Inleiding
Tien jaar geleden was het veel eenvoudiger voor MSP's om hun mkb-klanten te beschermen tegen cyberdreigingen met behulp van UTM's en beveiligingsapparaten. Met minder geavanceerde dreigingen werden de meeste mkb-kantoren beschermd met een combinatie van antivirussoftware en firewalls op kantoor. In 2007 werd het UTM-apparaat (Unified Threat Management) geïntroduceerd als geavanceerde firewall met extra alles-in-één beveiligingsfuncties. Deze UTM-apparaten zijn ontworpen om mkb's te helpen hun bedrijfskantoor tegen een betaalbare prijs te beschermen. Na verloop van tijd hebben UTM's lagen voor het filteren van webcontent toegevoegd om zowel eindpunten als servers en hun gegevens te beschermen tegen webgebaseerde dreigingen. Kort nadat UTM's op de markt kwamen, werd er een ander nieuw apparaat ontworpen: Secure Web Gateway (SWG). SWG's waren losse apparaten die specifiek waren ontworpen om een bedrijf te beschermen tegen webdreigingen.
In de loop der jaren zijn UTM- en SWG-apparaten uitgegroeid tot een sector van 4,9 miljard dollar per jaar die miljoenen kleine tot middelgrote bedrijven bedient die, in tegenstelling tot grote bedrijven, niet zelf beschikken over beveiligingsexperts en grote budgetten.
Verkopers van beveiligingsapparaten voor het mkb hebben miljoenen aan commissie verdiend met de verkoop van UTM- en SWG-apparaten, hot spares, upgrades en meerjarige onderhoudscontracten voor apparaten. Deze apparaten voorzagen 10 jaar geleden in een behoefte, maar ze zijn niet meegegroeid met de veranderingen in hoe mensen werken en hoe gegevens moeten worden beschermd.
Helaas zijn de meeste mkb-eigenaren zich er niet van bewust dat het model met apparaten op locatie inherente beveiligingsrisico's heeft die kunnen leiden tot een lek, wat een ramp kan betekenen voor uw bedrijf. Dit artikel onthult de meest voorkomende redenen waarom UTM's en beveiligingsapparaten MSP's en hun mkb-klanten in de steek laten.
Reden #1:
Apparaten beschermen slechts een deel van de mensen, een deel van de tijd.
De tijd dat medewerkers van 9 tot 5 op kantoor werkten, is zo goed als voorbij. De wijdverspreide beschikbaarheid van wifi heeft ervoor gezorgd dat medewerkers ook buiten de traditionele kantooromgeving kunnen werken. Steeds meer medewerkers werken vanuit huis, luchthavens, koffietentjes, hotels; overal waar ze een draadloze verbinding hebben. Naast medewerkers hebben ook verkopers, IT-technici, aannemers en anderen toegang, vaak in het weekend en op rare tijden van de dag. Traditionele apparaten beschermen alleen het afnemende aantal vaste servers en werkplekken dat zich binnen het kantoor bevindt. Laptops, persoonlijke (BYOD) telefoons, tablets en andere apparaten waarmee medewerkers vrij heen en weer kunnen bewegen tussen het thuisnetwerk en het bedrijfsnetwerk zijn niet beschermd en bevatten vaak dreigingen.
Een andere trend die samengaat met de toegenomen mobiliteit, is de geleidelijke vervanging van grote centrale kantoren door meerdere, kleinere regionale vestigingen. Om deze kantoren te verbinden en te beveiligen, gebruikt de IT-afdeling vaak een mix van gehuurde MPLS-lijnen (Multiprotocol Label Switching), VPN-concentrators of dubbele sets beveiligingsapparaten voor elke locatie. Hierdoor wordt de beveiliging van vestigingen inherent duur, inefficiënt en complex. Te midden van de verwarring en het gedoe maken veel medewerkers rechtstreeks verbinding met het internet, waarbij ze de beveiliging van het kantoornetwerk omzeilen. Als ze dat doen, hebben de meeste mensen NUL bescherming buiten simpele antivirussoftware.
Hoe beschermt u als IT-serviceprovider uw medewerkers buiten kantoor?
Reden #2:
Apparaten beschermen slechts een deel van uw gegevens.
De tijd dat het hoofdkantoor alle bedrijfsgegevens bevatte, is voorbij. De afgelopen 10 jaar heeft er een enorme verschuiving plaatsgevonden van serverruimtes en dataruimtes op hoofdkantoren naar cloudgebaseerde publieke en private virtuele servers en virtuele datacenters. De afgelopen 10 jaar hebben mkb's ook cloudapplicaties van derden in gebruik genomen, zoals Office 365, Salesforce, Box en honderden andere.
Dit betekent dat bedrijfsgegevens nu verspreid zijn over meerdere servers en datacenters in de cloud. Nieuwe 5G-technologieën zullen de nu al snelle verschuiving naar gedistribueerde, cloudgebaseerde datacenters blijven stimuleren en versnellen.
In de meeste bedrijven beschermt het apparaat op locatie nog maar een fractie van de bedrijfsgegevens die zich vroeger binnen het kantoor bevonden.
Hoe beschermt u als IT-serviceprovider de gegevens van uw klanten buiten kantoor?
Reden #3:
Mkb-apparaten bieden geen bescherming van professioneel niveau.
Hoewel bijna alle UTM's en SWG's adverteren met een SSL/TLS-decoderingsfunctie, worden ze meestal uitgeschakeld omdat ze vaak te klein zijn om aan de budgetvereisten te voldoen. Volgens Gartner heeft 90% van de UTM's de SSL-webinspectiefunctie zelfs uitgeschakeld vanwege problemen met latentie en/of SSL-certificaatfouten. Dit veroorzaakt een groot beveiligingsrisico, waardoor het netwerk bijna volledig blootgesteld is, aangezien het overgrote deel van het zakelijk verkeer (inclusief beveiligingsrisico's) nu versleuteld is.
Zonder ingeschakelde SSL/TLS-inspectiefuncties betekent elke andere beveiligingsfunctie op het apparaat helemaal niets. Met SSL en de vele andere configuratieopties worden de meeste apparaten in de sector verkeerd geconfigureerd. Zelfs als ze correct zijn ingesteld, vereisen ze beveiligingsexperts met zeldzame vaardigheden voor constante aanpassingen en certificaatupdates om up-to-date te blijven en zo effectief mogelijk samen te werken met andere netwerkapparaten.
Zonder ingeschakelde SSL/TLS-inspectiefuncties betekent elke andere beveiligingsfunctie op het beveiligingsapparaat helemaal niets.
Reden #4:
Mkb-apparaten hebben niet de nieuwste beveiligingslijsten.
Bescherming tegen geavanceerde dreigingen moet voor het mkb net zo goed zijn als voor grote ondernemingen, alleen dan op een kleinere, betaalbaardere schaal. Volgens Small Business Trends is het mkb steeds vaker het doelwit van hackers: 43% van de cyberaanvallen is gericht op kleine bedrijven.
Daarnaast komen er dagelijks maar liefst 125.000 nieuwe dreigingen bij. Helaas worden bij de meeste apparaten op locatie de definitiebestanden onregelmatig gedownload en worden deze nieuwe varianten in het netwerk toegelaten voordat de definitielijsten zijn bijgewerkt.
Met dagelijks duizenden nieuwe dreigingen hebben IT-dienstverleners cloudgebaseerde gateways nodig om ervoor te zorgen dat alle klanten worden beschermd door de nieuwste lijsten.
Reden #5:
'Alles-in-één' UTM-apparaten zijn helaas niet alles wat u nodig hebt.
Hoewel UTM's vaak op de markt worden gebracht als 'alles-in-één' apparaten, bevatten ze niet de beveiligingslagen die nodig zijn om kleine en middelgrote bedrijven te beschermen. UTM's bieden verschillende beveiligingslagen in één kastje, maar nemen vaak genoegen met minder mogelijkheden en functies en kleinere definitiebestanden. Afhankelijk van de fabrikant bieden de meeste UTM's geen geïntegreerde e‑mailbeveiliging, antivirus-eindpuntbeveiliging, patchbeheer en identiteits- of wachtwoordbeheer, wat allemaal belangrijke onderdelen zijn van een uitgebreide, gelaagde beveiligingsstrategie voor het mkb. Om de gaten in de beveiliging te dichten, heeft een typische grote onderneming daarentegen meerdere dure kastjes om elke kantoorlocatie te beschermen. IT-medewerkers van grote ondernemingen zullen normaal gesproken apparaten met eindpuntoplossingen installeren in plaats van een alles-in-één UTM. In feite zijn deze kastjes krachtige computers die zich specialiseren en uitblinken in een bepaalde beveiligingslaag.
Ten slotte kunnen verouderde UTM- en SWG-apparaten de groei van medewerkers en de toevoeging van nieuwe bandbreedte vaak niet bijhouden, waardoor de productiviteit en beveiliging worden beperkt. Het mkb houdt zich meestal aan een budgetcyclus van 3 tot 5 jaar en zet de beveiliging op het spel en offert productiviteit op om te wachten op de volgende aankoopmogelijkheid.
Wist u dat?
Diepteverdediging, een term die geleend is van het leger, is een strategie waarbij meerdere beveiligingsmaatregelen worden gebruikt om de integriteit van gegevens te beschermen. Doel hiervan is alle aspecten van de bedrijfsbeveiliging te beschermen door deze zo nodig dubbel uit te voeren. Als de ene verdedigingslinie in gevaar komt, staan er extra verdedigingslagen klaar om te voorkomen dat dreigingen door de ontstane scheuren naar binnen glippen. Bij deze methode worden de onvermijdelijke beveiligingslekken in het netwerk aangepakt die een risico vormen voor de technologie, het personeel en de bedrijfsvoering.
De cyberdreigingen van dit moment blijven zich ontwikkelen en nemen snel in aantal toe. Diepteverdediging is een robuuste, alomvattende manier om met behulp van geavanceerde beveiligingstools kritieke gegevens te beschermen en dreigingen te onderscheppen voordat ze eindpunten bereiken.
Reden #6:
Apparaten hebben verschillende verborgen kosten.
Een plug-and-play-apparaat heeft een bepaalde aantrekkingskracht. De waarheid is echter dat SWG- en UTM-beveiligingsapparaten slechts een klein deel uitmaken van de totale eigendomskosten.
- Apparaten hebben meestal aanvullende ondersteunings- en onderhoudscontracten
- De prestaties van het apparaat nemen af en moeten meestal worden geüpgraded naar een hoger model wanneer:
- Er komen meer medewerkers en/of locaties bij.
- Apparaten zijn single points of failure. Als ze kapot gaan, hebben bedrijven ofwel hot spare back-ups of dure contracten voor hoge beschikbaarheid nodig om de downtime van het bedrijf te beperken.
- Apparaten vereisen IT-experts op locaties om ze te installeren en regelmatig firmware- en software-upgrades uit te voeren. Het ernstige tekort aan IT- en beveiligingsexperts in het mkb blijft de kosten opdrijven.
- Vestigingen hebben ofwel volledig nieuwe apparaten of dure gehuurde MPLS-lijnen nodig om het verkeer door te sturen naar het hoofdkantoor en weer terug naar het internet.
- Apparaten vereisen beveiligde computerruimten met een HVAC-systeem, rekken, back-upbatterijen en elektriciteit
Al deze factoren leiden tot hogere operationele kosten voor Managed Service Providers, zonder extra voordelen voor het mkb.
Al deze kosten zijn klein in vergelijking met de uiteindelijke kosten: uw bedrijf verliezen door onvoldoende beveiliging.
Beveiligingsoplossingen voor het mkb van vandaag
Het is duidelijk dat de apparaatgebaseerde beveiligingsmodellen uit het verleden, inclusief de traditionele Castle-and-Moat- en Hub-and-Spoke-modellen, aan het uitsterven zijn. Geavanceerde, vaker voorkomende dreigingen in combinatie met de onstuitbare verschuiving naar mobiliteit van medewerkers, cloudgebaseerde servers en cloudapplicaties vereisen nu dat de moderne beveiliging bescherming biedt buiten de vier muren van het kantoor.
Uiteindelijk zijn verouderde apparaatgebaseerde modellen niet zo goedkoop als ze lijken en kunnen ze uw bedrijf zelfs duur komen te staan in het geval van een ernstige lek.
Beveiligingsexperts zijn het erover eens dat het internet nu de nieuwe grens van het kantoor vormt en op een nieuwe, uitgebreidere manier moet worden beschermd. Gelukkig is er een opkomend softwaregedefinieerd beveiligingsmodel (SDSec) dat de beveiligingsrisico's die traditionele methoden achterlaten op een logischere, efficiëntere en effectievere manier aanpakt.
Bij Avast Business weten we dat cyberbeveiliging nu nog sneller, slimmer en betrouwbaarder dan ooit moet zijn. We leveren krachtige, betaalbare beveiligingsoplossingen aan het mkb om bedrijven tegen webdreigingen te beschermen.
Maak een afspraak met een bedrijfsbeveiligingsexpert voor antwoorden op uw specifieke vragen en persoonlijke begeleiding door het pakket mkb-beveiligingsoplossingen van Avast.