Marktkommentar #20: Wiz/Google (was sonst) und Agentic AI als Zwischenschritt zum Security Autopilot

Marktkommentar /

Hallo zusammen,

Microsoft rüstet den Security Copilot weiter mit „Agentic AI“ Fähigkeiten auf, u.a. mit semi-automatisiertem DLP, Phishing-Triage oder Patching auf Basis des Unternehmenskontext, d.h., soweit, dass die Bediener nur noch die Aktion freigeben müssen. Reinforcement Learning sorgt für stetiges Training anhand der Nutzerreaktionen. Aktuell sind genau solche Tätigkeiten, die der Agent ausführen kann (oder können soll), noch Bestandteil einiger unserer Ausschreibungen für Managed Services. Visibility without action is just noise, wie Yaron Levi (CISO von Dolby) es ausgedrückt hat. Und wir bekommen jetzt die “Next action to take”… als Zwischenschritt zum Security Autopilot.

Das unvermeidliche Thema in der Security-Markt-Welt ist natürlich die Wiz-Übernahme durch Alphabet/Google für 32 Mrd. USD, anstatt des bisher angepeilten IPOs. Kann sich lohnen, wenn GCP damit als die sicherste Cloud, insb. für KI-Anwendungen, wahrgenommen wird, und hierüber Marktanteile gewinnen sollte. GCP bringt ~40 Mrd. USD/a Umsatz, AWS fast dreimal so viel, Microsoft Azure liegt dazwischen. Hier spielt also die Musik. Nur über Security-Umsätze kann sich der Kauf finanziell nicht rechtfertigen lassen (zumindest nicht auf meinem Taschenrechner).

Was macht Wiz eigentlich, und was verbirgt sich hinter dem Begriff „Cloud Native Application Protection Platform / CNAPP“? Hier eine vereinfachte Einteilung der Hauptfunktionen, wohlwissend, dass es Überschneidungen in den Kategorien gibt:

  • Application Security / AppSec Posture Management (ASPM), also Entwicklungstools: Direkte Integration in IDEs, Versionsverwaltungen und CI/CD-Toolchains, um unsicheren Code (wie z.B. Verknüpfung mit veralteten Libraries) zu erkennen und Programmierern sicheren Code vorzuschlagen. Kombination aus statischen + dynamischen Tests, Software Composition Analysis und Priorisierung anhand von Interneterreichbarkeit der Komponenten etc.. Wettbewerber hier sind u.a. Aqua, Semgrep, Snyk/Apprisk, OX, Cycode, Checkmarx, Legit, Apiiro oder Veracode
  • Cloud / Data Security Posture Management oder Exposure Management (CSPM, DSPM, CTEM): Inventarisierung von Assets, Klassifizierung nach Kritikalität und Zuordnung von Fehlkonfigurationen und Schwachstellen mit Handlungsempfehlungen. Wettbewerber sind nahezu alle XDR- und Vulnerability Mgmt-Lösungen (z.B. Microsoft, Palo Alto (Prisma), Crowdstrike, SentinelOne, Tenable, Qualys…), Cloud Security Anbieter wie Orca und Speziallösungen wie Varonis oder Cyera. Wiz setzt hier auf einen agentenlosen Scan mit allen bekannten Vor- und Nachteilen sowie auf ein Graph-Datenmodell.
  • Cloud Infrastructure Entitlement Management (CIEM): Könnte man auch als Bestandteil von CSPM sehen, geht um die Verwaltung von Zugriffsrechten durch Nutzer + maschinelle Identitäten, inkl. auf SaaS-Anwendungen. Kleinere Anbieter in diesem Segment sind z.B. Oasis, Aembit oder Clutch
  • Cloud / Application Detection + Response (CDR/ADR): Überwachung von Workloads (auch containerisierten) während der Runtime, also Angriffserkennung in Nahe-Echtzeit. Auch hier bieten die XDR-Hersteller natürlich Alternativen. Daneben gibt es spezialisierte Anbieter wie Sweet, Armo, Deepfence, Contrast oder Miggo.
  • Die ganze o.g. Code-to-Cloud-Kette soll natürlich iterativ durchlaufbar sein, z.B., wenn bei einem Scan ein Container-Image oder eine API als verwundbar erkannt wurde, dann ein Verantwortlicher zugeordnet werden und anschließend die Code-Zeile gefunden werden muss, die abzuändern ist
  • Insgesamt decken Microsoft, Palo Alto und Crowdstrike am ehesten ein ähnliches Featureset ab. Nah dran würde ich vermutlich SentinelOne, Orca, Sysdig, Lacework/Fortinet oder Upwind

Übrigens auch eine interessante Fragestellung in diesem Zusammenhang: Microsofts Security-Produkte machen geschätzt ca. 25 Mrd. USD Umsatz / Jahr (d.h., ~15% des weltweiten Security-Markts). Wären Defender, Sentinel, Entra, Purview etc. als Produkte eines eigenständigen Unternehmens mehr oder weniger wert, als im Verbund mit Microsoft Betriebssystemen, Office-Anwendungen und Cloud-Infrastruktur? Meine Vermutung (andere Meinungen gerne): Ein eigenständiges Security-Unternehmen würde mit dem identischen Produktportfolio weniger Umsatz bei einer geringeren Marge erzielen. Alleine der Vertrieb wäre um ein Vielfaches teurer.

Why now? Der immer lesenswerte Ross Haleliuk von Ventures in Security hat die Historie von einigen Security-Erfolgsgeschichten unter dem Aspekt aufgedröselt, wie Enterprise-Kunden in der Anfangsphase nach Gründung von der Notwendigkeit einer neuen Lösung eines Startups überzeugt werden konnten. Wer schonmal in der Situation war, weiß, wie langwierig die Entscheidungsprozesse bei Großkunden sind – besonders bei Security, wo auch das Karriererisiko der Entscheidungsträger („Cover my …“) eine große Rolle spielt. Im Kern war bei den meisten heutigen Milliardenunternehmen im Security-Bereich die Transformation zu Cloud-Infrastrukturen ausschlaggebend, gekoppelt mit einer Prise Schlafmützigkeit der vorherigen Marktführer. In fast allen Fällen waren die Gründer vorher bei „Incumbents“ tätig. Hier ein Extrakt:

Unternehmen
Gründung
Wesentliche Beweggründe auf Kundenseite für Kauf / Wechsel
Palo Alto Networks
2007
⦁ Zunehmende Verbreitung von webbasierten Anwendungen, bei denen seitens Angreifer Schwachstellen auf Applikationsebene ausgenutzt wurden

⦁ Verfügbare Firewalls filterten nur Ports/Protokolle (Gründer war früher Entwickler bei Check Point)

⦁ Kunden wurde in PoCs die PAN Firewall im Monitoring Mode parallel zu ihrer vorhandenen FW zur Verfügung gestellt, um die Vorteile aufzuzeigen
ZScaler
2008
⦁ VPN für SaaS Anwendungen nachteilig (Gründer hatte davor schon 3 andere Security-Unternehmen erfolgreich hochgezogen + verkauft)
Okta
2009
⦁ Zunehmende Verbreitung von SaaS

⦁ Gründer war früher bei Salesforce und hatte die Notwendigkeit für ein SaaS Zugriffsmanagement erkannt

⦁ Microsoft hatte noch kein vergleichbares Produkt für Cloud IAM wie Entra ID, sondern nur on premise AD. Selbst AWS hatte noch keinen IAM Service (kam erst 2011)
Duo (jetzt Cisco)
2010
⦁ Zunehmende Verbreitung von Smartphones

⦁ Bisherige MFA-Lösungen waren Hardware-Token basiert => Viel umständlicher in der Verwaltung, als über eine App (Gründer war davor bei Arbor Networks und hatte sich auf die Security von ISPs spezialisiert)
Crowdstrike
2011
⦁ Verfügbare AV Produkte im Wesentlichen on prem und signaturbasiert, d.h., ohne verhaltensbasierte Erkennung von Bedrohungen (Gründer hatte erst ein eigenes Beratungsunternehmen, und dieses dann an McAfee verkauft, wo er noch einige Jahre als CTO arbeitete)
Abnormal
2018
⦁ Microsoft und Google hatten ~2015 APIs eingeführt, über die seitdem Emails auf Malware geprüft werden konnten (davor nur via Email proxy / Gateway möglich)

⦁ Gleichzeitig Anstieg von Business Email Compromise Angriffen

Es gibt immer ein erstes Mal: Der ehemalige CEO von Cybereason (EDR-Anbieter) verklagt den Aufsichtsrat seines Ex-Arbeitgebers. Cybereason ist trotz ~2000 Firmenkunden offenkundig immer noch defizitär und verbrennt Cash, in der Anklageschrift ist von Turnaround die Rede. Streitpunkt: Die entsprechend notwendige Finanzierungsrunde wurde mehrfach durch Vertreter von VC Investoren (u.a. Softbank) blockiert. Inzwischen hat Cybereason ca. 120 Mio. USD neues Funding erhalten, der Merger mit Trustwave wurde aber abgesagt. Die Geldspritze reicht ja vielleicht aus, um zu überleben, bis ein Käufer gefunden wird.

Und kurz vor Redaktionsschluss lese ich, dass ein Short Report zu Kyndryl veröffentlicht wurde. Im Kern geht es darum, dass Kyndryl Kosten (insb. Weiterbelastungen durch IBM) und die daraus entstehenden Verluste als zu niedrig sowie realisierte Umsätze und Cash Flows als zu hoch angegeben haben soll. Das Unternehmen hat die Vorwürfe entschieden zurückgewiesen. Schauen wir mal, ob sich das bewahrheitet. Spaßig war das Geschäft in den letzten Jahren der Umsatzrückgänge und Personalabbaus sicher nicht.

Sonstige M&A- und Funding-News:

  • Varonis (DSPM, DLP) übernimmt Cyral (Datenbank-Monitoring)
  • F5 (WAF-/DDoS-Protection etc.) kauft LeakSignal (Datenklassifizierung)
  • Pentera (Automatisierte Pentests, inzwischen 1100 Kunden) wurde in der neuen Fundingrunde mit 1 Mrd. USD bewertet
  • Island (Enterprise Browser, ca. 500 Kunden, 500 MA) wurde dagegen schon mit 5 Mrd. USD bewertet

Notizen aus Anbietergesprächen:

Sentrybox:

  • Deutsches Startup für on prem Honeypots (als Mini-Appliances), Ziel-Anwender bei Banken, Rüstungsindustrie, OT
  • Die Täuschungskörper simulieren Linux- und Windows-Geräte wie Server, Router oder Speicher/Backup-Lösungen inkl. Header und Services, d.h., ein nmap-Fingerprint soll für Angreifer kaum unterscheidbar vom realen Originalgerät sein (abgesehen von IP-/MAC-Adresse)
  • Vorteil wie bei allen Deception-Lösungen natürlich, dass es keine False Positive Alarme gibt (jede Art von Login = Missbrauch)
  • Alarmierung über SIEM / Ticket System oder auch direkt an der Box visuell
  • Erste Kunden testen die Lösung gerade => Natürlich weitere gesucht, der Gründer Benjamin Krüger freut sich über Anfragen
  • Preispunkt ungefähr ~1200 EUR/a und Box

Vulncheck:

  • Vulnerability, Exploit + Initial Access Intelligence, um Schwachstellen zu priorisieren. HQ in USA
  • Deckt IT, OT, IoT-Systeme ab
  • Nutzt neben NVD, CVE auch OEM Advisories und Exploit Datenbanken wie Packetstorm und Repositories wie Github/Gitlab/Gitee oder Bitbucket => Beispielsweise 2x soviele ausgenutzte Schwachstellen wie in der CISA KEV enthalten
  • Kein eigenes Dashboard, sondern Datenfeed, der mit Schwachstellen-Scannern, Asset Management Lösungen oder SIEMs integriert werden kann
  • Bieten auch Detection Engineering als Service an
  • Kunden vornehmlich unter anderen Security Anbietern (u.a. Palo Alto, Crowdstrike, Netrise, Brinqa), Verteidigung und kritische Infrastrukturen, also eher etwas „für Fortgeschrittene“.
  • Erste Kunden in der EU, bauen gerade ein Vertriebsteam hier auf und suchen auch noch Channel Partner im DACH-Raum

Netwrix (Update):

  • Bekannt aus dem Bereich Identity Threat Protection (wie die ITD/ITP Module der XDR-Hersteller)
  • Neues Modul DLP (ähnlich DriveLock oder Matrix42): Hier wurde der Endpoint Protector von Cohosys gekauft
    • Für Windows, Linux, Mac
    • Neben USB Device Control auch Discovery + Verschlüsselung von sensiblen Daten auf Clients+Servern
  • Dazu im Kernbereich AD Security ein paar Ergänzungen:
    • PingCastle (AD und Entra ID Assessments, kennen wahrscheinlich alle) wurde dieses Jahr übernommen
    • Backup + Recovery von DC, Wiederherstellung von einzelnen AD Attributen/Objekten bis hin zu vollständigen Forests. Da waren ja bisher v.a. Semperis, Quest und Cayosoft mit spezialisierten Lösungen vertreten.
  • Für fast alle Produkte kostenlose Testversionen
  • Im DACH Raum neue Kunden u.a. Sandoz, GLS

Aembit:

  • US Startup für Non Human Identity (NHI) Management
  • Ähnlich wie OASIS, aber mit unterschiedlichem Fokus: Weniger auf Lifecycle Management, mehr auf Zugriffsberechtigungen. „The IdP for NHIs“
  • Regelbasierte Zugriffe Just in Time
  • Mehrstufige Attestation (um MFA für Maschinen-Identitäten möglichst nahe zu kommen):
    1. Erst wird zu einem Authentication Credential eines Workloads die Identität einer Applikation zugeordnet. Dabei werden „Trust Provider“ wie on prem Kerberos oder Metadaten der Cloud Provider genutzt
    2. Dann wird verhaltensbasiert die Plausibilität des Zugriffs geprüft
  • Integration mit den gängigen Vaults von PAM- und DevOps-Tools
  • Bisher nur eine Handvoll Kunden, darunter aber wohl Snowflake und Starbucks
  • Crowdstrike und Okta sind beide in Aembit investiert

Mein Kollege Philipp Pelkmann hat sich übrigens zwar aus dem operativen Geschäft bei CyberCompare zurückgezogen, nimmt als seine vornehmste Aufgabe im Beirat aber natürlich weiterhin die Durchsicht der Marktkommentare vor. Er lässt an dieser Stelle alle LeserInnen herzlich grüßen (und zudem seine Eltern – Shoutout nach Gütersloh, Ostwestfalen).

Wie immer: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die diese Email weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder das Archiv durchforsten.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen