Marktkommentar #23: Incident Response

Marktkommentar /

Hallo zusammen,

bin ich eigentlich der Einzige, der in ständiger Überforderung aufgrund der Sintflut an Neuentwicklungen und Beiträgen rund um Security lebt? Während ich im Kaninchenloch eines Newsletters herumkrieche (einige werden auch immer länger, da habe ich OpenAI als Ko-Autor im Verdacht), haben die KollegInnen schon wieder in Teams 25 Infos aus Projekten gepostet, die ich mir mal dringend anschauen sollte. Die alte iX ist noch nicht zur Hälfte durch, da kommt schon die Nächste. Bei LinkedIn wird man nicht nur mit megacringe Selbstdarstellungen und aufdringlichster Werbung bombardiert, sondern ab und zu mit einem verborgenen Juwel beglückt => Auf keinen Fall verpassen! Für die Absagen von gutgemeinten persönlichen Einladungen zu Veranstaltungen brauche ich inzwischen mehr Zeit als zum Essen. Letzteres bedeutet natürlich Virtual Lunch mit Experten, versteht sich von selbst. Und beim Joggen höre ich nicht die Sounds von Shirin David, sondern Security-Podcasts rund um SIEM und SOC, um ajour zu bleiben. Mit Wiedergabegeschwindigkeit 1,25. Puh! Zum Glück kommt bald die Sommerpause.

Stichwort Security-Podcasts: Viele davon leiden ja (wie auch Security-Vorträge) darunter, dass sie oberflächlich-nichtssagend, jegliche Kontroverse oder Konkretheit vermeidend und damit nervtötend langweilig sind. Oder ich leide darunter, dass ich sie einfach nicht verstehe 😉. Gute Erfahrung habe ich hingegen schon öfter mal z.B. mit dem Blue Security Podcast (2 Microsoft-MA, aber nicht von Microsoft gesponsort/redigiert) und dem Arctic Wolf Podcast gemacht, der von Sebastian Schmerl mit technischem Tiefgang und gleichzeitig humorvoll moderiert wird. Hier ein paar Infos aus der Praxis von Incident Respondern, die ich mir beim Reinhören in der „Wolfshöhle“ und aus weiteren Interviews von Praktikern notiert hatte:

