Wir sprachen mit Roland Stritt von SentinelOne über XDR und MDR.
Lieber Roland Stritt, können Sie uns ein wenig über Ihren Hintergrund erzählen und wie Sie im Bereich der Cybersicherheit gelandet sind?
Da mein Vater in einer Spezialabteilung der Polizei arbeitete, die sich auch mit Wirtschaftsspionage befasste, kam ich mit verschiedenen interessanten technischen Möglichkeiten in Berührung, Informationen von verschiedenen Akteuren zu sammeln. Das hat mein Interesse daran geweckt diese Art von Aktivitäten zu stoppen. Parallel dazu war mein Lieblingsfilm WarGames. Der Bereich der Cybersicherheit interessiert mich also schon seit 40 Jahren.
Welche technologischen Entwicklungen im Bereich der Cybersicherheit halten Sie für interessant?
- KI/ML: ist ein Game Changer in der Cybersicherheit – gerade, wenn man die neuesten Artikel und Meinungen über ChatGPT liest. Es wird interessant sein zu sehen, wo uns das hinführt.
- Konsolidierung: Die große Anzahl an Cybersicherheitsprodukten, die verschiedene Oberflächen und Anwendungsfälle abdecken, bedeutet, dass die Kundschaft eine Konsolidierung anstrebt, sobald dies möglich ist. Viele Unternehmen arbeiten an und mit Plattformansätzen.
- Zusammenarbeit mit Anbietenden: Wir erwarten zwar eine Konsolidierung, die Kundschaft wird am Ende immer mehr als einen Anbietenden nutzen. Wir beobachten bereits, dass Sicherheitsteams mehr Integration und mehr Nutzen aus der Zusammenarbeit zwischen Anbietenden fordern. Vorbei sind die Zeiten, in denen eine „technologische Allianz“ kaum mehr als ein gemeinsames Video bedeutete. Im Jahr 2023 wird dies von der Forderung nach Integration über mehrere Arten von Anwendungsfällen und Standardisierung von Datenmodellen bis hin zu der berechtigten Erwartung reichen, dass jeder neue Anbietende nicht nur für sich selbst einen Mehrwert bietet, sondern auch dazu beiträgt, einen Mehrwert aus den vorhandenen Produkten im Sicherheitsbereich zu ziehen.
- XDR: oder Extended Detection and Response, ist der nächste Schritt in der Entwicklung von Endpoint Detection and Response (EDR): Eine Gruppe von Tools oder Funktionen, die sich auf die Erkennung verdächtiger Aktivitäten auf Endpunkten konzentrieren. Manchmal auch als „Cross-Layered“ oder „Any Data Source“-Erkennung und -Reaktion bezeichnet, gehen XDR-Lösungen über diese Endpunkte hinaus und treffen Entscheidungen auf der Grundlage von Daten aus einer Vielzahl von Quellen. Sie greifen in das gesamte Unternehmen ein, einschließlich E-Mail-Netzwerk, Identität etc., und optimieren die Erkennung, Untersuchung, Reaktion und Abwehr von Bedrohungen in Echtzeit. XDR-Lösungen vereinen sicherheitsrelevante Endpunkterkennung mit Telemetriedaten aus Sicherheits- und Unternehmenstools wie Netzwerkanalyse und -sichtbarkeit (NAV), E-Mail-Sicherheit, Identitäts- und Zugriffsmanagement, Cloud-Sicherheit und mehr.
Wie kommt es, dass alle Unternehmen immer mehr in die IT-Sicherheit zu investieren scheinen, die Zahl der erfolgreichen Angriffe aber parallel dazu weiter steigt?
Die Unternehmen versuchen, auf die steigende Zahl der Angriffe mit immer mehr Werkzeugen zu reagieren. Diese Tools erzeugen immer mehr Warnmeldungen – dies führt dazu, dass wir eine Warnmüdigkeit erleben und auch das Sicherheitspersonal in den Unternehmen vor die Herausforderung gestellt wird, sich mit zu vielen Warnmeldungen gleichzeitig befassen zu müssen. Mit der ständig wachsenden Datenmenge wird es immer schwieriger, die „Nadel im Heuhaufen“ zu finden und sich auf die Warnmeldungen zu konzentrieren, die wichtig sind. Leider gibt dies Angreifenden die Möglichkeit, erfolgreich zu sein.
Wie funktioniert die Geschäftsentwicklung für einen starken und bekannten Akteur in der Praxis? Wie sieht Ihr typischer Tag von dir aus?
Am Anfang jeder Geschäftsentwicklung steht ein Lead – wir schaffen Leads durch unsere PR-Kampagnen, Events, unsere Innendienst-Teams, die potenzielle Kundschaft anrufen, und Mitwirkenden, die uns neuer Kundschaft vorstellen. Sehr oft empfehlen uns bestehende Auftraggebende. Eine wichtige Quelle ist sicherlich unser Account-Team, das sein Netzwerk nutzt und sehr eng mit unseren Channel-Mitwirkenden und MSSP zusammenarbeitet, um die richtigen Interessenten zu identifizieren.
Mein typischer Tag sieht folgendermaßen aus: regelmäßige Anrufe mit meinem Team, um sich über Chancen abzustimmen, Anrufe mit Auftraggebenden und Mitwirkenden, um ihre Bedürfnisse und Herausforderungen zu verstehen, und die Zusammenarbeit mit dem breiteren Team, um zu verstehen, wo wir Kundschaft und Mitwirkenden mit unserem Portfolio den besten Nutzen bieten können.
Eine kürzlich durchgeführte Studie hat gezeigt, dass etwa 40 % der Einnahmen von Anbietenden von Cybersicherheitsprodukten für Marketing und Vertrieb ausgegeben werden. Distributoren und Wiederverkaufende wollen auch ihren Anteil daran haben. Gibt es Ihrer Meinung nach eine Möglichkeit, dies in Zukunft effizienter zu gestalten?
Ich denke es ist bereits viel effizienter als in der Vergangenheit. Das liegt daran, dass Investierende und Analysierende den FCF und den Gewinn der Verkaufenden untersuchen. Außerdem sind die Gewinnspannen von Distributoren und Wiederverkaufenden niedriger als in der Vergangenheit – heute erzielen sie ihre Gewinnspanne mehr und mehr mit Mehrwertdiensten, die sie ihrer Kundschaft anbieten. Die Produkte der Herstellenden sind nur noch ein Hilfsmittel für das Gesamtangebot, und es wird nicht mehr wie früher eine große Marge auf den Verkauf von Produkten von Herstellenden gelegt.
SentinelOne bietet XDR und MDR an. Wird XDR Ihrer Meinung nach SIEMs langsam ersetzen und werden verwaltete SOCs zu MDR-Dienstleistenden?
XDR ist in der Branche aufgrund eines Problems entstanden, das von SIEM nicht adressiert wird. XDR konzentriert sich auf Anwendungsfälle zur Erkennung und Abwehr von Bedrohungen und ist eine auf Bedrohungen ausgerichtete Plattform. Im Gegensatz dazu konzentriert sich SIEM auf Compliance, Risiko, Rückverfolgbarkeit, Protokollverwaltung und Bedrohungserkennung, wobei die Bedrohungserkennung nur einer der Anwendungsfälle ist. In seiner derzeitigen Form und mit seinem derzeitigen Schwerpunkt wird XDR SIEM nicht ersetzen können. Da der XDR Data Lake jedoch allmählich zum De-facto-Datenspeicher für alle Sicherheits- und Nicht-Sicherheitsdaten wird, die von Sicherheitstools, Anwendungen, DevOps usw. stammen, werden SIEMs in XDR konsolidiert. SIEMs werden im Zuge der Anbietendenkonsolidierung, der betrieblichen Effizienz und der Kostenoptimierungsinitiativen in XDR konsolidiert.
Was sind einige, nicht offensichtliche, Aspekte beim Kauf von XDR und/oder MDR, die Ihrer Meinung nach zu berücksichtigen sind, aber manchmal vernachlässigt werden?
XDR ist keine Lösung, die Sie von der Stange kaufen können, sondern eine Reise zur Optimierung und Verbesserung Ihrer Sicherheitsabläufe, um Ihre Cyber-Resilienz zu erhöhen. Die Effektivität Ihres XDR hängt auch von dem Prozess ab, den Sie einsetzen, sowie von der Anzahl der digitalen Oberflächen und der Telemetrie, die Sie anschließen. Der Umfang des Einsatzes sollte mit Blick auf das Endziel erfolgen.
Viele Leute migrieren auf M365 E3- oder E5-Lizenzen, einschließlich der Defender-Produkte. Welche Überlegungen gibt es dazu, ob ein separater XDR für sie noch sinnvoll ist?
Die Microsoft Defender-Produktsuite bietet nur einen Überblick über Microsoft-Produkte und ist blind für andere Sicherheitstools in einem Unternehmen, die nicht von Microsoft stammen. Damit eine effektive XDR-Implementierung die SecOps verbessert und die TCO senkt, muss der XDR mit den bestehenden Produktreihen verschiedener Anbietenden über digitale Angriffsflächen hinweg integriert werden. Dies ist der Grund, warum ein separater XDR erforderlich sein wird, um Transparenz und einen integrierten Arbeitsablauf über Microsoft- und Nicht-Microsoft-Funktionen hinweg zu gewährleisten.
Was halten Sie von den MITRE ATT&CK-Evaluierungen von EDR-Lösungen? Gibt es etwas am Testaufbau, das aus Ihrer Sicht geändert werden sollte?
Die ATT&CK-Tests von MITRE leisten hervorragende Arbeit bei der Bewertung der Erkennungs- und Schutzfähigkeiten von Produkten gegenüber realen Angriffen und Bedrohungsagiernden und veröffentlichen ein transparentes Ergebnis statt einer Rangliste. Die Tests werden jedoch in einer idealen oder störungsfreien Umgebung durchgeführt und berücksichtigen nicht die Reaktions- und Abhilfegeschwindigkeit und -effektivität. Damit ein XDR/ EDR-Tool in einem SOC effektiv ist, sind die Untersuchungs- und Reaktionsfähigkeiten ebenso wichtig wie die rechtzeitige Erkennung eines Vorfalls.
Was halten Sie von Analystenorganisationen wie Gartner oder KuppingerCole? Sind sie wirklich unabhängig vom Einfluss der Anbietenden?
Analystenfirmen und -berichte sind vertrauenswürdige und glaubwürdige Quellen auf dem Markt, die dabei helfen, die aktuelle und zukünftige Richtung des Marktes zu definieren und zu analysieren. Sie werden als glaubwürdige Quelle wahrgenommen, weil sie unabhängige Einrichtungen sind und sachliche Analysen durchführen. Allerdings sind nicht alle Analystenorganisationen gleich, und die Glaubwürdigkeit des Analystenhauses sollte vor dem Konsum der von ihnen veröffentlichten Berichte und Analysen geprüft werden. Darüber hinaus sollten die Berichte und Grafiken nicht als bare Münze genommen werden, ohne die Bewertungskriterien, den Zielmarkt/die Zielgruppe zu kennen und ohne die Eignung der Lösung zu bewerten, indem Sie einen Proof of Value (POC/POV) in Ihrer Umgebung durchführen.
Welche Missverständnisse oder falschen Aussagen sehen Sie in der Cybersicherheits-Community?
Die Cybersicherheitsbranche ist voll von Mythen und falschen Vorstellungen. Ransomware ist eine Bedrohung, die sich von Monat zu Monat weiterentwickelt, und es wird immer noch allgemein angenommen, dass „Backups vor Ransomware schützen“. Es ist auch ein weit verbreiteter Mythos, dass MacOS von Natur aus sicher ist und man keine Sicherheitsmaßnahmen für mac implementieren muss, aber mit der zunehmenden Verbreitung von macOS in Unternehmen haben es Bedrohungsakteure zunehmend auf mac-Endpunkte abgesehen. Ein weiterer großer Mythos, der noch mehr Schaden anrichtet, ist „Cyber-Bedrohungen werden uns nicht angreifen“. Aufgrund dieses Mythos bereiten sich Unternehmen nie auf einen Sicherheitsvorfall vor, was am Ende den Geschäftsverlust und die Zeit zur Wiederherstellung nach einem Vorfall erhöht.
Wenn Sie eine Botschaft an alle CIOs und CISOs senden könnten, wie würde sie lauten?
Bevor Sie eine neue Technologie oder ein neues Produkt einführen, sollten Sie zunächst den Wert Ihrer bestehenden Sicherheitsinvestitionen maximieren, indem Sie einen Gesundheitscheck durchführen und sie miteinander verbinden. Verfolgen Sie einen „Defense in Depth“, und mehrschichtigen Ansatz, aber bereiten Sie sich trotzdem auf einen Sicherheitsvorfall vor. Sicherheitsvorfälle und Ransomware-Angriffe sind unvermeidlich, Sie sollten sich darauf vorbereiten. Das ist kein Eingeständnis der Niederlage, sondern eine Vorbereitung auf den Erfolg. Schaffen Sie eine Kultur des Sicherheitsbewusstseins und setzen Sie den Ansatz „Wenn du etwas siehst, sag etwas“ um.
Vielen Dank an Roland Stritt!
In unserem Tagesgeschäft analysieren wir als unabhängiges Unternehmen die Anforderungen der Kundschaft an die Cybersicherheit und identifizieren geeignete Anbietende von Produkten und Dienstleistungen. Daher haben wir eine ganze Reihe interessanter Anbietenden- und Lösungsprofile gesammelt. Der Beitrag stellt keine Empfehlung für bestimmte Anbietende oder Lösungen dar. CyberCompare erhält keine Vergütung seitens der genannten Anbietenden für diesen Be
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.