Je beveiligingsdashboard toont 99,7% geblokkeerde bedreigingen. Indrukwekkend aantal. Maar hoe zit het met die andere 0,3%? In een organisatie met duizenden webverzoeken per dag betekent dat kleine percentage dat er tientallen potentiële incidenten doorheen glippen.
Traditionele Secure Web Gateway (SWG) statistieken werden ontworpen voor een eenvoudigere tijd. Verkeer stroomde door een centrale gateway, bedreigingen hadden herkenbare handtekeningen en het blokkeren van bekende slechte sites was voldoende. Die wereld is voorbij. Aanvallers gebruiken nu polymorfe malware, hosten payloads op legitieme cloudservices en zetten domeinen op die uren blijven bestaan voordat ze verdwijnen.
De metingen die tien jaar geleden zinvol waren, geven nu een vals gevoel van veiligheid. Deze gids legt uit welke metingen u daadwerkelijk iets nuttigs vertellen over uw webbeveiligingsbeleid.
Het probleem met blokkeringen
Beveiligingsleveranciers zijn dol op blockrate-statistieken. Marketingmateriaal belooft 99,9% detectie tegen bekende malware. Onafhankelijke tests meten hoeveel monsters van een malwarezoo worden gevangen. Deze cijfers zien er geruststellend uit in een presentatie.
Ze weerspiegelen de werkelijkheid niet.
Blockrates meten de prestaties ten opzichte van de bedreigingen van gisteren. Wanneer een nieuwe phishingsite wordt gelanceerd, heeft deze geen reputatie. Wanneer malware opnieuw wordt verpakt met andere code, mist detectie op basis van hash deze. Wanneer aanvallers command-and-control verkeer verbergen in legitieme cloudservices, kan domeinfiltering niet helpen zonder de productiviteit te verstoren.
De wiskunde is wreed. Een detectiepercentage van 99,5% klinkt uitstekend, totdat je berekent wat dit op schaal betekent. Een organisatie die 100.000 webverzoeken per dag genereert, ziet 500 mogelijk schadelijke verzoeken onopgemerkt passeren. Elke dag opnieuw.
En dan hebben we het nog niet eens over het detectiegat voor echt nieuwe bedreigingen. Zero-day exploits hebben per definitie geen handtekening. Zeer gerichte aanvallen worden speciaal ontworpen om de filters die uw organisatie gebruikt te omzeilen. De bedreigingen die het belangrijkst zijn, zijn precies de bedreigingen die blockrates niet kunnen meten.
Valse positieven: de verborgen kosten die niemand volgt
Het najagen van hogere blokkades creëert een tweede probleem. Wanneer beveiligingstools agressiever worden, beginnen ze legitiem verkeer te blokkeren. Een marketingteam krijgt geen toegang tot de website van een concurrent. Een ontwikkelaar wordt afgesneden van een code repository. Een verkoper verliest de toegang tot het portaal van een prospect.
Elke fout-positieve reactie veroorzaakt een kettingreactie. De gebruiker dient een helpdeskticket in. IT onderzoekt het. Iemand voegt een uitzondering toe. Het beveiligingsteam verliest het vertrouwen in hun regels. Gebruikers leren om algemene witte lijsten aan te vragen.
Alert-moeheid maakt de schade nog groter. Als analisten dagelijks tientallen valse positieven zien, beginnen ze waarschuwingen te negeren. De echte dreigingsmelding gaat verloren in de ruis.
De meeste organisaties meten niet systematisch het aantal fout-positieven. Ze houden het aantal geblokkeerde bedreigingen bij, maar niet de legitieme verzoeken die ten onrechte zijn gemarkeerd. Dit creëert een blinde vlek. Je optimaliseert voor een metriek die er goed uitziet in rapporten, terwijl je de metriek negeert die bepaalt of je beveiliging in de praktijk ook echt werkt.
Ongecategoriseerde sites: waar aanvallen echt plaatsvinden
Een aanzienlijk deel van de nieuwe malware-infecties komt van websites die nog niet zijn gecategoriseerd. Traditionele filtering dwingt tot een binaire keuze: alle niet-gecategoriseerde sites blokkeren en gebruikers frustreren, of ze toestaan en het risico accepteren.
Geen van beide opties werkt goed. Alles blokkeren creëert constante wrijving. Alles toestaan creëert kwetsbaarheid. De meeste organisaties eindigen met een inconsistent beleid dat varieert per afdeling, locatie en wie het hardst klaagt.
Dit is waar het meten van de isolatiegraad zinvoller wordt dan het meten van de blokkeringsgraad. Wanneer niet-gecategoriseerd verkeer wordt weergegeven in een geïsoleerde container, behouden gebruikers toegang terwijl het risico wordt geneutraliseerd. De relevante metriek verschuift van “welk percentage ongecategoriseerde sites hebben we geblokkeerd” naar “welk percentage ongecategoriseerd verkeer wordt geïsoleerd uitgevoerd”.
Mean time to contain: de metriek die er echt toe doet
Beveiligingsoperatieteams houden drie op tijd gebaseerde statistieken bij. MTTD (Mean Time to Detect) meet hoe lang het duurt voordat iemand een incident opmerkt. MTTC (Mean Time to Contain) meet hoe lang het duurt om het bloeden te stelpen. De Mean Time to Recover (MTTR) meet de weg terug naar de normale bedrijfsvoering.
In traditionele architecturen zijn deze metrieken opeenvolgend. Detectie moet plaatsvinden voordat de beheersing kan beginnen. Dit creëert een blootstellingsperiode waarin aanvallers lateraal kunnen bewegen, privileges kunnen escaleren en gegevens kunnen exfiltreren. Zelfs met geavanceerde EDR-tools kan de MTTC variëren van minuten tot uren, afhankelijk van de beschikbaarheid van analisten en de complexiteit van het incident.
De doorbraak met op isolatie gebaseerde beveiliging is structureel. Wanneer webinhoud wordt uitgevoerd in een wegwerpbare cloudcontainer in plaats van op het endpoint, gebeurt de insluiting automatisch. Een gebruiker klikt op een schadelijke link, de payload wordt uitgevoerd in de container en de bedreiging wordt vanaf de eerste milliseconde ingesloten. Geen detectie nodig. Geen tussenkomst van analisten nodig.
De sessie eindigt, de container wordt vernietigd en de malware verdwijnt mee. MTTC daalt naar nul omdat containment de standaardtoestand is en geen reactie die moet worden geactiveerd.
| Fase | Traditionele reactie | Reactie op basis van isolatie |
| Initiële toegang | Kwaadaardige code bereikt eindpunt | Code wordt uitgevoerd in externe container |
| Opsporing | Afhankelijk van handtekeningen en gedragsanalyse (minuten tot dagen) | Niet nodig voor bescherming |
| Insluiting | Analist isoleert eindpunt na detectie (minuten tot uren) | Onmiddellijk. Dreiging vanaf het begin beperkt |
| Herstel | Apparaat reimaging, back-up herstel (uren tot dagen) | Container automatisch vernietigd |
| Zakelijke impact | Potentieel gegevensverlies, zijwaartse beweging, downtime | Geen. Eindpunt nooit gecompromitteerd |
Wat u in plaats daarvan moet meten
Als blockrates en traditionele MTTC niet het volledige verhaal vertellen, wat moet je dan volgen?
Isolatiedekking. Welk percentage van het webverkeer loopt via isolatie? Dit geldt vooral voor niet-gecategoriseerde sites, nieuw geregistreerde domeinen en alle bestemmingen waar reputatiegegevens beperkt zijn. Een hogere isolatiedekking betekent minder vertrouwen op detectienauwkeurigheid.
Metriek van gebruikerservaring. Beveiliging die gebruikers frustreert wordt uiteindelijk omzeild. Houd de end-to-end latentie voor geïsoleerde sessies, de initialisatietijd van sessies en de bandbreedte-overhead bij. Als gebruikers de beveiligingslaag opmerken, lijdt de adoptie daaronder.
Fout-positief percentage. Meten hoe vaak legitiem verkeer ten onrechte wordt geblokkeerd. Volg het aantal helpdesktickets met betrekking tot webtoegang. Controleer hoe vaak uitzonderingen moeten worden toegevoegd. Een dalend percentage fout-positieven wijst op een verbeterde nauwkeurigheid.
Segmentatiekorrelgrootte. Hoeveel van je interne verkeer wordt gecontroleerd en geverifieerd? Microsegmentatie beperkt laterale bewegingen als er iets fout gaat. Meet de zichtbaarheid van het oost-west verkeer en het percentage verbindingen dat door identiteitsgebaseerde beleidshandhaving gaat.
Operationele efficiëntie. Tel de uren die besteed worden aan het beheer van firewallregels, het patchen van apparaten en het onderzoeken van incidenten. Geconsolideerde platformen verminderen deze overhead. De teruggewonnen tijd kan gaan naar proactief jagen op bedreigingen in plaats van reactief onderhoud.
De financiële argumenten voor verschillende meetmethoden
Cyberbeveiliging wordt behandeld als een kostenpost. Maar door de juiste dingen te meten, wordt het rendement op de investering duidelijk.
Kosten voor herbewerking. Het opschonen en opnieuw installeren van een geïnfecteerde laptop kost IT-tijd en kost de gebruiker productiviteit. Schattingen uit de industrie komen uit op €300 tot €600 per incident, vaak meer voor complexe infecties. Als browserisolatie endpointinfecties voorkomt, bereken dan de besparingen op basis van uw historische herimagingfrequentie.
Consolidatie van gereedschap. Een uniform platform vervangt afzonderlijke licenties voor VPN, standalone SWG, firewall appliances en point solutions. Minder tools betekent lagere licentiekosten en minder beheeroverhead.
Auditvoorbereiding. NIS2 vereist gedocumenteerde beveiligingscontroles en mogelijkheden om op incidenten te reageren. Gecentraliseerd loggen en rapporteren vanaf één platform vermindert de tijd die nodig is om bewijs te verzamelen voor audits.
Praktische voorbeelden
Productiebedrijf met IT/OT-convergentie
Traditionele statistieken toonden goede blokkeringspercentages voor webverkeer. Maar onbeheerde industriële apparaten konden geen agents uitvoeren en zaten op vlakke netwerksegmenten. Door in plaats daarvan de segmentatiedekking te meten, stelde het beveiligingsteam vast dat het compromitteren van één printer een laterale beweging naar productiesystemen mogelijk kon maken. Door inline isolatie voor agentless apparaten te implementeren en de isolatiegraad per apparaatcategorie bij te houden, werd de kloof gedicht.
Professionele dienstverleners met mobiel personeel
De bestaande SWG vertoonde uitstekende detectiestatistieken. Het meten van het percentage fout-positieven liet echter zien dat consultants die vanaf klantlocaties werkten voortdurend toegangsproblemen hadden. Het bijhouden van de gebruikerservaring naast de beveiligingsgegevens leidde tot een beleidsverandering in de richting van isolatie voor risicovolle categorieën in plaats van blokkeren, waardoor de helpdesk minder tickets nodig had terwijl de bescherming behouden bleef.
Gemeente met verspreide locaties
Beveiligingsteams hielden geblokkeerde bedreigingen per site bij, maar hadden geen zicht op de insluitingssnelheid. Na een phishing-incident waarbij het uren duurde voordat de zijwaartse beweging was gestopt, gaven ze prioriteit aan MTTC als maatstaf. Het implementeren van op isolatie gebaseerde controles bracht de theoretische MTTC voor webbedreigingen tot bijna nul.
Beveiliging die meet wat belangrijk is
De cijfers op je dashboard helpen alleen als ze de juiste dingen meten. Blockrates vertellen u hoe goed u de oorlog van gisteren bestrijdt. Isolatiedekking vertelt u of de onbekende bedreigingen van morgen uw endpoints kunnen bereiken.
Het SASE-platform van Jimber combineert Secure Web Gateway, Browser Isolation, ZTNA en SD-WAN in één console. Metingen vinden plaats over alle componenten heen, waardoor inzicht wordt verkregen in de metriek die daadwerkelijk de beveiligingsstatus aangeeft.
Boek een demo om te zien hoe het platform echte beveiliging meetbaar maakt.
Veelgestelde vragen
Betekenen hogere blokkeringspercentages geen betere beveiliging?
Niet noodzakelijkerwijs. Blockrates meten de prestaties tegen bekende bedreigingen. Ze houden geen rekening met nieuwe aanvallen, geven geen vals-positieve impact weer en kunnen een misleidend gevoel van bescherming geven. Isolatiegraad is vaak zinvoller.
Hoe beïnvloedt isolatie de gebruikerservaring?
Moderne isolatietechnieken zoals DOM mirroring leveren voor de meeste sites browsingprestaties die in de buurt komen van native browsing. Pixel streaming biedt maximale beveiliging voor bestemmingen met een hoog risico en een iets hoger bandbreedtegebruik. Het meten van latentie en gebruikerstevredenheid helpt bij het vinden van de juiste balans.
Welke statistieken moet ik rapporteren aan de leiding?
Focus op bedrijfsimpact. Traceer incidenten die endpoints hebben bereikt versus incidenten die geïsoleerd zijn. Rapporteer tijd- en kostenbesparingen door minder reimaging en toolconsolidatie. Toon compliance gereedheid door gecentraliseerde logging en audit bewijs.
Hoe heeft dit te maken met NIS2-compliance?
NIS2 vereist proportionele beveiligingsmaatregelen en mogelijkheden om op incidenten te reageren. Metrieken zoals MTTC, isolatiedekking en granulariteit van segmentatie tonen zinvolle risicovermindering aan. Gecentraliseerde rapportage ondersteunt de auditvereisten.
Kunnen MSP’s deze statistieken gebruiken voor meerdere klanten?
Ja. Multi-tenant platformen maken consistente metingen in verschillende klantomgevingen mogelijk. Metrieken zoals isolatiegraad en fout-positieve waarden kunnen worden gebenchmarkt over het hele portfolio, waarbij uitschieters die aandacht nodig hebben worden geïdentificeerd.
