François Locoh-Donou is een veelzijdig mens. Hij is niet alleen CEO en bestuurslid van F5 Networks, een leverancier op het gebied van secure application-delivery, maar zit ook in het bestuur van de Amerikaanse Capital One-bank. Bovendien is hij medeoprichter van Cajou Espoir, een fabriek voor het verwerken van cashewnoten in Togo.

Locoh-Donouh was aanwezig bij de openingssessie van ICT Media’s Highly Secure Organisations-programma, waarvan F5 Networks sponsor is. CIO Magazine sprak daar met hem over de ontwikkelingen in het cybersecurity-landschap.

CIO Magazine: Wat betekent de huidige digitale transformatie voor cybersecurity?
François Locoh-Donou: “Er is een digitale transformatie gaande. Of er nu sprake is van disruptie of niet: in elke branche zijn bedrijven bezig meer digitale ervaringen te bieden. Dat doen ze door meer applicaties te bouwen. Wat ik overal bij grote bedrijven zie, is dat ze meer en meer waarde aan hun applicaties ontlenen.

Het is dan ook logisch dat de productiviteit van ontwikkelaars een van de twee issues is die in dit kader in de directiekamer worden besproken. Daarnaast gaat het vaak over cybersecurity. Elke CISO dient regelmatig aan het audit- of risk-committee van de board uit te leggen hoe de organisatie veilig blijft. Deze beide issues, applicatieontwikkeling en cybersecurity, hebben het een en ander met elkaar te maken en zorgen soms voor frictie.”

Gaat het om de keuze tussen snelheid en veiligheid?
“In de wereld van ontwikkelaars zijn veel tools en technologieën ontwikkeld om ontwikkelaars te helpen sneller te gaan. Denk aan microservices, containers, automationtools zoals HashiCorp, waarmee je kunt ontwikkelen en deployen op de public cloud…”

“Tussen de wens om de productiviteit van ontwikkelaars te verhogen en de wens om de organisatie goed te beveiligen, kan het gaan schuren. Er is een traditionele wereld van netwerken, systemen, security appliances, et cetera, waar het draait om zichtbaarheid, controle, stabiliteit. En aan de andere kant de wereld van nieuwe applicatieontwikkel-omgevingen waar vaak een gebrek aan zichtbaarheid en controle is.”

Een dilemma los je op door middel van synthese. Wat is hier de oplossing?
“Je hebt dezelfde set tools nodig in beide soorten omgevingen om daar hetzelfde niveau aan beveiliging te kunnen bieden. Dat hebben wij gedaan door onze producten organisch te ontwikkelen, maar ook door in 2019 een open-sourcebedrijf, NGINX, te kopen. Het biedt oplossingen voor application-delivery en api-management. Daarmee kunnen we een abstraction layer bieden, waarmee klanten dezelfde set aan regels kunnen toepassen op alle omgevingen.”

Er zijn nog wel meer verschillen tussen de beide werelden die je noemt als het om applicaties gaat.
“Zeker, dat zien wij ook. Dan heb ik het over een fout die we in alle sectoren telkens gemaakt zien worden. Telkens weer wordt de logica in een applicatie verweven met de onderliggende infrastructuur. Dat was logisch, want traditioneel wist je precies op welke omgeving een applicatie zou gaan draaien. De gewoonte gaat al lang mee, van het tijdperk van het mainframe naar Unix naar Windows NT. En nu gebruiken we de native tools van de cloudproviders.

Het probleem hiermee is dat je telkens de applicatie moet refactoren wanneer je naar andere infrastructuur overstapt. Dat is een kostbare en complexe zaak. We moeten de applicatielogica dus ontkoppelen van de onderliggende infra.”

F5 Networks combineert de aandachtsgebieden van application-delivery en applicationsecurity. Hoe staat het met de veiligheid van onze applicaties?
“In veel organisaties is van oudsher veel aandacht voor netwerk- en endpoint-security; maar zo’n 85 procent van de aanvallen is tegenwoordig gericht op de applicatielaag. Die aanvallen zijn bovendien steeds geavanceerder. Zoals ik net al zei, zit de meeste waarde voor bedrijven en instellingen in de applicaties en dus zou het accent op application security moeten liggen. In F5 hebben we een achtergrond in zowel netwerk- als applicatie-security, maar we investeren tegenwoordig inderdaad steviger in die tweede categorie.”

“Applicatieontwikkeling en cybersecurity hebben veel met elkaar te maken en zorgen soms voor frictie”

Jullie hebben eerder Shape Security overgenomen.
“Klopt, voor een fors bedrag! [Lacht:] We hebben een hoop overtuiging en geloof dat dit een goede keuze is! De technologie van Shape die we nu in huis hebben, maakt het mogelijk realtime aanvallen op applicaties af te slaan – of het om geavanceerde fraude gaat, geautomatiseerde aanvallen of aanvallen van botnets. Er is enorm veel gaande op dat gebied, vergis je niet.”

“Ik heb de laatste vier maanden meer geleerd over allerlei soorten aanvallen dan in de twintig jaar daarvoor! Denk aan allerlei witwaspraktijken, maar ook fraude met cadeaukaarten komt veel voor. Een account van een klant van bijvoorbeeld Starbucks wordt dan gehackt, het tegoed wordt overgeschreven op een andere kaart die dan verkocht wordt. De klant ontdekt later dat zijn tegoed verdwenen is en gaat klagen. Bedrijven die zich genoodzaakt zien het tegoed terug te storten, verliezen daar jaarlijks miljoenen mee.”

Wat kunnen jullie daaraan doen?
“Aanvallers gebruiken tegenwoordig gebruikersnamen en wachtwoorden die ze op het darkweb kopen. Ze gebruiken die gegevens om met bots overal en nergens in te loggen, omdat we immers niet overal andere wachtwoorden gebruiken.”

“Er zijn tools die met behavioral analytics bepaalde aanvallen herkennen, maar meestal achteraf. Wij hebben tech ontwikkeld, zowel zelf als via overnames, om realtime te kunnen zien wat mensen, of bots, komen doen. We signaleren het als we zien dat elders op het web gegevens, zoals gebruikersnamen en andere gegevens, van je medewerkers worden gebruikt. We zien het als er een nepgebruiker aanklopt of een bot. Centraal in dit alles is een AI-cloud die voortdurend leert wat er op dit gebied bij onze klanten gebeurt en de tegenmaatregelen aanscherpt.”

Door organische groei en de recente overnames is F5 Networks een veelzijdige speler op het gebied van applicatiebeveiliging geworden. Een veelzijdige CEO als Locoh-Donou past daar goed bij.

De volgende sessie van het Highly Secure Organisations-programma vind plaats op 8 oktober. Olav Roes van Rabobank zal tijdens deze sessie vertellen hoe de bank al een aantal jaar werkt aan de implementatie van het Zero Trust-concept.

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam