Salt Security beschermt tegen groeiend aantal aanvallen op API’s
Sunil Dutt heeft ervaring met pionieren. Sinds eind oktober vorig jaar doet hij dat bij Salt Security, een bedrijf dat er vroeg bij was met API security. Hij vertelt over het belang daarvan en over de ambities in het Nederlandse IT-kanaal.
Zout is net zo essentieel voor het menselijk lichaam als API security is voor een goede security-strategie. Dat vonden Michael Nicosia en Roey Eliyahu toen ze in 2016 Salt Security oprichtten, en zo kwamen ze tot de naam. Het bedrijf is gevestigd in Silicon Valley en is sinds kort ook actief in Europa.
“We hebben de meest volwassen API security-oplossing in de markt”, vindt Sunil Dutt, die sinds oktober vorig jaar de Director Channel Sales van Salt Security in EMEA en APAC is. “Bij het ontstaan in 2016 was API security nog iets compleet nieuws. Toen ging het bij security vaak vooral nog over het endpoint. We zijn erg uitgesproken over het feit dat API-aanvallen de grootste attack factor gaan worden en worden daarin ondersteund door onafhankelijke analisten.” Dutt overdrijft niet. Gartner schreef eind 2021: “Onbeheerde en onbeveiligde API's zijn gemakkelijke doelwitten voor aanvallen, waardoor de kwetsbaarheid voor beveiligings- en privacy-incidenten toeneemt.” Bedrijven hebben een goede API-security-strategie nodig, zo stelt Gartner in datzelfde rapport.
Extra laag
Maar eerst even een stap terug. Wat is API security precies? Het is een vraag die Dutt van klanten ook vaak krijgt. “API’s zijn vandaag de dag overal aanwezig, mede door de digitale transformatie. Ze zijn nuttig, maar stellen ook data bloot. Dus komen er ‘bad actors’ die daar iets mee willen. Het afgelopen jaar zijn er grote aanvallen geweest met veel media-aandacht, die begonnen met een lek in een API.”
API’s bestaan al veel langer, maar in het verleden gaven ze vaak geen toegang tot gevoelige informatie, legt Dutt uit. “Nu zijn er veel meer API’s dan een paar jaar geleden, soms honderden of duizenden per organisatie. Ze geven steeds vaker toegang tot gevoelige informatie. Organisaties denken vaak dat ze goed beschermd zijn met traditionele technologieën, zoals een Web Application Firewall of een API Gateway. Dat heeft lange tijd geholpen, maar de aanvallen zijn tegenwoordig zo geavanceerd, mede doordat ze als legitiem API-verkeer worden vermomd, dat die technologieën dat in hun eentje niet meer aankunnen. Je moet nieuwe technologie toevoegen en dat is precies wat wij doen. Gartner noemt die extra laag ‘API discovery and protection’.”
Bedrijven doen er verstandig aan om drie stappen te zetten, legt Dutt uit. “Alles begint met zichtbaarheid. Wat je niet kunt zien, kun je niet beschermen. Binnen een paar uur kunnen we het API-landschap in kaart brengen, dankzij onze cloud-gebaseerde big-data architectuur. Dan ziet een klant alle API’s, zelf ontwikkeld of van een derde partij. De zogeheten zombie- of shadow-API’s, die nog in productie staan maar geen updates meer krijgen, zijn daarbij misschien wel het belangrijkst. Ze kunnen zorgen voor een deur die wagenwijd open staat. Stap twee is het beschermen van de API’s die in productie draaien. Die worden door hackers vaak als eerste opgezocht. We analyseren de securitystaat daarvan. Lekken ze gevoelige informatie of worden ze wellicht al misbruikt? We bieden vervolgens bescherming tegen de meest geavanceerde aanvallen die inmiddels ook gedocumenteerd staan in de OWASP API Top 10. De derde stap is de proactieve security voor API’s in de ontwikkelfase. Die stellen we bloot aan bekende bedreigingen die we in de loop der jaren zijn tegengekomen, inclusief de OWASP API Top 10 dreigingen. Vervolgens voegen we daar onze best practices aan toe, om te kijken of ze veilig genoeg zijn. De ontwikkelaars kunnen deze informatie gebruiken om de API vanaf dag één op een veilige manier in productie te plaatsen.”
Partnerprogramma
Salt is nu bijna een jaar actief in Europa, waarbij de Nederlandse markt erg belangrijk is. Twee Nederlands sprekende Belgen vormen het salesteam. Dutt zelf is ook een belangrijk aanspreekpunt. “We merken dat API security in Nederland steeds vaker op de agenda komt te staan. Ook partners tonen meer interesse en voelen, mede door wat analisten zeggen, dat we aan de vooravond van grote groei staan.”
Salt werkt volledig indirect. Het kiest daarbij heel bewust voor een selecte groep partners. “Vaak hebben Amerikaanse bedrijven die naar Europa komen de neiging om zoveel mogelijk partners op te tekenen. Wij geloven daar niet in, want dat geeft marge-erosie en channel-conflicten. We onboarden een handvol partners die we veel aandacht geven. Pas als we merken dat we te snel groeien voor het aantal partners dat we hebben, voegen we een nieuwe toe. Geïnteresseerde partners mogen zich natuurlijk wel altijd bij ons melden.”
Na de zomer start Salt met het vernieuwde Salt Security Essential Partner Program. “Daarin ondersteunen we onder andere lead-campagnes, demand generation-campagnes en pipeline-campagnes. We maken het daarbij makkelijk om bijvoorbeeld webinars of evenementen met ons op te zetten. Er is ook content zoals whitepapers, die partners onder hun eigen merknaam in kunnen zetten. Een ander onderdeel is een dealregistratie-programma, om partners te beschermen. Qua marges worden ze er ook gelukkig van. Er is een heel fijn verdienmodel mogelijk.”
“We willen een intieme samenwerking”, maakt Dutt duidelijk. “Daarbij zenden we niet alleen, maar luisteren we ook naar wat partners proeven in de markt of wat ze anders willen zien. Daar kunnen we heel snel iets mee doen, zoals functionaliteiten toevoegen. We willen niet enkel een commerciële relatie, maar ook een research and development-relatie. We ondersteunen partners bij elke stap, zoals met educatie en het behalen van certificeringen.”
Grote investeerders
Salt Security merkt ondertussen dat de vraag naar API security toeneemt. Het bedrijf groeit, net als het productportfolio. “We kunnen steeds meer klanten onboarden. Dat zijn vaak bedrijven met een API-first IT-strategie, die beseffen dat ze kwetsbaar zijn. We zitten in een markt die naar een piek gaat en dat is heel gaaf om te merken. Bij Nutanix maakte ik dat mee met hyper converged infrastructure en dit is vergelijkbaar. Ik had niet gedacht dat het me opnieuw zou overkomen.”
Dutt gelooft in de toekomst van Salt. “Marketingverhalen zijn leuk, maar een oplossing bewijst zich door de architectuur, de manier waarop het is gebouwd. Wij hebben een gepatenteerde architectuur, die zich heeft bewezen. We hebben daarnaast de luxe positie van twee enorme partijen die achter ons staan. Sequoia Capital investeerde in ons en ook CapitalG nam een aandeel. CapitalG is het groeifonds van Alphabet, het moederbedrijf van Google. Dat zij investeren, is natuurlijk niet zomaar. Bovendien zijn we in 2020 uitgeroepen tot Gartner Cool Vendor. Die validaties zijn voor partners natuurlijk erg prettig tijdens gesprekken met klanten.”
Auteur: Johan van Leeuwen