CyberCompare Marktkommentar #40: Schwachstellenmanagement in der Entwicklung + EDR Telemetrie

Marktkommentar /

Hallo zusammen,

auf der Suche nach originellem Material, um Awareness-Trainings aufzupeppen? Orange Cyberdefense hat dafür einen Film (Dauer ca. 1 h) über den Lockbit-Angriff auf den IT Dienstleister Coaxis produziert. Der ist nicht nur mit französischem Akzent angehaucht, sondern war sogar in einigen Kinos zu sehen: Ein einziger Klick – und 350.000 Unternehmen sind sofort lahmgelegt. Damit man zur Abwechslung die KollegInnen nicht selbst lautstark belehren muss.

Da ich einen großen Teil meiner Lebens- und Arbeitszeit in Fabriken und an Flipcharts verbracht habe, bilde ich mir ein: Moderne Softwareentwicklung at Scale hat viele Parallelen zur „Lean“ Methodik. Lean ist ja ursprünglich mal bekannt geworden als Toyota Produktionssystem, inzwischen Bestandteil vieler Managementsysteme in Blue und White Collar Bereichen. Im Kern geht es um den Aufbau schnellzyklischer + kaskadierter Regelkreise (SW-Pendants: CI/CD, Agile). Damit lassen sich im Laufe der Zeit Prozesse stabilisieren, in dem Probleme (d.h., Diskrepanzen zwischen Ist- und Sollzustand) systematisch gelöst werden.

Neuartige migränogene Fehlerbilder (analog zu Software-Bugs) sind in hinreichend komplexen Systemen einfach ein Fact of Life aufgrund von teilweise unbekannten Ursache-Wirkungs-Zusammenhängen, die sich dann in scheinbar zufällig auftretenden Ausfällen und Abweichungen äußern. Und so wie bei großen Lagerbeständen Verschwendung oft unsichtbar bleibt, verliert man bei Unmengen von Codezeilen und Issue-Tickets auch schnell den Überblick. Ein Grundsatz in der Fertigung ist daher, dass der Input (= das Volumen der eingelasteten Produktionsaufträge) nicht die Kapazität des Engpasses übersteigen darf. Sonst steigen die Bestände, ohne dass sich der Output erhöht. Kennt man auch aus dem Büro (natürlich nicht dem eigenen): Projekt verzögert, weil zuwenig Leute => Chef fordert Berichte dazu ein => Projekt dauert noch länger, weil die gleichen Leute jetzt an Folien sitzen.

Das oben beschriebene (teils altersbedingte) Déjà Vu Phänomen hat mich jüngst wieder ereilt, als ich den Praxisbericht von Synthesia (App für kommerzielle KI-Videos, ca. 600 MA) zum Schwachstellenmanagement in der Entwicklung gelesen habe. Dort war es auch so, dass neue vermeintlich kritische Verwundbarkeiten schneller gefunden als abgearbeitet wurden. Der Backlog an offenen Issues ist also ständig gewachsen, man kam nicht „vor die Welle“.

Durch eine Umstellung der Abläufe konnte der Aufwand für die MA wohl um > 80% verringert werden:

  • „Stale Repositories“ (längere Zeit ungenutzt) werden automatisch identifiziert, aus der Pipeline genommen und read only archiviert => Kein Vuln Mgmt mehr dafür, hat den Backlog direkt um ~60% reduziert
  • Priorisierung der übrigen Repos anhand von 3 einfachen Fragen („Werden Kundendaten verarbeitet? Gibt es Interaktionen des Kunden damit? Gehört es zum Kernprodukt?“)
  • Risikoakzeptanz bei ca. 30% der verbleibenden Schwachstellen (via automatischer Einordnung) => Bodensatz des Heuhaufens entsorgt
  • Verringerung False Positives bei SAST über Semgrep Assistant. Im Quervergleich mit guten Security Engineers liegt das Tool wohl fast immer richtig + ist dabei trotzdem tendenziell vorsichtig, d.h., flaggt Code eher als unsicher
  • Findings in SCA (v.a. Bibliotheken) werden eingeordnet nach Erreichbarkeit, Ausnutzbarkeit (EPSS) und Systemwichtigkeit
  • Daraus ergibt sich dann insgesamt, dass nur noch ein Bruchteil (die obersten 10-30%) der Findings aus SAST und SCA behoben werden müssen, und zwar mittels einer kleinen Schar von KI Agenten + Adult Supervision:
    • 3 unterschiedliche Agenten validieren, ob der Bug wirklich ausnutzbar ist (anscheinend fallen hier nochmal ~50% der Schwachstellen heraus). Bei unterschiedlicher Beurteilung entscheidet die einfache Mehrheit.
    • Ausnutzbare True Positives starten einen Coding Agent, der einen Fix programmiert, innerhalb eines neuen Branches einbettet und den Pull Request auslöst. Den ganzen Workflow bietet übrigens AWS auch schon out of the box an („Security Agent“), aktuell sogar noch 2 Monate kostenlos.
    • Letzter Schritt: Review durch einen menschlichen Programmierer

Summa Summarum: Sounds good. Mit dem CRA, aber auch mit den prominenten Supply Chain Angriffen der letzten Wochen, gewinnt ein effektives + gleichzeitig bezahlbares Schwachstellenmanagement in der DevSecOps Pipeline ja nochmal an Bedeutung. Auch die Ankündigung von Anthropic zu Project Glasswing / Claude Mythos klingt dramatisch. Weitere Hinweise aus der Praxis zu dem Thema deshalb immer gerne. 1 neues Takeaway für mich von TeamPCP Trivy, npm Worm, LiteLLM etc.: Keine Tags (Versionsnummern), sondern SHA Pinning (Hashes) bei der Referenz von Commits verwenden.  

Wer mal wieder vor der Auswahl eines EDR System steht (oder sich fragt, wo trotz EDR Lücken lauern), sollte einen Blick auf das EDR Telemetry Project von Kostas Tsialemis werfen. Hier hat sich einiges getan:

  • Bei Windows liegen Harfang, Palo Alto, Crowdstrike, Uptycs (eher als CNAPP bekannt), SentinelOne und Microsoft vorne, alle mit ungefähr vergleichbaren Scores
  • Bei Linux schneiden C-Prot (aus der Türkei) und Uptycs deutlich besser ab als alle anderen Lösungen, die i.A. auf Linux nicht erkennen, ob Services gestartet / verändert / beendet, DNS Anfragen gesendet oder neue Nutzer angelegt werden
  • Neu auch Tests für MacOS, hier liegt die spezialisierte Phorion-Lösung weit vor den großen Marken
  • Die Belastbarkeit der Aussagen wird transparent dargestellt:
    • Beispielsweise haben Harfang und PAN Nachweise über die Telemetriearten geliefert, aber für die Tests keinen Zugriff auf die Tools erlaubt (im Gegensatz zu z.B. Microsoft, Elastic oder Bitdefender)
    • Die ausgeführten Tests (Atomic Red Team Framework) sind öffentlich
    • Die Telemetrie-Kategorien sind mit Beispielen + Mapping auf MITRE ATT&CK erläutert
    • Für viele Produkte wird erklärt, warum sie nicht im Vergleich aufgenommen wurden: Beispiel Wazuh (SIEM),  Tanium (keine Echtzeit-Übertragung von Endpunktdaten, sondern nur punktuell) oder Cisco (kein Kundenzugriff auf Rohdaten)
  • Fokus der Untersuchung ist weiterhin auf der grundsätzlichen Fähigkeit zur Erfassung spezifischer Events
  • (Noch) nicht betrachtet sind z.B. tatsächliche Erkennung von Angriffen, Signal-/Rauschverhältnis im Betrieb, Prävention, Endpunktmanagementfähigkeiten, Kompatibilität mit Windows Server und älteren OS-Versionen, Prozessorlast oder XDR-Funktionen. Das soll alles Bestandteil der neuen Firma edr-comparison.com werden, die Einkaufsberatung als Service anbietet.

Also, Top Ergänzung zu den MITRE Evaluierungen. Kostas ist übrigens nicht nur einer der führenden EDR/SIEM Experten, sondern auch Mitglied im Allowlisting Fanclub – immer noch einer der unterschätztesten Ansätze, die Angriffsfläche zu reduzieren.

M&A:

  • Rapid7 kauft Kenzo (SecOps Verstärkung durch einen Schwarm von KI Agenten für CTI, Threat Hunting, Detection Engineering + SOC Analysen)
  • Databricks übernimmt SiftD (neuer SOAR Ansatz vom Splunk SQL Entwickler)
  • Fortra kauft den Red Team Trainingsanbieter Zero-Point. Die hatten sich auf Cobalt Strike + Outflank spezialisiert, also gute Ergänzung
  • 250 Mio. US$ sammelt Tenex.AI ein – und zwar für Managed Security Services, vornehmlich auf Basis Google Secops. Das Geld soll u.a. für die Expansion nach Europa genutzt werden. Auf Google zu setzen, erscheint mir eine kluge Strategie abseits vom Mainstream – mit Wiz CNAPP/EDR, Chronicle SIEM, Mandiant TI/IR hat man einen starken Tech Stack, der bisher von wenigen MSSP bedient wird
  • Depthfirst (AppSec) bekommt 80 Mio. USD
  • Auch Censys gibt es noch – jetzt mit 70 Mio. mehr an Debt+Equity, was v.a. in die ASM Produktentwicklung gesteckt werden soll
  • Firmware Security Spezialist Eclypsium holt sich nochmal 25 Mio.

Gespräche mit Anbietern:

Orion:

  • Israelisches Startup für DLP
  • ~20 Enterprise-Kunden, insb. US Banken/Versicherungen
  • Basiert auf KI-Agenten, die Kontext für die Risikobewertung einer Datenübermittlung bereitstellen
  • Kontext dabei Sender/Empfänger/typische Geschäftstransaktionen
  • Baselining für die Anomalieerkennung auf Basis historischer Datentransfers
  • Dazu können optional statische Regeln erstellt werden (z.B. nie Daten außerhalb EU versenden)
  • Claim: Deutlich geringere False Positive Rate und geringerer Betriebsaufwand ggü. reinen Policy-basierten Lösungen
  • Deployment über Endpoint Sensor, Browser Extension und API-Anbindungen für gängige SaaS-Lösungen

Athereon:

  • GRC Lösung aus D
  • SaaS (Telekom RZ) oder in Einzelfällen auch on prem
  • Ca. 100 Kunden, u.a. Benteler, Brose, Rehau, Bofrost
  • Umfangreiche Frameworks zur Auswahl, z.B. auch B3S medizinische Versorgung, BSI C5, ISO 27017, IEC 62443… . Dazu eigene Richtlinien oder individuelle Anpassungen möglich
  • KI Assistent prüft, ob verknüpfte Nachweise (wahrscheinlich) ausreichen, um Anforderungen Genüge zu tun
  • Maßnahmenverfolgung + Dokumentensteuerung (z.B. inkl. Gültigkeit) wie üblich
  • Risk Management mit Gefährdungskatalogen + Schutzbedarfsfeststellung
  • Asset Management mit Schutzbedarfsvererbung von Daten über Prozesse, Applikationen zu Standorten / Scopes
  • Supply Chain Modul, speziell auch mit DORA Kriterien
  • BCM Modul mit BIA, Notfallplanung, Übung – granular mit Wiederanlaufzeiten, zugeordneten Teams, Workflows. Insgesamt sehr reifer Eindruck.

Cyera (Update):

  • Wahrscheinlich der größte Pure Play DSPM Anbieter vom Marktwert her (bei der letzten Fundingrunde mit ~9 Mrd. USD bewertet, 1300 MA), Wettbewerb z.B. Varonis, Proofpoint, IBM (Guardium), Forcepoint
  • Wachstumstreiber KI (Zugriffe von Copilot und Agents erkennen)
  • Schon ~100 große Kunden, u.a. Paramount und andere Security-Anbieter wie Armis
  • Punkten v.a. über agentenlose Scans, die Anreicherung von Kontext zu sensiblen Daten, der für die Klassifizierung genutzt wird, und die schnelle Klassifizierung großer Datenmengen (über kundenspezifische LLM, angeblich mit typischer Präzision ~95%)
  • Jeder Kunde erhält bei Auslieferung ein vortrainiertes LLM auf Basis Branche + Region. Das wird dann beim Kunden weiter getuned
  • Geschwindigkeit kommt u.a. über die Unterteilung in menschlich erstellte Dateien (werden komplett gescannt) und maschinell erstellte Inhalte mit hoher Ähnlichkeit (werden nur über Stichproben geprüft)
  • Klassifikations-Engine auf VM kann auch in Kundenumgebung betrieben werden. Ansonsten wie üblich auf AWS in Frankfurt. 1 VM reicht wohl für 2000 typische File Server
  • Liefert dann Policies an die gängigen DLP/CASB Lösungen wie Purview, Netskope, Forcepoint etc.. Alternativ sind Enforcement Möglichkeiten über Browser Plug-Ins und Endpunkt Agenten für die Kunden ohne E5 o.ä. sind schon in Arbeit
  • Use Case nicht nur Security, sondern auch Kostenreduzierung: Durchforsten der Daten nach länger ungenutzten Daten, die dann in günstigere Storage Layer umgezogen werden können

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv den zuckerreduzierten Osterhasen (Marke Extrabitter) verstecken, den man von der Schwiegermutter „geschenkt“ bekommen hat.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen