Connect with us

Interviews

Craig Riddell, Global Field CISO bij Wallarm – Interviewreeks

mm
Published

Craig Riddell, Global Field CISO bij Wallarm, is een ervaren cybersecurity-executive die zich richt op het helpen van ondernemingen bij het beheren van de groeiende risico’s die samenhangen met API’s en AI-gestuurde systemen. In zijn huidige rol werkt hij nauw samen met CISO’s, CIO’s en engineeringleiders om echte aanvals patronen en misbruikscenarios om te zetten in actiebare beveiligingsstrategieën, met een sterke nadruk op observatie – het begrijpen van hoe API’s en AI-systemen zich gedragen in productie over gebruikers, toepassingen en integraties. Zijn carrière omvat leiderschapsrollen in identiteit en toegangsbeheer, zero trust-architectuur en ondernemingsbeveiliging bij organisaties zoals Netwrix, Kron en HP, waar hij grote schaal IAM-transformaties leidde en beveiligingskaders moderniseerde. Riddell’s expertise is gericht op opkomende bedreigingen zoals bedrijfslogica-aanvallen, API-misbruik, AI-systeemdrift en fraude, met een consistente focus op het overbruggen van de kloof tussen hoogwaardige beveiligingsstrategie en operationele uitvoering.

Wallarm is een cybersecuritybedrijf dat zich specialiseert in het beschermen van API’s, toepassingen en AI-gestuurde systemen in moderne cloudomgevingen. Het platform biedt continue ontdekking, testen en real-timebescherming tegen bedreigingen zoals API-misbruik, bedrijfslogica-aanvallen en geautomatiseerde exploits, terwijl het diepe zicht biedt in hoe systemen zich gedragen over complexe infrastructuur. Ontworpen voor multi-cloud- en cloud-native-architecturen, integreert Wallarm in bestaande DevOps- en beveiligingsworkflows, waardoor organisaties aanvallen kunnen detecteren en blokkeren terwijl ze gebeuren, in plaats van erna. Door API-inventaris, AI-gestuurde bedreigingsdetectie en geautomatiseerde responsmogelijkheden te combineren, adresseert het platform een groeiende realiteit waarin API’s en AI-systemen het primaire aanvalsoppervlak zijn geworden voor moderne digitale bedrijven.

U bent uw carrière begonnen met directe werkzaamheden met systemen en infrastructuur en bent sindsdien overgestapt naar leiderschapsrollen met een focus op identiteit, toegang, API en AI-beveiliging. Wat waren de belangrijkste verschuivingen in die reis die u ertoe hebben gebracht te concluderen dat het echte risico is verplaatst van de perimeter naar API’s en machinegestuurde systemen?

Vroeg in mijn carrière lag de focus op het beschermen van de rand. Firewalls, segmentatie, infrastructuurverharding. Dat model werkte toen systemen meer statisch waren en vertrouwensgrenzen gemakkelijker te definiëren waren.

Wat veranderde, is hoe toepassingen zijn gebouwd en hoe systemen interactie hebben. API’s werden het verbindende weefsel van alles, en AI versnelde dat verder. Nu nemen systemen beslissingen, roepen andere systemen op en voeren acties uit op een schaal en snelheid die geen mensen in de lus omvat.

Op dat punt wordt de perimeter minder relevant. Het echte risico verplaatst zich naar waar beslissingen worden genomen en acties worden uitgevoerd, binnen API’s en machinegestuurde workflows.

Als u daar geen zicht en controle over heeft, vertrouwt u gedrag dat u niet volledig kunt zien. Dat is waar bedrijfsrisico opduikt, van financiële blootstelling tot onbedoelde resultaten en operationele onderbreking.

U heeft de cyberhanddruk als gebroken beschreven, waarbij wordt verwezen naar hoe systemen vertrouwen vestigen en acties uitwisselen over steeds complexere ketens van API’s en geautomatiseerde processen. Hoe ziet deze ineenstorting eruit in een echte ondernemingsomgeving vandaag?

In de meeste omgevingen vertrouwen systemen elkaar op basis van identiteit en authenticatie. Een token is geldig, een verzoek is goed gevormd, en de interactie is toegestaan.

Het probleem is dat dit ervan uitgaat dat geldig hetzelfde is als veilig. Dat is niet langer waar.

We authenticeren identiteit, maar we valideren geen intentie. We verifiëren toegang, maar niet gedrag over de keten.

Een service kan zijn geautoriseerd om een andere service op te roepen, die downstreamacties activeert over meerdere API’s. Elke stap ziet er legitiem uit in isolatie, maar over de volledige keten begint u onbedoeld gedrag of misbruik van logica te zien.

In AI-gestuurde omgevingen wordt dit versterkt. Agents kunnen acties ketenen en workflows uitvoeren zonder menselijke beoordeling.

De handdruk gebeurt nog steeds, maar niemand vraagt of het gedrag zin heeft in context. Vertrouwen wordt gevestigd, maar niet continu gevalideerd.

Waarom valt AI- en API-risico zo vaak tussen organisatorische grenzen in plaats van duidelijk te worden bezeten?

Omdat de systemen niet overeenkomen met hoe organisaties zijn gestructureerd.

DevOps bezit levering. Beveiliging bezit beleid. Business teams bezitten resultaten. Datateams bezitten modellen. Elke groep bezit een stuk, maar niemand bezit het systeem zoals het zich gedraagt in productie.

API’s voeren bedrijfslogica uit over systemen. AI introduceert niet-deterministische besluitvorming bovenop dat. Samen snijden ze door elke grens.

Ze worden gebouwd door het ene team, beveiligd door een ander, en geconsumeerd door een derde, met inconsistente monitoring over al deze teams.

De gaten die dit creëert, zijn geen falen van teams. Ze zijn falen van het operationele model om weer te geven hoe moderne systemen daadwerkelijk werken.

In uw ervaring, welke teams nemen doorgaans aan dat ze AI-risico bezitten, en waar bestaan de grootste blinde vlekken tussen beveiliging, DevOps en businessunits?

Beveiligingsteams hebben de neiging om AI-risico te bezitten vanuit een governance- en complianceperspectief. DevOps bezit implementatie en betrouwbaarheid. Businessunits focussen op resultaten.

De blinde vlekken verschijnen tussen die gebieden.

Beveiliging definieert wat moet gebeuren. DevOps zorgt ervoor dat het systeem draait. De business richt zich op resultaten. Maar heel weinig teams kijken consistent naar wat het systeem daadwerkelijk doet in real-time.

Die kloof is waar risico leeft, vooral wanneer gedrag technisch geldig is maar contextueel verkeerd.

Veel moderne aanvallen verschijnen als geldig en geauthenticeerd gedrag in plaats van voor de hand liggende inbraken. Hoe moeten organisaties detectie opnieuw overwegen in deze nieuwe realiteit?

We moeten verder gaan dan het identificeren van “slechte” verzoeken.

In veel gevallen is het verzoek geldig. De referenties zijn legitiem. De API-aanroep is verwacht. Wat niet verwacht wordt, is de reeks acties, het volume of het resultaat.

Detectie moet gedrags- en contextueel worden. Het gaat minder over het blokkeren van een enkel verzoek en meer over het begrijpen van hoe systemen over tijd interactie hebben.

De benaderingen die daadwerkelijk op grote schaal standhouden, gaan verder dan patroonherkenning. Ze decomponeren verzoeken structureel, waarbij elke interactie wordt behandeld als een set van gedrags tokens in plaats van proberen overeen te komen met bekende slechte patronen.

Dat stelt u in staat om te begrijpen hoe gedrag evolueert en waar het afwijkt, zelfs wanneer alles er aan de oppervlakte geldig uitziet.

Als u zich verlaat op statische regels of handtekeningen, zult u de meeste dingen die ertoe doen missen.

U heeft de belangrijkheid van observatie van echte wereldgedrag benadrukt. Wat ziet betekenisvolle observatie eruit voor API’s en AI-systemen in productie?

Betekenisvolle observatie is niet alleen logboeken en metrieken. Het gaat om het begrijpen van gedrag in context.

Voor API’s betekent dit volledige zichtbaarheid van verzoek en antwoord, hoe eindpunten worden gebruikt en hoe interacties over tijd evolueren.

Voor AI-systemen betekent dit het begrijpen van invoer, beslissingen en resulterende acties.

Het belangrijkste is dat dit zichtbaarheid biedt over systemen in volledige workflows, in plaats van geïsoleerde gebeurtenissen.

Zonder dat, werkt u met veronderstellingen over systeemgedrag in plaats van realiteit.

Waarom worden traditionele menselijke beoordeling en goedkeuringsmodellen minder effectief in machinegestuurde omgevingen?

Omdat de snelheid en schaal zijn veranderd.

Systemen nemen duizenden of miljoenen oproepen per minuut, en aanvallen of onbedoeld gedrag kunnen zich in enkele minuten of seconden ontvouwen. U kunt geen mens realistisch in elke beslissing plaatsen zonder de prestaties te breken.

AI-systemen zijn ook niet altijd deterministisch, wat voorafgaande goedkeuringsmodellen minder effectief maakt.

Menselijke toezicht blijft belangrijk, maar het moet verschuiven van het goedkeuren van individuele acties naar het definiëren van richtlijnen en het monitoren van resultaten.

Wat zijn de meest voorkomende operationele gaten die u ziet wanneer bedrijven proberen AI-systemen te beveiligen met legacybeveiligingskaders?

De grootste kloof is de overmatige afhankelijkheid van ontwerp-tijdcontroles.

Organisaties focussen op het beveiligen van modellen, codebeoordeling en het definiëren van beleid voordat ze worden geïmplementeerd. Dat is belangrijk, maar het gaat ervan uit dat systemen zullen gedragen zoals verwacht zodra ze live zijn.

In werkelijkheid evolueren systemen. API’s veranderen. AI-modellen interacteren met nieuwe gegevens en workflows. Gedrag verandert over tijd.

Zonder continue validatie van gedrag in productie zijn organisaties effectief blind na implementatie.

Wat ziet een praktisch operationeel model eruit wanneer meerdere stakeholders AI- en API-risico delen?

Het begint met het erkennen dat geen enkel team dit eind-tot-eind kan bezitten.

Een praktisch model definieert gedeelde verantwoordelijkheid, verankerd rond een gemeenschappelijke bron van waarheid: runtime-gedrag.

Beveiliging definieert risico en beleid. Engineering bouwt en exploiteert systemen. De business definieert aanvaardbare resultaten.

De teams die voorop lopen, opereren in een gesloten lus. Continue ontdekking, afdwinging en verfijning gedreven door wat systemen daadwerkelijk doen in productie, in plaats van wat werd aangenomen bij ontwerp.

Alle stakeholders moeten zichtbaarheid hebben in hoe systemen in productie werken. Van daaruit kunnen teams zich richten op wat “goed” lijkt, afwijkingen detecteren en reageren.

De verschuiving is van geïsoleerde eigendom naar gecoördineerde verantwoordelijkheid, geworteld in runtime-inzicht.

Kijkt u vooruit, verwacht u dat beveiligingsverantwoordelijkheid weer meer gecentraliseerd zal worden, of zal het blijven fragmenteren naarmate systemen autonomer worden?

Verantwoordelijkheid zal gedistribueerd blijven omdat dit weerspiegelt hoe systemen zijn gebouwd.

Wat zal veranderen, is hoe die verantwoordelijkheid wordt gecoördineerd.

We zullen meer unified governance-modellen zien waarin teams hun domeinen bezitten, maar opereren met gedeelde zichtbaarheid en context.

De organisaties die slagen, zullen niet die zijn die proberen alles te centraliseren. Ze zullen degenen zijn die stakeholders richten op hoe systemen daadwerkelijk gedragen in de echte wereld.

Omdat als niemand runtime-gedrag begrijpt, niemand het risico daadwerkelijk bezit.

Bedankt voor het geweldige interview, lezers die meer willen leren, moeten bezoeken Wallarm.

Related Topics:
mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.