Honderden of duizenden applicaties in private datacenters, de cloud én op de edge. Het is eerder de norm dan een uitzondering bij grote organisaties. De applicaties moeten echter steeds vaker zowel met hun gebruikers als onderling kunnen communiceren. Al deze verbindingen zorgen voor een enorm aanvalsoppervlak, gedistribueerd over verschillende omgevingen met stuk voor stuk hun eigen security-eisen. Een consistente beveiliging bieden is dus gecompliceerd, maar dit is precies de missie van F5, vertelt CEO François Locoh-Donou.
F5 startte een kwart eeuw geleden toen de eerste applicaties naar het internet werden gemigreerd. “We pionierden met een technologie waardoor het mogelijk werd dat applicaties wereldwijd functioneren, op meerdere locaties. Web-facing applicaties zijn de laatste twintig jaar alleen maar populairder geworden, mede mogelijk gemaakt door de application delivery technologie waar F5 marktleider mee is geworden. Maar de laatste tien jaar hebben we gezien dat internet een vrij gevaarlijke plek is geworden.”
Infrastructuur-neutraal
“We willen het heel simpel maken om welke applicatie en api dan ook te beschermen; ongeacht waar deze wordt gehost,” vertelt de CEO, die vijf jaar geleden aantrad na een lange tijd in allerlei rollen te hebben gewerkt bij aanbieder van netwerksystemen Ciena.
Een jaar of tien geleden was F5 nog een hardwarebedrijf. “We realiseerden ons dat applicaties meer en meer in omgevingen zoals de publieke cloud draaiden. Onze technologie konden we daar niet zomaar inzetten. Dus toen zijn we virtuele edities van onze oplossingen gaan maken, puur software-gebaseerd.”
“Momenteel komt ongeveer de helft van onze inkomsten uit software”, aldus Locoh-Donou. “We kunnen nu applicaties en api’s in alle omgevingen aansturen en beveiligen. Op sommige plekken nog steeds met hardware, op andere plekken met software, en op weer andere locaties doen we het met SaaS, als klanten onze oplossing alleen als dienst willen afnemen. Klanten kunnen dezelfde security policy toepassen, of dezelfde api gateway, in al deze omgevingen. Zo maken we het veel gemakkelijker om al die applicaties overal op een vergelijkbare manier te beveiligen. We maken het complexe minder complex.”
Dat F5 inzetbaar is in alle omgevingen geeft het bedrijf een voorsprong op leveranciers van oplossingen voor specifieke cloud-beveiliging of cdn-providers. “Vijf jaar geleden dacht iedereen nog dat alle applicaties naar de cloud zouden verhuizen. We weten nu dat dit niet gaat gebeuren. Grote organisaties zullen altijd bepaalde applicaties in de publieke cloud hosten en andere applicaties on premise. F5 is echt infrastructuur-neutraal. We brengen security naar de applicaties. Het geeft eenvoud en vermijdt een lock-in binnen een bepaalde infrastructurele-omgeving.”
Infinite games
Hackers zullen altijd proberen een manier te vinden om toch ergens binnen te komen, zegt Locoh-Donou. “Ze proberen ons of onze klanten aan te vallen, op welke manier dan ook. Er zijn supply chain attacks, waarbij ze binnen proberen te komen bij onze klanten om zo ransomware attacks of andere soorten aanvallen uit te voeren. Zonder tegenmaatregelen kunnen ze op die manier ver komen in een IT-omgeving. We moeten hierop reageren en die klanten beschermen, en dat is niet eenvoudig.”
“Het bestrijden van cybercrime is een infinite game. De spelers zijn soms bekend, maar vaak ook niet en de regels kunnen constant veranderen. Bedrijven hebben beperkingen qua budgetten, tijdpaden, processen en ethische vraagstukken, ze hebben regels voor accounting, etcetera. Maar aanvallers hebben geen enkele regels. Het gaat hen erom door de beveiliging heen te breken; dat is alles wat telt. Ze kunnen hun methoden en tactieken elke dag aanpassen, en hebben de meest geavanceerde tech tot hun beschikking om van het ene doelwit naar het andere gaan.”
“Wanneer we cybercrime bestrijden, moeten we een ‘oneindige’ mindset hebben en alles op alles zetten om hen te blokkeren, elke dag weer. Dat is het spel dat we spelen. Er zijn altijd aanvallen en elke dag stopt F5 meer dan twee miljard frauduleuze logins op applicaties.”
Achter die geblokkeerde logins zitten in 99,99 procent van de gevallen bots, weet Locoh-Donou. “Veel bedrijven hebben geen idee van de hoeveelheid bot traffic op hun netwerken. Pas als je bot-verkeer blokkeert, kun je menselijke fraude detecteren. Die aanvallen zijn kleiner in aantal, maar zijn vaak veel geavanceerder. Er is een beter begrip van het gedrag van mensen voor nodig om deze fraude op te sporen. Het vereist geavanceerde technologie én kennis om dat te doen.”
Digitale assets als kapitaal
Op langere termijn zal de wereld nog afhankelijker zijn van digitale assets en verbindingen, verwacht de CEO. “Of het nu de Metaverse, autonome auto’s of connected healthcare betreft; de risico’s die we nu zien zullen blijven. We moeten niet denken dat het blijft bij de huidige ransomware-aanvallen; het kan nog veel erger worden als we er niet in slagen om de digitale wereld op een consistente manier te beveiligen. F5 blijft evolueren en investeren in security, in de breedste zin van het woord. Applicaties veranderen: we zien meer en meer api’s en machine-to-machine applicaties. We richten ons steeds meer op het beveiligen van applicaties, api’s en de communicatie ertussen, in alle omgevingen.”
“Applicaties worden steeds meer verspreid over meerdere locaties: ze verhuizen naar de randen van het netwerk en naar eindgebruikers. Sommige processen moeten dichter bij de eindgebruikers plaatsvinden, zoals bij IoT use cases, dus wij zullen technologie naar de edge brengen. We evolueren samen met de applicaties. Digital assets worden het belangrijkste bezit van bedrijven. De negentiende eeuw was het tijdperk van het machinekapitaal in Europa, de twintigste eeuw het tijdperk van menselijk kapitaal, en wij denken dat we nu in het tijdperk van applicatiekapitaal zijn aanbeland. Klantloyaliteit, transactie-inkomsten, supply chains en partnerships, daar zit alle waarde. Die moeten we beschermen.”
Cyberaanvallen nekken startups
Het is daarom wrang dat veel bedrijven die morgen toonaangevend kunnen worden cybersecurity niet zo nauw nemen. “Ik zie veel startups die heel snel willen opschalen. Als oprichter, zeker van een digitale startup, wil je features snel kunnen bouwen – helemaal als je concurrenten hebt – en security is dan niet het eerste waar je aan denkt. Maar founders die security niet serieus genoeg nemen lopen tegen een muur op: ze zullen failliet gaan. Ik geloof dat veertig tot vijftig procent van de startups met een cyber breach een jaar later failliet is. Dit gebeurt dus heel regelmatig. We horen er alleen nauwelijks van, want de bedrijven zijn onbekend.”
“Wij zien onszelf als onderdeel van een beweging die bedrijven moet voorlichten over cybersecurity. Onlangs waren we in Parijs bij Station F, met 1.000 startups de grootste incubator in Frankrijk. Daar hebben we een partnership launch gepresenteerd, waarin we al onze cybersecurity as a service-oplossingen bieden. Gratis voor alle startups bij Station F. We doen dat om ze ontvankelijk te maken voor security maar ook om het hen gemakkelijk te maken om te starten. Ze hoeven dan geen personeel in te huren of apparatuur of software te kopen en te onderhouden. Zo kunnen startups gemakkelijker hun ding doen en toch veilig opereren.”
