabes, para mí... Como, ya sabes, todos los demás panelistas estaban en el ejército.

Yo no, mi papá sí, pero yo no, pero es el mismo concepto, ¿no? Se trata de centrarse en la misión y estamos luchando contra un adversario, ¿verdad? Entonces hay tres negocios contradictorios. Están los militares, las fuerzas del orden y la ciberseguridad. Y el general John Davis, que era un dos estrellas retirado.

Antiguas fuerzas especiales, pero quién resistió qué, lo que finalmente se convirtió en comando cibernético trabajó conmigo en Palo y una vez me llevó a un lado y me rodeó con su brazo y se inclinó y dijo: John, luché. mis guerras ya. Sal y lucha contra el tuyo. Y ese tipo de estímulo, ya sabes, realmente puede ayudarte a seguir adelante.

Y entonces necesitas a esas personas, necesitas las persecuciones, necesitas a los Richards, necesitas a esas personas en tu vida que te animen a seguir avanzando. Y eso es lo que tenemos que devolverle a la comunidad, ¿verdad? Gracias.

Elliot Volkman: Está bien. Así que eso es todo el tiempo que lo haré. Gracias. Regañarte sobre el concepto. Quiero decir, ya sabes, has cubierto esto de un millón de maneras diferentes. Todo el podcast de Chase dedicado a ello. Así que vayamos un par de capas más abajo y hablemos sobre los elementos de la API que se asocian con la confianza cero.

Obviamente, sabemos que, desde una perspectiva de riesgo, los ataques a la cadena de suministro son absolutamente una pieza fundamental del pastel. Pero sí, Richard, tal vez podamos pasarte esto. ¿Cuál es el estado actual de las API en ciberseguridad y qué impacto tiene para las organizaciones actuales?

Richard pájaro: Guau. Hay algunos, así que voy a usar mi Richardismo favorito para John. Hay tantos hilos diferentes de los que tirar aquí. Y ya sabes, cuando pienso en esto, te diría que desde un punto de vista de madurez, API Security se encuentra actualmente en su estado de contraseña y texto sin cifrar.

Ya sabes, este es un conjunto muy interesante de problemas que se han propagado. Se puede argumentar al menos durante una docena de años cuál es realmente el auge de la economía de API que utiliza API para acceder a todas las cosas. Pero obviamente las API se remontan a mucho antes, ¿verdad? Simplemente volvemos a las secuencias de comandos y volvemos a, ya sabes, claves SSH, claves y llamadas y todo ese tipo de cosas.

Ha existido por mucho tiempo, pero ahora con la virtualización de todo, esa virtualización de todo ha desatado la capacidad de conectarlo todo. con API. Entonces, las API son API, son servidores proxy o funcionan como redes. Funcionan como transporte de datos. Funcionan como transformación de datos.

Ya sabes, viejo ETL. Ellos hacen todas las cosas y para volver a recordar cómo, ya sabes, Chase, John, yo y varias otras personas hemos comenzado a pensar realmente en esta noción de seguridad de capa siete. Todo surge de una conversación que John y yo tuvimos varias veces, bueno, tiene que ser hace dos, dos, dos años, justo después de que salimos de COVID, John y yo estábamos en Miami en un panel, y John hace tal un gran trabajo al presentar cómo funciona realmente la confianza cero de una manera bastante simple, y se puso de pie y estaba frente a la audiencia y dijo, ya sabes, cuando hagamos todo esto bien, la seguridad pasará a la capa siete por política.

Y cuando me uní a Traceable, de repente tuvieron la epifanía de que la seguridad de Capa 7 apesta. Quiero decir, es malo. Si pensamos en la historia de la seguridad de las aplicaciones, es horrible cuando se trata de controles de seguridad. Ya sabes, es de grano muy grueso. O tienes acceso a algo o no tienes acceso a algo.

No hay matices, no hay sutilezas y la mayor parte del combustible para las API se gestiona a través de la autorización, ya sea Auth N o Auth Z, y no hay controles de seguridad en torno a la autorización. Así que creo que, en realidad, cuando analizamos el estado actual de la seguridad de las API, se ha producido un movimiento masivo para lograr enormes cantidades de valor empresarial aprovechando las API.

Y es muy parecido a darle una escopeta a un niño de 8 años. ¿Bien? Les han dado todo el poder, pero nada de responsabilidad desde el punto de vista de la seguridad y las organizaciones de seguridad están realmente institucionalizadas. En realidad, iba a aprovechar lo que John estaba diciendo sobre sus experiencias.

Estamos en el complejo industrial de la ciberseguridad. Ahora bien, piense en la última vez que una gran organización empresarial cambió la forma en que estaba estructurada su organización de seguridad. Entonces, cuando entras y dices quién está a cargo de la seguridad de la API, todos se sientan alrededor de la mesa y dicen, no lo sé.

Porque no encaja. Totalmente mochila. No se ajusta completamente a la seguridad de los datos. No encaja del todo en la seguridad de la red. Y, sin embargo, ahora se ha convertido en la superficie de ataque y explotación más grande. Entonces ese es el estado actual. Y así es como nos propusimos reconocer que es mejor que comencemos a hacer algo sobre la confianza cero en la capa API. O corremos el riesgo de que todo el trabajo y los esfuerzos estén suboptimizados en todos los demás espacios donde aplicamos la confianza cero.

Neal Dennis: Sí, creo que supongo que voy a entrar en acción. Entonces, estoy profundamente de acuerdo en eso. Sabes, creo que al trabajar en una empresa de productos que tiene una API, en primer lugar, todo el mundo debe tener una API. Incluso si no quieren una API, si poseen un producto, siempre habrá alguien que la solicite. Pero parece una ocurrencia de último momento en muchas empresas que realmente se están poniendo manos a la obra y todo el mundo.

Parece asumir inherentemente que si configuramos la API, es segura, desaparece y no hace nada. Pero en lo que usted quiere decir, en realidad es sólo un nombre de usuario y una contraseña que están esperando a que alguien haga algo más con ellos, ¿verdad? Así que tengo un poco de curiosidad en ese sentido, pensando que tenemos el problema, ¿verdad? La API apesta, hay mejores formas de hacer las cosas, hay mejores formas de protegerlas.

Hemos hablado un poco sobre esto en el programa antes, de manera general, pero Chase, John, definitivamente obviamente tiene curiosidad por conocer sus ideas para agregar al problema, y ​​luego tal vez algunas ideas sobre cómo solucionar ese problema.

¿Cuáles son algunas de las ideas colaterales?

John Kindervag:Bueno, antes, porque yo

Sé que Chase va a hablar.

acerca de

Neal Dennis:Sí.

John Kindervag:hackearlos porque ese es su origen,

¿bien? Pero quiero hablar sobre el valor comercial porque no estoy de acuerdo con el comentario de que las API apestan. Conceptualmente, ¿verdad? Creo que las API son mágicas, ¿verdad? Creo que las API, nosotros, hablamos de la economía de las API y las API impulsan los negocios.

Y una de las cosas que hace es eliminar la necesidad de normas. De modo que ahora podemos tener interoperabilidad sin estándares porque los estándares inhiben la innovación. En los viejos tiempos, si querías conectar algo al firewall X, tenías que pasar por un montón de cosas y tomaba una eternidad.

Ahora hay una API. La he conectado. He mejorado algunas capacidades y lo mismo con los pagos o cualquier negocio en el que esté. Así que no es necesario tener estos pagos, ya sabes, estos comités de estándares donde se construyen, ya sabes. La siguiente segunda secretaría, el próximo caballo de carreras de pura sangre, y salen con un camello de ocho jorobas, ¿verdad?

Que es lo que hacen los organismos de normalización. Entonces ahora podemos tener innovación y es como todo lo demás. Aquí está esta cosa mágica. Oh, pensemos en algo de seguridad porque la seguridad siempre es una idea de último momento, pero como es, ya sabes, creo que podemos descubrir con bastante rapidez y estamos, y lo estamos haciendo de manera rastreable, cómo asegurarlo.

Pero, por supuesto, mientras tanto, antes de que la gente se dé cuenta de eso, querrán solucionarlo. Y ahí es donde. Ya sabes, la experiencia de Chase haciendo cosas de las que no quiere hablar entra en juego.

Chase Cunningham:Quiero decir, creo que hubo una conversación hace un tiempo sobre las identidades, el nuevo perímetro, lo que sea, creo que las API son la red ahora, pensé, creo que realmente no me preocupa un firewall. Porque, honestamente, un firewall es un paquete que palea, ya sabes, un tamiz y yo soy bueno haciendo eso.

Pero si no puedo encargarme de las API, construiremos un castillo sobre cimientos de arena. Y si hablas con algún desarrollador y le dices que quieres crear algo, lo primero que te preguntará es: ¿existe una API? Ni siquiera preguntan sobre el código. No preguntan sobre idiomas ni nada más. Dicen, bueno, ¿a qué API se va a conectar?

Y quiero decir, como dice John, creo que las API también son geniales, porque están cambiando la forma en que hacemos negocios y están acelerando la forma en que avanzan las cosas. Pero, simplemente, sigue siendo el cono de helado que se lame y que empeora cada vez más a medida que te adentras en él. Y simplemente hay más del otro lado.

Y si no tiene un inventario y no comprende lo que hacen esas API y lo que tocan, no me importa qué tan bien crea que está protegida su arquitectura porque encontraré a alguien que haga eso y llame Yo y yo compararemos el salario de un año con tus cosas con dos o tres personas que conozco y te conseguiremos como si ni siquiera fuera una pregunta. Y mi salario es pequeño.

Entonces probablemente sería algo que estarías dispuesto a arriesgar, pero solo digo

Richard pájaro:y si podemos, quiero decir, conducir un

Neal Dennis:Si yo

Richard pájaro: Señale que tanto John como y. Chase ha hablado de que las API tienen una enorme cantidad de posibilidades en términos de mejorar todos los aspectos del mundo digital, ¿verdad? El problema es el problema del tío Ben Peter Parker, ¿verdad?

Es decir, una gran responsabilidad conlleva una gran responsabilidad o un gran poder conlleva una gran responsabilidad, ¿verdad? Es la parte de responsabilidad que no se ejerce hoy en la mayoría de las grandes y medianas empresas, ni en las agencias gubernamentales cuando se trata de API. Si, si eres CISO. O si es un profesional de la seguridad de la información y le pido que responda tres preguntas.

¿Cuántas API tienes? ¿Dónde residen esas API? ¿Y qué están haciendo esas API? ¿Qué están haciendo? Y no se puede responder positivamente a las tres. Y si respondes negativamente a las tres, tienes un problema grave. ¿Bien? Un serio problema. Porque no hay nada en seguridad que al principio, no tengo idea de a qué me estoy enfrentando, termine con un buen resultado.

Bien. Son, son siempre, siempre son las incógnitas las que terminan siendo sus hazañas, su riesgo y su superficie de ataque. Y, sin embargo, tenemos empresas en las que es de conocimiento común que nadie controla estas API fuera de una puerta de enlace y un firewall. Y ninguno de ellos es suficiente con los ataques y los exploits que se utilizan hoy en día con las API.

Neal Dennis: Creo que esos son puntos justos. Y para iterar, no creo que las API apesten. Creo que la implementación de seguridad de las API es lo que apesta, para ser muy claro. Los aprovecho todos los días, como este. Entonces, hay muchas cosas ahí. Pero dicho esto, en una nota más feliz, sí, ya sabes, creo que las API cambian las reglas del juego cuando están disponibles.

La implementación es donde hay muchos problemas, y luego el seguimiento, la implementación posterior, sí, tienes todos estos puntos finales. Y diré que desde mi perspectiva, y esta es una pregunta, he visto mucha consolidación de puntos finales por parte de los proveedores, donde finalmente están tratando de consolidarse en uno o dos puntos finales.

¿Sienten que las cosas todavía van así con muchos proveedores, donde al menos están tratando de pasar de tener 8 puntos finales diferentes? Quizás ese enfoque de consolidación y, finalmente, quizás acercarnos un poco más a un entorno más seguro. Tal vez entregárselo al hacker que lo persigue muy rápido, y luego veremos qué sienten los demás.

Chase Cunningham: Quiero decir, creo que hay muchos proveedores que están haciendo muchas cosas realmente buenas. Y creo que, en general, las personas que realmente se preocupan por este espacio se centran en intentar solucionar los problemas. Pero también creo que tenemos algo así como, me gusta, es como una gran farmacéutica para el ciberespacio.

¿Dónde, por qué debería curar la enfermedad cuando se puede ganar más dinero si puedo tratar los síntomas? Lo sé, aquí hay otra característica nueva que sé que hará esta otra cosa, pero no resolverá todo el problema, aunque sé que podría, pero solo será cuestión de probar un poco. Es como, es como crack ZT, ¿verdad?

Simplemente lo hueles un poco, y luego quieres un poco más, y luego quieres más, y sigue empeorando, y empeorando, y empeorando, y... Los fundamentos, esto es, y John y yo hablamos. sobre esto todo el tiempo, al igual que los fundamentos de lo que deberíamos hacer, son bien conocidos. Me sorprende que la gente todavía se quede sentada preguntándose dónde deberían centrar sus esfuerzos o cualquier otra cosa.

Cuando tenemos volúmenes de investigación y organizaciones enteras dedicadas a esto, como si éste fuera el único lugar en toda la guerra, el adversario te dice cómo va a atacarte y la gente se queda sentada, me pregunto cómo va a funcionar esto. trabajar.

John Kindervag: bien. Quiero decir, porque y tú lo dijiste, Richard, ¿verdad? Solíamos dedicarnos a la seguridad de la información y ahora nos ocupamos de la ciberseguridad. Ahora bien, el problema fundamental con esto es ¿qué es un ciberataque y por qué debería protegerlo? ¿Bien? Lo cambiamos para que, al menos en un momento, la información sea lo que vamos a proteger. Cyber ​​es una palabra usada por Platón en La República, es la palabra para el volante de un barco, y la estaba usando para el concepto de gobierno.

El gobierno es cibernético, kyber, de ahí también obtenemos kubernetes. Pero, sabes, esa es una palabra genial, porque... Uno de esos escritores, Neil Stevenson, o alguien la usó en un libro de ciencia ficción. Entonces queremos que sea genial, pero ahora nos hemos alejado del enfoque de que tenemos que proteger algo. Y las personas no sólo no saben cuántas API tienen, sino que tampoco saben nada sobre lo que están protegiendo.

Por eso hablo con la gente todo el tiempo sobre Zero Trust. Acabo de comprar el Widget X o el Gadget Y. ¿Qué hago con él? Bueno, ¿qué estás tratando de proteger? Bueno, todavía no he pensado en eso. Bueno, entonces vas a fracasar, ¿verdad? Entonces, voy a proteger las API. En esta conversación, protegeré las API. Entonces tienes que averiguar qué API utilizas.

¿Qué API les das a otras personas? ¿A qué API te conectas? ¿Cómo conectan todo ese tipo de cosas? Ahora ya sabes qué proteger, ¿verdad? Ya sabes, desde el ejército, siempre sabes qué estás protegiendo y cuál es la misión. Y lo conseguimos. Tenemos que adoptar esa mentalidad de descubrir qué queremos proteger.

Ya sabes, hablamos de que tenemos confianza cero en general, que es Greg to Hill, el jefe de certificación, que es un amigo nuestro. Y él siempre, siempre cita a Frederick, el gran quién, quién según Greg, y él lo sabría. Porque nunca fui general, pero él dice que Federico el Grande dijo una vez que si intentas protegerlo todo, no proteges nada.

Y eso es lo que estamos tratando de hacer. Estamos tratando de proteger todo, sólo un poquito, en lugar de proteger las cosas que son realmente importantes.

entero

lote.

Neal Dennis: Sí, Richard, ¿algo que añadir? De alguna manera ayudó a iniciar el

Richard pájaro: Sí, quiero decir, quiero decir. Sí, siempre y cuando, ya sabes, mientras nos sumergamos en, ya sabes, filósofos y escritores griegos y romanos, ¿verdad? Me divierte el hecho de que, ya sabes, si lo piensas desde un punto de vista puramente estoico, ¿verdad? Estoico, el movimiento estoico, ya sabes, tiene que ver con la mejora incremental.

Bien. Mejora un poquito cada día. Y luego, al final de un cierto lapso de tiempo, habrás mejorado mucho. Y creo que eso se relaciona directamente con eso. John y Chase solo hablaban de Zero Trust específicamente y de las API. Además, específicamente, y siendo esa la respuesta más divertida que recibirás de cualquiera que hable hoy sobre seguridad de API, es entrar a una sala grande, a alguna empresa, a alguna plataforma de presentación y simplemente hacer la siguiente pregunta.

Estoy usando un principio ZT. Reduce tu superficie de ataque. ¿Cuántos de ustedes en la sala redujeron su superficie de ataque para las API ayer o el día anterior o el día anterior? ¿O cuántos están experimentando un crecimiento exponencial de la superficie de ataque de su API y no hacen nada al respecto? ¿Bien? Y siempre es una serie de preguntas realmente interesantes, porque la gente se ahoga con eso, ¿verdad?

Ellos dicen, Oh, sí. Quiero decir, supongo que si sigo los principios de confianza cero, debería reducir no solo el servicio de ataque API, sino todas las superficies de ataque. Pero más allá de eso, debería hacer mejoras incrementales. Y desafortunadamente, una de las cosas que ha sido frustrante para mí en una carrera de 35 años es que muchas cosas viejas siguen siendo buenas.

Bien. Entonces pensamos en la gestión de calidad total de Deming, ya sabes, toda esta idea de mejora continua de procesos, todo ese conocimiento se ha perdido en el mundo empresarial, estamos constantemente reinventando la rueda. Si desea mejorar en eso, pregúntele a alguien en una empresa, ya sea que su director financiero lo sepa o no, que tiene múltiples API redundantes desarrolladas en diferentes partes de su organización, porque a los directores financieros les encanta escuchar acerca de la redundancia que depende de recursos para construir. él.

¿Bien? Porque eso es desperdiciar costos, desperdiciar energía, desperdiciar eficiencia. Pero ya no tenemos ninguna de estas nociones de mejora de procesos. Pero son fácilmente aplicables. ¿Bien? Creo que John estaba mencionando eso. Sabemos lo que deberíamos estar haciendo. Simplemente hemos elegido dejar de hacer esas cosas por, ya sabes, cualquiera que sea el sabor del día.

El sabor actual es la IA, como mencionaste antes, Elliot, ¿verdad? Pero ya sabes, por el motivo que sea, estamos sacrificando buenas soluciones. Buenas prácticas y buenas ideas para acelerar la comercialización y los ingresos y cualquier otra cosa. Entonces,

John Kindervag: Sí, quiero decir, es lo mismo con las lecciones de Six Sigma, ¿verdad? Concéntrese en sus métricas de salida más que en sus métricas de entrada. Si es así, todo en lo que se concentrará es en su cadena de suministro, pero no en qué tan bueno es el automóvil que sale de la línea de producción. Entonces nadie comprará tu auto, ¿verdad? Y ya sabes, terminas perdiendo tu ventaja competitiva porque alguien más se preocupa por el control de calidad.

Y eso es lo que estamos haciendo aquí en seguridad cibernética. Este es el control de calidad. Por eso, siempre bromeo diciendo que la gente de operaciones de seguridad y la gente de operaciones de desarrollo y la gente de operaciones de seguridad de desarrollo y, sin embargo, la gente de desarrollo de operaciones de seguridad o lo que sea, el sabor de cómo vamos a poner esas, esas cosas juntas.

Esos son los Ricky Bobbys. De ciberseguridad, ¿no? Sólo quiero ir rápido. Tengo un puma sentado a mi lado. Sólo quiero ir rápido, ¿verdad? Batir y hornear. Y, y, cuando usted, cuando esa sea su única preocupación... Habrá una enorme cantidad de fallas en ese sistema porque la seguridad cibernética es un sistema increíblemente complejo y es un sistema que tal vez no pueda mantener el ritmo que la gente quiere. para hacerlo y algunas de las cosas de las que estamos tan enamorados tal vez estamos viendo que tal vez no deberíamos haber estado tan enamorados

amor con ellos a lo largo del tiempo

años

Neal Dennis: Creo que esos son puntos justos. Y no sé si alguien conoce la película Gung Ho de Michael Keaton de los años 80, ¿verdad? El fabricante de automóviles tiene que sacar una cierta cantidad de cosas de la línea o cerrarán la fábrica. Él los saca de la línea, ¿verdad? Pero no conduciría, pero tal vez uno de ellos.

Dicho esto, creo que esos son puntos válidos sobre calidad versus seguridad versus algunas otras cosas. Unos 10 minutos. Tengo curiosidad, especialmente teniendo en cuenta la empresa que nosotros... detrás de nosotros aquí en los dominios de correo electrónico. ¿Cuáles son algunas de las construcciones aquí? Soluciones inteligentes para ayudar a reunir todo esto para ayudar a asegurar que al menos yo como entidad empresarial, tal vez no necesariamente un productor de productos como SAS o algo así, pero al menos como consumidor, ¿cuáles son algunas ideas para ayudar? .

Ya sabes, uno, minimizar esa huella y dos, en general, volverse un poco más seguro en el mundo API.

Richard pájaro:Bueno,

Neal Dennis: Voy a tirar eso. Es una pregunta abierta para quien quiera empezar.

Richard pájaro: Me sumergiré en ello porque creo que es realmente, ya sabes, creo que es realmente fundamental simplificar este enunciado del problema porque creo que la gente se pone brillante con los ojos sobre todas las cosas interesantes que las API pueden hacer. Así que siempre empiezo, ya sabes, con lo que se puede hacer con respecto a la seguridad de la API con algunos inquilinos básicos realmente simples.

La primera es, es. Las API se pueden conocer y este es un hecho muy importante sobre las API. API, puedes adivinar y saber qué se supone que debe hacer una API en función de cómo está codificada, ¿verdad? Eso significa que también puede realizar un seguimiento del comportamiento de esa API en comparación con ese diseño de referencia. Bien. Por eso es tan importante saber qué API tiene y qué se supone que deben hacer.

La otra cosa es que hay que entender que una API que está diseñada para hacer una cosa se puede aprovechar para hacer otras cosas. Y la forma en que me gusta explicar esto es la analogía del martillo. Al igual que. Un martillo de garra, un martillo de garra de carpintero está diseñado para hacer dos cosas: clavar clavos y sacar clavos.

Y, y en el gran porcentaje de veces que así se usa un martillo, ese martillo también se puede usar para hundir el cráneo de alguien, ¿verdad? Mismo diseño, misma física, mismo movimiento, misma geometría, ¿verdad? Pero puede aplastarle el cráneo a alguien. Y no creo que haya ningún diseñador de martillos vivo que diga, sí, quiero diseñar un arma homicida. Las API son de la misma manera. Las API se pueden aprovechar para hacer cosas que no estaban destinadas a hacer porque hay suficiente margen para el abuso dentro de una API, lo que significa que hay que rastrear y monitorear esos comportamientos de las API de forma continua e idealmente rastreables. Nosotros hacemos esto. Ya sabes, nadie más en el mercado de seguridad API hace esto.

De hecho, rastreamos los comportamientos porque nuestros fundadores crearon dinámicas de aplicaciones y conocen todos esos rastros. Ellos rastrean, nosotros rastreamos el comportamiento continuamente durante el ciclo de vida de esa API para que sepamos qué se supone que debe estar haciendo. Y sabemos cuándo se sale de banda y cuándo comienza a comportarse de manera anormal.

¿Bien? Y luego, en última instancia, todo se reduce probablemente a la última parte, que es la seguridad de API. ¿Bien? No se encuentre en una situación en la que esté parado en una sala y le pregunte a su organización. ¿Quién está a cargo de la seguridad de las API? Y la respuesta es que nadie lo sabe, ¿verdad? Esto es algo serio y simplemente representa la próxima iteración o evolución dentro de la tecnología.

Pero no hay excusa para no reconocer ese cambio en la evolución y decir: Bueno, ya sabes, voy a mantener a todos mis ingenieros de redes en el personal, y voy a mantener a todos mis, ya sabes, tipos de seguridad basados ​​en datos. personal. Ahora estoy trabajando con empresas que están contratando personal de seguridad de infraestructura completa y reentrenándolos.

Sobre API y seguridad de API. Tenemos que reconocer el cambio en este panorama digital. Y si no lo hacemos, la mala noticia es que los malos reconocieron este cambio hace unos seis o siete años. Y realmente lo están aprovechando ahora y en el futuro.

Neal Dennis: Me gusta eso. Creo que acertar con la identidad de lo que está pasando, ¿verdad? Y, curiosamente, ayer tuvimos una conversación sobre identidad versus autenticación, ¿verdad? Identificación versus autenticación. Dicho esto, creo que es un enfoque sólido. Hablo mucho sobre análisis de comportamiento, no solo en este podcast, sino también con otras personas sobre cómo eso va a cambiar esa huella digital y esa capacidad de ser más seguro.

Así que tengo curiosidad por continuar, dígaselo aquí a John muy rápido, ya sabes, tus pensamientos sobre eso o cualquier cosa adicional en torno a ese esfuerzo para la identificación versus la autenticación y la opinión sobre cuál y cómo y cosas como eso.

John Kindervag:Bueno, yo

Quiero decir, ya sabes, para decirlo, ¿por qué me uní a Traceable como asesor? Una es porque Richard me lo pidió. Entonces, cuando Richard te pide que hagas algo, dices, sí, seguro, probablemente. Mientras sea legal, ¿no? Entonces, ¿es esto legal? Si, vale. Pero ya sabes, qué, qué, lo que estamos haciendo en Traceable son los dos primeros pasos de confianza cero en el modelo de implementación de cinco pasos.

Al determinar su superficie de protección, ¿qué necesita proteger? Entonces necesitas proteger tus API, ¿verdad? Entonces, ¿qué API tengo? Conseguir un inventario de ellos. El segundo paso es gestionar el flujo de transacciones o mirar, observar el flujo de transacciones y mapearlo. ¿Cómo están trabajando juntos? Si no sabes esas dos cosas, no puedes proteger nada, ¿verdad?

Y al tener esa capacidad, se puede automatizar cuál es la estructura de control adecuada para hacer esto. Y luego también puedes, ya sabes, crear alguna política. En el Paso 5, Monitorear y Mantener, ya sabes, tomar la telemetría y aprender de ella para poder crear un sistema anti-frágil. Incorporamos a esto a muchos filósofos y pensadores, pero Taleb es uno de mis favoritos.

Escribió un libro llamado Anti Fragile sobre cómo puedes saber si puedes volverte más fuerte con el tiempo bajo carga y estrés. Entonces, un factor estresante puede fortalecer un sistema. Entonces lo está haciendo por los sistemas financieros. Está usando el cuerpo humano como ejemplo, ¿verdad? Cuando haces ejercicio estresas tu cuerpo.

Eso te hace más fuerte. Ya sabes, Chase ha sido, Chase se parece al Capitán América ahora porque ha estado haciendo mucho ejercicio. Ese es su nuevo jefe, supongo que sería, no sería el Capitán América, sería el Jefe América, ¿verdad? O algo así. Pero, ya sabes, puedes fortalecer un sistema con el tiempo.

Es algo asombroso poder hacer tecnológicamente. Entonces, ahí es donde yo diría eso. Y entonces, ¿es la identidad el nuevo perímetro? Quiero decir, esto es de lo que Richard y yo hablamos en Cleveland, ¿verdad? Cuando le dije, la identidad se consume dentro de Zero Trust. No es Zero Trust en sí. Y podemos demostrarlo con tres, tres palabras.

Snowden, Manning, Texarea, ¿verdad? No había dudas sobre su identidad en la red High Side. Pero nadie miró sus paquetes. Nadie preguntó, ¿qué están haciendo? ¿Bien? Quiero decir, ¿cómo hizo Texarea lo que hizo? Quiero decir, eso es simplemente algo asombroso. ¿Salir de un esquife, de alguna manera lo imprimes en un esquife, doblas los papeles, sales, nadie lo revisa, y luego tomas una foto en tu casa y la pones en Discord?

Quiero decir... Ya sabes, Chase niega con la cabeza porque pasó mucho tiempo en SCIFS. Y entonces no importó. La identidad, la autenticación y la autorización no importaban si no hacías otras preguntas más profundas.

el sistema.

Neal Dennis: Chase, ¿algo más que quieras agregar a eso? Yo, siento tu dolor desde la perspectiva de Skiff,

pero

Chase Cunningham: Solía ​​hacer que mis marineros, aviadores y soldados vaciaran sus bolsillos y me lo mostraran físicamente antes de que se les permitiera abandonar el bote y si decían que no, había que seguir una corrección física. Entonces, sí. No sé cómo pasó eso, pero bueno, guardia es todo lo que puedo decir. Guardia. Sí. De todos modos, quiero decir, todavía mantengo la idea de que si tu objetivo en seguridad cibernética es defenderte de un adversario que está tratando de atacarte, creo que básicamente deberías someterte a ataques de forma regular y ver cómo respondes y trazas tus defensas en función de las debilidades que determines.

Como, es... No sirve de nada hacer esas pruebas de lápiz de Mickey Mouse y, ya sabes, ejecutar tus escaneos y luego decir que estás bien y luego tomar tu pequeño tablero Clippy y hacer clic y seguir con tu camino o cualquier otra cosa porque van a encontrar una ruta diferente para perseguirte. Entonces, desde mi perspectiva y creo que se aplica a las API y todo lo demás en la estrategia de infraestructura. Quieres ser defendido, debes probar tus defensas, haz eso en de una manera realista Dirige una mafia del equipo rojo.

De lo contrario, sólo estarás haciendo una mala jugada en Kentucky. Y si el viento cambia de dirección,

Neal Dennis: impresionante. Bueno, como dije, tenemos un par de minutos. Voy a devolvérselo a Elliot para que termine y vea qué más tiene para los próximos dos minutos, pero una vez más, se lo agradezco muchachos.

Elliot Volkman: Sí, por mucho que me guste llevarnos a una típica madriguera de conejo que me encanta incitar al final, sé que tal vez estés demasiado comprometido con todos los que quieren hablar sobre ciberseguridad y confianza cero. Dicho esto, lo terminaré aquí y. Sólo quiero decir muchas gracias por acompañarnos.

Ha tardado mucho en traerlos a todos aquí. Ha sido un verdadero placer para Richard conocer su opinión sobre lo que todos están construyendo y en general. Chase, lamento que tengas que tratar con nosotros al menos cada dos meses. Pero John, muchas gracias por estar aquí.

Nosotros realmente lo apreciamos.

Neal Dennis:gracias caballeros una vez

más. Aprecia la conversación. Aunque tuvimos que esperar a los calamares.

*** Este es un blog sindicado de Security Bloggers Network de Adopting Zero Trust escrito por Elliot Volkman. Lea la publicación original en: https://www.adoptingzerotrust.com/p/adopting-zero-trust-apis-and-a-history