‘Het netwerkverkeer is nu volledig inzichtelijk’

Ellips-Still-Frame-116

Ellips implementeert Firebox-appliances en AuthPoint van WatchGuard

Ellips levert software voor de inspectie van groente en fruit. Dat is het kroonjuweel van het bedrijf. “Dan wil je precies weten wie daar toegang toe heeft”, zegt Sander van de Plas, IT Manager bij Ellips. Voor het verkrijgen van dat inzicht installeerde Ellips enkele security-appliances van WatchGuard Technologies.

Of het nu gaat om snackkomkommertjes van de Lidl, appeltjes van de Jumbo of Klasse A-spruitjes, grote kans dat ze zijn geïnspecteerd met de software van het Nederlandse Ellips. “We beoordelen 21 soorten groenten en fruit op zowel de externe als interne kwaliteit”, vertelt Van de Plas. “We kijken naar de kleur, afmetingen en het gewicht, maar ook of bijvoorbeeld een appel niet te zacht is van binnen.” Zelfs de steeltjes ontkomen niet aan een controle. “Het gaat vrij ver.”

Ellips uit Eindhoven levert zijn software en camera’s aan machinebouwers en boeren wereldwijd. Die plaatsen de hard- en software op bijvoorbeeld sorteermachines en landbouwvoertuigen. “Wij leveren onder andere de software die we zelf ontwikkelen, de licenties en de software-updates.” Netwerkbeveiliging is daarbij erg belangrijk. “We willen natuurlijk niet dat die software illegaal wordt gedownload, of dat exploits vat krijgen op onze licentieserver die via het internet is te benaderen.”

Inzicht ontbrak

“We willen weten wie toegang heeft tot onze netwerken, vanaf welke locatie en wanneer”, vervolgt Van de Plas. Precies aan dat inzicht ontbrak het. “We hadden acht routers staan met daartussen verschillende netwerken, zonder inzicht in het verkeer dat via die routers ging of inzicht in het internetgebruik en wat er zich tussen de netwerken afspeelde.”

“We konden totaal niet zien wat er gebeurde”, zo vat de IT Manager van Ellips de situatie samen. Netwerkinstabiliteit en verschillende security-incidenten waren het gevolg. “Zo was op een router op een externe locatie recent een exploit actief die gebruikers wilde besmetten met een cryptominer voor het delven van Ethereum-munten. Dat zorgde weer voor een trage internetverbinding. Werken via die router was bijna niet mogelijk.”

Degelijke firewall

Nog voordat dit incident plaatvond, had Ellips een externe partij ingeschakeld voor het uitvoeren van een security-assessment. Uit dit beveiligings­onderzoek bleek dat zowel de security als de compliance met wet- en regelgeving ondermaats waren. De aanbeveling in het rapport was volgens Van de Plas duidelijk. “Ga maar eens op zoek naar een degelijke firewall.”

Dat werd de WatchGuard Firebox M470, aangevuld met een WatchGuard Firebox M270 voor het Amerikaanse deel van het netwerk. Daarnaast installeerde Ellips nog twee ‘tabletop appliances’: de WatchGuard Firebox T35 en T55. Van de Plas: “We hebben voor de Total Security Suite gekozen met daarin alle opties. De Firebox-systemen bieden ons naast een firewall ook zaken als DNS-security, applicatiebeveiliging en antispam.”

De geboden prijs-prestatieverhouding was voor Ellips een belangrijke reden om voor WatchGuard Technologies te kiezen. Het bedrijf uit Eindhoven heeft nu een ‘high availability’-cluster waarin een tweede firewall altijd in een actieve stand-bymodus staat. “Bij een andere leverancier waren we daarvoor veel meer geld kwijt geweest”, weet Van de Plas.

Multifactorauthenticatie

Maar volgens Van de Plas was er nog een andere belangrijke reden om voor WatchGuard te kiezen. “WatchGuard kon ons ook AuthPoint leveren, een cloudgebaseerde oplossing voor multifactorauthenticatie. We gebruiken deze oplossing voor de medewerkers die veel op reis zijn. Bij diefstal of verlies van een laptop wil je niet dat bijvoorbeeld de software van Ellips toegankelijk is voor onbevoegden.”

AuthPoint beveiligt die toegang met een extra inlogmiddel naast gebruikersnaam en wachtwoord. De gebruiker ontvangt die ‘tweede factor’ via de speciale AuthPoint-app (zie ook het kader).

Die app maakt onder andere gebruik van pushmeldingen, eenmalige wachtwoorden of QR-codes voor degenen zonder internetverbinding.

Volledig inzichtelijk

De implementatie van de nieuwe WatchGuard-omgeving verliep volgens Van de Plas vlekkeloos. “Samen met onze partner COM4 Automatisering hebben we de firewalls in twee weken tijd geïmplementeerd. Daarna moesten we nog veertien firewallregels aanpas­sen, dus dat viel erg mee. WatchGuard had onze medewerkers al voorbereid op de nieuwe beveiligingsoplossing.”

Ellips Still Frame-107

De eerste ervaringen van Ellips met de nieuwe Fireboxes van WatchGuard zijn erg positief. “We hebben nu bijvoorbeeld inzicht in hoe vaak onze licentieserver wordt gescand op internet en hoeveel hackpogingen er plaatsvinden. Het verkeer dat over onze netwerken loopt, is volledig inzichtelijk. En daar was het ons allemaal om te doen.”

MFA voor het mkb

Vooral binnen het mkb is multifactorauthenticatie (MFA) nog geen gemeengoed. Terwijl keer op keer blijkt dat de traditionele manier van inloggen niet meer voldoet in de digitale economie. Cybercriminelen passen allerlei social engineering-trucs toe om inloggegevens te verkrijgen. Regelmatig komen miljoenen gebruikersnamen en wachtwoorden op straat te liggen na een hack.

Met een extra authenticatiefactor kunnen organisaties de risico’s fors verkleinen. “MFA is dus een cruciaal onderdeel van elke securitystrategie”, stelt Martijn Nielen, senior sales engineer bij WatchGuard Technologies. “Maar deze technologie was lange tijd alleen toegankelijk voor grote bedrijven. De hoge kosten, complexe integratieprocessen en beheerissues vormden een belangrijk obstakel voor kleinere organisaties.”

AuthPoint maakt een einde aan deze tweedeling. “Elke organisatie is tegenwoordig een potentieel doelwit. Wij vinden het oneerlijk dat alleen de kapitaalkrachtigste bedrijven kunnen beschikken over security van topniveau. Daarom is AuthPoint niet alleen eenvoudig in beheer en gebruik, maar ook zeer betaalbaar.”