Om het internet inherent beter en veiliger te maken, loont het om zoveel mogelijk bedrijven te beschermen met een handvol effectieve maatregelen zonder extra kosten. Dat is de filosofie van Cloudflare, dat het verkeer van en naar een vijfde van alle websites op het internet routeert en gemiddeld zo’n 46 miljoen HTTP-verzoeken per seconde afhandelt. In de wandelgangen van een conferentie over de toekomst van cybersecurity spraken we met CTO John Graham-Cumming, die al vanaf de begindagen bij het bedrijf werkt.
Hoe is uw professionele reis verweven geraakt met die van Cloudflare?
“Ik ben bij Cloudflare begonnen als programmeur; ik heb in de begindagen veel code geschreven en ben uiteindelijk CTO geworden. Ik heb allerlei dingen gedaan bij Cloudflare – alle technische dingen. Maar mijn DPhil [Doctor of Philosophy] is in beveiliging. In 2010 was er maar een handvol bedrijven met de beste beveiliging, zoals Google, Amazon of Yahoo. Bij Cloudflare was het oorspronkelijke idee: ‘Dat is stom. Waarom alleen zij? Wij zouden dezelfde beveiligingsniveaus as-a-service moeten kunnen aanbieden’.”
Je zou het de democratisering van beveiliging kunnen noemen…
“Ja. In software worden dingen naar beneden gedistribueerd, waardoor ze goedkoper en beter beschikbaar worden. We hadden een gratis dienst en een abonnement van 20 dollar per maand, en dat is enorm gegroeid naarmate het gebruik van internet enorm is toegenomen. Dat was een grote stimulans voor ons bedrijf.”
“In 2010 was er maar een handvol bedrijven met de beste beveiliging, zoals Google, Amazon of Yahoo. Bij Cloudflare was het oorspronkelijke idee: ‘Dat is stom. Waarom alleen zij?”
“En ik denk dat de andere grote instigator is dat we al heel vroeg inzagen dat we dit niet gingen doen op een klein aantal locaties. Je krijgt betere prestaties als je overal ter wereld fysieke infrastructuur hebt. En je kunt het netwerk ook onderverdelen, afhankelijk van wat de klant wil. Vanwege de GDPR zou je kunnen zeggen: ik wil alleen datacenters in Europa gebruiken. Of, ‘Ik ben een Duitse zorgverlener; ik wil alleen servers in Duitsland gebruiken.’ Deze granulariteit maakt het mogelijk om het netwerk onder te verdelen.”
Uw bedrijf brengt vaak nieuwe diensten en functionaliteiten uit. Hoe is innovatie georganiseerd bij Cloudflare?
“We hebben ons gecommitteerd aan projecten. Er is een roadmap. We hebben het bedrijf gestructureerd voor innovatie, en er zijn twee aparte teams die aan engineering doen. De belangrijkste project engineering-groep doet dingen die goed gedefinieerd zijn, in de zin dat ze weten wat ze in de komende drie of zes maanden moeten doen. Ze hebben een duidelijk idee van hoe de markt eruit ziet en wie het zou willen kopen. Binnen die groep is er innovatie binnen de individuele implementaties; ze worden meer als een programma uitgevoerd.”
“Er is ook een aparte groep genaamd Emerging Technology and Incubation met een aparte leider, en zij werken aan dingen die zowel op de langere termijn als met een hoger risico te maken hebben.”
We moeten het over AI hebben. Gebruiken jullie teams het in engineering?
“Intern gebruiken we AI niet om code te schrijven. We zijn bezorgd dat onze code de organisatie verlaat. AI’s zijn goed in het schrijven van code, maar mensen moeten het lezen en ervoor zorgen dat het correct is. AI is een geweldig hulpmiddel, maar op dit moment gebruiken we het helemaal niet.”
“Onze klanten hebben te maken met hun medewerkers die AI gebruiken voor het schrijven en analyseren. Ze proberen dus grip te krijgen op wie in de organisatie wat gebruikt en of het gevaarlijk is. Met zero trust kunnen ze zien wie ChatGPT gebruikt, wie Bard gebruikt, et cetera. Het is een extreme versie van wat er in het algemeen gebeurt in IT. Mensen beginnen willekeurige tools te gebruiken die ze op het internet vinden en onze klanten moeten weten wat de gevolgen voor hun privacy zijn.”
Hoe moeten CISO’s omgaan met mensen die AI gebruiken?
“In sommige opzichten is het een probleem van gegevensbescherming. Wat uploaden mensen eigenlijk? Aan de ene kant wil je het verkennen van nieuwe tools toestaan en wil je er productiviteit uit halen. Maar als medewerkers lijsten met klanten uploaden, is er een reëel risico omdat gegevens de organisatie verlaten. Daarom richten we ons op deze controletools. Je zou het standpunt kunnen innemen dat je niet wilt dat iemand van buitenaf je code leest. Dan kun je dus geen tools gebruiken die code genereren.”
“Maar je wilt misschien niet verhinderen dat iemand een tool gebruikt om een document samen te vatten. Deels is dit een beleidskwestie over wat een bedrijf wil toestaan, en het is meer een technische kwestie hoe je dat beleid wilt implementeren.”
Iets anders aan de horizon is kwantumcomputing, wat een gevaar zou kunnen zijn vanuit cryptografisch perspectief.
“Ja, kwantumcomputing lijkt een beetje op het jaar-2000 probleem. Maar deze keer weten we niet wat de datum is. We weten niet wanneer iemand een levensvatbare kwantumcomputer zal hebben. De mogelijkheid bestaat dat we niet weten of een grote mogendheid ergens in het geheim er één heeft. Het punt is dat kwantumcomputers een bedreiging vormen voor de cryptografie die we vandaag de dag gebruiken, en in het bijzonder, als iemand vandaag zou beginnen met het opslaan van internetverkeer, dan zouden ze dat verkeer later kunnen ontsleutelen. Dat is een punt van zorg.”
“Het goede nieuws is dat we dit probleem al jaren kennen. Er is een enorme hoeveelheid onderzoek gedaan naar wat post-kwantum cryptografie algoritmen worden genoemd, en Cloudflare heeft daar deel van uitgemaakt. De oplossing ligt er. We moeten deze nieuwe algoritmen uitrollen; ze zijn getest en gestandaardiseerd, dus het is gewoon een kwestie van implementeren.”
“Het maakt allemaal deel uit van het grotere geheel om het internet beter en toegankelijker te maken.”
“Wij hebben besloten dat we dit zullen opnemen in alles wat we doen. Want de manier om post-kwantum cryptografie uitgerold te krijgen is door het zo breed mogelijk in te zetten. Je wilt dat er veel mensen bij betrokken zijn. Het zou verstikt raken als mensen een premie moesten betalen. Hopelijk zien we dat het ingebouwd wordt in de populaire open-source en populaire webbrowsers. We handelen ongeveer twintig procent van al het verkeer op het web en we zullen dat ook post-kwantum doen; hopelijk zal dat momentum creëren. Het maakt allemaal deel uit van het grotere geheel om het internet beter en toegankelijker te maken.”
“Bij beveiliging is dat vaak een van de dingen waar je over na moet denken. Waarom zou je van een security-ding een hele dure add-on maken? Fundamenteel gezien heb je beveiliging nodig, iedereen heeft het nodig, en als je dat doet straf je mensen als het ware. We hebben dit gedaan met DDoS-bescherming. Aanvallen zijn zo wijdverspreid dat we besloten hebben om het [kosteloos] toe te voegen. We hebben allemaal een veiliger internet nodig. Laten we dat stuk dan gewoon fixen. Onze klanten hebben hoe dan ook allerlei extra dingen nodig, die we hen wel in rekening brengen, om hun technologie echt voor hen te laten werken.
Er zijn tegenwoordig zoveel API’s in gebruik. Hoe behoud je het overzicht? En hoe kun je alles veilig houden?
“Vaak komt API-verkeer van een website die verbinding maakt met een API, en dan staat een API voor een of ander backendsysteem of een database. Het is vaak een rijk doelwit omdat er veel structuur in zit, dus een hacker kan beginnen uit te zoeken hoe het interacteert met de backend en misschien schade aanrichten.”
“We gebruiken machine learning om te detecteren of iets een API is of niet. Als iets een API is, kunnen we de lay-out ervan detecteren, zodat we beveiligingsregels kunnen bouwen voor die specifieke API. Er zijn manieren om API’s anders te behandelen dan normaal webverkeer. Je kunt mensen de delen van een API laten beschermen die een specifiek type bescherming nodig hebben en de structuur ervan beschermen. Veel daarvan kunnen we automatisch doen.”
“Dan zijn er nog de normale dingen: DDoS-bescherming, rate limiting en alle dingen die je in het algemeen moet doen. Er zijn enkele specialiteiten rond API’s die het overwegen waard zijn. En dan de andere kant: zodra een API Cloudflare bereikt, is het waardevol voor onze klanten om te kunnen beslissen over een deel van de API, dat wil zeggen, om de API zelf te begrijpen. Zoals: ‘Dit verzoek moet worden verwijderd omdat ik het afkeur, of dit verzoek moet hierheen worden gerouteerd’. We zijn dus meer dan alleen maar een neutrale pijp.”
De ontwikkelingen in het beveiligingslandschap gaan erg snel. Heeft u nog een laatste advies voor CISO’s op de middellange en lange termijn?
“De AI waar we het over hadden – die ontwikkelt zich op dit moment snel. Mensen experimenteren. Ze uploaden dingen die ze niet zouden moeten uploaden. Ik zou me daar heel snel zorgen over maken.”
“Op de langere termijn denk ik dat de uitdaging is dat bedrijven zich in een zeer kostenbewuste omgeving bevinden. Veel bedrijven kijken naar de kosten van hun infrastructuur. Binnen de beveiligingswereld gebeurt dat vaak door het installeren van heel dure hardware. Ik denk dat het tijd is dat organisaties nadenken over consolidatie tot een klein aantal providers die hen de beveiliging kunnen bieden die ze nodig hebben, want typische netwerken hebben veel, heel veel apparatuur. Ze zijn erg ingewikkeld om te beheren en te upgraden, het is ingewikkeld om dingen te beschermen en de waarheid is dat aanvallen uit alle hoeken komen.”
“Je hebt iets nodig dat alles omsluit. Hoe kom je bij een klein aantal leveranciers die je overal in je organisatie dekking geven, zodat je zeker weet dat je alles kunt beschermen? Je wilt geen beslissingen nemen waarbij je geld probeert te besparen en dingen minder goed beschermt. Want hackers zullen rondkijken en ze zullen erachter komen.”
“Ik denk dat het tijd is dat organisaties nadenken over consolidatie tot een klein aantal providers die hen de beveiliging kunnen bieden die ze nodig hebben.”
Over Cloudflare
Cloudflare, Inc. (www.cloudflare.com / @cloudflare) is op een missie om een beter internet te helpen bouwen. Cloudflare’s suite van producten beschermt en versnelt elke internetapplicatie online zonder hardware toe te voegen, software te installeren of een regel code te veranderen. Interneteigendommen die worden ondersteund door Cloudflare laten al het webverkeer door zijn intelligente wereldwijde netwerk leiden, dat slimmer wordt bij elk verzoek. Als gevolg hiervan zien organisaties een aanzienlijke verbetering van de prestaties en een afname van spam en andere aanvallen. Cloudflare werd bekroond door Reuters Events for Global Responsible Business in 2020, genoemd in de Most Innovative Companies in 2021 van Fast Company en gerangschikt onder Newsweek’s Top 100 Most Loved Workplaces in 2022.
Cloudflare, opgericht in 2009, is snel uitgegroeid tot aanvoerder in de online beveiligingsbranche en bedient meer dan 27 miljoen interneteigendommen, wat ongeveer een vijfde van het internet is. Cloudflare’s diensten zijn ontworpen om websites en online applicaties te beschermen tegen een breed scala aan bedreigingen, waaronder DDoS-aanvallen, SQL-injecties, cross-site scripting en meer.
Belangrijkste kenmerken van de services:
- Application Protection: DDoS protection op application level (7), WAF, API Security, Bot Management, Client Side Security, Attack Surface Management
- Network Protection: DDoS protection op network levels (3 and 4), Smart Routing, Network Interconnect, IDS/IPS, WAN as a Service (WANasS), Firewall as a Service (FWaaS)e
- Employee Protection: Zero Trust, CASB, DLP, Email Security, Browser isolation, Secure Access, Internet Gateway
Daarnaast biedt Cloudflare een reeks voordelen voor zowel bedrijven als particulieren:
- Verbeterde websiteprestaties: Cloudflare’s diensten kunnen helpen de websiteprestaties te verbeteren door content te cachen en de levering aan gebruikers te optimaliseren.
- Minder downtime: door een website of online applicatie te beschermen tegen DDoS-aanvallen en andere bedreigingen, kunnen Cloudflare’s diensten helpen downtime te verminderen en ervoor te zorgen dat een website altijd beschikbaar is.
- Verbeterde UX: met snellere laadtijden en verbeterde beveiliging kunnen Cloudflare’s diensten helpen de gebruikerservaring te verbeteren en de klanttevredenheid te verhogen.
