Marktkommentar #17: Schwachstellenaggregation und -behebung

Marktkommentar, Marktkommentar /

Hallo zusammen,

Vulcan ist ja gerade von Tenable gekauft worden – wir haben uns im Rahmen eines Kundenprojekts mal den Markt für Schwachstellen-Aggregations-Tools (auch Risk Based Vulnerability Management / RBVM, Exposure Risk Management) angeschaut. Neben Vulcan waren u.a. dabei:

Armis, Axonius, Brinqa, Nopsec, Northstar, Nucleus, Qualys, Skybox, Strobes, Zafran.

Die Tools bieten als Hauptfunktion die Zusammenfassung von mehreren Schwachstellenscannern (on premise, OT, Cloud, Code) und Asset-Inventaren / CMDBs. Die Intelligenz liegt dann in der Deduplizierung von Asset- und Schwachstellendaten, und in der Bewertung von Risiken (z.B. Ausnutzbarkeit), um eine übergeordnete Priorisierung für eine große Organisation vornehmen, Doppelarbeit vermeiden und den Status auditsicher darstellen zu können. Natürlich gibt es dann noch weitere Features, insb. Workflows für die Nachverfolgung und Behebung von Verwundbarkeiten. Die Lösungen sind i.A. „agentless“.

Wesentliche Erkenntnisse aus dem RfI:

  • Das Wichtigste ist immer noch, überhaupt mal alle Assets zu erfassen und Verantwortliche für Schwachstellenmanagement festzulegen. Das kann z.B. bei einem Server mit Hypervisor, OS und Applikation 3 verschiedene Verantwortliche bedeuten.
  • Unterschiede zwischen den Tools waren z.B.
    • Deployment: Einige Anbieter haben nur SaaS als Option
    • Native Konnektoren (d.h., ohne Wartungsaufwand für den Kunden) für Datenquellen wie MDM- oder EDR-Lösungen, Enterprise Architecture Tools (z.B. LeanIX), Threat Intelligence Feeds oder kundenindividuelle Datenbanken
    • Bewertung von Schwachstellen (z.B. anhand von KEV, EPSS, während Runtime genutzter Bibliotheken, Internet-Erreichbarkeit des Assets oder Darkweb-Infos)
    • Automatisierte Erfassung von Ausgleichsmaßnahmen wie Segmentierungs-Firewalls
    • Einlesbarkeit von Pen Test Ergebnissen
    • Verarbeitungszeiten (können > 24 h betragen)
    • Praktikabilität der Handlungsempfehlungen
    • Anpassbarkeit von Workflows und Dashboards
  • Die Lizenzierung erfolgt typischerweise nach Anzahl Assets. Die Gewichtung von einzelnen Assets (insb. bei Cloud-Assets wie Containern, Load Balancer, Secrets) unterscheidet sich aber zwischen den Anbietern
  • Grundsätzlich entsteht trotzdem 99% des Aufwands für die interne Abstimmung (wann kann gepatcht werden, wer macht was, Testen + Tunen). Naheliegend ist somit eine weitere (KI-gestützte) Automatisierung der Patch-Abläufe inkl. vorherigen automatisierten Tests, wie das z.B. Backline anbieten will.

Palantir hat mehrere sehr detaillierte Beiträge über die eigenen Security-Maßnahmen veröffentlicht, hier ein paar Aspekte zum Thema Software Supply Chain / Entwicklung:

  • Alle Entwickler haben einen Yubikey (5C FIPS, d.h. eine teure Variante) Hardware Token
  • Auf dem Yubikey ist der private Schlüssel gespeichert, der nicht exportiert werden kann
  • Git Commit Signing: Entwickler müssen Code, der in die Pipeline soll, durch Berührung des Yubikeys bestätigen, um die Signatur zu erzeugen
  • GitHub Enterprise Access Tokens sind wohl nur in Ausnahmefällen erlaubt
  • Code Reviews (4 / 6 Augenprinzip) sind erzwungen und werden über Github Policy Bot Workflows regelbasiert vorgegeben
  • Entwickler dürfen keine Git Repository „Owner“ Rolle innehaben (nur „Maintainer“)
  • „Development Tools Team“-Admins nehmen Konfigurationsänderungen über Privileged Access Workstations und getrennte Accounts vor
  • Statische Code-Analyse mit CodeQL. Eigenes AppSec-Team, um die CodeQL-Regeln zu warten
  • Eigenentwickelte Tools, um den Releaseprozess in die verschiedenen Phasen (Test-Stages, Produktion) zu steuern
  • Sonstiges: Github Repos sind private by default, Regelmäßige Checks aller Accounts auf Zugriffsrechte (anscheinend gibt es auch externe Dienstleister mit Zugriff)

Wer SIEM oder EDR Lösungen austricksen kann, hat jetzt die Gelegenheit zu einem neuen Side Hustle: Elastic bietet bis Mai eine spezielle Form eines Bug Bounty Programms an, um die Regelsätze der eigenen Lösungen zu testen. Fokus ist auf Windows, und es gibt ein paar Spielregeln (z.B. kein Kernel Mode, keine Sleep / Timing Evasion Angriffe). Cooler Ansatz!

Die ersten Cybersecurity-Anbieter haben ihre Jahreszahlen 2024 veröffentlicht. Hier mal Check Point zufällig herausgegriffen:

  • Umsatzsteigerung um 6% auf 2,6 Mrd. USD
  • Hochprofitable Cash Flow Maschine: Nettogewinn und Free Cash Flow ~800 Mio. USD, sitzen auf ca. 3 Mrd. Cash/Wertpapieren
  • Marketing + Sales Ausgaben in Höhe von 760 Mio. USD (30% vom Umsatz)
  • Entwicklungsausgaben in Höhe von 340 Mio. USD (13% vom Umsatz)
  • Änderungen in den Fußnoten (bzgl. Definition von Metriken) halten sich in Grenzen – ein weiterer Indikator dafür, dass es der Firma gut geht

Beim EDR Telemetry Project hat sich die Rangfolge in der Linux-Bewertung nach Versand des letzten Marktkommentars übrigens leicht geändert (oder ich hatte Tomaten auf den Augen): Auf jeden Fall ist Microsoft Defender aktuell und wie üblich jetzt auch oben mit dabei. Danke an Gabriel für den Hinweis!

M&A News:

  • Sectigo übernimmt Entrust (PKI / Zertifikatsmanagement)
  • Die Fusion von Juniper + HP wird vom US Justizministerium blockiert
  • Wiz hat nochmal eine Milliarde von VCs eingesammelt, und zwar angeblich zu einer Bewertung von 12 Mrd. USD

Und damit zu einigen Vendor Briefings…

Datagroup:

  • Habe ich mir anlässlich der SOC-Leitstanderöffnung in Hamburg (❤️🦪) angeschaut
  • Vielleicht bekannt als großes Systemhaus (> 3500 MA, > 500 Mio. EUR Umsatz), börsennotiert. Betreiben auch teilweise Rechenzentren für Banken
  • Haben eigenes KI-Tool für die Unterstützung von IT-Admins entwickelt, evtl. auch einen Blick wert
  • 250 MA für Security
  • SOC-Analysten sitzen alle in Deutschland. 3-Schichtbetrieb für Level 1 Analysten, Level 2/3 in Rufbereitschaft
  • Tech-Stack u.a.: Cisco XDR / Splunk SIEM, Fortinet SOAR, LocateRisk für externe Scans, Check Point für Threat Intelligence, Secutec Darknet Monitoring
  • Auch Teil des DIRT (Deutsches Incident Response Team) Verbunds. Internationale IR Unterstützung durch Cisco Talos

Intezer:

  • Amerikanischer Anbieter von “AI SOC/MDR“ mit automatisierter Triage, Anreicherung von Kontext, Untersuchung und Entscheidung inkl. Reaktionen. Geht also nicht nur um Assistenz, sondern mit der klaren Zielsetzung des mittelfristigen Ersatzes von Tier1/Tier2 Analysten
  • ~250 Kunden, darunter z.B. Pepsi, Anheuser Busch, MGM, aber auch in der EU, z.B. Ferrero und DPD, hier natürlich GDPR-konform mit Hosting in AWS EU. Insgesamt schon deutlich ausgereifterer Eindruck als z.B. bei Dropzone
  • Angeblich ggü. typischem Analysten-Team durchschnittliche Reduzierung der Zeit bis zur Klärung („Mean Time to Conclusion“) + Reaktion um ~99%
  • Kunden-Fallbeispiele beim Ersatz von Ontinue, Crowdstrike Falcon Complete oder SentinelOne Vigilance MDR mit interessanten Einsparungen gezeigt, jeweils mit Vergleich der Anzahl bearbeiteter + eskalierter Alarme
  • ~4% der Alarme (über alle Severities) als „inconclusive“ bewertet, aber auch hier mit konkreten Handlungsempfehlungen zur Fallklärung
  • Ideal auch, um Phishing-Mails, die von Nutzern gemeldet werden, automatisiert zu bewerten
  • Lässt sich mit allen gängigen SIEM und EDR integrieren
  • Budgetindikation für 10k Endpunkte: 200 TEUR/Jahr
  • Sind noch auf der Suche nach Channel- und Integrations-Partnern in Deutschland.
  • Hat mich wirklich begeistert (hoffentlich nicht völlig zu Unrecht – gerne melden, falls ich da etwas übersehen habe). Eigentlich sollte hier aber auch eine Marktchance für einen europäischen Hersteller sein

