White Hat Win: Sicherheits-APIs werden radikal besser

Führungskräfte aus der Technologiebranche sprechen schon seit Jahren - in manchen Fällen sogar seit Jahrzehnten - über APIs und Integrationen. Und das aus gutem Grund, insbesondere im Bereich der Cybersicherheit: Anwendungsprogrammierschnittstellen bilden eine Grundlage für die Kommunikation und haben viele Möglichkeiten zur Verbesserung der Bedrohungsanalyse, zur Erweiterung der Automatisierung und zur Beschleunigung der Reaktion eröffnet. Wir haben schon früh daran geglaubt, so dass Mimecast praktisch alle unsere Schlüsselfunktionen über Hunderte von vollständig dokumentierten APIs zur Verfügung stellt und eine der umfangreichsten Integrationsbibliotheken der Branche aufgebaut hat. Dennoch tun sich viele Kundenunternehmen immer noch schwer, diese Funktionen zu nutzen, und haben noch nicht die allgegenwärtige, nahtlose Integration erreicht, die sie benötigen, um sich gegen modernste Angriffe in Echtzeit zu verteidigen.

Das wird sich jetzt ändern.

Durch technologische Fortschritte und neue Lösungen werden APIs immer wertvoller, einfacher zu nutzen und kostengünstiger. In diesem Blogbeitrag - dem ersten unserer Reihe "API-Ökosysteme" - stelle ich fünf wichtige Fortschritte vor, die Sicherheitsverantwortliche kennen sollten. Bevor wir ins Detail gehen, hier die wichtigsten Erkenntnisse: Es ist an der Zeit, Ihre Erwartungen an die Möglichkeiten von APIs zu erhöhen, heute und in naher Zukunft, im Vergleich zu dem, was Ihre Anbieter liefern sollten. Zum Beispiel sollten Sie in der Lage sein:

• Integrieren Sie in jedes beliebige Tool und automatisieren Sie jeden Sicherheitsprozess mit praktisch keiner Programmierung.
• Vollständige Verwaltung und Bedienung über die Verwaltungskonsole oder ein Portal Ihrer Wahl, auch für Daten, die von anderen Sicherheitslösungen stammen.
• Pflegen Sie alle richtigen Daten über längere Zeiträume, ohne die Kosten in die Höhe zu treiben.
• Nutzen Sie mehr Innovationen aus mehr Quellen, so dass ein ganzes globales Ökosystem von Verbündeten stets zur Unterstützung Ihrer Cyberverteidigung zur Verfügung steht.

Hier sind die fünf aktuellen Trends, die diese Szenarien für die nahe Zukunft bestimmen.

1. Ereignis-Streaming-APIs

Herkömmliche APIs sind anforderungsgesteuert: Sie rufen eine Datenquelle ab und erhalten die angeforderten Daten. Um näher an die Echtzeit heranzukommen, müssen Sie häufigere Anfragen senden. Die Beschaffung zeitnaher Daten kann schwierig und ineffizient sein. Streaming-APIs basieren stattdessen auf einem Abonnementmodell: Sie abonnieren eine Datenquelle und erhalten automatisch die gewünschten kontinuierlichen Aktualisierungen.

Streaming-APIs sind in der Regel mit ereignisbasierten Modellen verbunden, die eine genauere Kontrolle darüber ermöglichen, welche Daten gestreamt werden. Wenn eine Datenquelle 500 Datenfelder generierte, erhielten Sie traditionell alle oder keine davon. In vielen Sicherheitsorganisationen führen diese "Feuerschlauch"-Protokolldatenabzüge zu hohen Zahlungen an SIEM-Anbieter für die Speicherung von Daten, die keinen großen Mehrwert bieten. Um die Kosten zu kontrollieren, beschränken die Unternehmen die "Live"-Daten oft auf ein oder zwei Monate. Dieser Kompromiss kann jedoch zu blinden Flecken und betrieblichen Problemen führen und die Verweildauer potenziell erhöhen: Indem ältere Ereignisse offline genommen werden, können Sicherheitsexperten - und ihre automatisierten Systeme - Muster übersehen, die mit ausgeklügelten Angriffen verbunden sind, die sich langsam und absichtlich entfalten.

Mit modernen Streaming- und ereignisbasierten APIs können Sicherheitsexperten die wichtigsten Daten gezielt erfassen und viel länger online halten, sodass ihre Unternehmen weniger anfällig werden. Sie können auch neue Anwendungsfälle adressieren, die punktgenaue Informationen benötigen - zum Beispiel nur die angeklickten URLs, die Mimecast blockiert hat, und nicht alle Gründe, die wir für die Blockierung gewählt haben. Ein anderer moderner Ansatz für das API-Design, Graph-APIs, kann ebenfalls eine bessere Kontrolle darüber bieten, welche Daten Sie abrufen, und so die Effizienz und Flexibilität verbessern.

Einzeln oder in Kombination ermöglichen diese modernen Ansätze für das API-Design den Sicherheitsteams ein schnelleres und taktischeres Vorgehen durch relevante Datensätze. Sie können Bedrohungsdaten viel schneller generieren und anwenden, was die Cyberabwehr effektiver - und auch kostengünstiger - macht.

1. Standardisierte API-Abfrageplattformen

Die Einführung von APIs wurde häufig durch einen entwicklungslastigen Ansatz behindert, der von den Entwicklern verlangt, PowerShell- oder Python-Skripte oder Java-Code zu schreiben, um selbst relativ einfache Aufgaben auszuführen. Glücklicherweise gibt es inzwischen gängige Tools, die diese Belastung verringern. Bei Mimecast haben wir Postman standardisiert und die wichtigsten E-Mail-Sicherheitsfunktionen in dieses Tool integriert. Benutzer können nun ihre eigenen maßgeschneiderten Lösungen mit unseren APIs durch Klicken und Ziehen innerhalb der Postman-Benutzeroberfläche erstellen. Sie brauchen keine neuen Skripte zu schreiben, nicht einmal, um unsere komplexesten API-Aufrufe zu nutzen. Knifflige Fragen wie Kommunikation, Authentifizierung und Sequenzierung werden alle für sie erledigt.

Dadurch werden die Einstiegshürden radikal gesenkt. Analysten und andere Nutzer können maßgeschneiderte Lösungen und Integrationen erstellen, ohne darauf zu warten, dass Programmierer dies für sie tun. (Erfahren Sie mehr über die Verwendung von Postman zur Erstellung von Mimecast-Lösungen .)

Postman ist überall dort beliebt geworden, wo APIs die Verbesserung und Automatisierung von Geschäftsprozessen unterstützen können. Es wird auch immer robuster und bietet Tabellenansichten und grundlegende Business Intelligence-Funktionen im Stil von Tableau. Je mehr API-Anbieter sich Mimecast anschließen, desto einfacher wird die API-Integration über verschiedene Tools hinweg, und desto mehr Sicherheitsteams können die Vorteile nutzen.

1. Low-Code/No-Code-Sicherheits-Orchestrierungstools

Gezielte Sicherheitsintegrationen sind eine ideale Anwendung für Low-Code/No-Code-Tools. Diese Lösungen sind schnell auf dem Vormarsch, und einige Mimecast-Kunden setzen sie bereits in der Produktion ein. Sie ermöglichen es auch Nicht-Entwicklern, komplette automatisierte Workflows mit selektiven ereignisbasierten Streaming-Daten zu erstellen und dabei sowohl die APIs von Mimecast als auch die anderer Sicherheitsanbieter einzubinden.

Nicht-Entwickler können sich jetzt Lösungen vorstellen, die auf komplexen automatisierten Arbeitsabläufen beruhen, die viele Sicherheitsprodukte kombinieren. Diese Tools sind oft so konzipiert, dass sie eng mit API-Abfrageplattformen wie Postman zusammenarbeiten. Wir arbeiten mit einer wachsenden Zahl führender Tool-Anbieter zusammen, um unsere API-Funktionalität "out of the box" einzubauen.

Frühere Orchestrierungslösungen waren notorisch technisch und code-intensiv. Aber diese Low-Code/No-Code-Tools können Analysten wirklich in die Lage versetzen, all ihre Sicherheitsressourcen und -daten so zu orchestrieren, dass sie zuverlässig und schnell agieren können, ohne die ganze entmutigende Komplexität.

1. Gemeinsamer Austausch von Kundenlösungen

Da Kunden immer komplexere kundenspezifische Lösungen entwickeln, möchten einige diese im Interesse einer gemeinsamen Verteidigung mit anderen teilen. Umgekehrt entdecken natürlich auch immer mehr Sicherheitsteams, dass sie von Lösungen, die von Gleichgesinnten entwickelt wurden, schnell profitieren können. Diese Lösungen können viele Formen annehmen: Codeschnipsel, die neue Integrationen ermöglichen, Add-ons zur Aufnahme zusätzlicher Datenquellen oder benutzerdefinierte Berichtsvorlagen auf der Grundlage von Tools wie Splunk.

Einige dieser Inhalte können einfach auf Github veröffentlicht werden, aber wir stellen uns auch das Entstehen von sicheren Börsen vor - öffentlich und/oder privat, kostenlos und/oder kostenpflichtig -, die von Lösungsanbietern oder sogar Kunden gehostet werden. Auch diese Börsen bauen auf bereits verfügbaren APIs auf und helfen Sicherheitsteams, mehr von der Kreativität zu nutzen, die APIs freisetzen können.

1. Mehr als Portale: Volle Funktionalität von jedem Ort aus

Um die richtigen Informationen zu erhalten und die richtigen Aktionen auszulösen, haben sich Sicherheitsteams traditionell zwischen mehreren Portalen bewegt, jedes mit seiner eigenen Schnittstelle und seinen eigenen Logins. Mit den bereits erwähnten Werkzeugen ist es jedoch möglich, gemeinsame, wiederverwendbare Funktionen zu bündeln und jede Sicherheitstechnologie von jedem Ort aus zu nutzen, ohne jemals das entsprechende Portal zu verwenden. Einige Mimecast-Kunden nutzen unsere Technologien bereits auf diese Weise. Wir können Ihnen zeigen, wie es geht, und wir ermutigen Sie, die gleichen Fähigkeiten von jedem Sicherheitsanbieter zu verlangen, mit dem Sie zusammenarbeiten.

Die Quintessenz

APIs sind auf demselben Weg, den leistungsstarke Technologien vom PC bis zum Internet vor Jahren beschritten haben. Da ihre technischen Grundlagen gefestigt sind, werden sie radikal zugänglicher und einfacher zu verwenden, und viele Anbieter bieten fertige Plug-ins an; daher werden sie auch radikal leistungsfähiger und wertvoller. In künftigen Beiträgen werden wir näher darauf eingehen, wie diese neue Welt aussehen wird und was sie für Sie bedeutet.