Een goede verdediging tegen spam, virussen, wormen en andere gespuis vraagt bijna bovenmenselijke inspanning van ict-beheerders. Het is een spel van voortdurend bijstellen van hardware, kennis en software. Security uit handen geven kan helpen. De geluiden rond hosted security zijn voorzichtig positief.
Hosted security is volgens onderzoeksbureau IDC het snelst groeiende deel van de beveiligingsmarkt. Het gaat dan vooral om beveiliging van e-mail, webverkeer en instant messaging. IDC schat dat de omvang van de messaging-securitymarkt de komende paar jaar meer dan verdubbelt; van 2 miljard dollar omzet in 2006 naar 4.8 miljard in 2011.
Frits Steheman van distributeur Tech Access merkt ook dat er een toenemende behoefte is aan het extern beschermen van vooral e-mail en webverkeer. "Dit leeft nu vooral bij kleinere en middelgrote ondernemingen. Maar ook grotere ondernemingen beginnen de voordelen van hosted security te ontdekken."
Een grote stimulans hiervoor is de professionalisering van cybercrime. Die trend is ook duidelijk in het recente trendrapport Cybercrime 2008 van Govcert, het computer emergency response team van de Nederlandse overheid. Als je de beveiliging van het bedrijfsnetwerk op peil wilt houden, heeft het je voortdurende aandacht nodig. Voor de professionele cybercrimineel is het immers ook een dagtaak.
Vooral basale functies
Toch gaat het niet zozeer over geavanceerde verdediging tegen de professionele cybercrimineel. Analist Thomas Raschke van onderzoeksbureau Forrester denkt bij hosted security vooral aan het uitbesteden van basale security functies, zoals het beheer van firewall, vpn-verbindingen (virtual private network) en software. "Security vergt voor de meeste bedrijven gewoon te veel deskundigheid. We gaan naar deskundigen voor onze gezondheid omdat het teveel tijd vergt om het zelf te leren. Bovendien zijn we niet altijd ziek. Zo moet je hosted security ook zien."
Hosted security is volgens hem alleen een slecht idee als beveiliging de kern van je bedrijf is, zoals bij banken. "Maar als je plastic bekers vervaardigt, is een virus in je bedrijfsnetwerk pijnlijk te noemen. Voor zulke ondernemingen wordt security een onderscheidende factor en dan kan uitbesteden de beste optie zijn."
Diverse antivirusleveranciers bieden al vormen van hosted security. Een voorbeeld is Kaspersky Lab. De Hosted Security Service van deze leverancier is geen software, maar een managed service. Het wordt dan ook niet geïnstalleerd, maar schoont mail op door het MX-record van de mailserver om te zetten. Hierdoor wordt de mail op een veilige afstand van het bedrijfsnetwerk gefilterd en gescand. De dienst plaatst daarbij ongewenste mail in quarantaine en levert de overige mail veilig af bij de eigenlijke mailserver.
Geld en gemak
Als klant hoef je dus geen geld te investeren in hardware, softwarelicenties en beheer. Verder heb je het gemakt van een uitgebreide rapportage tool waar je alle informatie kunt vinden over het web- en/of instant messaging-gebruik binnen de onderneming. Je kunt zelf regels instellen om misbruik tegen te gaan.
De beveiligingsdienst van Kaspersky wordt realtime bijgewerkt met informatie uit meerdere scanpunten op het internet. Het systeem is opgebouwd uit meerdere lagen, waaronder een signature-based maar ook een heuristics-based (gedragsafhankelijke) oplossing. Laatstgenoemde kan proactief nieuwe uitbraken van virussen en andere malware tegengaan.
Opletten
Ondanks deze voordelen is het niet allemaal rozengeur en maneschijn. Steheman waarschuwt dat je bij hosted security extra moet letten op de organisatie die er achter hangt. "Als jij je e-mail laat scannen door een derderangs bedrijfje dan is er natuurlijk grote kans dat die club niet veel redundantie heeft. Ook kan de gebruikte apparatuur niet modern genoeg zijn, wat prestatieproblemen kan opleveren."
Volgens Forrester-analist Raschke is Kaspersky Lab op het gebied van hosted security zeker goed bezig, maar de meeste klanten hebben voorkeur voor leveranciers met bredere portfolio's. Zo zijn Symantec, VeriSign en IBM belangrijke leveranciers van hosted security. Daarnaast zijn er veel telecombedrijven die hosted security bieden, zoals BT, Verizon, AT&T en Sprint. Ook system integrators zoals Unisys, Getronics en Wipro in India zijn actief op dit terrein. Op consultinggebied hebben Deloitte, PricewaterhouseCoopers, Accenture en IBM Global Services een en ander te bieden. Raschke baseert dit op de leveranciersvergelijking Forrester Wave, die eind vorig jaar is uitgevoerd.
Hosted security werkt volgens de analist niet als bedrijven liever alle kennis binnenshuis willen houden. Dit is vaak het geval bij banken, waar security deel uitmaakt van de bedrijfskern. "Bovendien moet je niet denken dat je heel veel geld bespaart. Aan uitbesteding ben je vaak hetzelfde of zelfs meer kwijt." Veel bedrijven kiezen dan ook voor het verbeteren van de technologie die ze in huis hebben. Dat valt dan onder de verantwoordelijkheid van hun ict-manager. Dit is volgens Raschke een belangrijke trend in de securitymarkt.
Beheervoordelen
Hosted security heeft volgens de leveranciers echter ook voordelen die niet direct in de aanschafprijs terugkomen. Forrester-analist Raschke meent dat Kaspersky die pluspunten goed in kaart heeft gebracht. "Je bent af van toekomstige investeringen in hardware, software en manuren. Veel hosted security providers bieden continu de nieuwste updates en technologische vernieuwingen zonder dat je daar extra voor hoeft te betalen." Het grootste voordeel is dan ook de onderhoudsbesparing op de security-oplossing; updaten hoeft je niet meer zelf te doen.
"Daarnaast werkt hosted security vaak op afstand en houdt het malware dus ver weg van het bedrijfsnetwerk. Dat is een ontlasting van je infrastructuur." De capaciteit van je netwerk wordt dus nuttiger gebruikt. "Verder is het een voordeel dat de aanbieder is gespecialiseerd in security. Die ziet nieuwe virussen en vormen van spam eerder aankomen en kan ze beter bestrijden." Dit argument geldt ook voor aanbieders van reguliere security-software. De hosted-variant zou echter directer zijn; detectie gebeurt massaal en updates zijn gelijk actief voor alle klanten.
Raschke is over het geheel genomen wel een voorstander van hosted security. "Je moet jezelf afvragen wat je wilt bereiken, wat er van cruciaal belang is voor jouw bedrijf op het gebied van security. Dat moet je dan goed vastleggen in sla's (service level agreements – red.). Het simpelweg aanschaffen van een softwarepakket biedt geen beveiliging. Het voordeel van uitbesteding is dat er dan veel meer nadruk ligt op ‘waar voor je geld'."
Quote: “Raschke is over het geheel genomen wel een voorstander van hosted security. “Je moet jezelf afvragen wat je wilt bereiken, wat er van cruciaal belang is voor jouw bedrijf op het gebied van security.”
Een manier om dit vrij simpel in kaart te brengen is om een scheiding aan te brengen tussen het “source informatie domein en het “beveiligde informatie domein”. Als er stricte scheiding aangebracht wordt tussen beide domeinen voor alle resources (dus bijvoorbeeld ICT resources maar ook Human Resources) dan is het domein waarin alleen beveiligde informatie te vinden is uit te besteden. En in dit domein is een goede verdediging tegen spam, virussen, wormen en het andere gespuis zeer goed mogelijk. Dan wordt hosted security ook goed mogelijk, zelfs voor een bank.
“Beveiliging kan uit handen”
Het eerste wat ik hierbij denk is” yeah right up my a**!. Security begint bij bewustzijn van de huidige gevaren die er zijn in de ictbusiness. Keep your friends close and your enemies closer.. een wijze raad van de Maffia.
“Professionalisering van cybercrime…”
kuch. kuch.. De grootste criminelen zitten in de USA en werken dagelijk aan de voltooiing van dit systeem..
http://home.wanadoo.nl/henryv/lucid.html
Met steun van jouw lokale overheid, ISP , en anti-privacy wetten die door je strot gedrukt worden onder het mom van terrorisme.
Vergeet niet – collegas – dat Het Internet is uitgevonden door DARPA – om de US Forces in tijde van oorlog te kunnen laten communiceren. You bet your ass.. dat ze er stevig de controle over zullen houden, en ze zijn in staat alles te hacken wat jij als bedrijf online zet. Of het nu op een technische wijze gaat, of via een anti-privacywet (onder terrorisme dreiging). Met of zonder hulp van – door fabrikanten ingebouwde backdoors in alle online produckten, ja zelfs jouw company firewall. Of ben je de inhoud van de film “The Net” alweer vergeten (Janus Browser, Guardian,?)
De vraag is dus of jij als CEO van je company al zo bewust bent, dat je it uberhaupt weet??? Nee he? 😉
“Het feit dat security te veel deskundigheid vergt” geeft in mijn ogen aan dat bepaalde producten en zaken in de ict:
– door en door rot zijn
– te complex GEMAAKT zijn door fabrikanten
zodat je weer afhankelijk blijft van hen
“Geld en gemak”
Als je maar genoeg geld hebt en vertrouwen stelt in andere veiligheidsleveranciers dan komt het wel goed. Niet dus! In mijn ogen is security is een hoax, mythe, een farce, een inhoudsloze wolk, zolang je als sys-op niet beschikt over de source (en het verstand) van je programma. Vertrouwen is goed, totale controle is beter :-).
“Voor je gezondheid ga je ook naar een deskundige, dat doe je niet even zelf”
Dit is er – in mijn ogen – nu zo door en door rot aan deze wereld waarin we leven. Je word als mens of ict security klant bewust DOM gehouden
http://www.johntaylorgatto.com/underground/toc1.htm
over het grootste goed dat je als mens bezet. Alle kennis staat encrypted in het Latijn (waarom zou dat toch zijn??) en zo blijf ja afhankelijk, en manipuleerbaar van een doktoren, ziekenhuizen, specialisten en de pharmaceutishe maffia.. een ander dus. Herken je hier het patroon??? No Way hosee 😉
“Opletten”
Security zo in iedere bedrijfskern – by default – geimplementeerd moeten zijn. Anders gaat een ander er met jouw idee-en en profit van door. Herinnert u zich nog het Echelon-afluister-schandaal van USA en Boeing ten koste van Airbus orders?
Wat zou jij ervan vinden als je Google – company – documents, intranet, web-sharing-portal gehackt zouden worden door je concurrent?…
“Tot Slot”
Waar door deze zgn. “Forrester Researcher” aan voorbij gegaan word, zijn – in mijn ogen – de fundamentele basic security vragen (dit niemand stelt!) van:
1 – Hoe kan het dat mijn operatings system het MOGELIJK MAAKT dat er virussen rondwaren.
2 – Welke GATEN, LEKKEn zitten er in mijn huidige software en ontwikkeltools, die trojans, spyware, malware uberhaupt de kans geven?
3 – Waarom zijn de meeste company ictgebruiker zo ON-OPGELEID dat social enginering, phising, spoofing nog steeds kans van slagen heeft?
En idd “het simpelweg aanschaffen van een softwarepakket” biedt geen beveiliging.
– bewustzijn en blijven,
– investeren in opleiding van je eigen personeel,
– alles zelf binnenshuis houden…
Das een start.. Security.. Het is en blijft mensenwerk
Een bank bewaart toch ook niet haar goud en geld voorraad bij de opslagruimte – leverancier op de hoek??
Het Leger zet haar tanks en vliegtuigen toch ook niet op het parkeerterrein van binnenlandse zaken?
Waarom zou jij dan wel je belangrijkste company – ict assest uit handen geven? Think outside of the box 😉
Mijn advies:
Geef nooit de security_controle weg over iets waar je belangrijkste company-assest is.
Sleep well
@R.Vermeij
The Truth is out there!! (X-files deuntje op de achtergrond)
In reactie op het artikel vind ik “hosted security” erg vreemd klinken. Security is niet een primair product. Een dienstverlening wel..
“Outsourced security” of “hosted secure services” klinkt al veel minder dubieus.
@Ted Kraan
Uit ervaring sprekend kan ik grotendeels met de reactie van Ted Kraan meegaan. We hebben als End-Users van “Netwerk functionaliteit” (inclusief Servers, Routers, Switches, (Optische) Datalijnen) in principe niets te maken met deze netwerk functionaliteit, inclusief het beheer. Voor het netwerk is de term “Hosted Security Services” dus wel toepasselijk. Zie bijvoorbeeld het Surfnet voor Nederland als voorbeeld.
Een presentatie en achtergrond informatie van een operationeel systeem wat we gebruiken, waarin we voor alle resources een strikte scheiding hebben aangebracht tussen het “source informatie domein” (end-user functionaliteit) en het “beveiligde informatie domein” (netwerk functionaliteit) is te bekijken op http://picasweb.google.com/freemovequantumexchange
@Ted.. Heerlijk deuntje… Every step of the way!