RunReveal:

  • US SIEM / Logmanagement Startup, cooler Slogan: “Stop paying the SIEM tax”. Der Gründer war früher Head of Product Security bei Cloudflare und wohl von den Lizenzkosten für Splunk angenervt
  • ~10 Kunden, noch kleines Team
  • Die üblichen Log-Konnektoren und Use Cases out of the box
  • Deployment-Möglichkeiten von SaaS bis on prem
  • Inkl. Logfilterung / Storage-Optimierung ähnlich Cribl oder Anvilogic
  • Logdaten werden bei Speicherung in tabellarischer Form normalisiert (schema on write), gleichzeitig werden aber die Originaldaten auch noch beibehalten (schema on read). Dies erlaubt nach meinem Verständnis schnellere Suchabfragen als bei den gängigen SIEMs und gleichzeitig Flexibilität, um alle Arten von Logquellen abzudecken
  • Die Query Language (PQL) ist ähnlich wie Kusto, aber Open Source

Frenos:

  • US Startup für OT Security Assessments bzw. Attack Path Simulation, ~20 MA
  • Ca. 5 Kunden, alle kritische Infrastruktur (Banken/Kraftwerke)
  • Ähnlich XM Cyber, aber eben speziell für OT:
    • Digitaler Zwilling des Netzwerks mit Assetdaten, eingesetzten Security Tools + Segmenten. Dazu wird die Konfig-Information von Routern/Switches/Firewalls ausgelesen, oder die Daten von Claroty/Dragos/Tenable/Rapid7 etc. genutzt
    • Dann Berechnung + Darstellung wahrscheinlicher Angriffspfade auf Basis der Zielsysteme (vom Kunden ausgewählt) und gefundener Schwachstellen
    • Vorteil in OT Umgebungen natürlich, dass keine Scans oder Exploits ausgeführt werden müssen
    • Graphische Darstellung aber noch nicht besonders fancy => Um Management Buy-In für OT Sec Projekte zu bekommen, müssen da noch ein paar blinkende Sechsecke und Eurozeichen ergänzt werden
  • Deployment ausschließlich on prem, ohne Agenteninstallation (Laptop anscheinend ausreichend)
  • Ausgleichsmaßnahmen wie Whitelisting können gespeichert werden, damit nicht immer die gleichen Schwachstellen priorisiert werden
  • Rob Lee (Gründer Dragos) ist im Advisory Board

Swimlane (danke für den Tipp, Thomas!)

  • US-Anbieter für SOAR und Low Code Automatisierung von Security- und Compliance-Workflows
  • Z.B. regelbasierte Triage von EDR-/NDR-/SIEM-/DLP-/Mailgateway-Alarmen, Case Management, On-/Offboarding von Mitarbeitern, Schwachstellenbehebung
  • ~250 MA, seit 2014 am Markt
  • SaaS oder on prem Installation möglich
  • Lässt sich wohl schmerzlos und flexibel an übliche Tools wie ServiceNow, Slack, und praktisch alle anderen gängigen Anwendungen über vorhandene Konnektoren anbinden, natürlich ergänzt um typische Playbooks
  • Erstellung KPI-basierter Dashboards möglich (z.B. Mean Time to Detect/Respond, Auslastung Analysten, Verhältnis False Positives /Gesamtzahl Alarme, Anteil verdächtiger Phishing-Mails, die automatisiert als Spam zugeordnet werden), auch dafür viele Vorlagen out of the box vorhanden
  • Klar, dass eine KI („Hero AI“) SOC-Analysten z.B. beim Prompt und Query Engineering unterstützen kann. Dabei werden keine Kundendaten für das Training der KI genutzt
  • Lizenzkosten abhängig von Anzahl Events – bei ~10k Events/Tag wurde eine Budgetindikation von 400-500 TEUR/a genannt
  • Kunden mehrheitlich MDR-Anbieter/MSSPs wie Bitdefender, Deloitte, fernao magellan oder NTT Data, neben größeren Unternehmen mit eigenen SOCs wie ZF oder BMW

Wie immer: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die diese Email weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv vertiefen.

Viele Grüße

Jannis Stemmann

P.S.: Der Sailpoint IPO ist zwanzigfach überzeichnet und die PE-Partner von Thoma Bravo können ihr Glück kaum fassen. You heard it first on this channel.

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen