播客 > Ep. 111 - Enabling the M2M internet with secure APIs
Ep. 111
Enabling the M2M internet with secure APIs
Rob Dickinson, CEO, Resurface Labs
Friday, January 07, 2022

在这一集中,我们将讨论 API 日益增长的重要性,因为我们从以人为中心的互联网转变为混合互联网,其中大部分交互是系统对系统或机器对机器。我们还探讨了保护 API 免受日益复杂的犯罪组织的挑战,这些犯罪组织使用内部代理和一流的软件,而不是蛮力利用漏洞。

我们今天的嘉宾是 Resurface Labs 的首席执行官 Rob Dickinson。 Resurface Labs 是一个数据库,可以轻松且负责地监控所有 API,以支持数据科学、客户支持、审计和合规性以及生产调试。

IoT ONE 是一家专注于物联网的研究和咨询公司。我们提供研究,使您能够在数字时代成长。我们的服务包括市场研究、竞争对手信息、客户研究、市场进入、合作伙伴搜寻和创新计划。欲了解更多信息,请访问 iotone.com

音频文字.

Erik:欢迎来到工业 IoT Spotlight,这是您从工业 IoT 思想领袖那里获得洞察力的第一站,他们正在与您的主持人 Erik Walenza 一起改变当今的业务。

欢迎回到工业物联网聚焦播客。我是您的主持人,IoT ONE 的首席执行官 Erik Walenza,该咨询公司帮助公司从数据中创造价值以实现增长。我们今天的嘉宾是 Resurface Labs 的首席执行官 Rob Dickinson。 Resurface Labs 是一个数据库,可以轻松且负责地监控所有 API,以支持数据科学、客户支持、审计和合规性以及生产调试。在本次演讲中,我们将讨论随着我们从以人为中心的互联网转变为混合互联网(其中大多数交互是系统到系统或机器到机器),API 日益增长的重要性。我们还探讨了保护 API 免受日益复杂的犯罪组织的挑战,这些犯罪组织使用内部代理和一流的软件,而不是蛮力利用漏洞。

如果您发现这些对话很有价值,请给我们留下评论和五星级评价。如果您想分享您公司的故事或推荐一位演讲者,请发送电子邮件至 team@IoTone.com。最后,如果您有想要讨论的 IoT 研究、战略或培训计划,可以直接发送电子邮件至 erik.walenza@IoTone.com 给我发电子邮件。谢谢你。 Rob,感谢您今天加入我们。

Rob:非常感谢你邀请我。

Erik:Rob,你是一名软件架构师。你与很多很多公司合作过,基本上都是在软件架构这个领域。但也许您可以先让我们快速浏览一下您职业生涯中一些更有趣的点,以及您是如何在 2019 年离开英特尔并建立 Resurface Labs 的。

Rob:软件架构师,对我来说,我认为作为一个真正的软件书呆子。对我来说,我的意思是,我是个老书呆子。我的意思是,我开始编程了。但我开始的方式是我想要一个 Atari 圣诞节。我父亲真的不会参与其中;他说,如果你想玩游戏,你应该写游戏,就像你可以那样做;没有真正知道这意味着什么,甚至我是否真的能做到。所以那年圣诞节我没有买雅达利,而是买了一台电脑,再也没有回头。

在我职业生涯的早期,我正处于那个时代,当时在软件中赚钱被认为是荒谬的。我的意思是,所有的钱都花在了硬件上。这就是行动的真正所在。我做软件开发是为了完成学业,当我从学校毕业时,我意识到,哇,我实际上可以靠做软件谋生。如果不是更好的生活,那么我会走传统的工程路线。所以从来没有真正回顾过并参与了最初的网络繁荣,当时做了一些初创公司,在我们大获成功之前。

我参与的最后一家公司是从博尔德的一家初创公司开始的。但后来我们成长了,然后我们被卖给了 Quest Software,我们当时是戴尔的一个部门。就像为什么我的肩膀上有一点芯片,但基本上,当它分崩离析时,我去了英特尔,我在英特尔做了几年的研究员。但我从来没有真正失去过想要开始做某事并真正接受那种程度的挑战的欲望。所以我在 2019 年找到了自己,离开了我在英特尔为自己打造的非常非常舒适的小窝,而且大多数时候这似乎仍然是一个不错的选择。

Erik:所以这是你父亲的一个非常聪明的策略。我喜欢父母用来引导孩子远离浪费时间的这些小策略,我相信你仍然设法玩了很多电子游戏,但至少他设法在你身上植入了这个错误。

罗伯:哦,是的。现在情况不同了。但当时,就像你实际这样做的方式一样,你会订阅一口杂志或 PC 杂志,而节目列表实际上会印在杂志上。所以他们会打印游戏,并打印游戏的源代码。所以你会得到杂志,你在本地输入它,你必须找出你的胖手指和错误并调试它以使其运行。但我们就是这样做的。

所以,现在我在一个地方教我 10 岁的儿子。他说他想学编程,我说,好吧,你还没准备好。然后他回来说,哦,我想学 Python,我说,好吧,你准备好了。第一步是让我们去 GitHub,让我们开始从 GitHub 上拉一些游戏并修改它们。所以这很有趣,就像机械师在我认为的旅程中肯定变得容易多了。这是一件很棒的事情。很高兴看到其他人也陷入其中。

Erik:Rob,你有点激起了我对这个的兴趣。所以我想这是收购,如果我的发音正确的话,是“Xaffire”吗?

Rob:Xaffire,从我的角度来看,这不是最好的名字。

Erik:那么戴尔收购了 Quest 的 Xaffire,那么这里出了什么问题?

Rob:嗯,一方面,从一群人围坐在白板上,到只与一些大客户一起工作,这是我职业生涯中最伟大的经历之一;伙计们,例如美国银行,丰田汽车,美国,美国航空公司。其中一些甚至是戴尔在我们来之前不一定有的问题。我们真的觉得我们是 APM 和 Web 监控行业领先的魔力象限解决方案。我真的觉得我已经从一个很小的创业公司变成了站在一座巨峰的顶端。

有一次,我实际上是我们最大客户之一的客户经理。他们有我的手机号码,就像他们甚至没有提交支持案例一样,他们只是打电话。就与客户的真实触觉关系而言,这真是太棒了。这与我们对 Resurface 所做的工作非常相关。这实际上是系统监控和网络监控。我们对 Resurface 所做的实际上是把它转移到 API 监控上。

但最终,我们是戴尔的一部分。我并不是要抨击戴尔的任何人。但当时戴尔并没有太多的云战略。我们所理解的策略是,如果您的客户威胁要使用 AWS,例如,丰田曾经告诉我们,我们将迁移到 AWS。我们被告知很好,祝他们一切顺利,因为几个月后,当他们意识到那东西有多糟糕时,他们会夹着尾巴回来。

我们可以看到墙上的文字。但与此同时,我们只是没有与我们的公司霸主保持一致,真正的投资组合走向何方,真正的投资组合战略。 Zoom 的情况完全一样,最初是 WebEx,然后被思科收购,然后又退出了,因为他们并不真正喜欢思科产品组合的发展方向。所以是的,所以这是一个很棒的故事,有点像它的两面,因为它肯定有它的高点和低点。离开戴尔和我们多年来经营的业务肯定是喜忧参半。

但与此同时,我们可以看到墙上的文字,我们可以看到那里,有一个全新的范式即将到来。最终这将是一个更有趣的机会。这就是我们现在用 Resurface 所追求的。

Erik:好的,这对所有正在听电话的 MBA 来说是很好的第一课。 MBA 肯定在公司中发挥作用,但在软件方面,请听从软件人员的意见。不要试图自己弄清楚策略,并认为你了解正在发生的事情。

罗布:这很难。

Erik:这实际上很有趣,我不知道 Zoom 是思科的一部分,因为我总是会问,好吧,思科是一家大公司,他们是如何设法搞砸了他们的战略?我们曾经使用 Cisco,然后很明显,Zoom 只是一个 [听不清 11:08]。但这是一个有趣的历史记录。我不知道,情况就是这样。

Rob:是的,这是一个很棒的背景故事。我非常尊重这些人。

Erik:但是让我们进入 Resurface。我想从商业角度开始。如果你能给我们真正的快速 101 什么是 API,为什么它很重要?那么企业在管理 API 时面临哪些挑战?

Rob:那么让我们先把显而易见的部分排除在外,API 代表什么?它代表应用程序编程接口。这真的有助于理解这些事情的含义吗?并不真地。因此,这可能是您在 Google 搜索该术语时看到的定义。但从人类的角度、业务的角度和运营的角度来看,这确实意味着什么。

我们现在目睹的是从最初为人类构建的网络过渡,主要是作为人类娱乐工具构建的商业平台和运营平台,一个真正支撑一切的全球平台。以我们本周在 AWS 发生的中断为例,说明一个领域的一件事情的失败会如何影响所有这些不同的业务和所有这些不同的方式,每个人都将矛头指向 AWS .这就是我们所处的世界。这是一组高度、高度互连的系统。

与原始网络的转变是,人类使用网络浏览器从网络服务器获取内容。我们正在从那个范式转变为一个范式,在这个范式中,您提供 API,然后这些 API 被客户、供应商、合作伙伴、集成商、活生生的生态系统、开放的生态系统使用,API 提供者在其中不一定提供所有的客户。不一定有真正的客户或受信任的客户。

你可以想到像 Twilio 这样的公司,或者 SendGrid 有点像这方面的终极表达,因为从字面上看,他们的产品表面是一个 API。但是,即使您谈论的是像 Salesforce 或 Expedia 这样的公司,它们在传统上都有非常非常强大的网络存在,即使对于这些公司来说,他们 90% 的流量都是通过他们的 API 来的。这是因为开放生态系统的好处。当你从人类使用网络浏览器的概念转变为程序和人类一起工作,使用通过这些编程接口可用的数据时,你可以感受到真正的转变有多大。

而且我认为,你听到的很多东西,尤其是在物联网方面,你听到的一些特定用例就像,嗯,这意味着联网汽车,或者这意味着我有一台智能冰箱。但它真正的意思是,我们让这些汽车和冰箱自己成为其他类型软件的消费者,与其他类型的自动化系统交互。这不受人类直接控制。与我们开始的地方相比,这是一个巨大的转变。

Erik:所以 API,我们基本上可以将其视为在不同程序之间移动数据的程序。可能有数据命令,通信。如果我们再深入研究一下物联网,从技术或功能的角度来看,两个程序之间有什么区别,这两个程序都基于相互通信的云,也许是云上的后端采购系统与冰箱通信,比如这个?是否存在重要的根本差异?或者底层技术是否相同,这可能只是弄清楚如何在小型计算上启动它的问题?

Rob:我认为,作为我们一直使用的策略,真正有帮助的一件事是特别尝试理解其中一些新生事物,而即将出现的就是在物理上寻找类似物我们如何处理其中一些事情的世界。

所以在现实世界中,在过去,你会通过电话给你的股票经纪人打电话,然后你会购买股票。当你这样做时,会有一个小小的机器人声音会说,你的电话正在被录音以保证质量。我的意思是,实际发生的情况是所有这些电话都被记录下来。因为如果我打电话给我的股票经纪人,即使我是通过电话进行的,也需要有该交易的收据。仅仅因为那是通过电话进行的,它仍然是一项商业交易,仍然有真钱在线。

因此,无论是电话还是传真,或者无论是什么交通工具,但当涉及到金钱时,我们当然有这些标准。你把它应用到物联网,然后你把它应用到 API 经济的这个新世界。这是同样的想法。您有一个程序与另一个程序交谈。或者您有一个系统通过 Internet 与另一个系统通信。 API 基本上就是这两者之间的对话。该对话以 API 调用的形式表达。所以这真的是一个简单的类比。

API 调用实际上相当于计算机程序之间的电话对话。他们只是不会说英语。他们说 REX 或他们说 Graph QL。这些 API 有特定的协议,在文化上允许这些系统相互通信。

Erik:是的,我只是想问你 API 和协议之间的关系,因为你现在在协议方面也看到了很多创新,比如说,很多区块链公司正在尝试开发协议,它们是也许是雄心勃勃的项目,但到目前为止还没有产生这么多有形的成果。但至少,人们对此很感兴趣,并且在工业领域的 OPCUA 等更传统的协议方面也取得了很大的成功。所以协议基本上定义了 API 通信所用的语言,对吗?或者这里的关系是什么?

Rob:我认为这是一种很好的简单构图方式。我的意思是,我相信人们可能会争论教科书的定义更狭窄。但我认为,您刚才所说的真正基础是一个非常明智的见解,即我们正在朝着这些协议变得更加专业化的方向发展,并且它们正变得更加针对特定类型的用例进行优化。我将在这里选择一个非常自私的例子。

但我本质上是一个数据库专家。所以我非常了解数据库。你看看数据库技术的弧线,趋势是世界上每年都有数百种新的数据库。这是一个永无止境的专业化之旅。最初,我们只有关系数据库,现在我们有图形数据库、分析数据库和内存数据库。 Resurface 是一个专门用于捕获、分析和保护 API 流量的数据库。

所以这是我们在市场上达到的专业水平。但是我们必须遵循很多步骤才能到达那里。因此,我认为继续开发新协议、开发新 API 的机会确实永无止境,因为我们总是在为特定领域构建越来越具体的解决方案方面不断移动目标。

Erik:所以我不认为 Resurface 是一个数据库。那么这是否意味着 Resurface 是一个数据库,公司将在其中存储他们的 API,然后将其用作调试和跟踪性能等的管理工具?这或多或少是您对公司的看法?

罗布:完全正确。我们的目标是重新成为一个盒子里的 API 分析师。我们没有足够的 API 分析师来处理,无论是质量分析师还是安全分析师。这是一项发展非常迅速的技术,我们真正的人才短缺。特别是在安全方面,就像我交谈过的很多人一样,在这些事情上,我们并不一定会赢。

诀窍是在这里利用我们的技术来发挥我们的优势。这就是为什么我们正在做这个 Resurface 是我们帮助客户在内部构建这些数据库,所以这些数据留在内部。 Resurface 不是 SaaS,因此我们不会获得您所有数据的副本。相反,我们一直在宣传数据应该始终在同一管辖范围内、同一所有权下。我们正在为我们的客户提供软件来帮助捕获这些数据并运行它。

所以他们的经验,它看起来像一个数据库。它就像 Postgres 或 SQL Server。它很容易运行。它很容易扩展。它是云原生的,所以它在 AWS 和 Azure 上原生运行。因此,它具有与真正的云原生数据平台相同的所有优势。只是我们没有在涉及第三方数据传输的第三方 SaaS 类型的包中提供它。我们只是认为这让鲨鱼有点跳了。我们也对物联网、医疗保健、金融、加密等机会特别感兴趣,在这些机会中,您将所有数据发送到您不拥有或控制的多租户云服务将变得越来越困难。

Erik:好吧,让我们来了解一下为什么这是必要的。您提到了安全性,所以我想这肯定是这里的一大挑战。还有其他挑战吗?还是主要是我们如何保证 API 的安全?

Rob:这确实是安全性、质量和复杂性的结合。这让我们感到惊讶,就像看到一些最新的数字一样。但是,例如,如果您说我们只关注安全性。好吧,事实证明,大约一半的安全漏洞是由于配置错误、人为错误或被利用的缺陷错误造成的。所以质量问题很容易变成安全问题。安全问题也可能是收入损失事件。所以有一个真正的谁是狗,谁是尾巴就像在这里被摇摆一样。

我认为与我们今天看到的情况有很大不同的一件事,特别是从安全的角度来看,威胁流量的数量是如此之大。当我第一次开始使用 Web 系统时,如果你被黑了,或者你被调查了,现在说起来听起来很有趣,但这几乎就像一个小小的荣誉徽章。就像有人真的在关注我们正在做的事情。一定有关于我们的嗡嗡声,因为有人试图拿走我们所拥有的。这实际上就像来自市场的积极信号。现在根本不是这样。

现在的情况是,如果你公开一个 API,即使它是你想要私有的 API,所以你说,我将拥有这个 API,但我真的只希望它被我的移动应用程序使用,例如,好吧,你猜怎么着,你的意图并不重要。 API端点实际上暴露在互联网上的事实意味着它将在该事物可访问的几分钟内被探测。它将在该事物的整个生命周期内不断地被探测到,因此,试图通过它的体积来了解这张图片。

所以你说的是攻击流量实际上是你获得的大部分流量,它开始淹没合法客户。因此,请在物理世界中考虑这一点。想一想如果有一半的人来到银行并从银行前门走进去抢劫这个地方,银行会是什么样子,您的银行运营方式将与传统的银行运营方式截然不同抢劫是罕见的,新颖而富有戏剧性。

不幸的是,这就是我们生活的世界。而且我知道说这是一件黑暗的事情,而且我是一个聪明的人,但我们生活在一个基本上不断在网上交战的世界。这就是为什么安全人员脾气暴躁的原因,因为这些系统非常复杂,变化非常快。攻击向量的性质正在迅速变化。所以有很多风险,球门柱也在同时移动。这只是在文化和技术上提出了一些真正的重大挑战。

Erik:我与很多根本不是数字原生代的公司合作:他们有 50 年历史,有 100 年历史,他们来自机械背景,或者化学或电气工程背景。然后,当然,现在发现数字技术对于他们如何在内部运营业务以及如何为客户提供服务都非常重要。然后,我可以真正清楚地了解 API 的激增或创建 API 来管理这些解决方案的需要。但它们不是由银行或微软完成的,而是由一些制造工业设备的公司完成的,现在他们正在构建 API 来管理与客户的关系。

在安全方面,这是一个难以解决的问题的原因吗?基本上人们可以自动化这些探测事件。所以这是高度自动化的,然后他们只是居住在不会被起诉的司法管辖区。那么,我们今天生活的那种环境是否有足够的地方可以让人们坐下来运行自动化程序来探测互联网的漏洞,而我们不能减少那里的人数?它在司法管辖区受到更多保护吗?或者更多的是我们无法找到他们,而且无论他们坐在哪里,实际提起法律诉讼都具有挑战性?

Rob:我不确定我是否真的有一个非常明确的答案,但我实际上很好奇自己也能理解一下。我可以分享的是,我认为威胁形势已经发生了一些变化,这是肯定的。因为我认为您所描述的是对攻击者长相的更经典的看法。经典观点是海外攻击者采取相对简单的蛮力方法。他们正在寻找不安全的 SQL Server 实例,或者他们正在寻找未打补丁的 Apache 实例,就像他们正在寻找他们知道可以用来获得控制权的已知漏洞一样。

当然,有着丰富的历史,人们用那些非常有限且相当原始的脚本来做非常了不起的事情。这将继续发生。当然,在漏洞扫描方面肯定有非常优秀的安全公司,而且这种需求根本不会消失。但最终的安全问题是,很多时候安全方面的失败并不一定是能力方面的失败。他们是想象力的失败。这些攻击者的资金越来越充足。他们很有创意。他们是专业人士。他们也是编码员。他们也是研究人员。他们对自己的业务非常认真,就像我们认真将他们拒之门外一样。

例如,其中一个向量,这就是零信任的想法真正开始在市场上获得很大吸引力的地方,它不再是一个拥有信任的管理员和外部攻击者的世界,一个是一个好一个坏。我们看到很多情况下,内部人员实际上被用来进行这些攻击。这些人非常难找。您确实听说过一些公司运行反情报计划来试图识别这些人。他们实际上是从国家安全机构雇用人员来运行这些程序。与此同时,您会遇到攻击者注册为客户的新威胁。

所以想想我要把攻击者挡在外面的整个想法意味着也许我可以在网络上阻止他们,或者我可以在外围阻止他们。但是,当外国情报机构注册为付费客户使用你的产品、使用你的服务时会发生什么?如果您将这些东西赠送出去,那就更糟了,因为这样他们就可以创建任意数量的免费帐户。但如果他们愿意,他们实际上有钱注册并付费给客户。你猜怎么着,你现在像其他真正的客户一样邀请他们进来,你的周边安全不会阻止他们。

因此,除非您说我根本不会从海外获得任何客户,否则基于国籍或交通来源的周边安全理念。我的意思是,这绝对仍然是一种使用的技术。但这会是我们用来阻止所有人的东西吗?绝对不。将 Peloton 攻击视为一个非常经典的例子。这不是通过利用漏洞来实现的。这是通过使用实际的客户帐户完成的,在后端没有正确检查权限和权限。我们交谈过的一些人正在这方面进行研究,当你听到这些数字时,它确实让你彻夜难眠,任何被评估的系统最终都容易受到一个或多个的影响这些形式的攻击。

Erik:那么让我们再深入探讨一下您的数据库如何工作的技术细节,以及谁是用户以及他们如何将其融入他们的投资组合或流程中?

Rob:所以从技术角度来看,我们正在捕获往返于您的 API 的 HTTP 流量。这就是 API 的输入和 API 的输出。因为我们讨论的所有 API,大部分都在互联网上运行,它们基于 HTTP 协议的一些变体,无论是 REX,还是 Graph QL,还是工业协议,其中一些是UDP。

但是您可以依赖标准定义;这就是输入通常的样子;这就是请求通常的样子;这就是响应通常的样子。因此,我们正在创建一个数据库,它可以原生地理解这些概念,理解 REX、Graph QL,理解内容类型,理解有效负载何时格式错误,理解 Graph QL 请求何时嵌套得太深。因此,您确实具有应用程序级别的意识。特别是对于我们刚刚谈到的一些安全向量,您需要用户级别、序列级别、会话级别的视图来了解正在发生的事情。这就是系统在技术上的工作方式。

但实际上,更有趣的是它在文化上是如何运作的。因为我们今天在市场上看到的很多系统,它们并没有真正解决我们之前谈到的人才缺口问题。你看到的很多系统,它们收集数据,提供仪表板,提供洞察力,但仍然需要大量的人类智能才能真正查看这些 bash 板,了解所有这些意味着什么,然后将其转化为业务的可操作案例。

因此,当我们与工程副总裁、首席信息安全官和 CEO 交谈时,我们一直听到的是我如何让我的开发团队更加关心质量?我如何帮助他们更关心安全?我如何找到我们的方式来实现这一目标?因此,我们使用 Resurface 所做的不仅仅是收集数据流量,而且我们正在分析流量,然后我们将引导您了解您应该关注的内容。

与我们合作的许多人以前没有拥有过这样的系统。所以他们不完全确定要问什么问题,以及如何将信号与噪声分开。因此,当您安装 Resurface 时,它已经过预先训练,例如 OWASP 前 10 个威胁向量。因此,我们可以根据我们已有的规则找到很多开箱即用的攻击。然后你就不必真正去寻找它们了。那么,您在 Resurface 的文化体验就像您在人类分析师中的体验一样。

所以你在 Slack 工作,你在团队中工作,而 Resurface 正在发送新消息,打开你应该查看的案例。所以你试图弄清楚什么是信号,什么是噪音,并且真的能够指出非常非常具体的情况,并说这些情况是你的外围安全需要加强或者你的应用程序失败的地方,或者你在哪里赔钱,并帮助你了解那些非常非常具体的案例。

Erik:从业务角度来看,是否有各种各样的用户拥有更多,一些来自安全团队,或者这里是否有一个主要用户根据什么向组织中的不同人员发送更多操作他们在看这里?

Rob:这真的很有趣,因为我们肯定有客户将 Resurface 之类的东西视为对其质量的公投。如果你有质量问题,如果你有事情重复发生,如果你有一个外部开发团队,你在争论中遇到了麻烦,并且你看到了这些质量差距,那么有一个记录系统,你可以真正指出所有案例,找到有问题的案例,能够更快地处理这些升级,我们肯定已经吸引了那些感到那种痛苦的客户。

我们还有其他客户的谈话开始于我想以一种不会让我的开发人员头脑爆炸的方式运行 OWASP 前 10 名合规计划。所以切入点更多的是从这个角度来看。但真正有趣的是,很长一段时间以来,我们都在想,好吧,也许这会让我们置身于一个我们有一只脚踩在两只独木舟上的地方。也许那是错误的,也许那是坏的。但我们真正意识到的是,所有这些都在中间相遇。因为当您的一半或更多流量本质上是恶意的时,几乎每个质量问题都有安全组件或安全问题。反之亦然,例如,如果您发现漏洞是由于质量问题造成的。

我认为需要关注的一件事是大约十年前,我们谈论了很多关于 DevOps 的内容,这实际上是开发和运营的融合,在此之前它们一直是分开的。我认为我们现在看到了对 DevSecOps 或 AppSec 的真正需求。对此有不同的绰号。但它正好位于传统开发和传统安全之间的边界,您需要更深入地了解这些是我得到的所有不同类型的输入,这就是系统的响应方式。这真的是我想要的吗?这真的是我们想要的吗?我们如何引导取得更好的成果?

相信我,尤其是作为首席执行官,我想说的是,我们只做质量或只做安全,但当我们真正开始在那里剥洋葱时,它真的是一个连续体。而且我认为越来越难以真正将它们分开并真正将它们视为正交关注点。曾经有一段时间你可以说安全主要是关于漏洞扫描和保护你的周边,这将是一个非常非常好的安全标准。

但是回到我们刚刚谈到的攻击者使用付费帐户作为集结地的故事,您的漏洞扫描,您的外围防御没有任何意义。那是真正的特洛伊木马。现在,您将不得不在应用程序级别提高对安全性和质量的理解。

埃里克:然后我猜你会遇到最恶意的情况,即你有一个员工被植入或想象为工程师,他们可以通过在一家公司工作一两年来赚很多钱,要么试图插入他们可以在中断时传递的代码,或者至少只是将围绕数据库结构的信息传递给某种犯罪组织。因为您可以将质量问题分解为由于某人犯了错误或忘记进行适当的质量检查而已经完成的质量问题,然后可能会有恶意插入的质量问题,因为组织计划然后尝试攻击那些投产后的漏洞?是否有可能看到一种情况并说这看起来不对?或者您只需要确定问题并解决它们,但您不一定知道根本原因是诚实错误还是恶意活动?

Rob:这根本不是不安全的新概念。但我认为诀窍在于,您必须设计具有重叠孤岛和职责分离的系统。这样你,你就可以限制任何一个区域的爆炸半径。而且,我的意思是,这就是国家安全部门一直以来处理信息安全的方式。它总是分区的。它总是分开的。

但是你在那里描述的情况听起来像是电影里的东西,这不仅仅是假设的。这实际上就是一直在发生的事情,不仅仅是现在,而是已经持续了多年。我曾经有过这样的对话,例如,我认识的某个在这些大公司之一非常非常高的人在某个时候告诉了我其中一个故事。他说,是的,你必须明白我们有非常高度组织化的犯罪团伙,他们一直试图进入这里。他们找到有赌博问题的人。他们发现有大学债务的孩子正被债务淹没。他们会得到这些有清白犯罪记录的内部人员,并利用这些人作为内部人员来发动这些更大规模的攻击。

对于你内部的每一个人,你可以在外部再增加 30 个人来帮助他们做到这一点。你看看这些大公司为了找到这些人而不得不非常悄悄地采用的一些策略。这就像汤姆克兰西的小说,你正在阅读关于他们如何试图在中央情报局或其他什么地方寻找内奸的故事。这完全一样。但这并没有发生在屏幕上。它正在发生在你身上。它正在发生在您的业务中。

我认为很难说我们已经离开了那个你可以信任你的技术人员并且你可以信任内部人员的世界。但是,你所面临的风险越多,你就越需要认真对待这些事情。就像我们在本次电话会议的开头所说的那样,我们正在从一个用于播放色情和猫咪视频之类的娱乐工具的互联网转向一个对我们的汽车在路上行驶和我们的业务正常运作。还有比以往任何时候都多得多的利害关系

Erik:对于市场上的每一家物联网产品公司,当然还有很多其他不是物联网的公司来说,如何保护设备安全,你将自己置身于其中必须是前三项挑战。这里真是一个移动的战场。您如何看待 Resurface 的未来发展? Resurface 有什么办法来确保你尽可能地领先于这里的对手?

Rob:我们有与一些非常非常大的企业在这种技术上合作的历史。我们对 Resurface 的目标是真正实现民主化,并将该技术交到每个需要它的 API 提供商手中,无论您的预算或运营规模如何。如果我不是在做 Resurface,而是在做其他事情,我会想要在我的 API 上安装一个这样的飞行记录器,这样我就可以在晚上睡觉,这样我就可以知道实际发生了什么。

你花了这么多时间和精力,喝咖啡太晚了,无法建造这些东西,然后你把它们放到世界上,它们的使用方式与你预期的不同。有时这很好。有时这很糟糕。

当我们开始展示实际情况时,我们与之合作的每个客户几乎都会立即发现一些特定的独特好处,并且您具有这种可观察性。反应很好,那是错误的。好吧,我们为什么要这样做?嘿,我们在浪费带宽。为什么提供该错误代码?哪些客户受到我们不知道正在发生的事情的影响?就像在现实世界中一样,你能想象在没有监控摄像头的情况下经营一家银行吗?这就是 Resurface 所做的。我们正在帮助您审核所有这些交易。我们正在帮助您真正了解所有这些情况。

这是从业务角度为您提供的特定锚点。我们看到的很多案例,这些案例并不像 AWS 出现故障,而是非常明显的失败。系统已启动,系统正在执行,系统正在运行,但他们做错了事。要么他们被剥削。他们没有按照预期的方式使用,或者他们没有遵守业务规则,他们正在失去收入。您的系统正在运行,但顺便说一句,您正在以每张 5 美元的价格出售本应为 5,000 美元的机票。

而比这一切更糟糕的是像低和慢的音量,无论是攻击还是质量问题。非常聪明的内部人士,他们不会发动大规模的攻击,他们将发动非常低的慢速攻击,追踪非常非常有针对性的向量,这些向量很难找到。很难发现的质量问题是影响一小部分客户而不是所有人的质量问题。

所以喜欢简单的东西相对来说很容易找到。但难的东西真的,真的很难找到。我们的目标与您之前提出的观点非常一致,即这些 API 技术正在进入许多可能没有 100 年处理这些因素的经验的传统公司手中。这是新的,但他们想要参与 API 经济,他们想要现代化并成为其中的一部分。这些人需要更多的帮助才能到达那里。

归根结底,我们没有培养足够的安全分析师,也没有培养足够的优质分析师。对于我们正在努力构建的所有这些东西,我们一直处于人才短缺的状态。再一次,赌注比以往任何时候都高。

Erik:而且我认为管理很多这样的组织,根据我的经验,这只是从管理的角度来看具有挑战性,因为他们无法与基于云的大型公司竞争最有经验的人。所以他们经常在内部提拔优秀的人,他们信任他们,但他们不一定有你希望他们必须应对其中一些挑战的经验。我们可以快速触及业务方面吗?如果有人想采用 Resurface,一般模型是什么?

Rob:我们尽可能地让它变得简单。那是我们的品牌。我们有我们所谓的基于节点的定价,只是开始。因此,因为我们是第一方解决方案,所以我们不根据收集的数据量收费,而是根据我们将获得许可运行的数据库节点数收费。对于人们来说,这是一个非常容易理解的模型。与必须雇用一名工程师或一名分析师来做同样的工作相比,其单位经济学非常非常有利。

因此,我们的目标实际上是让整个过程变得简单,让预生产变得容易,从最有价值的 API 或最有问题的 API 开始,并从那里扩展。因此,我们不是您的传统企业软件公司,我们只是开车经过并向您抛出一百万美元的合同。我们真的在与客户合作。我们的客户来加入我们的 Slack 社区,并可以直接访问我们的开发团队。这就是我们现在建立业务的真正方式,即在技术的使用方式、人们有兴趣解决的案例之间获得直接反馈,然后将其反馈到一个非常易于使用且非常有效的包中.

Erik:我真的,真的希望你和这里所有其他试图解决这个问题的优秀演员都能成功。 Rob,您认为今天与观众分享的重要内容是什么?

罗布:是的。对于我们今天在这里讨论的所有内容,我知道其中有一些更黑暗的元素,对于任何正在考虑进入技术领域的人,或者任何正在考虑从开发转向其他工作,从事网络安全工作的人,我是我自己是网络安全领域的新手。我的背景在数据库、开发和系统方面非常扎实。所以我仍然认为自己是证券市场的新手。

但我真的很惊讶我遇到的人,以及多么热情和包容。而且我知道科技并不总是具有超级热情和超级包容的标志。但实际上,我遇到的安全人员都是非常了不起的人,他们对自己的使命和使命充满热情,并且认为他们正在做一些真正重要的事情。

因此,尽管围绕 API 经济以及我们正在达到的这种相互关联程度存在挑战,但我确实认为最终这一切都是向善的力量。但我认为趋势一直朝着正确的方向发展。迫切需要人才,并在这一领域进行更多思考。我的建议是,如果您有兴趣参与其中,那肯定还为时不晚。这真的很迷人。对于它所提供的东西来说,这是一个非常了不起的领域。

Erik:对于所有正在倾听的企业,我认为,也非常重视这一点,我认为找到这样的智能工具至关重要,因为你不能只是去那里雇佣你希望拥有的所有人才。所以你必须聪明地处理这个问题。人们与您联系或只是与 Resurface 团队取得联系的最佳方式是什么?

罗布:我总是有空。我的电子邮件是 Rob@resurface.io。我也在推特上。我的句柄是@robfromboulder。您也可以来到 Resurface.io 并请求演示,您很可能会得到我。我不做所有的演示。但如果你愿意,你也可以问我。我们很容易找到。我们很容易合作。然而,任何在听的人都想知道 API 安全的真正含义是什么,我们今天在这里讨论的很多东西都是非常非常新的,我们都在努力解决这个问题。所以总是喜欢和太空中的人交谈,不管你在做什么。

Erik:去博尔德见罗伯。我喜欢你网站上的这条小信息,“让我们出去玩吧。”但博尔德是一个美丽的地方。我一直被困在上海,这是一个伟大的城市,但它有 3000 万人,所以不是最富有的人,因为 COVID 被困在这里几年了。 Rob,感谢您的光临,非常感谢今天的谈话。

罗布:谢谢。真的,真的很高兴和你在一起。

Erik:感谢您收看另一个版本的工业物联网聚光灯。如果您发现这些对话很有价值,请给我们留下评论和五星级评价。如果您想分享您公司的故事或推荐一位演讲者,请发送电子邮件至 team@IoTone.com。最后,如果您有想要讨论的 IoT 研究、战略或培训计划,可以直接发送电子邮件至 erik.walenza@IoTone.com 给我发电子邮件。谢谢你。

联系我们

欢迎与我们交流!
* Required
* Required
* Required
* Invalid email address
提交此表单,即表示您同意 IoT ONE 可以与您联系并分享洞察和营销信息。
不,谢谢,我不想收到来自 IoT ONE 的任何营销电子邮件。
提交

感谢您的信息!
我们会很快与你取得联系。