Marktkommentar #29: Canary Tokens, Gandalf, Allowlisting, etc. pp.

Marktkommentar /

Hallo zusammen,

heute mal ein Sammelsurium an Themen, über die ich in letzter Zeit gestolpert bin.

Los geht es mit einer Rarität in der Infosec-Medienmärchenlandschaft: Grafana Labs dreht eine öffentliche Ehrenrunde, nachdem ein Angriff vereitelt wurde. Konkret wurden dabei mehrere Tausend Canary Tokens eingesetzt, mit deren Hilfe der versuchte Zugriff auf einen AWS API Key erkannt wurde. Canary Tokens sind API Keys, URLs, DynamoDB Tabellen, S3 Buckets, Queues und sonstige Dateien mit eingebettetem Token – also sehr ähnlich Honeypots/-Tokens. Der Name kommt von Kanarienvögeln, die früher im Bergbau eingesetzt wurden, um vor zu hoher Kohlenmonoxidkonzentration zu warnen.

Im Artikel wird aber auch die Schwierigkeit erwähnt, die Fehlalarme zu managen, die durch eigene MA ausgelöst werden. Ansätze sind hier wohl unternehmensinterne Konventionen zu Namensgebung oder Plazierung der Tokens. Wer sich dafür interessiert: Gängige Deception Tools unterschiedlicher Couleur finden sich u.a. bei Fortinet, SentinelOne, Cynet, Sentrybox, Commvault, ZScaler, Thinkst oder Tracebit.

Lakera (jetzt Teil von Checkpoint) beschenkt uns mit Gandalf: Einer Gamified AI Prompt Injection Awareness Schulung, könnte man sagen. Ich bin ja immer für Denksportaufgaben und Rätsel zu haben, habe ich mich sofort darin verliebt. Aktuell und voraussichtlich auch bis zur Verrentung stecke ich in Level 8 fest.

Von Wiz kommt mit einem ähnlichen Ansatz The Ultimate Cloud Security Championship. Allerdings sind da ungleich höhere technische Kenntnisse (oder Claude) notwendig, um aus Containern auszubrechen und Entra ID Fehlkonfigurationen auszunutzen. Wer das gelernt hat, kann dann mit 0-Click Remote Code Execution Exploits bei der ZeroDay Cloud Hacking Challenge fünfstellige Preisgelder aus dem 4,5 Mio. USD Bug Bounty Pool verdienen.

On an unrelated note: Wiz bietet jetzt einen eigenen Incident Response Service für Kunden an (Crowdstrike hat m.W. auch mal so angefangen), aktuell sogar noch kostenlos. Möglicherweise werden die IR-Teamressourcen mit Google/Mandiant geteilt, würde naheliegen.

8 Mrd. USD Umsatz mit Security hat Cisco in den letzten 12 Monaten gemacht, wie bei der Vorstellung der Finanzjahreszahlen im Nebensatz erwähnt wurde. Das ist ungefähr auf dem Niveau von PAN und doppelt so viel wie Crowdstrike. Organisches Wachstum (ohne Splunk) lag um 9%, Splunk entwickelt sich seit der Akquisition wohl positiv mit ~300 Neukunden. Cisco fehlt noch ein gutes EDR, um eine echte Security-Plattform zu werden. Evtl. schlägt man ja demnächst bei SentinelOne o.ä. zu.

Figma (Design-Software, ca. 1600 MA, ~25 Mrd. Börsenwert) hat einen Bericht zu den Erfahrungen mit dem Einsatz von Application Allowlisting veröffentlicht. Das übliche Kernargument gegen Whitelisting ist ja, dass Entwickler dann nicht mehr arbeitsfähig sind. Bei Figma ist Santa im Einsatz, ein Open Source Device-/Application Control Tool speziell für MacOS. Ich denke aber, die Erfolgsfaktoren sind übertragbar auf WDAC, Drivelock, Matrix42 o.ä.:

  • Einführung im Monitoring / Lern-Modus, um erstmal alle Anwendungen zu erkennen, die ausgeführt werden
  • Generelle Zulassung von ~150 Anwendungen, die durch vertrauenswürdige Hersteller signiert wurden
  • Zentrales Review aller verbleibenden Binaries, die auf mehr als 3 Geräten installiert waren
  • Ausnahmeregeln für Compiler und Packageverteiler (z.B. automatischer Test, ob Hashwert der lokalen Datei mit dem der offiziellen Quelldatei übereinstimmt).
  • Default Block und Sandbox-Analyse aller verbleibenden Anwendungen. Falls die Anwendung aber keine sensiblen Rechte (wie z.B. Full Disk Access) braucht, was automatisch geprüft wird, können Nutzer selbst die Freigabe erwirken (also ohne 4-Augen-Prinzip)
  • Stufenweiser Rollout (10%-25%-50%-70%-98%-100%). Die letzten 2% waren wohl die Hardcore-Entwickler, für die komplexe Ausnahmeregeln definiert werden mussten

