In de competitieve wereld van (cloud)beveiliging onderscheidt Aikido zich met tools op maat van ontwikkelaars. Het Gentse bedrijf werkt zich op als Belgische vaandeldrager in de globale beveiligingsindustrie.
Aikido is een Japanse krijgskunst die in het begin van de twintigste eeuw het levenslicht zag. Bij aikido staat het filosofische aspect veel meer centraal dan het fysieke. Beoefenaars zien het dan niet als een vechtsport, maar eerder als een samenkomst van geest en lichaam.
Wat heeft dit met cyberbeveiliging te maken, vraag je je nu waarschijnlijk af? Het Gentse bedrijf Aikido brengt de basisprincipes van de Japanse krijgskunst naar IT-omgevingen. Niet alleen omdat het bedrijf focust op de verdediging, maar ook omdat het de werelden van digitale beveiliging en softwareontwikkeling samenbrengt om ontwikkelaars in harmonie te laten zijn met hun omgeving.
Voor en door ontwikkelaars
De slogan van het bedrijf windt er geen doekjes om: “No bullsh*it security”. Johan De Keulenaer en Berg Severens vertellen ons hoe Aikido het ‘gezever’ uit beveiliging probeert te halen. “Veel van onze concurrenten focussen zich vooral op de CISO’s met dure producten. Met als gevolg dat de tools zelden op maat zijn van ontwikkelaars, die er wel mee moeten werken. Aikido helpt ontwikkelaars om veilige code te schrijven”.
Eigen ervaringen zijn vaak de beste motivatie om een bedrijf op te starten. “Onze oprichter Willem (Delbare, nvdr) heeft meerdere start-ups opgericht, waaronder Teamleader. Hij heeft de pijn gevoeld van een beveiligingsstack voor kmo’s te bouwen. Dat verklaart onze originele focus op kmo’s met voornamelijk ontwikkelaars in dienst. We bundelen geavanceerde code scanning met artificiële intelligentie voor het reduceren van false positives om tot 85 wat niet relevant is te filteren”, zegt De Keulenaer.
De realisatie dat de cloud geen beveiligde bunker is, zoals aanvankelijk gedacht, groeit binnen de beveiligingswereld. We vragen Severens de vinger op de zere wonde te leggen, al zou je daar volgens hem vingers te kort voor komen. “Er is niet één typische fout die veelgemaakt wordt. Maar SQL-injectie bijvoorbeeld gaat al lang mee. Dit gaat vaak gepaard met patronen die je naar de code kan herleiden”.
Code analyseren
Aikido tracht de kloof tussen beveiliging en ontwikkeling te dichten met beveiligingstools die de taal van ontwikkelaars spreken. Severens: “Ons platform bundelt een tiental functionaliteiten, waaronder statische code-analyse. Hiermee gaan we naar de broncode kijken om patronen van kwetsbaarheden te zoeken. Dit kan echter veel valse positieven geven. Daarom kijken we met AI ook naar de context van de code om die valse positieven zoveel mogelijk te filteren en code gericht veiliger te maken”.
Zo vermijden we dat ontwikkelaars de focus verliezen voor welke security problemen echt belangrijk zijn”, pikt De Keulenaer in. “Geen enkele ontwikkelaar wordt vrolijk als hij ’s ochtends zijn pc aanzet en honderden red alerts op zijn scherm ziet. We hebben al tot 85 procent van die meldingen kunnen verminderen. We zijn een beveiligingsbondgenoot voor ontwikkelaars”.
Dat we De Keulenaer en Severens ontmoeten op een AWS-evenement in Amsterdam, is eerder toeval. “Een deel van onze klanten zit op AWS-infrastructuur, maar we zijn altijd al cloudagnostisch geweest. Iedere provider heeft zijn specificiteit. Sinds kort zijn we ook beschikbaar via hun marktplaats, zodat bedrijven snel zelfstandig Aikido activeren en binnen enkele seconden onze no-nonsense beveiliging ervaren”, zegt De Keulenaer. Via integraties kunnen bedrijven Aikido aan alle courante cloud- en ontwikkelingsomgevingen haken, alsook algemenere applicaties zoals Teams.
Ontwikkelaars krijgen honderden irrelevante security-alerts om de oren. Beveiliging hoort ontwikkelaars niet af te remmen, maar vooruit de duwen.
Johan De Keulenaer, Head of Partnerships Aikido
Opschuiven naar links
Aikido zet zelf AI in om code-beveiliging efficiënter te maken, maar Severens is zich ervan bewust dat AI een tweesnijdend zwaard kan zijn voor ontwikkelaars. “Het is vandaag moeilijker om te zeggen of code door AI of door menselijke ontwikkelaars geschreven is. De kost van ontwikkeling daalt, voor ons maar zeker ook voor aanvallers. Zowel verdedigers als aanvallers zullen gebruik maken van AI, wat tot meer aanvallen kan leiden. De markt groeit snel door AI”.
“We bieden de tools aan om AI op een veilige manier naar een ontwikkelingsomgeving te brengen”, gaat Severens verder. “Ontwikkelaars hoeven minder de tijd te verspillen aan alerts, maar we kunnen ook automatische voorstellen genereren om kwetsbaarheden op te lossen en technische ‘schuld’ weg te werken. We gebruiken de tools om hallucinaties te verminderen ten opzichte van ‘kant-en-klare’ LLM’s”.
De Keulenaer stemt in met zijn collega. “Het is een nek-aan-nekrace. We evolueren van manuele naar geautomatiseerde beveiliging. Een goed voorbeeld is de integratie met Cursor AI, waarmee we code kunnen beveiligen op het moment dat ze geschreven wordt. Aikido functioneert als onzichtbare engine die vlagt wanneer er iets verkeerd gebeurt. De cirkel is zo compleet. We zijn gegroeid vanuit de kmo-markt, maar ook grote bedrijven geraken overtuigd”.
“We willen mogelijke problemen in code zo vroeg mogelijk in het ontwikkelingsproces oplossen”, zegt Severens. “Maar dat is niet altijd praktisch haalbaar en daarom bieden we ook aan de andere kant van het spectrum een soort firewall aan om je applicatie te beveiligen. Daar zijn we vrij uniek in. We zetten bij wijze van spreken een stolp over je code. Dat is interessant om het risico op kwetsbaarheden te verkleinen.”
Apple in een Linux-wereld
De ambities van Aikido zijn globaal, maar het bedrijf is zijn afkomst nog niet vergeten. In een snel veranderende wereld, kan Aikido als Belgische speler net een troefkaart hebben om te wedijveren in een industrie die door Amerikaanse bedrijven gedomineerd wordt. “Voor veel bedrijven zal het een bewuste keuze worden of ze een Amerikaanse, Israëlische of Europese oplossing willen”, zegt De Keulenaer.
lees ook
Made in Belgium: kwaliteitslabel voor beveiliging?
Aikido heeft zijn plafond nog niet bereikt, is De Keulenaer stellig overtuigd. “Het gaat ontzettend snel voor ons. We zijn pas in 2023 gelanceerd. Via investeringsrondes hebben we 25 miljoen euro opgehaald om internationale groei te ondersteunen. Nu willen we uitgroeien tot een wereldspeler. Een directe concurrent werd nog maar pas voor 23 miljard dollar overgenomen”, zegt De Keulenaer, verwijzend naar de overname van Wiz door Google.
“Dat we een Belgisch en Europees bedrijf zijn, kan een verkoopargument zijn”, besluit ook Severens. “De markt is zeer gefragmenteerd en we menen het gat in de markt gevonden te hebben door een all-in-one oplossing te bieden die gebruiksvriendelijk is en waar je geen doctoraat voor nodig hebt. In een Linux-wereld zijn wij de Apple”.
In een Linux-wereld zijn wij de Apple.
Berg Severens, AI Engineer Aikido