Approov meddelade på torsdagen att Approov 3.0 syftar till att skydda API-nycklar och endast använda dem när klienten behöver göra ett API-anrop.
Approus vd, David Stewart, förklarade att de senaste intrången belyser risken för att hackade nycklar och hemligheter utnyttjas av hackare. Sådana hemligheter skyddas inte alltid effektivt under vila och transit, och som ett resultat får dåliga aktörer dem och använder dem för att komma åt API:er och applikationer.
Enligt Stewart lägger den utbredda användningen av tredje parts API:er av mobilapplikationer ytterligare en dimension till problemet. Mobilappsutvecklare kan drabbas av både ekonomiska förluster och varumärkesrykte om de verkar vara orsaken till tredje parts programintrång eller tjänsteintrång som ett resultat av DDoS-attacker (Distributed Service Denial) med stulna hemligheter.
SC Media pratade med Stewart om företagets långa historia, hur det fokuserar på mobila API:er och vikten av att använda molnteknik för att bättre skydda API-nycklar och hemligheter för sina kunder.
Approov lanserades 2001. Kan du ge oss en kort översikt över företagets förflutna och hur det har utvecklats under åren?
Företagets ursprung är djupgående granskning och optimering av mjukvara på hårdvarunivå. Tekniker, patenterade immateriella rättigheter och den erfarenhet vi har utvecklat under hela företagets liv är relaterade till olika tillämpningar av djupgående mjukvaruanalys. Tidigare har vi gjort mycket servicearbete för kunder och för cirka 10 år sedan gjorde vi mycket arbete med att optimera mjukvaran för Android-koden. Efter slutförandet av dessa projekt såg vi en möjlighet att tillämpa vår metod för mjukvaruanalys för att skapa en certifieringslösning för mobilapplikationer som främst är utformad för att endast stödja mobila eller mobila företag. Vid den tiden såg vi en accelererad mobilapplikation i många välutvecklade marknadssektorer, men det fanns inga lämpliga säkerhetslösningar. Approov Mobile App Protection-lösning lanserades i slutet av 2016.
Varför fokusera på mobila API:er? Vilket är affärsproblemet du vill lösa?
Vad vi såg under 2013-14 var att mobilapplikationen gick snabbt, men säkerhetsstrategierna gick inte snabbt. Vad värre är att det fanns en blind fläck. Det finns och finns säkerhetslösningar för mobilapplikationer tillgängliga för att skydda mobilapplikationskod 24/7, och det fanns också traditionella nätverkssäkerhetslösningar för att skydda API-ändpunkter. Det fanns API:er mellan dessa två lösningar och ingen skyddade dem. Vi strävar efter att skydda end-to-end mobila företag genom att se till att endast äkta (godkända) mobilapplikationer kan använda API:er, vilket innebär att automatiserad trafik från skript och botar blockeras utanför. På detta sätt kan företag som förlitar sig på mobilappar för att interagera med sina kunder minimera transaktionskostnader, bedrägerikostnader och risker för datakorruption utan att det påverkar slutanvändarens upplevelse.
Kan du förklara hur mobila API:er fungerar och varför människor behöver förstå varför de är viktiga, särskilt i ett mobilt sammanhang?
API: er är “limmet” för kommunikation mellan en mjukvara och en annan. I mobilen innebär det att man byter mellan mobilapplikationen, enheten den körs på och den bakre servern eller molntjänsten. Många tror att all API-trafik kan behandlas lika, men det är ett välförstått koncept säkerhetsmässigt där allt står i sitt sammanhang. Därför är det inte möjligt att skilja riktiga API-frågor från automatiserade simuleringar utan att förstå och verifiera karaktären hos fjärrklienten som begär API:et. Mobile erbjuder ett specialfall eftersom alla kan ladda ner och analysera mobilappar, och de innehåller användbar affärslogik och hemligheter som gör att dåliga spelare kan lära sig API-beteende på nära håll och sedan skapa skript som kan efterlikna den ursprungliga apptrafiken. Detta inkluderar giltiga autentiseringsuppgifter som API-nycklar som kommer att extraheras från själva applikationskoden eller avbrytas under överföring i API:et.
Vilken betydelse har molnet i den mobila världen och fördelarna med molnlösningar för kunderna?
Approvov består av två delar. Det finns en Approov SDK inbäddad i mobilapplikationskoden; och det finns Approov Cloud Service, som fungerar som en molnbaserad teknik. Med tanke på typen av mobilt företagsskydd anser vi att Approovs molntjänst är avgörande för lösningen. Ingenting kan lita på i en applikation eller enhet, så när man tittar på arkitekturen för ett mobilt säkerhetssystem uppifrån och ned, blir två punkter tydliga som en “måste”-funktion: det bör inte finnas några hemligheter om säkerheten för den mobila verksamheten . lagras i mobilapplikationen och mobilapplikationen ska inte innehålla någon beslutskod. Om den mobila enheten har Approov-hemligheter eller en beslutskod lokalt lokalt, kommer hotdeltagarna att rikta in sig på dem i mobilapplikationen och manipulera dem till deras fördel. Som ett resultat krävs ett externt kodobjekt utanför själva applikationen för att hantera säkerhetsprocessen i allmänhet och för att fatta beslut om mobilapplikationen och dess driftsmiljö.
Berätta för oss om det nya produktmeddelandet och hur det löser dessa mobila API-problem?
Approov 3.0, förutom uppdaterade säkerhetsmekanismer för nyckelfunktioner för certifiering av mobilapplikationer, innehåller nya funktioner för att skydda hemligheter som API-nycklar genom att förhindra behovet av hårdkodning i mobilapplikationer. Approov Runtime Secrets Protection tillåter kunder att behålla dessa viktiga hemligheter i Approovs molntjänst, som ansluter till livesändningar med alla inbäddade mobilapplikationer. Därför kan vi dela dessa hemligheter när det behövs för att göra ett API-anrop och endast där Approovs mobilapplikationscertifiering är framgångsrik. Som ett resultat behöver vi inte längre hålla hårdkodade hemligheter i mobilapplikationer. Detta har varit ett långvarigt problem för mjukvaruutvecklare, som ofta har kritiserats för att lagra nycklar i mobilappar, men hittills har det funnits väldigt få uppenbara alternativ att göra det.
Hur ser Approov ut de kommande tre till fem åren? Är strategin att växa genom upphandling? kommer bli tagen? Har du en plan att presentera för allmänheten?
Vi förväntar oss betydande tillväxt under de kommande tre åren med fortsatt acceleration av mobila tjänster och den fortsatta tillämpningen av bästa praxis för säkerhet på låg nivå. Våra huvudmarknader, som verkar ha många utvecklingsmöjligheter, är fintech, sjukvård, detaljhandel och transport. Geografiskt har vi historiskt sett haft mest kundaktivitet i Nordamerika och Europa. Dessa områden växer fortfarande, men vi ser nu ökad aktivitet i Sydamerika och Asien. Idag är vi 10 personer, men vi planerar att nå 50 anställda under de kommande tre åren. Vi är dock ett modernt SaaS-företag online, så de viktigaste tillskotten av personal kommer att vara inom teknik och marknadsföring. Det är klart att kunderna vill ha säkerhetslösningar som är effektiva, men ändå enkla att implementera och hantera, utan att behöva en kärnteknikexpert. Som ett resultat växer vi ett företag som tillhandahåller ett starkt och hållbart mobilt företagsskydd med en enkel implementeringsmekanism och utmärkt och lyhörd kundsupport. Vi har befintliga investerare som fortsätter att stödja våra expansionsplaner och ser fram emot att attrahera nya investerare under de kommande 12 månaderna. Dessa samtal är redan igång.
