Marktkommentar #28: M&A Herbstbonanza, SIEM Kosten im Griff, und keine panische Angst vor Angriffen auf Automatisierungstechnik

Marktkommentar /

Hallo zusammen,

uneingeschränkten Beifall auf jeder Security-Konferenz und sonstigen Echokammern erhält man safe, indem man mehr Budget für Security fordert. Oder, indem man sich lautstark über die Kosten von Splunk beschwert. Das ist wohl auch mal jemand von Cisco/Splunk zu Ohren gekommen. Daher kommt jetzt das Angebot, Logs von Cisco Firewalls kostenlos zu verarbeiten. Auf der diesjährigen User Conference wurden dazu neue Ansätze wie der Triage Agent und „Federated Search“ in Snowflake vorgestellt – nach meinem Verständnis direkte Alternativen zu den Data Pipeline Lösungen wie Cribl, Tenzir, Databahn, Anvilogic oder wie sie Crowdstrike und SentinelOne gerade eingekauft haben (s. unten). Damit sollen Ingest- und Speicherkosten reduziert und gleichzeitig die Erkennungsgeschwindigkeit erhöht werden. Die Grenze zwischen XDR und SIEM löst sich damit noch weiter auf – am Ende geht es um die möglichst schnelle und präzise Analyse von großen Datenmengen.

Bisher habe ich allerdings den Eindruck, dass trotz großem Wehklagen über Budgetexplosionen einmal etablierte Splunk oder QRadar Installationen bei Kunden erst dann abgelöst werden, wenn die Entscheidung von on prem zu IaaS/SaaS SIEM gefallen ist. Der Aufwand (und bei z.B. DORA regulierten Banken auch das Risiko) einer Migration schreckt dann doch sehr ab.

Logvolumen reduzieren, aber ohne das Risiko zu erhöhen? Ein praktisches Beispiel hier von monad, bei dem die SIEM Kosten um ~50 TEUR/Jahr gesenkt wurden, indem Okta Logout-Events direkt in S3 anstatt dem SIEM gespeichert wurden, also Filter vor Ingest. Damit stehen die Daten immer noch für tiefgehende Analysen im Bedarfsfall noch zur Verfügung. Andere erwähnte Events, die man sich wahrscheinlich für Echtzeitdetektionen sparen kann, sind z.B. Email Statusmeldungen.

Und wenn man dann das SIEM Budget optimiert hat, kann man mit Threat Hunting weitermachen. Certis Foster hat dazu zum ersten Mal (soweit mir bekannt) den „Time-Terrain-Behavior“ Ansatz von MITRE in die Praxis umgesetzt und mittels des öffentlich verfügbaren  Splunk Boss of the SOC Datensatzes getestet (BOTSv2, ~70 Mio. Events, 100 Logquellen, 16 GB). Im Wesentlichen wurden dabei Angriffe ohne Erkennungsregeln entdeckt, indem nach statistischen Ausreißern entlang mehrerer Dimensionen gesucht wurde – völlig unabhängig von Angriffsketten oder „wenn… dann…“ Logik. Die Dimensionen waren dabei z.B. Zeitabschnitt, Signalquelle und Verhalten (z.B. Anmeldung, Zugriff, Ausführung). Falls ich die Methodik falsch verstanden haben sollte, gerne Bescheid geben. Dass die 3D Visualisierung auch in komplexeren Infrastrukturen gut funktioniert? Wohl kaum. Aber das lässt sich ja mittels KI auch automatisch auswerten, und dann sogar mit noch mehr Dimensionen. Könnte ich mir gut als Ergänzung der bisherigen UEBA vorstellen.

Unser Freund Dale Peterson (der seit ca. 20 Jahren die S4, also die wahrscheinlich weltweit größte Konferenz zum Thema OT Security, organisiert), schreibt wie folgt: „The impact of OT cyber incidents has been minimal. … The threat, as expressed in vendor reports, government pronouncements, industry studies, conference presentations, and media articles, is vastly overstated. Hyped up. A look at the expressed threat and actual consequences over any time period in the last 20 years clearly shows this.” Tja.

Immerkehrender Unkenrufe zum Trotz gab es bisher keinen Vorfall mit nennenswerten Konsequenzen, der durch bessere OT Security hätte verhindert werden können. Ja, es gab vereinzelt OT-spezifische Angriffe. Nein, die verursachten Schäden sind im Quervergleich mit anderen Risiken nicht relevant gewesen. Ja, Angriffe auf die IT ziehen regelmäßig massive Produktionsabschaltungen nach sich (sieht man aktuell wieder bei JLR, oder vor ein paar Jahren bei Colonial Pipelines), weil z.B. ERP-Systeme nicht verfügbar sind. Nein, Angriffe auf Automatisierungstechnik haben zu keinen Produktionsausfällen geführt.

  • Und das, obwohl bis heute „insecure by design“ Automatisierungstechnik auf den Markt und von Kunden eingesetzt wird, insb. ohne Authentifizierungsmöglichkeit von Steuerungsbefehlen. CRA, MVO und NIS2 kommen noch!
  • Das wird zwar nicht im Marketingmaterial, sehr wohl aber von Experten im DACH Raum bestätigt, auch von Anbietern der OT NIDS Lösungen
  • Wieviele erfolgreiche Angriffe auf Energieversorger (inkl. Übertragungs-/ Versorgungsnetzbereiber u. Kraftwerke), bei denen die kritische Dienstleistung betroffen war, gab es in Deutschland in den letzten 5 Jahren? Null (laut BSI). Da zweifeln wir aber als Infosec-Evangelisten natürlich erstmal die Validität der Zahlen an, nicht unsere eigene Wichtigkeit.
  • Ein Grund: Sinnvolle Basic Security-Maßnahmen wie Netzwerksegmentierung, Notfallübungen, USB Blocker und Antivirus haben Standard IT Malware-Ausbrüche in den meisten Fällen effektiv eingedämmt
  • Aber: Der Hauptgrund für den glücklicherweise sehr überschaubaren Impact ist natürlich, dass wir keine Kraftwerke oder Fabriken bauen, die den Ausfall einer Steuerung oder einer Festplatte nicht überstehen oder bei Eingabe eines unsinnig hohen Sensorwerts plötzlich eine Gefahr für Leib und Leben darstellen. In der physischen Welt bauen wir Redundanz und Sicherheitsfunktionen bei allem ein, was uns ernsthaft lieb und teuer ist. Arbeitssicherheit, Qualität, Produktivität, Liefertreue – das sind die obersten Prioritäten von Werksleitern.
  • Dazu kommt, dass die wirksame Manipulation von Automatisierungstechnik für die Angreifer viel aufwändiger (=kostspieliger) ist, weil jeder Angriff einen viel höheren Individualisierungsgrad erfordert. Gepaart mit der oben beschriebenen Robustheit (viel Spaß beim Hacken eines mechanischen Überdruckventils) macht der Business Case keinen Sinn.

Von Leuten, die nie in der Fertigung gearbeitet haben, werden auch Märchen erzählt in der Art von „Cyberangreifer können mit der Verstellung einer Sprühdüse bei Lackierrobotern Milliardenschäden verursachen!“

  • Spoileralarm: Nein. Können sie nicht.
  • In der realen Welt kommt es aufgrund von Verschleiß, Entropie und Menschlichkeit zu ständigen Problemen wie Prozessparametern, die außerhalb von Eingriffs- oder Toleranzgrenzen liegen. Zum Beispiel: Zu niedriger Druck, Temperaturschwankungen, falscher Sprühwinkel, inhomogene Pigmentierung, leicht versetzte Position von Karosserie oder Roboter, Abrieb und Staub an den unmöglichsten Stellen, oder einfach eine falsche Einstellung, weil sich jemand vertippt hat
  • Daher gibt es Regelkreise, die entweder automatisch nachjustieren oder alarmieren, Prozesse stoppen und die Notwendigkeit von manuellen Eingriffen signalisieren, um den Ausschuss zu reduzieren
  • Funktioniert das perfekt? Natürlich nicht. Wir kennen alle aus der Zeitung oder aus der Post im Briefkasten Rückrufaktionen der Autohersteller. Was wir nicht kennen: Rückrufaktionen aufgrund von Cyberangriffen. Und selbst wenn es mal einen geben sollte, wäre das eben nur 1 von 1000 anderen möglichen Ursachen.

Was ich gerne wüsste, vielleicht können mich da mal ExpertInnen für Cyber Warfare aufschlauen:

  • Bis heute kommt bei Fragen nach einem realen Angriff auf Automatisierungstechnik immer ein Beispiel: Stuxnet. Ist das alles? Nach 14 Jahren zitieren wir einen staatlichen Cyberangriff der USA und Israel auf den Iran als Grund dafür, OT NIDS zu kaufen?
  • Wenn Stuxnet so erfolgreich war: Warum wurden dann kürzlich die iranischen Atomanlagen spektakulär mit Bunker-Buster Bomben angegriffen?
  • Warum lesen wir jeden Tag über russische Drohnen -und Raketenangriffe auf ukrainische Kraftwerke, und nicht mehr über verheerende Cyberangriffe?
  • Warum muss Israel Banken im Libanon bombardieren, anstatt sie durch Unit 8200 & Co. mittels eines Cyberangriffs auszuschalten? Sind die libanesischen Banken besser gegen Cyberangriffe geschützt als unsere eigenen?

Ich glaube, dass sich mehr und mehr die Erkenntnis durchsetzt, dass Cyberangriffe in der physischen Welt vergleichsweise wenig Durchschlagskraft haben – und darüber sollten wir alle froh sein. Wir haben genug zu tun mit Ransomware und sonstigen IT-Problemen. Andere Meinungen (oder noch besser: Andere Fakten)? Immer gerne!

Die M&A Banker waren im Gegensatz zu mir anscheinend auch während der Sommerpause fleißig:

  • Mitsubishi Electric (war vorher schon Anteilseigner) kauft Nozomi vollständig, zu einer Bewertung von rund 1 Mrd. USD. Nozomi (Bei aktuell wohl ~75 Mio. Umsatz, 33% Wachstum, ~12.000 Installationen weltweit, geschätzt unprofitabel) soll aber weitestgehend unabhängig bleiben, ähnlich Rhebo / Landis+Gyr. Anscheinend rechnet man mit viel Synergien auf der Umsatzseite, wenn die Sensoren von Nozomi für die Prozessoptimierung eingesetzt werden. Nozomi setzt sich in meiner Wahrnehmung im DACH Raum oft gegen Wettbewerber durch, auch getrieben durch ein stärker werdendes Partnernetzwerk.
  • Crowdstrike geht shoppen und kauft Pangea (AI Security, z.B. gegen Prompt Injection) für ~260 Mio. und Onum (Data Pipeline Mgmt.) für ~300 Mio USD.
  • Das lässt SentinelOne natürlich nicht auf sich sitzen, sondern zieht direkt nach mit dem Kauf von Observo.AI (ebenfalls Data Pipeline Mgmt.), für ~200 Mio. USD
  • Cato Networks (SASE, ZTNA) kauft Aim Security (AI Security, u.a. Token Exfiltration Detection) für ~300 Mio. USD
  • Checkpoint kauft sich die praktisch deckungsgleichen Features zu AI Sec bei Lakera ein
  • Varonis kauft SlashNext (Email, Teams, Zoom, WhatsApp etc. Security) für ~150 Mio. USD
  • Security Scorecard kauft HyperComply (automatisierte Befüllung von Fragebögen), um das Angebot für Third Party Risk Management aufzubohren
  • F5 kauft Calypso.AI (KI für Schutz vor KI-Angriffen, z.B. agentenbasiertes Red Teaming von Modellen. Auf der Homepage ist gefühlt jedes 3. Wort „Inferenz“)
  • Accenture kauft IAMConcepts aus Kanada (Beratung + Managed Services für alles rund um Identity, ähnlich IC Consult, würde ich sagen). Accenture hat jetzt unfassbare 790.000 MA und wird 2035 größer als die Schweiz, wenn das so weiter geht.
  • Shift5 holt sich 75 Mio. für die weitere Expansion. Coole Lösung, speziell für Equipment des US Militärs: Anomalieerkennung auf Layer 1 Ebene (serielle Busse).

Notizen aus Vendor Briefings:

Deep Instinct (Update):

  • Das letzte Mal hatte ich mit Deep Instinct in der Anfangszeit von CyberCompare Kontakt, damals noch als präventive Ergänzung zu AV/EDR („EDR+1“) auf Basis Deep Learning positioniert. Die Lösung hat aber seitdem in Kundenprojekten so gut wie keine Rolle gespielt und war auch gefühlt im DACH Markt nicht besonders präsent
  • Anscheinend gibt es aber international namhafte Unternehmenskunden, u.a. American Express, Citibank, Blackrock, Honeywell. Zumindest eine deutsche Banken ist wohl auch darunter
  • Jetzt erfolgt ein Reboot in DACH. Im Fokus steht dabei eine neue containerisierte Lösung („DSX“), die Binary-Dateien vor dem Speichern auf Anomalien scannt. Dabei kann ein einzelner Container ~100 GB/Stunde scannen, also deutlich schneller als typische AV-Engines.
  • Native Integrationen über API gibt es schon mit den gängigen Email-Lösungen (API oder icap Anbindung), Amazon S3, NAS (Dell + NetApp)
  • Interessant für on prem Enthusiasten: Kann auch air gapped betrieben werden. Updates erfolgen nur ungefähr 2-3x/Jahr
  • Schade: Die Breach Warranty gibt es nicht mehr
  • Leider gibt es auch keine Testberichte, die Statements wie „Achieves over 99% detection of zero-day malware” belegen
  • Lizenzierung anhand Anzahl Scans
  • Suchen noch nach lokalen Channel Partnern

Confident Security:

  • Wrapper um KI-Anwendungen (Offene LLMs wie Llama oder Mistral und kundenspezifische Modelle), um Vertraulichkeit von Firmen- und Nutzerdaten sicherzustellen („You bring the AI, we bring confidentiality“)
  • Anonymisiert Prompts und Kontextdaten
  • Verschlüsselt den Traffic E2E
  • Keine Speicherung von Kundendaten (inkl. Prompts) auf Servern des Anbieters
  • Protokollierung der erfolgreichen Ausführung der o.g. Operationen, um Nachvollziehbarkeit für Kunden zu erreichen. Garantieren HIPAA und PCI-DSS Compliance. Bieten Nachweis, dass Kundendaten nicht für Trainingszwecke genutzt werden können.
  • Bieten demnächst wohl auch die Option, dass Kunden die KI-Anwendung auf eigenen GPU on prem betreiben
  • Klingt nach der idealen Lösung für einen europäischen Klon, oder?

 

Accuknox:

  • US Startup für CNAPP (also Wettbewerb zu Wiz, Orca, PAN/Prisma, MS, CS, Forti/Lacework…), wollen jetzt den Markteintritt in Europa beschleunigen
  • Kombinieren SAST + DAST incl. Secret + Container Scanning, CSPM, KSPM, AISPM und CWP
  • > 100 Kunden weltweit (davon einige in Europa, allerdings noch keine großen), ca. 100 MA
  • Speziell für hybride Umgebungen entwickelt. Kann auch selber vom Kunden on prem betrieben werden
  • Integrationen mit z.B. Snyk, Checkmarx, Semgrep, Nessus…
  • Umfangreich erschien die GRC-Funktionalität: Compliance Reporting der Konfiguration vs. 33 Frameworks möglich
  • Runtime Protection (CWP): Hier wird im Gegensatz zu anderen Playern ein präventiver Ansatz geboten, ähnlich Allowlisting. Die extern wahrnehmbaren Verhaltensweisen von Anwendungen (insb. Netzwerkverbindungen oder Dateizugriffe) werden über einen eBPF Sensor aufgezeichnet und in eine Policy übersetzt, die dann zukünftig nur noch diese Transaktionen zulässt. Dafür fehlt (soweit ich das verstanden habe) die Möglichkeit, die Anomalieerkennung dynamisch über die Zeit anzupassen, also z.B. Schwellwerte laufend nachzuziehen.
  • Suchen noch Channel Partner im DACH Raum – gerne bei Interesse Bescheid geben

Dawnguard:

  • Niederländisches Startup für sichere und gleichzeitig kostenoptimierte Cloudumgebungen. Im Prinzip eine Entwicklungsumgebung für Cloud-Architekten
  • ~15 MA, ~25 Testkunden, wird gefühlt mit Funding überschwemmt
  • Kunden prompten Anforderungen, z.B. „Der Zugriff auf XY-API soll in Zukunft doppelt so schnell möglich sein“ oder laden Designdokumente aus FIGMA o.ä. hoch
  • Compliance-Anforderungen wie PCI-DSS, DORA o.ä. können automatisiert berücksichtigt werden
  • Ergebnis: Infrastructure as Code
  • Funktioniert bisher für AWS und Azure, GCP ist natürlich auf der Roadmap

 

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler.

Und noch ein Aufruf in eigener Sache: Wir suchen Verstärkung für unser Projektleitungsteam – einfach bei mir melden, falls das interessant klingen sollte.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder einen Recovery-Test vom Archiv durchführen.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen