Marktkommentar #9: MITRE ATLAS und auch bei Breach Warranties lohnt sich der Vergleich

Marktkommentar /

Hallo zusammen,

wir haben uns mal im Rahmen eines laufenden Kundenprojekts die „Breach Warranties“ einiger MDR-Anbieter angeschaut und versucht, zu vergleichen. Weder meine KollegInnen noch ich sind Rechtsanwälte, daher ist die Tabelle unten auch nur eine fachliche Einschätzung. Bei Redaktionsschluss stand die verbindliche Bestätigung bei einigen Anbietern auch noch aus.

  • Grundsätzlich kann die Breach Warranty bei jedem Anbieter natürlich nur für die Endpunkte in Anspruch genommen werden, auf denen auch die EPP/EDR-Lösung installiert ist. Darüber hinaus gibt es aber auch weitere Einschränkungen. Sophos bietet z.B. zwar einen Endpoint Agent für viele Linux-Distributionen, scheint aber von der Erkennungsrate selber nicht ganz überzeugt – auf jeden Fall deckt die Garantie kein Linux ab.
  • Die maximal gezahlte Summe von 1 Mio. US$ ist im Schadensfall natürlich nur ein Tropfen auf den heißen Stein. Darüber hinaus enthalten die jeweiligen Terms+Conditions im Detail noch mehr potenzielle Fallstricke (z.B. „the Ransomware attack was not related to third party software“). Im Streitfall wird es so schwierig, die Zahlung einzufordern. Vom Grundgedanken her sehe ich die Breach Warranties inzwischen dennoch mehr als nur einen Marketing-Gimmick, sondern als guten Schritt hin zu einer ergebnisbasierten Vergütung bzw. der Vereinheitlichung von Interessen auf Kunden- und Anbieterseite.
  • Noch überzeugender finde ich aber fast die öffentliche schriftliche Aussage von Withsecure, dass noch kein Kunde mit Countercept-Service durch einen Ransomware-Angriff kompromittiert wurde – hier wäre ja schon ein einziger Widerspruch eines Kunden auf Reddit o.ä. peinlich, d.h., das Statement wird wohl mit hoher Wahrscheinlichkeit richtig sein.

Falls jemand Erfahrung mit den Breach Warranties in der Praxis hat, oder die Bedingungen anders interpretiert, natürlich gerne melden.

Die MITRE ATT&CK Matrizen kennt jeder, jetzt gibt es auch MITRE ATLAS als Ergänzung für KI-Angriffstechniken:

  • Enthält zum einen Methoden, wie Angreifer KI zur Produktivitätssteigerung einsetzen können (Beispiel: „Search for Victim’s Publicly Available Research Materials“)
  • Zum anderen Angriffe auf KI-Anwendungen (Beispiel: „LLM Prompt Injection“, „LLM Jailbreak“)
  • Mit Sammlung von zugeordneten Case Studies
  • Persönlich fand ich z.B. das Re-Engineering der Anomalieerkennung eines NIDS interessant (in dem Fall durch Palo Alto Researcher), um die Malware-Erkennung zu umgehen. Unterstreicht nochmal die Notwendigkeit von kundenindividuell konfigurierten Erkennungsregeln, Honeypots etc.. Alles, was off the shelf kommerziell verfügbar ist, kann von Angreifern wahrscheinlich auch umgangen werden.
  • Falls also jemand mal einen Vortrag oder eine Podiumsdiskussion zum Thema AI in Security bestehen muss, ist das eine gut strukturierte Anlaufstation. Ansonsten auch für Security-Assessments von KI-Anwendungen in der Organisation.

Übrigens gibt es ja seit ~2 Jahren auch MITRE D3FEND (Mapping von Schutz- und Erkennungstechniken wie MFA zu Angriffstechniken). Klingt eigentlich nach einer sehr guten Idee – Ich habe bisher aber noch keine praktische Anwendung dazu gesehen. Falls da jemand einen Tipp hat, freue ich mich.

Nachdem Airbus doch nicht Eviden übernehmen wollte (die ja knapp der Insolvenz entgangen sind), wurde jetzt bei Infodas zugekauft. MasterCard hat sich mit Recorded Future (dem Threat Intel Feed) verstärkt. Wer sich jetzt über MasterCard als Cybersecurity-Anbieter wundert: Die sind auch schon mit RiskRecon im Markt aktiv, ein 3rd party Cyber Risk Management Tool ähnlich Bitsight, Security Scorecard oder Locaterisk. Und NTT Data hat GISA übernommen, wohl auch, um damit demnächst Managed SOC Services aus Deutschland anbieten zu können.

 

Hier noch einige Stichpunkte aus Vendor-Briefings:

FBPro „Enforce Administrator“:

  • Deutscher Anbieter (~25 MA) für die automatisierte Systemhärtung gem. kundenindividuellen Security-Baselines, BSI Empfehlungen oder CIS-Benchmarks o.ä.
  • Deutlich effizienter und gründlicher als über die manuelle oder skriptbasierte Konfiguration von Intune bzw. Gruppenrichtlinien
  • Typischerweise ~600-700 Einstellungen für Windows-Systeme, ~200 bei Linux, dazu noch die üblichen Applikationen. Beispiel: ~50 Einstellungen für Logging von Endpunkten
  • Einrichtung von Ausnahmen (z.B. Freischaltung Kameras) und auch Steuerung von Applocker / Deviceguard für Whitelisting möglich
  • Ebenso die Überwachung von Security-relevanten Konfigurationsänderungen bei OS-Updates möglich
  • Einfache Berichterstattung für Compliance (z.B. VAIT/DORA, TISAX) / Cyberversicherung o.ä.
  • Deployment on premise oder in der privaten Cloud (kein SaaS)
  • Aktuell ~45 Unternehmenskunden inkl. Finanzdienstleister, Energieversorger und einige größere Konzerne
  • Kostenloses Tool für Assessment verfügbar
  • Was mir besonders gut gefällt: Endlich mal ein Cybersecurity-Produkt, bei dem sich die Behauptungen des Marketings lückenlos nachprüfen lassen
  • Budgetindikation ~30 EUR/Endpunkt und Jahr bei 5000 Endpunkten
  • Das Ganze wird natürlich auch als Managed Service angeboten

Kiteworks:

  • US Anbieter (~450 MA) für sicheren Austausch von sensiblen Daten („Private Content Network“), also Wettbewerber zu Cryptshare, MoveIT, FTAPI, Citrix, Seppmail und natürlich je nach Anwendungsfall auch Microsoft
  • Email, Filesharing, Teams, M2M (API z.B. für SAP, Salesforce, Office, Cloud-Repositories), Webformulare, bis zu 16 TB pro Datei möglich
  • Starke Präsenz bei Schweizer Banken und einigen DAX-Konzernen, bei einigen Kunden wohl eingegrenzt auf bestimmten Nutzerkreis (z.B. HR)
  • Deployment on prem, private oder public Cloud
  • Spannend: Neues Modul „SafeEDIT/SafeVIEW“ erlaubt Bearbeitung von CAD-Daten o.ä. durch externe Dienstleister, ohne dass die Datei heruntergeladen werden kann
  • Natürlich zertifiziert nach allem, was Rang und Namen hat
  • Hausnummer um die 40 EUR/Nutzer und Jahr

OpsMx Delivery Shield (Disclaimer: Der Bosch VC Fonds hat hier investiert):

  • Application Security Posture Management: Zusammengefasste Sicht über Code Scanner, CI/CD Plattformen und Schwachstellen in der genutzten DevSecOps-Infrastruktur
  • Abgleich mit CIS-Benchmarks, NIST 800-53, Fedramp, Git Security, OpenSSF Scorecard…
  • Dadurch vereinfachtes und nachvollziehbar dokumentiertes Compliance Reporting mit Historie
  • Aber natürlich auch Deduplizierung und Priorisierung von Schwachstellen/Fehlkonfigurationen, u.a. anhand von EPSS
  • Native Integrationen mit den üblichen Entwicklungstools wie Jira, SonarQube, JFrog, Aqua, Github etc.
  • Die SBOMs werden auch auf Probleme mit Lizenzen gescannt
  • Kundenreferenzen u.a. Cisco, Adobe, Zendesk, Google, Western Union, aber bisher noch keine Kunden in der EU (Sitz des Anbieters: USA / Indien)

Omicron (StationGuard):

  • Österreichischer Anbieter von elektronischer Prüf- und Messtechnik in Kraftwerken, Schaltanlagen und Stromnetzen, ca. 1200 MA, in einigen Bereichen sogar Weltmarktführer
  • Wir haben uns den „StationGuard“ angeschaut, das ist ein OT NIDS, also Wettbewerb zu Rhebo, Dragos, Claroty, Nozomi etc.
  • Klarer Fokus auf Kunden in Stromerzeugung und Netzbetrieb (~50 Unternehmenskunden)
  • Architektur und Funktionen typisch wie andere OT NIDS:
    • Rein passive Störungs- und Anomalieerkennung mit Deep Packet Inspection für Protokolle wie IEC 61850, 60870-5-105, DNP3, Modbus, S7… und die üblichen IT-Protokolle
    • Ringspeicher für PCAP-Rohdaten
    • Inventarisierung und Schwachstellenmanagement
    • Anschluss des Sensors über Spiegelport an Switches und Firewalls
    • Zentrale Engine wird auf VM on premise installiert
  • Für den Einsatz bei Leitstellen, Umspannwerke etc. optimiert: Im System ist ein Modell der Anlage hinterlegt, das automatisch aus der SCL-Datei erstellt wird. Das Modell enthält somit auch die Soll-Funktionen der Anlagenkomponenten sowie die zugelassene Kommunikation im Normalzustand oder Wartungsmodi, die dann noch angepasst und ergänzt werden können
  • Für die Schwachstellen gibt es eine proprietäre Datenbank, um die exakt verbauten Komponententypen (IED) mit verwendeten Modulen auf CVE-Advisories zu mappen und so möglichst nur wirklich relevante Schwachstellen herauszufiltern (Nach eigener Aussage so typischerweise Reduzierung der Schwachstellenliste um ~80% möglich)
  • Interessant ist natürlich die Auswertung und Beratung zur Anlagenoptimierung als Managed Service durch Omicron, die eben nicht nur auf Security-KnowHow zurückgreifen, sondern vielmehr auf Betriebswissen
  • Im Gespräch wieder bestätigt: Bisher kein erkannter Cyberangriff bekannt. 99% Funktionsstörungen in Prozessen. Der Rest potenziell sicherheitsrelevante Fehlbedienungen (z.B. Passwort falsch eingegeben, Zugriffe durch unbekannte Geräte).

 

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email.

 

Viele Grüße

Jannis Stemmann

Der Marktkommentar von Jannis Stemmann

Marktkommentar abonnieren.

Frühzeitig mehr Erkenntnisse gewinnen.

Marktkommentar umfasst Einblicke aus Gesprächen mit Anbietern und Kunden zu Security-Projekten und Vendor-Briefings, Fragen und punktuelle Beobachtungen sowie unpopuläre Thesen in der Security-Community.

Jetzt abonnieren

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Unverbindlich anfragen

Unverbindlich anfragen

Associations and industry collaboration

Nach oben scrollen