Ein öffentliches Security Benchmark von KI-Modellen (genannt riskrubric.ai) kommt jetzt von der Cloud Security Alliance und einigen AI Security Anbietern (Noma, Haize Labs, Harmonic). GPT5, Claude Sonnet und Claude Opus waren zum Redaktionsschluss weit vorne, Mistral weit hinten, Gemini habe ich nicht gefunden. Die Methodik der Tests ist auch beschrieben.

Ein geschätzter Leser hat mir noch eine Replik zum OT Sec Absatz aus dem letzten Marktkommentar zukommen lassen, die ich hier leicht editiert wiedergebe:

„OT-Protection sollte man nicht auf die leichte Schulter nehmen. Eine Investition sollte aber im sinnvollen Verhältnis zur Exponiertheit gegenüber der Wahrscheinlichkeit von Angreifern vor Ort und dem Perimeterschutz stehen.

Zu Cyberangriffen noch zwei Aspekte: 

  • Für staatliche Akteure spielt “plausible deniability” und Schwierigkeiten in der Attribuierung eine Rolle. 
  • Kosten eher nicht. 

Daher spielen Cyberangriffe als Vorbereitung von militärischen Aktionen eher eine Rolle, als nach Beginn von Kampfhandlungen. 

Ich bin überzeugt, dass die Cyberkomponente einen wesentlichen Anteil an der Ausschaltung der iranischen Luftabwehr hatte. Sonst wäre zumindest die eine oder andere Rakete abgefeuert worden. 

 Was bedeutet das als Produzent? In dem Maße, in dem man stärker in den Rüstungsbereich geht, muss man auch mit gezielten Angriffen auf Werke rechnen. Meine Vermutung ist, dass die Angriffe eher über die IT oder Infrastruktur (z.B. Stromnetz) kommen, weniger über direkte Angriffe durch Lieferanten/Supplier vor Ort. Man kann sich darauf aber nicht verlassen.“ 

M&A News:

  • Let’s Defend (Anbieter für SOC Analysten + Pen Tester Trainings, ~400k Nutzer) wurde vom Wettbewerber Hack the Box gekauft
  • Valimail (Email Security) wurde von DigiCert gekauft
  • Cyberbit (Cyberrange / Incident Response Simulationsplattform) hat den US Wettbewerber Rangeforce gekauft
  • Eleven (Email Security aus Deutschland) wurde von Halon übernommen (schwedischer Anbieter für große Email-Infrastrukturen)
  • Netskope hat wie erwartet einen fantastischen IPO hingelegt. Ich war nicht dabei und muss deshalb weiter von Toastbrot und Orangensaft leben

Notizen aus Anbietergesprächen:

Onum:

  • Data Pipeline Mgmt aus Spanien (ähnlch Cribl, Tenzir etc.), wurden ja gerade von Crowdstrike gekauft, deshalb wollte ich mir das mal näher anschauen
  • Gründerteam hat davor Devo Security (SIEM/SOAR) aus der Taufe gehoben und auf eine Bewertung von ~2 Mrd. gebracht
  • Grundgedanke: Statt der Abfolge von Sammlung => Storage => Korrelation & Erkennung => Response erfolgt Korrelation & Erkennung vor der Speicherung. Damit lassen sich Speicherkosten um 40-70% reduzieren und auch ein paar Minuten bis zur Alarmierung einsparen
  • Marketplace mit vorkonfigurierten Pipelines (z.B. Cloudtrail AWS Logs to Splunk oder Fortinet Forewall Logs to Exabeam), in denen die Push-/Pull-Logkollektoren, Parser, Detektions- und Filterungslogik enthalten ist
  • Ansonsten können Kunden ihre eigenen Pipelines erstellen => Das erschien mir ähnlich vom Aufwand wie bei normalen SIEMs
  • Die Intelligenz liegt natürlich darin, zu wissen, was man weglassen kann, ohne im Threat Hunting völlig nackt im Wind zu stehen. Hier war zu meiner Überraschung noch wenig in der Plattform drin. Eigentlich könnte man ja für die 200 Standard Detektions-Use-Cases auch die Filterlogik in Abhängigkeot von Logquellen vorschlagen. Aber das kommt bestimmt noch – hier kann CS ja auch extrem viel Erfahrung einfließen lassen.

Vali Cyber:

  • US Anbieter für Hypervisor Schutz gegen Ransomware
  • ~50 zahlende Unternehmenskunden, aber noch nicht in der EU
  • Aus meiner Sicht naheliegend: Viele Security-Verantwortliche haben ein Problem damit, dass der EDR Agent nicht auf dem Hypervisor läuft, aber kein Budget für ein SIEM vorhanden ist
  • Lösung deckt alle 68 relevanten MITRE ATT&CK TTPs (z.B. T1675 ESXi Admin Control) ab, und zwar mittels
    • SSH MFA (für Service Accounts können Bedingungen wie Zeitfenster oder IP definiert werden, um die MFA-Challenge auszuschalten)
    • Allowlisting
    • Virtual Patching von erkannten CVEs
    • Process Monitoring (ohne Lernphase, sondern auf Basis typischer Verhaltensweisen von Malware)
    • File Integrity Checks + automatisierter Rollback
  • Interessant: Kein eBPF Sensor, sondern in User Space. Patentierte Lösung, um Uninstall zu vermeiden und Prozessorlast zu reduzieren. Funktioniert über 3 parallele Prozesse, die sich gegenseitig überwachen, und daher schwerer auszutricksen sind.
  • Betrieb air gapped möglich – Agent wird über VM Lifecycle Mgmt verwaltet und aktualisiert
  • Fokus bisher auf Linuxbasierte Hypervisoren, also ESXi, Citrix, Nutanix, KVM, Proxmox, RedHat EV (Aktuelle Marktverteilung VMWare 84%, Citrix 10%, Microsoft 4% und Nutanix/Rest 2% )

Persona:

  • US-Anbieter für Identity Verification, also Wettbewerb zu IDNow, Truuth.ID
  • Kundenfokus natürlich Banken / Payment Provider mit AML (Geldwäsche) u. KYC (Know your Customer) Anforderungen oder Altersrestriktionen (Adult Entertainment, Gambling)
  • Kern KnowHow:
    • Erkennung von DeepFakes und Betrugsversuchen über Plausibilisierung verschiedener Datenpunkte (z.B. über Datenbanken, in denen Rechnungen der Strom- und Wasserversorger gespeichert sind)
    • Erfahrung mit dem Aufbau von Workflows, die auf der einen Seite Compliance und auf der anderen Nutzerfreundlichkeit sicherstellen
  • ~1000 Kunden, u.a. Microsoft, OpenAI, Okta. In D u.a. Miles Mobility
  • Sehen großes Wachstumspotenzial im Bereich Employee Onboarding (Nordkoreanische Fake Worker o.ä.)

Sprinto:

  • GRC Lösung aus US, mit starkem Footprint in Indien. Insgesamt vom Featureset ähnlich Vanta
  • Schon ~3400 Unternehmenskunden nach ca. 5 Jahren (u.a. AWS, SopraSteria, Kyndryl, auch in EU – Daten werden dann in Frankfurt gehostet)
  • Kontinuierliche Auswertung der Audit Readiness
  • Blaupausen für alle möglichen Policies, die Kunden dann mit eigenen Logos o.ä. anpassen können
  • Integrationen out of the box sahen sehr umfangreich aus (z.B. bei Schwachstellenscannern nicht nur Qualys + Tenable, sondern auch die großen EDR- und Code Scan Lösungen)
  • Interessant: Enge Verknüpfung mit anbietereigenem Assistenz-Service durch Auditoren, um z.B. bestehende Policies oder Nachweise zu reviewen

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenwünsche und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email. Dito für Abmeldungen vom Verteiler. Die nächsten 3 Tage bin ich auch auf der unvermeidlichen it-sa zu finden.

Für die Leute, die den Marktkommentar zum ersten Mal weitergeleitet bekommen haben: Hier kann man sich bei Interesse anmelden oder das Archiv einem Compliance-Check auf Einhaltung der Archivierungsrichtlinien unterziehen.

Viele Grüße

Jannis Stemmann

Sind Sie bereit, Ihr Security Sourcing auf die nächste Stufe zu bringen?

CyberCompare ist Ihr unabhängiger Partner, um IT-, OT- und IoT-Sicherheit einfacher, klarer und erschwinglicher zu machen.

Mit unserem etablierten Cybersecurity-Ökosystem erreichen Sie Cybersecurity-Exzellenz und erhöhen Ihre Widerstandsfähigkeit: Mit uns sparen Sie Zeit und Geld, ohne den Fokus zu verlieren.

Jetzt anfragen

Jetzt anfragen

Associations and industry collaboration

Nach oben scrollen