Link11 is een Duitse security-leverancier die de ambitie heeft om een steviger Europees marktaandeel te krijgen. Recent werd dan ook uitgebreid naar de Benelux-regio, met de hoop de ‘cyber resilience’-visie verder aan te laten slaan. We besloten erover in gesprek te gaan met Regional Director Benelux Thomas Kramps.
“Er is op dit moment een perfect storm gaande”, stelt Kramps over de uitbreiding van het bedrijf. Met de perfect storm verwijst hij naar het kunnen leveren van schoon dataverkeer aan bedrijven, iets waar volgens hem momenteel veel behoefte aan is. Dit gezien de ontwikkelingen die er momenteel binnen de markt gaande zijn. Zo ziet Link11 dat bandbreedte steeds goedkoper en breder beschikbaar wordt. Ook neemt het aantal apparaten verbonden aan het internet (IoT) toe en worden DDoS-aanvallen op het dark web goedkoop aangeboden.
Om hier met zijn platform een antwoord op te bieden, heeft Link11 zijn activiteiten de afgelopen jaren aangepast en uitgebreid. Het bedrijf is ooit begonnen als hosting provider. Gebruikers van het product, met name uit de gaming industrie, kregen te maken met een enorme hoeveelheid DDoS-aanvallen. Om hier een eind aan te maken ontwikkelde Link11 zijn eigen DDoS-beveiligingsoplossing voor game servers. Later werd hier web application firewall (WAF) functionaliteit en bot mitigation-technologie aan toegevoegd, en levert het inmiddels ook schoon dataverkeer aan bijvoorbeeld banken en logistieke bedrijven.
Tip: Waarom cybercriminelen massaal forums en het dark web gebruiken
Voorkomen DDoS
De kernactiviteit van Link11 richt zich nog altijd op het voorkomen van DDoS-aanvallen. Hiervoor heeft het een platform gebouwd dat volledig cloud-gebaseerd is. In 2020 klinkt dat als iets heel normaals, maar Kramps legt uit dat de technologie hiervoor in 2010 ontwikkeld werd. Het bedrijf heeft daarmee geen last gehad van legacy omgevingen die opnieuw geprogrammeerd moesten worden. Alles moet zo modern mogelijk werken.
Volgens Kramps is er daarmee een platform ontstaan dat veel kunstmatige intelligentie (AI) en automatisering toepast. Automatisering is daarbij erg belangrijk, want het bedrijf wil gebruikers zo min mogelijk belasten met handmatige taken. Dit wordt bij Link11 ook wel zero-touch genoemd, iets wat we terugvinden in de blacklisting- en whitelisting-technologie. Blacklisting is een goede manier om bestaande exploits te weren, want al het bekende komt op zo’n lijst te staan om te voorkomen dat het nog voorkomt. Criminelen zijn echter vaak ook succesvol met onbekende technieken. Daarvoor is whitelisting bedacht, een filter die kijkt naar het gedrag van data die op een website of infrastructuur afkomt. Op basis van dat gedrag bepaalt de filter of het wel of niet toegestaan is. Op die manier worden onbekende DDosS-aanvallen toch afgeweerd.
Daarnaast bevindt Link11 zich op alle grote internet exchanges wereldwijd, inclusief Amsterdam, London en Frankfurt. Het platform heeft daardoor naar eigen zeggen weinig moeite met het leveren van bandbreedte en schone data. Het maakt vanwege de onbeperkte bandbreedte in principe niet uit hoe groot zo’n DDoS-aanval uiteindelijk is. Als er een DDoS-aanval van honderden Gigabits per second (Gbps) gelanceerd wordt, dan kan Link11 de capaciteit schalen en op basis van de whitelisting-technologie het profiel herkennen. De omgeving hoeft daarmee niet overbelast te raken.
Link11 claimt door deze toegepaste technologieën als één van de weinige leveranciers een harde service-level agreement (SLA) te bieden, wanneer het aankomt op het afwenden en voorkomen van DDoS-aanvallen. Alle bekende en onbekende aanvallen moeten binnen een afgesproken periode gemitigeerd zijn. De klant krijgt, afhankelijk van hoeveel schone data hij of zij wil hebben, ongelimiteerde bandbreedte. Om het vertrouwen in deze SLA’s uit te spreken, biedt Link11 ook een ‘niet goed geld terug’-garantie.
WAF voor extra bescherming
Het eerste focuspunt van Link11 is dus echt met behulp van DDoS-bescherming schone data leveren. Daar is het de afgelopen jaren naar eigen zeggen heel goed in geworden. Zodoende keek het bedrijf wat het nog meer kan doen met betrekking tot schoon dataverkeer. Het kwam uit bij een web application firewall, dat het verkeer van en naar webapplicaties in de gaten houdt. Wanneer er sprake is van schadelijk verkeer, dan blokkeert de firewall het verkeer om verdere consequenties te voorkomen.
Volgens Link11 is de combinatie van DDoS-bescherming en een WAF logisch. Criminelen kunnen DDoS-aanvallen bijvoorbeeld als afleiding gebruiken om toegang te krijgen tot gebruikersgegevens. Een WAF kan dergelijke technieken herkennen en blokkeren. Door de WAF onderdeel te maken van de DDoS-bescherming nemen de prestaties van de firewall volgens Link11 toe, terwijl de DDoS-bescherming versterk wordt met een extra security-mechanisme.
Tip: ‘Corona slecht voor security, massaal dataverlies’: VMware ziet groei
De realiteit is uiteindelijk dat de markt voor firewalls zeer competitief is. Link11 moet dan ook manieren vinden om onderscheidend te zijn. Enerzijds moet dat gebeuren door de WAF heel nauw te integreren met de DDoS-bescherming, al zijn er content delivery network (CDN)-leveranciers die soortgelijke producten ook goed combineren. Daarom zet Link11 bij de WAF ook stevig in op zero-touch: naast de bekende aanvallen met blacklisting voorkomen, een stevige whitelist opstellen en verder updaten met machine learning. Door de whitelist geautomatiseerd aan te pakken, hoopt Link11 normale manuele fouten bij whitelistning te voorkomen en vanwege minder betrokkenheid van de mens de snelheid op te schroeven.
Bot mitigation voor meer schoon verkeer
Inmiddels heeft Link11 ook een pilot draaien waarmee het inzet op ‘bot mitigation’. Het bedrijf ziet namelijk dat webomgevingen last hebben van bots voor data scraping. Deze slechte bots struinen het internet af om voorraad- en prijsinformatie van de concurrentie te bemachtigen. Bedrijven zetten deze data in om bijvoorbeeld hun prijs aan te passen en een concurrentievoordeel te bemachtigen. Zoiets kan voorkomen in de vliegindustrie, waar het bieden van een goede ticketprijs een doorslaggevende factor is voor sommige consumenten. Als een vliegmaatschappij data scraping dan succesvol inzet, kunnen ze precies die groep consumenten aanspreken.
Met de bot mitigations-technologie worden bots gefilterd. De goede bots voor onder meer Google-indexering kunnen daardoor nog gewoon hun werk doen, terwijl de bots die ingezet worden voor data scraping uiteindelijk misleid worden. De technologie koppelt aan de slechte bots namelijk verkeerde voorraad- en prijsinformatie terug. De concurrent wordt daarmee op het verkeerde been gezet. Wanneer een organisatie die data scraping toepast erachter komt dat ze foutieve data krijgen, stoppen ze vaak met het toepassen van de tactiek. Dit scheelt weer in de bandbreedte en kosten van een bedrijf dat bot mitigation gebruikt. Data scraping verbruikt namelijk ook veel bandbreedte.
Stap heeft tijd nodig
Link11 heeft in 2018 de eerste stappen gezet buiten de eigen Duitse regio, door uit te breiden naar het Verenigd Koninkrijk en Scandinavië. Het streven van het bedrijf om verder te groeien is wat dat betreft mooi, maar het zal tijd nodig hebben om echt zijn waarde voor de Benelux (en misschien wel meer) aan te tonen. Vaak vertrouwen grote Nederlandse organisaties al op een CDN-leverancier voor het oplossen van de problematiek die Link11 aanpakt. Het zal zulke bedrijven voor een succes in de nieuwe regio moeten overtuigen, al kan er ook gemikt worden op snel opkomende bedrijven.