Van de eerste firewall tot AI-beveiliging: wat verandert en wat blijft

Gil Shwed, CEO van Check Point, vond de moderne firewall uit voor het internet bestond. Vandaag staat hij nog steeds aan het roer van het bedrijf dat hij vervolgens zelf oprichtte. “Het landschap evolueert snel, maar de kerntechnologie is sinds 1993 ongewijzigd.”

In 1993 richtte Gil Shwed samen met twee partners Check Point Security op in Israël. Eindelijk was de tijd rijp om technologie die hij drie jaar eerder bedacht aan de man te brengen. Shwed is de patenthouder van de ‘stateful inspection firewall’. Lees: de moderne firewall die kijkt naar wat er precies in een pakketje zit en op basis daarvan trafiek doorlaat of blokkeert.

Ondeugende studenten

“Ik bedacht de technologie tijdens mijn dienst in het leger”, vertelt Shwed aan Techzine tijdens een gesprek in de marge van de CPX-conferentie in Wenen. “Ik wilde er iets mee doen, maar het internet bestond nog niet en bovendien wilde ik een bedrijf oprichten buiten de wereld van defensie.” Shwed, die op zijn vijftiende eens studie computerwetenschappen begon aan de universiteit van Jerusalem, merkte al voor de opkomst van het internet dat er nood was aan een manier om verbindingen met kritieke systemen te beveiligen.

Die systemen waren in eerste instantie militair van aard, maar staken met de opkomst van het internet ook de kop op bij universiteiten en bedrijven. Toen netwerken in het algemeen en het internet specifiek zich in 1993 in de mainstream werkten, zaten Shwed en zijn kompanen klaar met hun oplossing. Vijand van dienst: ondeugende studenten. De whizzkids bleken een gekend probleem waartegen organisaties zich maar al te graag wilden wapenen.

Geen kinderspel meer

Spoelen we voort naar 2020, dan zien we een nog steeds enthousiaste Shwed op het podium van zijn eigen conferentie, waar hij partners en klanten probeert duidelijk te maken dat de huidige bedreigingen niet meer dezelfde zijn als die in 1993. “Stateful inspection, het scannen van pakketjes, blijft een kerntechnologie”, verduidelijkt de CEO achteraf, “maar er is veel meer nodig. Beveiliging moet overal zitten.”

Stateful inspection, het scannen van pakketjes, blijft een kerntechnologie.

Vandaag moet Check Point klanten verdedigen tegen geavanceerde bedreigingen gebouwd door natiestaten. Security moet op een endpoint en aan de rand van het netwerk zitten, maar ook er middenin. Intrusion prevention-systemen met monitoring van verkeer en gedrag, machine learning en AI om nieuwe bedreigingen te detecteren en ongekende types ransomware te betrappen voor ze hun slag kunnen slaan, beveiliging op maat van cloudinfrastructuur: grote organisaties die zich voldoende willen indekken kampen met een waslijst aan mogelijke aanvalsvectoren en oplossingen.

Een digitale straaljager

Het grote risico ligt momenteel bij de natiestaten en de cyberwapens die ze bouwen. “Een terroristische organisatie kan niets beginnen met een gevechtsvliegtuig, zelfs wanneer ze er één zouden bemachtigen. Terroristen bezitten niet de middelen of de kennis om er werkelijk aanvallen mee uit te voeren. Bij cyberwapens is dat anders. Wanneer een geavanceerd digitaal wapen in handen van criminelen valt, kunnen ze daar wel mee aan de slag.”

Shwed ziet het als zijn missie, en die van Check Point, om organisaties te beschermen tegen het gebruik van dergelijke wapens door criminelen allerhande, die er vandaag natuurlijk volop mee aan de slag gaan. Denk maar aan Eternal Blue als bekendste voorbeeld, afkomstig van de Amerikaanse NSA.

Frustraties over generaties

Om je te wapenen tegen dergelijke bedreigingen, heb je de juiste tools nodig. Check Point hanteert daarvoor al enkele jaren terminologie gebaseerd op generaties. Vandaag worden we volgens het bedrijf geconfronteerd met aanvallen van de vijfde generatie, terwijl de beveiliging van de meeste organisaties slechts weerbaarheid biedt tegen verouderde aanvallen van de tweede of derde generatie. Hoewel die boodschap correct is, en moderne beveiliging bedrijven die ermee uitgerust waren beschermd heeft van bijvoorbeeld WannaCry, komt de boodschap niet goed aan.

Zowel methodes als de aanvallers zelf zijn de laatste 30 jaar sterk geëvolueerd. Veel organisaties zijn onvoldoende beveiligd tegen nieuwe aanvalstechnieken.

“Dat is frustrerend”, geeft Shwed toe. “Een ontwikkelaar bouwt geen oplossingen voor het plezier van het bouwen. Ik wil dat mensen onze tools gebruiken.” Dat moderne bescherming onvoldoende omarmd wordt, ligt volgens hem aan de verouderde organisatie van veel bedrijven. “Sommige IT-departementen werken al twintig jaar hetzelfde. Iemand heeft als job om het netwerk te beveiligen en wordt daarop afgerekend. Mobiele toestellen zijn geen deel van het netwerk, dus waarom zou hij budget investeren om die nieuwe endpoints en de data die erop staan te beschermen?”

Vooruitgang door consolidatie

Shwed is desalniettemin hoopvol. “Het laatste decennium zagen we consolidatie. Firewalls, gateways, IPS, … kwamen samen in één toestel. Het is onze job om die consolidatie naar een volgend niveau te tillen.” Op CPX betekent dat de introductie van Infinity Next, waarmee Check Point één platform wil bieden om alles te beveiligen, van endpoint en server over netwerk tot IoT. Hoewel Shwed het niet zegt, klinkt de evolutie van Check Point-beveiliging naar een enkel platform als een soort mea culpa, waarbij de beveiliger inziet dat een oplossing weliswaar allesomvattend moet zijn, maar voor de klant ook overzichtelijk en simpel moet blijven.

Infinity Next wordt een platform waarop Check Point kan blijven evolueren. “Dat moet”, beseft Shwed. “Wanneer je actief bent in de techsector, is evolutie deel van je leven. Het perfecte systeem bestaat niet, er is altijd ruimte voor iets nieuws. Het grote verschil in cybersecurity is dat het de slechteriken zijn die beslissen wat wij moeten doen. We kunnen niet beslissen dat een specifieke nieuwe technologie ons niet handig of interessant lijkt: het zijn zij de cybercriminelen die de uitdagingen naar voren schuiven.”

Eindeloze strijd

Dat zijn missie om mensen en bedrijven te beveiligen er bijgevolg één zonder eind is, stoort hem niet. Integendeel: vandaag is de man opnieuw meer geïnvesteerd dan ooit in zijn bedrijf. “De voorbije 25 jaar heb ik helaas geen software meer ontwikkeld. Ik probeerde bovendien niet in technische argumenten verwikkeld te raken. Sinds enkele jaren laat ik mezelf wel opnieuw toe om mensen uit te dagen.” De zichtbaar gepassioneerde Shwed heeft de voorbije kwarteeuw duidelijk een stukje van zichzelf opzij gezet om Check Point te doen groeien, en heeft dat stuk recent opnieuw omarmd.

Sinds enkele jaren laat ik mezelf wel opnieuw toe om mensen uit te dagen.

“Om Maestro (een hyperscale netwerksecurity-opossing, nvdr.) zo snel en performant mogelijk te krijgen, verzeilden we tijdens de ontwikkelingsfase bijvoorbeeld in een verhitte discussie over welk algoritme de beste keuze zou zijn. Uiteindelijk volgde het team mijn instinct, en dat was achteraf gezien het juiste.” We kunnen ons niet van de indruk ontdoen dat de man tegenover ons aan tafel daar ook vandaag nog steeds de nodige trots uit haalt.

Dat hij bijna 30 jaar na de uitvinding van de firewall nog kan meepraten over de modernste beveiligingsoplossingen, die als antwoord dienen op de nieuwste bedreigingen, illustreert hoezeer onder alle verandering de laatste decennia de basis toch dezelfde is gebleven. “De wereld evolueert snel, maar de basis blijft dezelfde. Vind je een goed basisprincipe uit, dan blijft dat gemakkelijk actueel voor meer dan 40 jaar.” Zo is TCP/IP-technologie in de basis dezelfde, werkte Shwed in zijn universiteitsdagen een virtualisatiesysteem uit dat dezelfde principes hanteert als geavanceerde oplossingen vandaag, en is de stateful inspection firewall nog steeds een hoeksteen van moderne beveiliging.