  • Generell finden so gut wie keine vor Ort Einsätze mehr statt, alles remote
  • Netzwerkquarantäne wird über Firewall geregelt, nicht den berühmten Netzstecker. Da sind dann auch die Ausnahmen drin für das IR Team (Alternative Mobilfunk)
  • Beispiel ECommerce: Notbetrieb hergestellt, in dem nur Bestellungen weiter durch die Firewall durchgeleitet wurden
  • Parallel wird ein Jump Host installiert, der nicht domain-joined ist
  • Früher Feierabend ist den Angreifern wichtiger, als unentdeckt zu bleiben („Smash & Grab“) => Spricht für 24/7 Monitoring und Reaktionsfähigkeiten
  • Initial Access Broker fokussieren sich zunehmend auf Schwachstellen in Firewalls, VPNs und Security-Gateways
  • Als einen der ersten Schritte fragen die Verhandler eine Liste der gestohlenen Dateien ab. Darüber lässt sich dann auch oft eine Liste der Server ableiten, die betroffen sind
  • Datenexfiltration: Gern genutzt wird R-Sync oder OneDrive, in Einzelfällen exotische Wege wie limewire.com. Eine Liste findet man u.a. auf LOTS Project – Living Off Trusted Sites
  • Bisher hat kein DLP-Tool die Datenexfiltration effektiv verhindert. Generell ist schwierig, Datenabfluss zu erkennen, die Visibilität fehlt meistens
  • 60-90% Nachlässe auf die Erstforderung der Erpresser sind üblich. Qualys hat berichtet, dass z.B. Lockbit 20% Discount gibt, wenn man in Monero statt in Bitcoin bezahlt (vermutlich aufgrund der besseren Anonymisierung der Zahlungsströme).
  • Vorgehen bei der Suche nach Patient Zero:
    • In FW Logs oder Flowdaten nach Spikes suchen => Dort nach weiteren Indikatoren für Exfiltration suchen
    • Suche nach neu angelegten Ordnern und neu installierten Tools
    • Suche nach Executables im Autostart (bei Maschinen, die noch nicht neu gebootet wurden)
  • Daten vom Kunden (Auswahl, typischerweise nur ca. 1-2% der gesamten Logdaten) werden in ein Quarantäne-Storage geladen und dann erstmal automatisiert untersucht
  • Wenn der Kunde ein vernünftiges EDR hat (egal welches), kann das genutzt werden => Thor Scanner oder Velociraptor o.ä. anscheinend nicht unbedingt notwendig. Kernproblem natürlich, dass typischerweise der Rollout nicht vollständig erfolgt ist
  • C2- Channel: Gerne genutzt werden immer noch Fernzugriffstools wie Teamviewer oder Lolbins, z.B. PSExec oder WMIC
  • Bisher kein Fall bekannt, in dem OT Produktionssysteme tatsächlich gestört wurden, Fokus Angreifer immer IT
  • In vielen Fällen ist den Angreifern sogar Linux zu kompliziert und bei Exfil+Verschlüsselung werden nur Windows-Server aufgebrochen
  • Der Trend geht dahin, Hypervisor zu verschlüsseln => Keine EDR-Überwachung, Konfiguration oft mangelhaft
  • Es kam auch schon vor, dass die Ransomware-Bande ein Unternehmen verwechselt hat (und dann eines erpressen wollte, von dem gar keine Daten geklaut wurden). Oder die Payloads schon platziert, aber sich dann selbst mittels Firewallregel aus Versehen ausgesperrt hat. Die Bad Guys sind halt auch alles Menschen, sehr beruhigend.

Wie entwickelt sich eigentlich der Markt für Incident Response Dienstleistungen (Danke an dieser Stelle insb. an Sven und Ruben für den Input)?

Die Liste qualifizierter APT-Dienstleister des BSI wird kontinuierlich erweitert, inzwischen sind dort 58 Anbieter aufgeführt (natürlich gibt es auch noch mehr) – ungefähr doppelt so viele wie vor ein paar Jahren. Oder, um einen Kollegen zu zitieren, „Alles, was nicht bei drei auf den Bäumen war“. Tatsächlich enthält die BSI Liste neben den ganz Großen der Branche inzwischen auch sehr kleine Dienstleister, bei denen man sich fragt, wie die 24/7 Bereitschaft von ausreichend qualifizierten Forensikern eigentlich mit den Gesetzen der Physik in Einklang zu bringen ist. Viele der gelisteten Anbieter haben zudem keine juristische Beratung, Krisenkommunikation, Hilfe beim Wiederaufbau oder ein technisches Labor im Portefeuille. Sicher wäre so langsam eine Erweiterung der Kriterien (z.B. Anzahl der tatsächlich durchgeführten Einsätze) angebracht.

Der Grund für das Wachstum in Listenlänge und Anbieterlandschaft ist natürlich, dass Incident Response Retainer bisher zu den profitabelsten Services gehörten, die man im Cybersecurity-Bereich anbieten kann. Die Verträge haben aus Anbietersicht oft folgende Vorteile:

  • Reservierung von Kapazitäten => Ähnliche Planbarkeit wie bei Managed Services. Schon mit 3-4 kleinen Retainerverträgen ist ein Vollzeitprofi mit Toolset durchfinanziert
  • Die vereinbarten Stundenkontingente (typisch: 40 h) reichen meistens nicht für die Einsätze. Übliche Tagessätze über das Kontingent hinaus liegen um ~3000-4500 EUR, d.h., 2-3x mal so hoch wie bei SOC-Analysen, Pen Tests o.ä.. Und wenn die Hütte brennt, wird auch nicht mit der Feuerwehr gefeilscht – der Mehrwert für den Kunden ist recht greifbar
  • Die Ersatzleistungen, wenn das Kontingent nicht gebraucht wird (was ja statistisch in ~80-90% der Jahre so sein sollte), haben in vielen Verträgen eine deutlich geringere Wertigkeit (z.B. Schulungen)
  • Vorbereitende Tätigkeiten wie TableTop Notfallübungen sind eine ideale Grundlage für eine intensive Vertrauensbeziehung mit dem Kunden. Und wenn man Kunden dann tatsächlich bei einem Einsatz aus der Patsche helfen kann, ist ein Wechsel des Dienstleisters eigentlich undenkbar
  • Kunden können die Qualifizierung von Anbietern schwer einschätzen
  • Softwarevertrieb im Rahmen des IR-Einsatzes ist eine lukrative Einnahmequelle

Die Anzahl der Einsätze wächst vermutlich auch – genaue Zahlen liegen zumindest mir nicht vor, aber wir können die gemeldeten Ransomware-Angriffe in Deutschland bei der Polizei als Näherung heranziehen. Diese sind gem. BKA Lageberichte 2024 auf 950 gestiegen (ca. 20% mehr als die 800 gemeldeten Fälle 2023). Im Durchschnitt ergibt das also bei ca. 70 IR Dienstleistern (nicht alle, die es gibt, sind ja beim BSI gelistet) eine Größenordnung von ca. 13-14 Einsätzen/Jahr und IR-Team oder 1-2/Monat. Im Nebensatz bemerkt: Wenn die BKA Zahlen ungefähr stimmen, bedeutet dass, das ungefähr 3% aller von NIS2 betroffenen Organisationen pro Jahr erfolgreich angegriffen werden.

Der zunehmende Wettbewerb macht sich aber auch in dieser Kategorie bemerkbar:

  • Das Preis-/Leistungsverhältnis für Kunden wird besser
  • Die ersten Anbieter verkaufen Retainer, in denen der gesamte Einsatz abgedeckt ist, d.h., unabhängig vom Aufwand wird ein Ergebnis geliefert => Vorteil für Kunden, wenn der SoW klar definiert ist
  • Kunden melden sich vereinzelt bei IR-Dienstleistern und möchten die vereinbarten Stundenkontingente reduzieren
  • Cyberversicherungen bieten IR mit eigenen Abteilungen an oder schließen Wholesale-Verträge

Naheliegend ist, dass MDR/MSOC und IR weiter zusammenwachsen. Die Synergien sind klar, die Grenzen zwischen SOC Level 3 und post-breach IR verschwimmen zunehmend (die trennscharfste Definition für mich bisher: Mehr als 1 Host betroffen = post breach Incident Response). Mein Best Guess ist, dass wir eine Konsolidierung im MDR/MSOC Markt auf ~80 Anbieter im DACH Raum bis 2030 sehen (also ungefähr eine Halbierung), die aber dann praktisch alle auch Incident Response Retainer anbieten.

Andere Datenpunkte / Erfahrungen / Ergänzungen? Freue mich über Input.

Übrigens kann man sich bei der Auswahl eines geeigneten IR-Dienstleisters (und auch generell von Security-Dienstleistern) ja als ein Kriterium mal die KI-Unterstützung zeigen lassen. Nur Firmen mit ausreichend proprietären Daten / Fallbeispielen aus Einsätzen sollten überhaupt in der Lage sein, ein eigenes Tool damit anlernen zu können.

Wo wir mal wieder bei KI angelangt sind… Zwei für mich originelle Beobachtungen vom Spotify CTO Gustav Söderström dazu:

  • Als Spreadsheets auf den Markt kamen, gab es die Voraussage, dass alle Buchhalter ihre Jobs verlieren würden. Tatsächlich sind wir aber mittels Excel alle zu kleinen Buchhaltern geworden, die für jede Überschlagsrechnung die Tabellenkalkulation bemühen. Und die Anzahl der festangestellten Controller, die unsere amateurhaften Spreadsheets misstrauisch hinterfragen, ist auch noch gestiegen. Die Kosten für komplexe Berechnungen ist gegen Null gefallen, und Manager wollen immer mehr Infos und Planungssicherheit. => KI wird daher nach Meinung von Söderström mit einiger Wahrscheinlichkeit zu keinen Jobverlusten, sondern zur Anreicherung von Jobs führen. Die Messlatte für erwartete Quantität und Qualität des Outputs von Mitarbeitern wird weiter steigen.
  • Die meisten Software-Entwickler arbeiten bei großen etablierten Unternehmen. Große Firmen verwenden aber ~90% der Entwicklungskapazitäten auf die Anpassung der bestehenden Codebasis (und nur ~10% für die Programmierung neuen Codes). Aktuell ist die KI noch nicht gut genug für Refactoring oder ein echtes 4-Augen-Review. Die publizierten Erfolge beziehen sich alle auf Neuentwicklungen (wie jüngst die Cloudflare OAuth2.1-Implementierung mittels Claude). Das wird sich aber in absehbarer Zeit ändern => Die echten Effizienzgewinne auf breiter Basis kommen selbst bei Software-Entwicklung erst noch auf uns zu. Dazu passt auch die Aussage des Google CEOs letzte Woche, dass bei Google bisher „10% engineering velocity increase using AI“ erzielt wurde.

Notable Cyber Investment Banking News:

  • Tenable kauft Apex (Discovery von Shadow KI-Anwendungen)
  • Netskope (CASB/SASE, ca. 500 Mio. USD Umsatz) bereitet den IPO vor, Zielbewertung 5 Mrd. USD
  • ZScaler übernimmt Red Canary (US MDR-Anbieter, ca. 500 MA, ~100 Mio. USD Umsatz) für ~700 Mio. USD. Bezeichnend für einen generellen Trend: Serviceanbieter werden attraktivere Übernahmeziele
  • Cellebrite („Accelerate Justice“ – das ist die Firma, die Handies für das FBI knackt) kauft Corellium (Digitale Zwillinge von Mobilgeräten und IoT / Automotive ECUs)
  • Checkpoint kauft Veriti (Attack Surface / Exposure Management, u.a. virtuelles Patching für Cloud Workloads)
  • CyberArk (PAM/IAM, ca. 1 Mrd. Umsatz, defizitär, aber cash-flow positiv) leiht sich 1 Mrd. USD, vermutlich für weitere Akquisitionen. Ein Blick in den Jahresabschluss verrät, dass bei CyberArk jeder 2. Umsatzdollar in Marketing & Vertrieb gesteckt wird. Der Weiterverkauf erfolgt u.a. durch namhafte Reseller wie KPMG, Deloitte und PwC – und die lassen sich das natürlich gut bezahlen.

Vendor Briefings:

FAST LTA:

  • Deutscher Hersteller für HW-Speicher von Backup + Archivierung, d.h., Wettbewerber zu IBM, NetApp, HPE, Pure Storage, teilweise Rubrik
  • Eigene Entwicklung und Fertigung => Kontinuierlich kurze Lieferzeiten
  • Ca. 3500 Unternehmenskunden, darunter Aurubis, ZDF, Saint Gobain, viele Kliniken, u.a. Charité
  • Archivierung: Fokus auf revisionssichere hardwarebasierte unveränderbare (immutable / WORM) Speicherung ohne Datenverluste (eigener Chip, der das Überschreiben von einmal beschriebenen Bereiche für eine pro Datei definierte vorgegebene Zeit verhindert. Jeder Speicher hat eine eigene Uhr, um Manipulation des Zeitstempels zu verhindern.).
  • Kontinuierliche automatisierte Überprüfung der Integrität (alle Daten alle 30 Tage)
  • Backup: Softwarebasierte Unveränderbarkeit von Snapshots. Dazu „Air Gap“ Option: Motor kann physisch entkoppelt werden, um Überschrieben zu verhindern => Geht natürlich zu Lasten der Zugriffszeiten.
  • Integration mit den gängigen SW-Lösungen wie VEEAM, Cohesity, Commvault etc.

Material Security:

  • M365 + Google Workspace Security – Mailbox, Sharepoint, Google Drive.. Im Prinzip eine Kombi aus Phishing-Schutz und DLP, klar positioniert gegen Proofpoint u. Mimecast und als Ergänzung zu MS Defender
  • Kunden u.a. Starbucks, Mars, Datadog, Coinbase
  • Scannen Mailboxen (d.h., nicht nur einmalige Filterung bei Eingang wie Standard-Mailgateways) regelmäßig über die API auf Auffälligkeiten und neue IoCs, auch Insider Threat Merkmale wie ungewöhnliche Weiterleitung, und ob zwischenzeitlich ein User auf den Phishing-Link geklickt hat
  • Automatisches Redacting (Unkenntlichmachung) von sensiblen Dokumenten u. Emailinhalten
  • Posture Management: Check der Einstellungen gegen Benchmarks + automatisierte Re-Konfiguration (wenn man das will)
  • Bisher noch keine Reseller im DACH Markt, also bei Interesse mal anschauen. Einstieg in die Präsentation war über die 20% Marge, die man als Reseller verdienen kann

Appdome (Update):

  • Natürlich weiterhin Fokus auf Kunden mit zahlungs- und/oder sicherheitsrelevanten Apps – Banking, Gaming, ECommerce, Healthcare und seit neuestem Hotels, bei denen man die Zimmer mittels App öffnen kann
  • Habe mir mal das neue Feature Anti Account Takeover angeschaut: Durch Deep Fakes in Verbindung mit KI-Reengineering von Algorithmen zur Gesichtserkennung werden z.B. bei Banking-Apps Face ID und auch andere biometrische Authentifizierungsmethoden inzwischen leicht ausgehebelt. Angriffsmethoden sind u.a.:
    • Spoofing der API- oder SDK-Calls zwischen Endgerät und zentralem Bilderkennungsdienst, um positive Übereinstimmungen zu fälschen
    • „Face Swap“ Apps, um das Bild der realen Kamera durch eines einer (virtuellen) Kamera zu ersetzen
    • Veränderung der übermittelten Bilddaten, bis eine positive Übereinstimmung erzeugt wird
  • Die Erkennung von solchen Angriffen funktioniert z.B. über die Prüfung, welche anderen Applikationen auf dem Mobilgerät laufen, ob Bilddaten gepuffert werden oder die Encoding-Algorithmen geändert wurden
  • Kompromittierte Apps können jetzt geschlossen werden – sowohl auf dem Handy/Tablet, als auch über Unterbindung des mobilen Netzverkehrs über die WAF/Botnet Protection

Kertos:

  • Deutscher Anbieter für eine GRC-Lösung mit ergänzenden Services („Sprechstunden mit DSB/ISB“), ca. 50 MA, VC-Funding
  • Ca. 180 Kunden, bekannte Namen u.a. Grohe, Personio, Flink, Enpal
  • Neben dem Tracking von Frameworks (GDPR, ISO27001, SOC2…), Policy Templates, automatischer Erfassung von technischen Controls über Integrationen auch Standard-Trainings und Workflow-Tool mit Fortschritts-Tracking
  • Risikomanagement: Katalog von Risiken, die ausgewählt und mit vorgeschlagenen Controls zur Behandlung verknüpft werden können
  • Einer der Gründer kommt aus Hamburg. Alleine schon deshalb sollten sich das alle LeserInnen mal anschauen! 😉

Wie immer: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder im Archiv Staub wischen.

Viele Grüße

Jannis Stemmann

 

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen