Marktkommentar #15: MITRE ATT&CK EDR Evaluierung + ein paar Thesen für 2025

Marktkommentar /

Hallo zusammen,

ich hoffe, alle sind gut in’s neue Jahr gestartet! Kurz vor Weihnachten hat MITRE die neuesten Ergebnisse der Enterprise EDR Evaluierung (DPRK, Cl0P, Lockbit) veröffentlicht. Hier meine Key Takeaways daraus:

  • Als Novum wurde gutartiger Hintergrund-Traffic („Noise“) emuliert und daraus resultierend gab es natürlich False Positive Alarme der EDR-Tools, die ebenfalls ausgewertet wurden
  • Die Testumgebung enthielt auch zum ersten Mal ein MacOS-System, um speziell die Angriffe aus Nordkorea abzubilden. Insgesamt sind die genutzten Testumgebungen aber immer noch sehr klein im Vergleich zu einer realen Infrastruktur (3-4 Server, 3-4 Clients). Deshalb auch umso erstaunlicher, dass klare Unterschiede in den Erkennungs- und Schutzraten zu Tage treten.
  • Cynet ist endlich mal wieder beim Test dabei gewesen und hat auch wieder sehr gut abgeschnitten (Cynet hat in der Vergangenheit oft sehr kostengünstig angeboten, entweder mit eigenem MDR-Service oder deutschsprachig u.a. von der Deutschen Telekom)
  • Ansonsten sind Palo Alto, Trend Micro, Microsoft und Cybereason diesmal unter den Top 5 nach meiner Interpretation
  • Bei Cisco (Secure Endpoint) scheint total der Wurm drin gewesen zu sein
  • Trend Micro und Sophos haben ca. 100-1000 mal soviele Alarme generiert wie die anderen etablierten Lösungen, allerdings trotzdem mit vergleichbarer Trennschärfe (Verhältnis von True zu False Positives). Das Alarmvolumen ist dabei getrieben durch die „Medium“ Severity. Ich würde mal sagen, dass das in der Praxis für SOC-Analysten unter dem Strich fast egal ist, weil der mittlere Schweregrad nur bei Anreicherung / pro-aktivem Threat Hunting herangezogen wird. Falls ich da falsch liege, aber gerne melden.
  • Ein nochmals höheres Alarmvolumen hatte Qualys (Multi Vector EDR) – scheint noch etwas zu dauern, bis das ein vollwertiges EDR wird. Das Ziel scheint aber schonmal klar zu sein.
  • Qualys, Checkpoint (Harmony Endpoint) und Cisco haben sich dem DPRK-Test nicht gestellt. Zumindest Cisco wirbt aber mit MacOS-Kompatibilität. Hm.
  • Crowdstrike war seltsamerweise nicht dabei – sind wohl noch vor Testbeginn ausgestiegen, obwohl sie ursprünglich angemeldet waren. Broadcom war auch mit keiner Lösung vertreten.
  • Insgesamt hat MITRE ja noch nie ein Ranking erstellt (das erlaubt es jedem Hersteller auch, individuell auszuwerten und sich selbst als 100%-Sieger zu küren). Speziell bei den jetzt veröffentlichten Testergebnissen wird es aber nach meinem Dafürhalten unnötig schwergemacht, sie in Hinsicht auf eine Kaufentscheidung auszuwerten, in dem die einzelnen Tests sich z.B. nicht nach Hersteller aggregieren lassen und bei den Protections keine Zusammenfassung der Ergebnisse nach Hersteller anzeigbar ist. Das MITRE Team um Greg Fischer steht aber für Rückfragen parat.
  • Unten eine Tabelle mit einer ersten Auswertung, bei der wir als erfolgreiche Detection nur die mit Zuordnung zu einer Technik/Taktik gezählt haben (ich glaube, das ist im Sinne des Erfinders). Falls jemand mit unserer Methodik nicht einverstanden ist, oder wir bei der recht manuellen Übertragung Fehler gemacht haben sollten, natürlich gerne melden. Und das Ranking bitte nur als Indikation verstehen.

Das DCSO Incident Response Team hat einen interessanten Blog gepostet, in dem die Wiederherstellung von teilweise verschlüsselten Dateien nach einem Akira Ransomware-Angriff geschildert wird (NTFS-Partitionen von VMWare ESXi Virtual Disks). Warum waren nur kleine Bruchstücke der Dateien verschlüsselt? Um auf Angreiferseite die Zeit bis zur Entdeckung (z.B. über CPU Last und Dateiintegrität) hinauszuzögern und in diesem Zeitraum möglichst viele Dateien zumindest zu beschädigen.

Zur Härtung von ESXi Systemen gibt es u.a. diesen leicht lesbaren Artikel mit empfohlenen Maßnahmen (wie z.B. Deaktivierung von SSH, MOB, CIM und anderen Services, Account Lockout Einstellungen, UEFI Secure Boot) von Sophos, etwas kürzer als die CIS Benchmarks. Bei den Hypervisoren ist ja i.A. das Problem, dass keine EDR Agenten direkt darauf eingesetzt werden können, sondern z.B. der Umweg über Logs/SIEM gegangen werden muss.

Für Unternehmenskäufe (M&A) wurden im Cybersecurity-Sektor 2024 ca. 45 Mrd. USD in ~270 nennenswerten Deals investiert (Quelle: Return on Security). Das sind in etwa 10% mehr Akquisitionen und Dealvolumen als 2023. Die letzten Schlagzeilen dazu, die mir in’s Auge gesprungen sind:

  • Arctic Wolf übernimmt das Blackberry-EDR Cylance (vermute mal, vor allem wegen der Kunden – hatte nicht den Eindruck, dass Blackberry da in den letzten 2-3 Jahren noch viel investiert hat. Andererseits kann Arctic Wolf dann wieder mehr aus einer Hand bieten, gerade für kleinere Mittelständler, die bisher kein EDR hatten)
  • Fortinet hat Perception Point gekauft und verstärkt sich damit auf dem Gebiet Email-Security und Enterprise Browser. Letzteres muss ich mir mal genauer anschauen, sieht auf den ersten Blick ähnlich zu LayerX aus.
  • Der deutsche Zero Trust Anbieter DeviceTRUST wurde von Citrix übernommen
  • 1Password hat Trelica gekauft (einen Anbieter für die Discovery von genutzten SaaS-Apps)

Hier ein paar hochspekulative Hypothesen („Predictions“) für 2025, mal sehen, was daraus wird:

  • Die Anzahl von Cybersecurity-IPOs verdreifacht sich mindestens ggü. 2024 (d.h., von 1 auf 3). Wiz steht z.B. schon in den Startlöchern
  • Google kauft einen EDR Anbieter
  • Cisco/Splunk kauft entweder einen „richtigen“ EDR-Anbieter, oder einen Cloud/Data Security Hersteller
  • Microsoft dreht bei Defender for IoT (ehemals CyberX) im NDR + OT NIDS Markt bzgl. Werbung+Vertrieb/Bundle-Pricing richtig auf, nachdem es in den letzten paar Jahren (in meiner Wahrnehmung) eher um die Integration mit Defender und Sentinel sowie die Weiterentwicklung für Enterprise IoT ging. Falls zutreffend, können sich die Konkurrenten schonmal warm anziehen.

Über andere Thesen zum Jahresverlauf freue ich mich, gerne zusenden – öfter als ich wird niemand danebenliegen, also keine falsche Zurückhaltung 😉.

Und bei Interesse hier der Notizblock aus einigen Anbietergesprächen:

Gatewatcher:

  • Französischer Anbieter für NDR, also Marktbegleitung zu Vectra, Extrahop, Darktrace, Exeon…
  • Ca. 150 MA, ~50 Unternehmenskunden (u.a. französische Banken wie BNP, Crédit Agricole)
  • Architektur komplett on premise, d.h., nicht nur die Taps, sondern auch die zentrale Engine
  • Inkl. Deep Packet Inspection z.B. zur Erkennung von LDAP-Scans, im Wesentlichen aber basierend auf dem Suricata IDS
  • Cloud-Endpunkte können über Sensoren angeschlossen werden
  • Zeitpunkte für Updates von Signaturen und Algorithmen sind durch Kunde einstellbar
  • Mustererkennung für verschlüsselten Traffic
  • Eigener CTI-Feed (ähnlich Recorded Future etc.)
  • Auch schon relativ viele SIEM-/SOAR-ähnliche Funktionen (Threat Hunting in alten Daten, Anreicherung mit EDR-Telemetrie über Queries, Playbook Erstellung für Isolierung von Endpunkten). Ringpuffer bis zu 1 Jahr möglich, Speicherdauer für Datentypen individuell einstellbar
  • Lizenzierung anhand Anzahl IP Adressen und Abdeckung Module, bieten sogar noch Kauf der Software als Alternative zu Subscription an
  • Suchen noch MSSP Partner für den DACH Raum => Vielleicht interessant für einige LeserInnen

Commvault (Update):

  • Kennen sicher die meisten als Backup-/Recovery-Alternative zu Rubrik, Cohesity, VEEAM, IBM oder Acronis
  • ~2800 MA, ca. 100k Organisationen als Kunden, öffentliche Referenzen u.a. NTT Data, Sony, Dow Jones, Coca-Cola und in unseren Gefilden Olymp und Adidas
  • Backups von Cloud-Workloads nicht nur über Installation von Agenten, sondern auch als SaaS-Service in einem separaten Kunden-Tenant möglich
  • Self-Service von Nutzern für Wiederherstellung einzelner Dateien, allerdings ist je nach Storage-Anbieter ist aber für die Durchsuchung von Blocks eine Indizierung notwendig
  • Deception Software, die auf einer VM im Netzwerk läuft und Geräte-Attrappen emuliert (z.B. Switches, Server, SPS)
  • Viele DLP-Funktionen, u.a. Datenklassifizierung: Automatisierte Empfehlung zur Einstufung, kann dann natürlich manuell angepasst werden
  • Entropieerkennung der Quelldaten während Sicherungsprozess, um Überspeicherung von guten Daten mit infizierten Daten möglichst zu verhindern
  • Bieten (je nach Kundensituation kostenfreie) Table Top Übungen an

Contrast Security:

  • US-Anbieter für Application Detection & Response (ähnlich Miggo), dazu SAST, DAST, SCA und Runtime Tests
  • D.h., AppSec entlang der gesamten Wertschöpfungskette von eigenem Code, 3rd Party Bibliotheken und Schutz während der Ausführung
  • 330 MA, 250 Unternehmenskunden, darunter SAP und BMW, deutschsprachiges Team vor Ort
  • Schwachstellen in Supply Chain: Filter nach aktiv genutzten Klassen oder Bibliotheken zu Runtime möglich => Effektive Priorisierung mit geringen False Positives
  • Runtime Überwachung und ggf. Abbruch der Ausführung durch Sensoren (= Code Snippets): http, Datenflüsse, Code, Libraries, Config. Dabei werden die meisten bekannten Sprachen u. Frameworks wie Java, .NET, PHP, JS, Golang, Python etc. unterstützt. Prozessorlast erhöht sich wohl typischerweise um 10-15%. Natürlich eine gute Interimlösung bis zum Patchen. Dazu lässt sich die WAF optimieren, um weniger gutartige Zugriffe zu blockieren.
  • Bei DAST lässt sich genau in die problematischen Codezeilen springen
  • Hervorragendes Abschneiden ggü. eigentlich allen Wettbewerbern im OWASP-Benchmark
  • Lizenzierung: IAST (Interactive App Sec Testing) über Anzahl Applikationen (Microservices werden zusammengefasst), Runtime Protection abhängig von Anzahl laufender Instanzen
  • Natürlich integriert in die SecDevOps Toolchain wie Jenkins, Slack, Git* und Secure Coding Plattformen wie Secure Code Warrior
  • Einfaches Tracking von MTTR

Fastly:

  • US-Anbieter für CDN, WAF, DDoS / Botnet-Protection und API Security, u.a. für Kunden wie Spotify und Disney+
  • Wie der Name schon impliziert, will Fastly ggü. anderen Anbietern durch Geschwindigkeit / Performance punkten:
    • Laut öffentlich verfügbaren Tests wie CDNPerf oder einer Datenauswertung des Google Chrome UX Reports gehört Fastly tatsächlich zu den schnelleren CDNs. Die Verfügbarkeit gem. Real User Uptime scheint dabei unauffällig (etwas schlechter als z.B. AWS Cloudfront oder Cloudflare, aber etwas besser als Akamai oder Google Cloud CDN)
    • Umsetzung von Konfigurationsänderungen < 30 ms
    • Purge Time < 150 ms (anscheinend wichtig bei hochaktuellen Infos wie Börsenkursen oder den Ergebnissen von Sportwetten)
    • Decision Time WAF (Block/Pass Traffic) von unter 1 ms
  • WAF kann auch on prem oder in Containern mit identischer Funktionalität installiert werden
  • Angeblich wird die WAF von den meisten Kunden sofort ohne Tuning im Block-Modus eingesetzt, da neben den OWASP Core Rule Set (CRS) Signaturen proprietäre Erkennungsalgorithmen genutzt werden. Das nehmen allerdings auch andere Anbieter für sich in Anspruch, z.B. open-appsec bzw. Checkpoint, die ein gut erklärtes WAF Benchmarking zu False Positives/False Negatives veröffentlicht (und in ihrem Test natürlich auch als Bestes abgeschnitten) haben
  • Leider noch nicht in der Liste qualifizierter DDoS Mitigation Dienstleister des BSI (wird aber nicht mehr lange dauern, denke ich)

Wie immer, auch im hoffentlich für alle gesunden und erfolgreichen neuen Jahr: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die die Email weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen