Marktkommentar #24: Karriere von CISOs als CIO, CTO und vielleicht mal CEO?

Marktkommentar /

Hallo zusammen,

Phil Venable (ehemaliger CISO Goldman Sachs, CISO Google Cloud, jetzt hauptberuflich bei einem VC) kennen bestimmt die meisten, ggf. aus seinem sehr empfehlenswerten Blog.

Untenstehend ein paar Punkte und konkrete Fallbeispiele aus einem kürzlichen Interview mit ihm:

  • Trend sichtbar, dass CISOs die CIO und CTO Rollen übernehmen
    • Auch als Ergebnis von jahrelangen Diskussion à la „Ihr müsst die Security in der IT Infrastruktur verbessern!“ => „OK, dann zeig doch mal, wie das gehen soll!“
    • Wahrscheinlich der natürliche Weg der Dinge. Schließlich haben wir auch keine Chief Work Safety Officer in Unternehmen, trotz ca. 400 tödlicher Arbeitsunfälle/Jahr im DACH Raum. Security alleine hat eben einen zu kleinen wirtschaftlichen Hebel auf den Erfolg eines Unternehmens (Security-Anbieter mal außen vor)
    • By the way, jede Art von Regulierung wie CRA, DORA oder NIS2 führt dazu, dass Security weniger differenzierend als Wettbewerbsvorteil wird. Eine Bank kann ja bei Kunden auch nicht damit punkten, dass sie sich an gesetzliche Vorgaben hält – das ist die Eintrittskarte und wird zu Recht vorausgesetzt
    • Positiver Nebeneffekt: Eventuell werden wir CEOs sehen, die Ihre Karriere in der Informationssicherheit begonnen haben, und dann über den CTO Posten irgendwann Unternehmenschef werden. Meiner kleinen+kurzen Recherche zufolge gibt es aktuell noch kein Fortune 500 Unternehmen, das einen CEO hat, der mal im Bereich Infosec gearbeitet hat (Gegenbeispiele natürlich gerne)

  • Herausforderungen von Security @ Scale in komplexen Brown Field Umgebungen: Update des Verschlüsselungsalgorithmus von 3DES auf AES im AD hat ~18 Monate gedauert. Warum? Abhängigkeiten zwischen Directory Controller, Authentisierungsmethode in Applikationen, Dateisystem und Datenbanksystem => Was dann wieder zu Änderungen in Anwendungen geführt hat. Am Ende mussten nahezu alle Systeme im Unternehmen angepasst werden

  • Nachlaufende Indikatoren wie Anzahl offener Schwachstellen oder Anzahl Kompromittierungen werden auch bei Google gemessen – als KPIs, die die Wirksamkeit des Security-Programms darstellen.
    • Zur Steuerung werden allerdings vorlaufende Kennzahlen wie „Anteil an Software, die reproduzierbar erstellt werden kann“ genutzt.

    • Was ich allerdings noch nicht durchdrungen habe: Wie kann das mit hinreichender Präzision über längere Zeiträume gemessen werden, um tatsächlich Verbesserung oder Verschlechterung in Trends zu erkennen? Eine Ersterhebung stelle ich mir einfach vor, aber kontinuierliche Messung mit vergleichbarer Historie? Wer da Praxistipps hat, gerne melden.

    • Besser nachvollziehbar: Anteil „Kaltstartfähigkeit“ von Infrastruktur => Beispiel: Test der Wiederherstellung kompletter Netzwerke, nicht nur einzelner Dateien oder Applikationen. Nur so werden Henne-Ei-Probleme („circular dependencies“) erkannt, z.B. zwischen DNS-Server und Identity Provider oder Authentisierungsserver – wenn einer davon nicht funktioniert, kann der andere nicht wieder zum Laufen gebracht werden

  • Secure by Default funktioniert: 99,5% aller Kunden haben die voreingestellte Konfiguration nach einem Software-Update nicht mehr geändert, selbst wenn das die User Experience verschlechtert hat

  • Echte Produktivitätsverbesserung im Security Team durch KI erzielt:
    • Malware Sample Reverse Engineering durch KI, gefolgt durch automatisierte Erstellung einer Erkennungsregel und Update des Regelsatzes im SIEM

    • Automatisierte Extraktion von neuen Angriffstechniken aus Videos (z.B. die neuesten „Bypass EDR“ – Youtube-Highlights), anstatt dass sich Analysten die Videos / Transkripte anschauen müssen

    • KI-generierte „Fuzzing Harnesses“ (Programme und Teststellungen, um Code dynamisch zu testen, der nicht direkt über Input erreichbar ist) führen aktuell zu ~30% höherer Test-Abdeckung

    • Incident Reports: Inzwischen besser als die von menschlichen Analysten geschrieben

    • Konfiguration von eigener Infrastruktur: Die Kombination aus einem RAG, gefüttert mit der eigenen Dokumentation und Infrastructure-as-Code, hat zu einer „massive reduction“ im Zeitaufwand geführt, und das bei gleichzeitiger Verbesserung der Compliance

Forrester hat die gängigen SIEM-Lösungen verglichen (allerdings wie üblich ohne technische Tests und ohne Preise), aktuell ist der Bericht noch frei zugänglich. Splunk, Microsoft und Elastic sind die „Leader“. Dahinter reihen sich Google, Palo Alto und Crowdstrike ein. Das deckt sich auch mit den aktuellen Anfragen bei uns, insb. bei größeren Organisationen, die auf der Suche nach „Plattformlösungen“ statt Best of Breed sind. Fortinet oder SentinelOne werden seltsamerweise gar nicht erwähnt, dafür u.a. das hierzulande als SIEM bisher unbekannte Sumo Logic.

Die AWS European Sovereign Cloud kommt – Hier entsteht nicht nur eine weitere digital unabhängige Alternative zu Ionos, Telekom, OVH und StackIT, sondern evtl. auch eine Blaupause für amerikanische Security-Anbieter wie SentinelOne, Crowdstrike oder PAN:

  • Eigene Holding, unterliegt nur deutscher Gesetzgebung
  • Geschäftsführung ausschließlich durch EU Staatsbürger
  • Betrieb (Infrastruktur und Personal) ausschließlich in EU
  • Komplett autarker Betrieb ohne Abhängigkeiten von Komponenten aus EU-Ausland möglich
  • BSI C5-Testat
  • Investitionsplanung ~8 Mrd. EUR in den nächsten 15 Jahren
  • Soll ab 2026 verfügbar sein
  • Erscheint nochmal konsequenter abgekoppelt als die Google Sovereign Cloud, die es ja immerhin bis zur Nutzung der Bundeswehr geschafft hat. Andere Einschätzungen natürlich gerne.

Und hier noch 2 Punktsiege von Team Skynet gegen die Büroarbeiterklasse:

  • XBOW führt aktuell das HackerOne Bug Bounty Leaderboard an – und zwar mit einem vollautomatisierten Web App PenTest Tool, also ähnlich AttackIQ, Pentera, Horizon3, Hadrian, Cymulate etc..

    • Jede entdeckte Schwachstelle wird durch das KI Tool validiert, um die Anzahl der False Positives zu verringern. Beispielsweise werden XSS-Schwachstellen nur gemeldet, wenn über einen KI Agenten mit (Headless) Browser die tatsächliche Ausführung einer Javascript-Payload geprüft wurde.
    • Ist das ein „Kasparov gegen Deep Blue“ Moment für die Pen Test Community?
    • Auf jeden Fall gab es direkt mal 75 Mio. USD Funding für die Weiterentwicklung des US Startups (~50 MA)

  • Der CEO von Klarna (Buy Now, Pay Later Zahlungsdienstleister aus Schweden) hat kundgetan, die Anzahl der MA durch KI erfolgreich von 5000 auf 3000 (= 40% Personalabbau) gesenkt zu haben, und das bei zweistelligem Umsatzwachstum. Mal schauen, ob sich das so bestätigt. Die „Service and Processing Costs” steigen tatsächlich langsamer als der Umsatz auf Jahressicht, aber das Delta wirkt bisher nicht beeindruckend – evtl. schlagen die variablen Kosten beim Einsatz der KI in’s Kontor.

M&A News, lange Liste diesmal:

  • Snyk kauft Invariant Labs, einen Schweizer Anbieter für die Absicherung von KI Agenten und MCP Servern
  • Rubrik akquiriert Predibase – die haben sich auf die Entwicklung und das effiziente Training von kundenspezifischen Small Language Models spezialisiert => Kunden soll also (nach meiner Auffassung) angeboten werden, die mittels Rubrik geschützten eigenen Daten auch in KI-Workflows kostengünstig nutzen zu können
  • Bitdefender kauft Mesh (Email Security aus Irland)
  • Securonix (SIEM/SOAR, ca. 1000 Unternehmenskunden, PE finanziert) kauft ThreatQuotient (Threat Intelligence)
  • Kiteworks (sicherer Datenaustausch) kauft Zivver (Email Security aus den Niederlanden)
  • LevelBlue (Managed Security Services aus USA, gehören zu AT&T, ca. 1000 MA) kauft die Cybersecurity Beratungssparte inkl. Incident Response Service von AON (größter Versicherungsmakler der Welt)

    • Einige Kunden kennen sicher das CyQu Assessment als Vorbereitung auf den Abschluss einer Cyberversicherung – dieser Teil der Beratung bzw. die Risikodialoge verbleiben aber bei AON
    • Die Vermittlung von Versicherungen ist ein viel einträglicheres Geschäft als die meisten Security-Dienstleistungen oder -Lösungen: Von der Geschäftsführung mandatiert, hoher Lock-In Effekt (wer hat schon Lust, sich durch das Kleingedruckte von Policenverträgen zu wühlen), wiederkehrende Umsätze, automatische Inflationsanpassung.

  • Cyera (Data Security) hat nochmal ~500 Mio. USD bei einer Bewertung von 6 Mrd. eingesammelt. Respekt. Das ist ungefähr das 150fache des geschätzten Umsatzes.

Notizen aus Vendor Briefings:

Wraithwatch:

  • US Startup, Angriffspfadsimulation auf Basis digitalen Zwillings aus den USA, Ähnlichkeiten mit XM Cyber
  • Aber echte Innovation, soweit ich das beurteilen kann: Simuliert sowohl Red als auch Blue Team mittels „AI Swarms“, die jeweils auf Aktionen der simulierten Gegenseite reagieren und Angriffe anpassen.
  • Die möglichen Aktionen der Blue Team KI beinhalten neben Konfigurationsänderungen auch Host Isolation, Process Kills o.ä., was man mittels AV/EDR bewerkstelligen kann. Andere Security-Controls wie Segmentierung stehen auf der Roadmap
  • Nutzt keine Exploits – wahrscheinlich also trotz aller KI eine hohe Anzahl False Positives
  • Applikationen können nicht simuliert werden (aber Nutzer, die Zugriffsrechte für bestimmte Anwendungen haben)
  • Neben der graphischen Darstellung von Attack Paths (wie im Planetarium) natürlich auch Handlungsempfehlungen zur Behebung von Schwachstellen
  • Gründer waren die CISOs bei Anduril und SpaceX, Palantir taucht auch in den Lebensläufen auf => Serious folk
  • ~10 Kunden, darunter auch Verteidigung und Behörden, aber noch keine in der EU
  • Mal wieder sensationelle Namensgebung (schon klar, dass eine MaierMüller Computersicherheit GmbH dagegen auf verlorenem Posten steht)

Tamnoon:

  • Managed Cloud Remediation: Fokussierter Managed Service aus USA, der mit einer eigenentwickelten Lösung für Workflows kommt, aber beim Kunden schon ein CNAPP (Wiz, Orca, Prisma, Sweet, Crowdstrike o.ä.) voraussetzt
  • Priorisiert Issues und kann entweder Schritt-für-Schritt Anleitungen zur Behebung erstellen und in Pipelines einlasten/nachverfolgen, oder bei entsprechender Berechtigung in z.B. Terraform selbst beheben
  • Noch keine Kunden in der EU

SilentPush:

  • Sehr spezielle Lösung: Discovery & Mapping of Attacker Infrastructure (ICANN Registrierungen, Webseiten, DNS, Zertifikate): „Indicators of Future Attacks”
  • Basiert auf 100% eigenen Scans + Engineering, viel manuelles Testen auf False Positives. Damit konnten Angriffsvektoren dann früher identifiziert werden (von Tagen bis zu Monaten vorher)
  • Kunden bisher nur US und UK, darunter Walmart, Target, JP Morgan, Marks&Spencers, Haleon, Banking und natürlich MSSPs+IR Teams
  • In der Demo wurde eine URL, die durch Lazarus (APT) registriert wurde, bei VirusTotal getestet => 0/90 malicious verdicts
  • Dazu noch Brand Protection: Monitoring von Fake Domains (Impersonation), DNS Fehlkonfigurationen, Wirksamkeit von Takedowns
  • Suchen noch nach Resellern hierzulande (Distributor in der EU ist Aqaio)

Artifact Security:

  • Der CTO von SE Labs hat seine eigene Firma gegründet, um (AI-)Security-Lösungen zu testen, vorrangig im Auftrag von Herstellern. Headquarter UK
  • Testumgebung mit ~40 Endpunkten, 20 Nutzern und emuliertem Netzwerktraffic, alles in AWS
  • Wer also z.B. zu Marketingzwecken einen Labortest in Auftrag geben will, hat hier eine neue Alternative

Nudge Security:

  • SaaS Security (CASB + SSPM) aus den USA, ca. 100 Kunden
  • Ähnlicher Ansatz wie bei Grip: Scannen der Mailboxen, um alle SaaS-Anwendungen, Konten und Nutzer sowie OAuth-Integrationen zu erkennen + inventarisieren
  • Automatisierung von Workflows wie On-/Offboarding, Rechtemanagement und Konfiguration inkl. MFA, aber auch für die Weiterleitung von Security-Events an ein SIEM/SOC
  • Automatische Alarmierung, wenn SaaS-Anbieter gehackt wurden, die genutzt werden
  • Dazu noch Lizenzoptimierung

Wie immer: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder mal das Archiv neu sortieren.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen