In de security-wereld is software-as-a-service (SaaS) allang geen hype meer. De bedreigingen volgen elkaar zo snel op dat het traditionele model niet langer houdbaar was. De afgelopen jaren hebben leveranciers hun scanners omgevormd naar online diensten. Via speciale portals kunnen resellers daar nu op inhaken.
Volgens Peter Bastiaansen, F-Secure’s isp-manager voor de Benelux, is de huidige belangstelling voor SaaS niet toevallig. "Enerzijds is er grote bandbreedte beschikbaar. Die is inmiddels standaard onder de eindgebruikers. Daarmee is de technische infrastructuur geschikt voor zulke toepassingen. Anderzijds is de markt onzeker. Schaalbare oplossingen geven de gebruiker meer flexibiliteit. Die hoeft nu niet meer vooraf een licentie voor één, twee of drie jaar te kopen en die direct te betalen."
Dat klanten die flexibiliteit gebruiken om in slechte tijden af te haken, ziet Bastiaansen niet zo gauw gebeuren. "Als je de klant tevreden houdt, duurt die relatie juist langer. Eindgebruikers willen gemak en snelheid. Het moet niet te technisch zijn, maar wel zijn werk doen. En het mag niet te duur zijn. Dat kan met SaaS, omdat er minder intern afgestemd hoeft te worden en omdat er minder resources nodig zin. Bedreigingen ontwikkelen zich bovendien zo snel dat veel eindgebruikers die niet meer kunnen of willen bijhouden. Zij zoeken de oplossing in een dienst."
Miljoenen eindgebruikers
Voor F-Secure zelf is SaaS geen nieuwe ontwikkeling. "Wij hebben dat al een aantal jaren in ons portfolio", vertelt Bastiaansen. "We richten ons van oudsher sterk op de isp’s (internet service providers). Wereldwijd zijn er nu 180 klant bij ons. Hier in Nederland hebben we alle grote namen. Op dit moment komt al 46 procent van onze omzet uit SaaS. Dat is heel veel ten opzichte van andere security-leveranciers. We hebben al miljoenen eindgebruikers. Via het traditionele resellerkanaal leveren we die oplossing nu ook aan kleinzakelijke klanten, mobiele gebruikers en consumenten. Wij bieden een geautomatiseerd systeem aan. De distributeur of reseller kan daar dan een dienst van maken."
Noodzakelijk kwaad
Hoewel je kunt beweren dat SaaS de relatie tussen leverancier en eindgebruiker versterkt, en daarmee het kanaal buitenspel zet, ziet Bastiaansen de verhoudingen juist meer van de leverancier naar het kanaal verschuiven. "Veel leveranciers verkopen hun dienst ook direct. Dan kan dat inderdaad ten koste van het kanaal gaan. Dat geldt zeker voor de distributeur."
"Wij bieden onze dienst echter ‘gebrand’ aan. Goed voorbeeld daarvan is Westcon Security. Zij verkopen die dienst onder hun eigen naam, powered by F-Secure. Voor grote resellers bestaat de mogelijkheid tot rebranding. Andere kunnen zelf een model kiezen. Sommige partijen kiezen voor een jaarabonnement, andere verkopen een doorlopende dienst die per maand opzegbaar is."
Volgens Bastiaansen is de overstap naar een nieuw model voor de eindgebruiker geen probleem. "Er is absoluut een doelgroep die security wil uitbesteden. De reseller zorgt dan voor de installatie, het instellen van de policies, de rapportages en de cleaning. Het toverwoord is focus. Kleine organisaties willen zich bezighouden met datgene waar ze goed in zijn. Voor hen is beveiliging vaak een noodzakelijk kwaad."
Malware
Ook voor Trend Micro is SaaS meer dan alleen een hype. Deze leverancier heeft de afgelopen jaren zijn complete productportfolio omgegooid. "Wij zagen dat de hele beveiligingsindustrie in een zodanige stroomversnelling kwam dat het heel lastig was om het op de ouderwetse manier te blijven doen", aldus de directeur voor de Benelux, Patrick Dalvinck. "Twintig jaar geleden kwamen er tweeduizend nieuwe bedreigingen per jaar bij. Dat waren toen voornamelijk virussen. Twee jaar geleden waren dat er tussen de twee- en driehonderdduizend. En dit jaar verwachten we op 15 miljoen uit te komen. Bovendien is malware nu veel breder en complexer. Twee, drie jaar geleden was het vooral spam. Nu worden gebruikers getriggerd om een webpagina te openen. Ze worden dan omgeleid naar een nepsite en geïnfecteerd met een heel klein stukje software. Omdat dat programmaatje zelf niets bijzonders doet, is het heel lastig te detecteren."
Dalvinck vindt dat de industrie de zaken anders moet aanpakken. "Er zijn collega’s die hun klanten tot tweehonderd updates per dag aanbieden. Als je duizenden of tienduizenden systemen moet beheren, en je wilt die testen, proefdraaien en uitrollen, dan is dat onbegonnen werk. Wij hebben de afgelopen jaren in een aantal datacenters geïnvesteerd, bij elkaar voor meer dan 100 miljoen dollar. Daar verzamelen we zelf zo veel mogelijk malware-informatie. We beheren een mail reputation database waarin we van alle mail- en ip-adressen de betrouwbaarheid bijhouden. Sinds begin vorig jaar doen we hetzelfde voor websites. En dit jaar zijn we begonnen met afzonderlijke bestanden. Al onze producten maken gebruik van dit Smart Protection Network. Zo’n 85 procent van de cleaning & screening gebeurt nu in de cloud." Daarvoor wordt gebruik gemaakt van dezelfde DNS-technologie die we al kennen van blacklisting-netwerken als Spamhaus en SpamCop. "Maar wij doen ook whitelisting."
Cloud-client model
Trend Micro verkoopt dan ook niet langer softwarelicenties met updates van de signature-database, maar abonnementen op de functionaliteit van de cloud. "We spreken van het cloud-client model", zegt Dalvinck. "Het is niet zo dat we de client niet meer nodig hebben. Elke gebruiker wordt immers een actieve sensor van het netwerk; zij voeden die achterliggende database."
Dalvinck verzekert echter dat er voor het kanaal niets veranderd is. "Voor ons is SaaS alleen een andere manier om onze diensten bij de klant te krijgen. Wij doen niets zonder het kanaal. De reseller verkocht voorheen een pakketje en daarna alleen renewals, maar nu heeft hij een continue stroom van inkomsten uit abonnementen. Zelfs een volledig gehoste oplossing moet nog steeds verkocht, geïnstalleerd en onderhouden worden. Het opstellen van de policies en instellingen gebeurt nu via een webinterface."
Datzelfde geldt volgens Dalvinck ook voor de virtuele appliances, softwarepakketten die in de vorm van een virtuele machine compleet met een gestript operating system aan de man worden gebracht. "Wij doen zelf geen hardware meer, alleen nog maar software. Maar de reseller verkoopt nog steeds het systeem waarop die virtuele appliance moet draaien."
Daarnaast bestaat de mogelijkheid om de cloud services van Trend Micro als white label af te nemen. "Dat spreekt niet elke reseller aan en ook voor ons is dit een nieuw model. Inmiddels zijn er tien resellers die op deze manier werken. Hier in Nederland fungeert 4Sure.IT als distributeur."
SaaS-programma
Westcon is een jaar of zes geleden al begonnen met wat toen managed services heette, vertelt Han Goossens, vp Services bij Westcon. Over de kans dat de distributeur er uiteindelijk tussenuit zal vallen, maakt hij zich dan ook geen zorgen. "Wij deden vroeger inderdaad de hosting van de applicaties. Dat doen de leveranciers nu zelf. Maar zij hebben ons nodig omdat ze zelf geen echt SaaS-programma aanbieden waarmee ze de reseller kunnen faciliteren."
Volgens Goossens gaan veel leveranciers direct met SaaS. "Voorbeeld daarvan is de overname van MessageLabs door Symantec. Die verkopen direct. Of leveranciers richten zich in eerste instantie op de service providers. Dat doen ze echter nog niet voor de klassieke reseller. Wij bouwen een interface en modules voor elke leverancier, om de orders van de resellers te kunnen verwerken. Elke leverancier heeft immers een ander aanbod. Als distributeur bieden wij de mogelijkheid om online te bestellen, SLA’s op te stellen en roi-berekeningen te maken. Wij bieden de backoffice-processen om de SaaS-dienst te kunnen leveren." Leveranciers zijn volgens hem nog lang niet zover dat ze resellers een complete portal aan kunnen bieden. "Wij regelen de transacties van business partners, de xml-uitwisseling, de licentiecodes, door de hele keten heen. Vroeger namen we de hosting voor onze rekening; nu doen we de business process alignment."
Lef
Net als de andere gesprekspartners is ook Goossens van mening dat een flexibeler aanbod de mogelijkheid biedt om klanten juist vast te houden in een teruglopende economie. "SaaS biedt technische voordelen: wel het gemak maar niet de zorgen. 94 procent van alle mail bestaat op dit moment uit spam. Dat soort verkeer wil je niet eens op je systemen en je netwerken binnenkrijgen. Je wilt dat al in de cloud laten cleanen. Voor een vast bedrag per maand kun je dat aan een specialist uitbesteden, waarbij de SLA je garanties geeft ten aanzien van de beschikbaarheid. Als je elk kwartaal kunt opgeven hoeveel gebruikers je hebt, dan is er voor de eindklant geen reden meer om een investering uit te stellen. Vooral aan de bovenkant van de markt liggen CAPEX-beslissingen moeilijk (capital expenditures of CAPEX staat voor de kosten voor ontwikkeling of levering van niet-verbruikbare onderdelen van een product of systeem, red.). Daar moet dan een commissie naar kijken, met het risico dat zij de investeringen stilleggen. Nu je security als OPEX (operating expenditures)-dienst kunt afnemen en daar niet op hoeft af te schrijven, heeft men daar veel minder moeite mee."
SaaS biedt volgens Goossens dan ook meer kansen dan bedreigingen. "Het vraagt wel creativiteit van de resellers. Zij moeten het lef hebben om dit aan te bieden. Onze partners doen dat heel goed. Zij combineren deze diensten onder hun eigen merk met andere producten. Zo leveren zij een best-of-breed-oplossing voor hun specifieke doelgroep." Uiteindelijk zullen resellers ook niet anders meer kunnen. "Je ziet nu al dat de prijzen van de traditionele oplossingen disproportioneel zijn ten opzichte van SaaS. SaaS biedt resellers de mogelijkheid zich te onderscheiden. Bij de verkoop van licenties waren zij meestal verplicht de support tegelijkertijd af te nemen. Nu kunnen ze de eerstelijns-support weer zelf gaan doen. We zijn op dit moment samen met de leveranciers bezig om op basis van onze portal zulke programma’s op te stellen. Resellers kunnen daarbij instappen zonder grote uitgaven te doen."
