Splashtop MSP 咨询委员会对安全性的洞察

Splashtop 安全洞察

Splashtop 与 MSP 的对话:关于远程支持、安全性和不断变化的 IT 格局

Splashtop 和管理服务提供商(MSP)拥有共同的重大目标和同样的业务核心:出色的远程支持工具。

据估计,美国现有30,000个 MSP 使用 Splashtop Remote Support 或 Splashtop SOS 软件来管理和监控端点设备,并为其客户提供远程 IT 和帮助台支持。一直以来,Splashtop 依赖于少数 MSP 掌握的专业知识,这些 MSP 根据自己的远程支持需求为我们提供了宝贵的反馈。

为了帮助我们进一步与 MSP 保持同步,我们决定正式与一些 MSP 客户建立合作关系,因此我们成立了 MSP 咨询委员会。该委员会旨在帮助我们及时了解 MSP 的挑战、洞察和想法,以便我们更好地为这个重要市场提供服务。

最近,我们与 MSP 咨询委员会的成员讨论了一系列主题,包括安全性、VPN 在其客户操作中的作用、新冠疫情对其业务的影响等。参与讨论的咨询委员会成员包括:

  • HCS Technology Group 的总裁兼首席执行官 Craig Cohen。HCS 专门为使用 Apple 系统的客户提供 IT 项目管理和支持。
  • goCloudOffice 的联合创始人兼首席执行官 Ralph Joedicke。goCloudOffice 与100人及以下的小型企业合作,比如律师事务所、生物技术、软件和金融服务公司,其中律师事务所是其合作企业的重点。
  • Jones IT 的首席执行官 Evan Jones。JonesIT 的客户主要包括在旧金山湾区拥有50-250个用户的科技创业公司、SaaS 公司以及其他由风投支持的公司。
  • Rhino Network Solutions 的总裁兼首席执行官 Ramin Keyvan。Rhino 是一家提供全方位服务的 IT 咨询公司,其客户遍及各个行业,比如医疗机构、医学院、软件开发商、汽车修理厂等。
  • TenisiTech 的首席执行官 Sarah Tenisi。TenisiTech 将其 IT 服务视为战略性全局服务,而不是细枝末节的具体服务,其客户超过50家企业,这些企业大多都是拥有100-500名员工的大型企业。
  • Fast Break Tech 的总裁兼创始人 Steven Walker。Fast Break 客户规模2到100人不等,包括医疗机构、注册会计师、律师、协会、非营利组织等。

Splashtop MSP 咨询委员会的问答

以下是 Splashtop 与 MSP 咨询委员会成员的对话中的精选部分。

Splashtop:远程支持一直是您开展业务的重要组成部分。但是,新冠疫情带来的种种限制是否影响了您或您的客户在过去一年的经营方式?

Craig Cohen:新冠疫情的发生确实令许多客户感到意外。比如我们的客户 K-12,他们感觉就像天塌了一样,因为他们必须立即开始远程学习。但即便如此,新冠疫情也不过是让已制定的计划提前得到落实。他们原本计划在2年内完成的工作,现在却从头到尾、从启动到执行只用了4天时间。

Ramin Keyvan:新冠疫情封城后的前两周,我们的业务死气沉沉。甚至有点令人毛骨悚然。后来大家都幡然醒悟,开始意识到,此时此刻我们仍然可以做些什么。然后出乎意料的事情开始发生了。我们需要为客户提供解决方案,让他们能够在100个不同的地方像之前一样正常工作。

Ralph Joedicke:远程工作对我们而言并不新鲜,因为 goCloudOffice 业务的初衷是成为小型企业的“云端办公室”。但是新冠疫情让许多客户的工作方式发生了转变。他们不得不开始远程办公,以这种方式了解到了云端办公的优势。新冠疫情爆发时,Splashtop 远程访问让我们的许多客户没有受到太大影响。这一点太宝贵了。

Steven Walker:对于我们服务的半数公司而言,新冠疫情带来的影响并不重要,因为这些公司已经为远程工作做好了准备。但还有一半公司没做任何准备。比如,以传统方式进行医疗付费的公司面临更多挑战,但所有问题我们已经解决了。

Sarah Tenisi:对于在云端刚刚创业不久的客户来说,新冠疫情并不算什么。我们的许多非营利客户只使用台式计算机,他们需要加急订购一批笔记本电脑,从而让员工能够居家办公。不过,这确实迫使他们完成了转型,而这一转型是无论如何他们都要尽早完成的工作。再加上使用了合适的技术工具,我们所有的客户才能够让自身的业务保持正常运转。

Evan Jones:与新冠疫情发生前相比,我们现在提供支持的方式并没有太多不同。一定要说区别的话,那就是我们的客户更加关注终端设备的安全性,因为所有员工都是居家办公,都在使用自己的计算机和服务器。

Splashtop:最近有很多备受关注的数据泄露和其他 IT 安全问题相关新闻。客户的主要安全问题是什么?如何帮助他们提高安全性?

Craig Cohen:有时,客户在头条新闻上看到一些重大安全漏洞后会与我们联系。但是大多数情况下,是我们作为 MSP 会主动向客户指出他们在安全方面需要做些什么。

Sarah Tenisi:IT 是大家高度信任的领域,所以如果我们想要与客户建立融洽的关系,这可能需要一年的时间,这样一来客户往往愿意交出控制权并授权我们处理安全性相关问题。这表明我们成为了客户业务的安全部门。

Evan Jones:勒索软件是安全领域的热门话题,因为这一软件的危害性最大。一旦某台计算机遭到勒索软件的攻击,那么工作区内的所有计算机都会处于危险当中,这时人们才会认真对待安全问题。但是,向我们咨询安全性问题的客户依然不多。

Steven Walker:为居家办公的人提供安全保障非常困难,尤其是家里有孩子或其他人使用同一台电脑的情况就更是难办了。如果电子邮件没有设置双重身份验证,那就很容易遭受网络钓鱼的攻击,从而被勒索软件攻击或被欺诈。

Ramin Keyvan:在过去,我们的主要信息是备份数据。现在,勒索软件之类的东西数量庞大,企业必须关注网络安全问题。对于许多企业而言,这是个非常棘手的问题。客户常常告诉我们,“我有项安全业务要处理”。

Splashtop: 在安全专家和企业 IT 专业人员中,当前的安全防护模式被称为“零信任”,即不要相信您当前的安全做法和安全协议真的有效,而应该持续验证、重新授权和检查所有内容。换句话说:持续验证,永不信任。您的客户知道零信任吗?

Ramin Keyvan:可以随心所欲使用电脑的日子已经一去不复返了。零信任原则非常重要。但是我们的大多数客户都不熟悉这个原则。我们不得不通过多次对话来向客户解释。我们必须说服他们,让他们不要相信自己在网上阅读的内容。这样做确实会让人从心理上产生抵触。我们的回答是,是的,这样做的确很令人讨厌也很麻烦,但是如果您不注意,您可能会丢掉自己的生意。

Evan Jones:我们的客户一般都不熟悉零信任安全防护观念。我们通常将这一观念解释为“与过去的情况相反”,也就是说,不要认为可以连接到公司局域网的所有设备都是因为获得了授权,而应该持续授权重新建立访问、重新对设备和用户进行身份验证。

Ralph Joedicke:我们的小型企业客户不了解零信任原则。零信任原则的正确执行代价很高,并且会影响性能。我们使用监控技术来提高客户的安全性,客户需要承担的成本也非常低。你要在严格执行零信任原则和性能之间找到平衡。做点力所能及的事要比袖手旁观好得多。

Craig Cohen:零信任原则就像涓滴经济。预算充足的大型公司以及那些绝对需要安全运营的公司,都希望采用零信任原则。最终,大客户的智慧将一滴一滴流入小客户,尤其当大公司把安全合规性作为与他们开展业务的硬性要求时更是如此。但是现在,小型公司还没意识到自己对零信任原则一无所知。

Sarah Tenisi:我们的客户不知道什么是零信任。IT 人员面临的问题是,他们不知道在跟客户解释时该如何避免行话。我们与客户讨论零信任原则,但却不会提到这个术语,而是直接谈论不采用这一原则的后果和缺点。

Splashtop: 对于整个行业,特别是远程支持提供商而言,采取什么措施可以使您和您的客户更轻松、更有效地确保安全性?

Ramin Keyvan:我希望有一种方法可以阻止人们点击电子邮件或网页链接。希望他们在点击之前可以三思,或直接联系我们。提供真实信息并确保这些信息在营销宣传中不会丢失,这一点至关重要。还有一点也很重要,所有提供商都必须拥有一个经过安全验证和认证的后端系统,比如 Splashtop 的 SOC 2合规性。而且 Splashtop 具有双重身份验证,并且每6个月强制用户更改密码,我非常喜欢这两个功能。

Evan Jones:我们非常感谢远程支持人员和其他供应商准确地公布了他们为安全性所做的工作,因此我们可以尝试找出漏洞并帮助修复漏洞。当然,没什么是100%安全的,但重要的是,公司可以披露自己遇到的任何违规行为并提出补救措施。开放的交流和即时的响应很重要。安全性原则透明化也很关键。通过隐匿实现安全性是行不通的。

Sarah Tenisi:我来说一说我们采取的相关措施。多年以来,我们一直恳求客户进行多因素身份验证,然而其中有些客户总是忽略我们的请求,从而成为网络钓鱼诈骗和勒索软件的牺牲品,我们现在想说的是,要么进行多因素身份验证并及时更新安全防护软件,否则我们不适合您。

Craig Cohen:对于我们的许多客户,比如医疗机构、制药公司等来说,合规性都是一大难题。远程支持提供商需要确保他们支持所有主要的安全和数据隐私合规性方案,比如 HIPAA、SOC 2、ISO 和 GDPR。

Splashtop: 在一二十年前,VPN(虚拟专用网络)是让公司员工实现远程办公的首选方法。如今,许多公司仍然认为 VPN 是远程工作的必要条件。您的客户端中 VPN 的使用状况如何?您如何看待当今的 VPN 技术?

Ralph Joedicke:我们不建议您将 VPN 作为常规设置。仅在非常特殊的情况下才需要如此,例如美国员工在国外旅行或工作时。我们在金融服务行业的一位客户移居墨西哥。为了满足行业法规,她必须证明自己正在使用位于美国的 IP 地址进行工作,这种情况需要设置 VPN。但是,除此之外,没有充分的商业理由要让任何小型企业都使用 VPN。

Ramin Keyvan:经常有人问我们客户居家办公时是否需要 VPN。我们的回答是:“是否对 VPN 有业务需求或合规性要求?”我们从事房贷业务的一位客户当时使用防火墙支持的 VPN,后来开始使用 Splashtop 进行远程访问,发现 Splashtop 使用起来更容易。对我们来说,对客户进行培训也更加简单。我们不用跟客户讨论设置和使用 VPN 所需的多个步骤。

Craig Cohen:VPN 是 BYOD(自带设备)人群面临的一个问题,现在越来越多的人选择居家办公,BYOD 也越来越普遍。即使有密码保护,您也不能阻止用户在企业 VPN 中使用的设备上进行下载或个性化设置,尽管对于较大的公司而言,有一些基于服务的 VPN 被更广泛地采用。

Steven Walker:是否需要 VPN 取决于客户端使用哪些本地数据库应用程序。通过使用双重身份验证并且不保存其密码的方式,可以让在 VPN 中使用远程设备更安全。任何 BYOD 设备访问公司 VPN 都需要强大的防病毒端点。

Evan Jones:许多客户问:“我需要使用 VPN 吗?”其实他们不知道 VPN 是什么,但听说有了 VPN 才能让员工远程办公。VPN 是我们最大的麻烦之一。它总是出现问题,很容易断开连接,让我们更难监控客户系统的安全性,我们发现如果客户可以不使用 VPN 我们会更加快乐。

Sarah Tenisi:我们的一些客户端仍然需要 VPN,特别是依赖传统应用程序的客户,因为这些应用程序现在还不能在云端使用。

Splashtop: 好的,接下来请回答几个有关 Splashtop 的问题。您为什么选择 Splashtop 作为您的远程支持工具?使用我们的产品感觉如何?

Ramin Keyvan:我是通过一个客户发现的 Splashtop,该客户也在圣何塞,就在 Splashtop 办公楼的对面。我记得当时自己心里在想:“听起来挺不错的。”几年后,一个 MSP 同事兼好友问我是否正在使用 Splashtop。于是,我联系了 Splashtop,试用了一下,现在我的所有客户都在使用 Splashtop 远程支持。Splashtop 具有大型远程访问提供商的所有功能,而且成本非常低。此外,Splashtop 的技术支持更完善。人们要是发现了好的东西,就一定会坚持使用下去。

Evan Jones:对于如何改进 Splashtop 的远程支持,我没有太多建议。但是公司愿意听取我们对新功能的看法,我感到很开心。

Sarah Tenisi:一开始我们将 Splashtop 用作 NinjaRMM(远程监控和管理)系统的一部分。但是我们了解到 Splashtop 现在可以完成许多我们认为只有 RMM 才能完成的工作,所以我们打算申请 Splashtop 试用许可,把它作为独立产品使用。

Craig Cohen:Splashtop 可以代替我们正在使用的 RMM 和其他远程支持工具。我们非常喜欢 Splashtop 与 IT 人员积极互动的方式。他们告诉我们:“我们知道自己哪方面做的比较好,但请告诉我们怎样才能做得更好”,然后他们会改进。他们关注我们如何使用他们的产品。支持是他们文化的一部分。

Steven Walker:一开始我们在一家脊椎按摩所遇到了 Splashtop,这家按摩所成为了 Splashtop 的客户。按摩所通过 Splashtop 让医生登录治疗室的电视机并查看已显示的患者记录。这一过程可为每位患者节省几分钟的时间。现在我们是 Splashtop 的忠实粉丝。Splashtop SOS 是有史以来最好的工具!

Splashtop: 谢谢大家百忙之中抽时间参与这次对话。这次对话非常有趣。再次感谢大家,感谢你们作为 Splashtop MSP 咨询委员会的一员所付出的努力。


您还可能可能对以下方面感兴趣:

博客底部的免费试用横幅