9min Security

Noname CTO: “Security zal nooit belangrijker zijn dan de business.”

Insight: Security

Noname CTO: “Security zal nooit belangrijker zijn dan de business.”

Een van de basisbeginselen van Noname Security is dat ze vrijwel nooit ‘nee’ antwoorden als klanten vragen of ze iets willen onderzoeken en toevoegen aan hun platform. Wij spraken Shay Levi, de CTO en mede-oprichter van dit bedrijf dat zich heeft gespecialiseerd in API-security.

Shay Levi is iemand die op dit moment zit waar hij zichzelf een tijd geleden min of meer zag zitten. “Ik heb altijd een bedrijf op willen bouwen en heb ook altijd geweten dat het een cybersecuritybedrijf zou zijn”, geeft hij aan. Dat het specifiek zou gaan om API-security kon hij toen nog niet weten. Samen met zijn mede-oprichter (Oz Golan), die hij al een jaar of tien kende nadat hij zijn in Israël gebruikelijke tijd bij de IDF had volgemaakt en ook voor Facebook had gewerkt, had hij meerdere ideeën. “We keken naar datasecurity, SaaS-security en naar problemen met API’s in het algemeen”, legt hij uit.

Uiteindelijk was het vooral een kwestie van zoeken naar pijnpunten die organisaties aan wilden of moesten pakken. Dat was voordat Noname Security uiteindelijk zou worden opgericht door Levi en Golan de voornaamste uitdaging. Vandaar dat er uitgebreide gesprekken waren met hun investeerder. Belangrijker wellicht nog waren de discussies die ze voerden met CISO’s van grote bedrijven. “Die gesprekken zorgden ervoor dat we ons gingen richten op API-security”, stelt Levi vast. “Die CISO’s wilden dit probleem echt heel graag oplossen, maar wisten niet hoe.”

Snelle groei sinds 2020

Noname Security is sinds eind 2021 een zogeheten unicorn. Dat houdt in dat het bedrijf toen een marktwaarde vertegenwoordigde van minimaal 1 miljard dollar. Als je bedenkt dat het bedrijf in 2020 is opgericht, is dat een extreem snelle groei in marktwaarde. Deels zal dit wellicht te maken hebben met de wat opgeblazen retoriek rondom API-security. Gartner deed vorig jaar een stevige duit in dat zakje door te stellen dat API’s de voornaamste aanvalsroute zullen zijn in 2022. Dat soort statements doet de marktwaarde van bedrijven die zich met API-security bezighouden vanzelfsprekend stijgen.

De snelle opkomst van een bedrijf zoals Noname Security is natuurlijk niet alleen maar toe te wijzen aan de verhalen die de wereld in geslingerd worden. API-security is wel degelijk een probleem voor veel organisaties. We hebben hier vorig jaar en eerder dit jaar al de nodige aandacht aan besteed (zie de links elders op deze pagina voor enkele voorbeelden). Naast een uitgebreid artikel rondom API-security in het algemeen, hebben we er ook een aflevering van onze Techzine Talks-podcast over opgenomen. Hierboven gaven we daarnaast al aan dat veel CISO’s dit probleem ook zagen en dat dit min of meer de reden is geweest dat Noname bestaat.

De snelle groei van Noname is niet helemaal toe te schrijven aan de keuzes die men bij het bedrijf zelf wilde maken. “In maart 2020 snapten we heel goed dat we heel snel met een relevante oplossing op de markt moesten komen”, geeft Levi aan. Dat moest wel, omdat het probleem van API-security alleen maar groter werd. De cultuur binnen het bedrijf hielp hier ook zeker bij, volgens Levi. Hij heeft het over een pedal-to-the-metal-cultuur binnen Noname. Het kostte dan ook slechts vijf maanden om een MVP van hun API-security-oplossing/platform in elkaar te zetten. Dit was overigens niet zomaar een MVP, aldus Levi: “Je kon deze ook echt draaien, in een echte omgeving.” Uiteraard was hij nog niet klaar om ingezet te worden in enterprise-omgevingen, geeft hij ook meteen toe. Dat volgde daarna in sneltreinvaart.

TIP: Vorig jaar schreven we een uitgebreid verhaal over API-security in het algemeen en over Noname Security in het bijzonder. Dat lees je hier.

Klanten zijn leidend voor Noname

Een van de redenen dat Noname zo snel succesvol is geworden, is volgens Levi het feit dat ze heel goed naar hun klanten luisteren. Dat is iets wat we tegenwoordig iedereen horen zeggen. Dus daar zijn we op zichzelf niet zo van onder de indruk. Bij Noname lijken ze dit op basis van wat we van Levi horen echter ook in de praktijk heel hoog in het vaandel te hebben staan. Het basisbeginsel op dit punt is heel eenvoudig, volgens hem: “We antwoorden heel zelden ‘nee’ richting onze klanten als die iets willen.” De belofte vanuit Levi is dat dit ook richting de toekomst het geval zal blijven. Uiteraard zijn er ook hier uitzonderingen. Het is bijvoorbeeld extreem lastig om alle zeer zeldzame API’s af te dekken. Vandaar ook dat Noname zich niet zal bezighouden met IoT.

Zeggen dat je zelden ‘nee’ zal antwoorden is een, de onderliggende technologie moet dit uiteraard wel aankunnen. Vandaar dat Levi en Golan ervoor hebben gekozen om geen high-level programmeertaal te gebruiken om het platform te ontwerpen. Alles is in C en C++ gebouwd. “Dat moet als we als platform enorme datastromen aan willen kunnen en willen kunnen schalen”, geeft hij als reden.

Levi geeft op dit punt in het gesprek een voorbeeld van hun klantgerichte manier van ontwikkelen. Noname werd heel vroeg in hun bestaan gevraagd of ze hun oplossing ook geschikt konden maken voor inzet on-premises. Dat was best een klus. Het is waarschijnlijk een van de redenen dat andere partijen die zich bezighouden met API-security dit niet aanbieden. Toch hebben ze het gedaan. “Dat is waarom veel organisaties graag met Noname willen werken”, concludeert Levi. Het argument dat iets lastig is om uit te voeren mag nooit een reden zijn om iets niet te doen, is zijn standpunt. Het helpt in dit voorbeeld hoogstwaarschijnlijk wel dat Noname nog maar net bestond. In het begin van je bestaan heb je vaak nog wat meer flexibiliteit om zaken aan te passen. Aan de andere kant, API-security als geheel is een jonge markt, dus dat hadden andere partijen in principe ook kunnen doen.

Noname_Security_Shay_Oz
Noname Security-oprichters Shay Levi (rechts) en Oz Golan

Potentieel van API-security is enorm

Noname Security is niet alleen open voor wijzigingen en toevoegingen op basis van de feedback van klanten. Zelf houdt het ook veel routes open om API-security nog breder in de markt te zetten, maken we op uit de woorden van Levi. “Het begon allemaal met API’s die organisaties zelf bouwen, maar we bewegen nu ook meer richting externe API’s toe”, geeft hij aan. Hieronder vallen de API’s die andere leveranciers gebruiken, maar bijvoorbeeld ook de grote integratieplatformen op de markt. API-security raakt nu eenmaal heel veel onderdelen van de grotere markt. Bijna alles is immers API-gedreven tegenwoordig.

Zien dat er enorm veel mogelijkheden liggen voor API-security betekent echter niet dat Noname dat ook allemaal gaat aan- en oppakken. “We snappen dat we niet alles kunnen doen”, geeft Levi ook ruiterlijk toe. “Het eerste en belangrijkste doel is om een leider te zijn in de API-securitymarkt”, volgens hem. Voorbij dit doel is het een kwestie van luisteren naar klanten. En dan vooral heel aandachtig luisteren naar wat relevant is voor hen. Wat heeft de hoogste prioriteit? Dat is waar Noname dan eventueel iets mee kan of moet.

TIP: Eerder dit jaar wijdden we een aflevering van onze wekelijkse Techzine Talks-podcast aan API-security. Deze kun je hieronder terugluisteren.

Van runtime-security naar active testing

Een van de recente uitkomsten van dat luisteren naar klanten is de lancering van Noname Security Active Testing. Hiermee is het mogelijk om API’s te testen voor een developer ze vrijgeeft en ze dus in productie gaan. Dit product is een direct gevolg van een gesprek dat Levi had met een grote financiële instelling. “Die potentiële klant stelde heel duidelijk dat Noname alleen relevant voor hem zou zijn als ze API-security testing zouden gaan doen”, vat Levi dat gesprek in een zin samen. Dat laat aan duidelijkheid niets te wensen over. Als een dergelijke klant zoiets vraagt, dan is de kans groot dat er markt voor is binnen de industrie waarin deze actief is. Noname had dus in principe wel oren naar het ontwikkelen van een dergelijke oplossing.

Active Testing is echter een compleet ander beestje dan de API-security die Noname tot dan toe aanbood aan klanten. Dat is het controleren API’s in runtime. In de basis is dat een reactief proces. Dat wil zeggen, het Noname-platform reageert op wat er langskomt op het gebied van API’s. Ziet het dingen die niet in de haak zijn, dan maakt het daar melding van. Het testen van API’s daarentegen is een proactieve exercitie. Hier gaat het om het testen van API’s voor je ze in een productie-omgeving opneemt.

De ontwikkeling van Active Testing was een behoorlijke stap voor Noname. “Het was niet eenvoudig om dit te ontwikkelen, we moesten min of meer alles compleet vanaf de grond opbouwen”, geeft Levi aan. Omdat het zo’n fundamenteel ander proces is, kon men vrijwel niets van het bestaande platform hergebruiken. Je hebt bij het testen van API’s te maken met andere acties. Je moet de API aanroepen, resources en gebruikers aanmaken, iets wat je bij runtime-security niet hoeft te doen.

Conclusie: security moet zich aanpassen

De ontwikkeling van Active Testing is een goed voorbeeld van shift-left. Door ontwikkelaars alleen aan de slag te laten gaan met aantoonbaar veilige API’s, breng je security weer wat dichter naar de bron toe. Nog verder naar links is niet heel zinvol, volgens Levi. Je zou het wel in je IDE op kunnen nemen, maar dan moet je je afvragen wat dit onderaan de streep oplevert. “Je krijgt dan alleen inzicht, geen goede feedback”, stelt hij. Vaak zitten er in IDE’s sowieso een heleboel dingen die nooit in productie komen. Het zou er dus voor kunnen dat ontwikkelaars er juist last van hebben. Het zit dan vooral in de weg tijdens het ontwikkelen. “Ontwikkelaars zijn heel sterk gericht op wat iets de business oplevert, niet zozeer op de wensen vanuit securityoogpunt”, vat hij het samen.

Onderaan de streep zal er altijd wel wat frictie blijven tussen business- en security-wensen. “Shift-left is een aantrekkelijke ontwikkeling, maar security zal nooit belangrijker worden dan de business”, stelt Levi tegen het einde van ons gesprek. Dat is iets wat securityleveranciers zichzelf ook goed moeten realiseren: “Security moet zich aanpassen en de vraag stellen hoe het relevant blijft.” Met de werkwijze die Noname Security aantoonbaar heeft, het goed luisteren naar de wensen van klanten en indien nodig daar zelf mee aan de slag gaan, lijkt dat zeker haalbaar. Noname Security zal op die manier nog lang relevant blijven.