Hallo zusammen,

mehr oder minder charmante Einflussnahme auf CISOs, ISBs, IT-Leiter und andere Budgetverantwortliche gehört zum Standardrepertoire jedes Security-Verkäufers. Nachdem Whisky+Cigar-Tastings, „exklusive“ Events und andere Relationship Management Maßnahmen aber inzwischen etwas abgenutzt sind, wird logischerweise auch mal zu einfallsreicheren Methoden gegriffen.

Der prominente VC Fonds Cyberstarts hinter Wiz, Armis, Island und anderen sehr erfolgreichen Security-Startups hat das konsequent umgesetzt und sieht sich nun nach einer ausführlichen Recherche des israelischen Magazins Calcalist Vorwürfen ausgesetzt, CISOs von großen Konzernen de facto bestochen zu haben. Das Incentive-Schema mit dem sympathischen Namen „Sunrise“ belohnte anscheinend mehr als 80 CISOs privat mit Gewinnbeteiligungen am Fonds, wenn ihre Arbeitgeber die Produkte der entsprechenden Hersteller einkauften.

In den USA sorgt das Thema gerade für etwas Aufruhr. Im Moment berufen sich aber scheinbar alle auf den einzelnen o.g. Bericht – mal schauen, was da noch zu Tage kommt. In Fortune 500 Unternehmen können CISOs die Kaufentscheidungen für Security-Produkte und -Services natürlich wesentlich mit beeinflussen, aber nicht im Alleingang durchwinken. Der Schaden sollte also aus meiner Sicht insgesamt überschaubar sein, selbst wenn sich die Vorwürfe komplett bewahrheiten sollten.

Cyberversicherungsträger werden durch den Crowdstrike-Incident wohl weitestgehend ungeschoren davonkommen. Während der Schaden inzwischen auf ~15 Mrd. US$ geschätzt wird, sind Betriebsunterbrechungen von weniger als 8 Stunden in den meisten Policen nicht abgedeckt. Das globale Prämienvolumen für Cyberversicherungen beträgt übrigens aktuell ~20 Mrd. US$, d.h., ungefähr 10-15% des Markts für Cybersecurity-Produkte und -Services. Aufgrund der Prämiensteigerungen ist das Geschäft derweil auch für die meisten Player sehr profitabel.

Und auch in der Sommerpause gibt es weitere M&A-Schlagzeilen: Next DLP wurde von Fortinet übernommen, Acronis (Backup+Recovery) vom schwedischen Private Equity Player EQT, Mimecast hat Aware (DLP) gekauft, Digicert Vercara (API Protection), und IBM hat endgültig die Übernahme von Hashicorp (Automatisierung von Cloudbetrieb via Infrastructure as Code und Policy as Code) beschlossen.

Prognosen sind bekanntermaßen immer schwierig, besonders, wenn sie die Zukunft betreffen. Trotzdem lehne ich mich hier mal etwas aus dem Fenster und sage nach einem tiefen Blick in’s Glas in die Glaskugel Folgendes Voraus:

• Die Produktkategorien SIEM, EDR/XDR und Schwachstellenmanagement wachsen alle zusammen
• In ca. 5 Jahren wird es normal sein, dass wir Security-Produkte nutzen, die nur noch 1 Endpoint Agent für alle 3 o.g. Funktionen haben. Endlich mal etwas, dass das Kundenleben vereinfacht
• Vorreiter dabei sind Cisco/Splunk, Crowdstrike, Fortinet, Microsoft, Palo Alto und SentinelOne
• Daneben wird noch Platz für 2-3 weitere Anbieter sein, bevor sich der Markt langfristig weiter konsolidiert
• Qualys und Tenable werden entweder von einem EDR-Anbieter geschluckt werden, einen kleineren EDR Anbieter übernehmen oder eine Whitelabel-Engine wie die von Bitdefender integrieren. Die 30. EDR-Engine selber zu entwickeln, macht keinen Sinn. Interessanterweise hat sich Tenable auch gerade selber in’s Schaufenster gestellt.
• Selbiges gilt für alle SIEM-Anbieter, die das bisher noch nicht gemacht haben
• Für Randexistenzen im EDR Markt wie Blackberry Cylance oder Cynet sind die nächsten 2 Jahre entscheidend. Entweder sie werden zeitnah geschluckt, können ihre IP lizenzieren, oder die Kundenkartei verkaufen. Ansonsten wird der Unternehmenswert Richtung Null tendieren
• NDR wird weiter ein Nischenthema bleiben, vorrangig eingesetzt bei KRITIS und in Netz-Segmenten, in denen kein Agent installierbar ist (Enterprise IoT)

Hier noch einige semi-strukturierte Stichworte aus Vendor Briefings:

 

SentinelOne (Update):

• Generell:

• • SentinelOne kennen wir aus einigen Projekten mit wirklich sehr gutem Preis-/Leistungsverhältnis, insbesondere auch bei Buchung des MDR Services Vigilance Pro (bessere SLAs, remote Incident Response und Stundenkontingent für kundenspezifische Fragen). Der Service beim Onboarding ist allerdings teilweise verbesserungswürdig.
  • Hatte den Eindruck, dass die Module inzwischen besser integriert sind => Nur noch ein Agent für alle Module, alle Alarme in einer Konsole
  • Kaum überraschend, es gibt jetzt einen KI Assistent: „Purple AI“, kann Queries oder z.B: Firewallregeln aus natürlicher Sprache erstellen und viele Vorfallsanalysen automatisiert durchführen => Arbeitserleichterung von MDR-Analysten, wird auch in Deutschland schon genutzt.
  • Erstinstallation auf Windows (auch für Windows on ARM) jetzt ohne Reboot bei 100% Verfügbarkeit der Funktionen möglich

• • Auf der Roadmap stehen interessante Entwicklungen wie Attack Path Management

• EPP inkl. Asset Discovery u. Vulnerability Scans:

• • Schwachstellenscans möglich, sobald 1 Endpunkt mit Agent im Netzsegment ist – sogar Authenticated Scans mit Credentials. Priorisierung nicht nur anhand CVSS/KEV, sondern auch anhand kundenindividuellem Exposure => Also schon ähnliche Funktionalität wie Qualys oder Tenable, aber natürlich über AV/EDR mit der Möglichkeit, auch direkt reagieren zu können, auch ohne Patch.
  • Scans insb. von Netzwerkperipherie wie Routern sind natürlich noch etwas eingeschränkt hinsichtlich OS, und ich vermute, es sind auch nur SNMP Scans. Die SSH Scans von Tenable etc. liefern natürlich deutlich mehr Infos bzgl. Konfiguration und erlauben darüber eine Reduzierung der False Positives. Aber das ist sicher nur eine Frage der Zeit, bis die führenden EDR Lösungen hier nachziehen
  • Conditional Access auf Basis von Policies einstellbar, z.B. 2FA-Challenge abhängig von Anwendungen, Nutzern und/oder Tageszeit

• Identity: Erweitert um Erkennung von kompromittierten Accounts über Darknet-Recherchen. Hier aus meiner Sicht problematisch, falls vollständige Hashes von Passwörtern weitergegeben werden sollten.
• XDR:

• • Inzwischen viele native Datenkonnektoren für Logs (normalisiert via Open Cybersecurity Schema Framework OCSF), u.a. für Zscaler, Netscope, Cloudflare, Rapid7, Cisco, Forti, Palo Alto, AWS, Azure, GCP, Proofpoint, Vectra. Teilweise bidirektionale Kommunikation, d.h., automatisierte Reaktionen.
  • Es gibt wohl bereits Kunden, die mit SentinelOne XDR volumenreiche Windows Events / Logs sammeln und daraus nur Incidents an Splunk/QRadar weiterleiten, um Kosten zu sparen
  • Soll in Zukunft auch im MDR integriert werden, bisher ist aber noch der Kunde für die Überwachung verantwortlich

• Cloud Security / CNAPP-Modul:

• • SentinelOne hat PingSafe (Wettbewerber zu Wiz, Orca, MS Defender for Cloud) übernommen, Integration gefühlt schon bei 90%. Erlaubt u.a. Workload Protection von Servern, Containern, Storage Buckets, NetApp sowie Asset Discovery, Secret Discovery in Code Repositories und Schwachstellenscans.
  • Sehr cool: Einschätzung zu Ausnutzbarkeit („Offensive Engine, View Evidence of Exploitability“) über Generierung von Exploit Code, ähnlich Pentera oder manuellen Pen Tests. Damit neben Priorisierung und Ausschluss False Positives bei Schwachstellen auch Validierung von EDR oder SIEM möglich
  • Natürlich auch automatisierte Einschätzung zur Erfüllung von Compliance-Vorgaben wie SOC2

• Zur MITRE MDR Evaluierung bzgl. Mean Time To Detect:

• • Fokus lag nach eigenen Angaben auf „Signal-Rausch-Verhältnis“ im Reporting (=> Crowdstrike hat 8mal soviele Emails an das MITRE Team geschickt).
  • Allerdings aus meiner Sicht nicht ganz plausibel: BitDefender hat unwesentlich mehr Emails als SentinelOne geschickt, und MITRE hat ja explizit auch die Konkretheit der Handlungsempfehlungen bewertet („Actionable“).
  • Fakt aber: SentinelOne ist seit Jahren konsistent unter den Top Performern in den MITRE Auswertungen, und eine MTTD von 24 Min liegt weit unter den SLA, die mit den Kunden vertraglich vereinbart sind.

 

Cloud Range:

• Cyber Range. Besonders interessant für Kunden, die dort Security-Tools gegen Angriffs-Szenarien testen wollen => Viel schon vorkonfiguriert und als Skripte automatisiert.
• Man kann als Umgebung entweder einen „Digital Twin“ der eigenen IT-Infrastruktur modellieren, oder nimmt eine Modellumgebung out of the Box
• Die Modellumgebung gibt es sogar mit OT-Netzwerk und Hintergrund-Traffic für z.B. HTTP/S, SSH und SMTP, um das Ganze realistisch zu machen. Dafür laufen Agenten auf ca. 80 VMs, die z.B. sich z.B. in Applikationen einloggen, Dateien öffnen und Emails verschicken. Damit lassen sich durch das Hintergrundrauschen auch False Positives bei EDR und SIEM Tools erzeugen
• Der besondere Clou aus meiner Sicht: Der Anbieter hat schon viele der gängigen Security-Tools entsprechend lizensiert (z.B. Splunk, QRadar, Crowdstrike, Defender, Nozomi, Claroty…), so dass man sich das direkt mal anschauen kann.
• Wer Interesse hat, einfach melden, dann organisieren wir mal einen gemeinsamen Termin dazu. Vielleicht als einfache Alternative zu aufwendigeren PoCs mit Red Teaming.

 

Logpoint (Update):

• Gemeinsamer Termin mit Logpoint (dänischer SIEM Anbieter mit inzwischen ~1000 Unternehmenskunden) und Schwarz Digits / StackIT als „souveräne Cloud“ in der EU
• ~300 native Integrationen, z.B. mit SAP ERP
• ~1700 Alarmregeln out of the box
• Auch hybrides Deployment möglich: EAL3+ zertifizierte HW-Appliance verfügbar
• Multi-Tenant fähig für MSSPs / Konzernstrukturen
• Normalisierung von Logs: Bei Änderung von z.B. JSON-Feldbeschreibungen von Datenquellen können diese an Logpoint gemeldet werden, die alten Logs können dann auch umgestellt werden
• Statische Anreicherung von z.B. DNS, um die richtige IP-Adresse zeitnah zu speichern (kann ansonsten zu späterem Zeitpunkt dynamisch anders vergeben worden sein)
• Logs können individuell in Repositories gespeichert werden, z.B. alle Linux-Logs getrennt, alle Logs mit PII getrennt
• Speicherschichten (Storage Tiers) typischerweise Hot auf SDD ~30 Tage, Warm auf HDD bis ~180 Tage und Cold auf S3-kompatiblem Object Storage 1-3 Jahre. Suche und Regelprüfung ist natürlich über alle Speicherschichten hinweg möglich, aber die Dauer bis Ergebnisrückmeldung unterscheiden sich dann erheblich => Rückgriff auf die Daten im Cold Storage bei den meisten Kunden nur für Forensik notwendig, d.h., nicht im täglichen Betrieb.
• Fokus auf einfache Verständlichkeit, z.B. via Search Templates für Threat Hunting und SOAR Playbooks. Angeblich reichen mit vernünftigen Security Vorkenntnissen 2 Tage, um die Plattform gut bedienen zu können.
• Postleitzahl für Logpoint/StackIT-Lizenzkosten bei den o.g. Datenvorhaltezeiten und inklusive 24/7 SOC Service durch einen MSSP: 120-180 EUR/Endpunkt und Jahr. XM Cyber kann natürlich gut integriert werden und kostet zusätzlich ~50-60 EUR/Endpunkt und Jahr.
• Nach eigener Aussage wenig Erfahrung und Integrationen mit OT (wenn, dann über Anomaliedetektion wie Rhebo oder Claroty)
• Abgesehen von der o.g. diskutierten SIEM-Lösung soll auch ServiceNow auf der StackIT angeboten werden => Riesenpotenzial aus meiner Sicht, viel größer als für die Security-Lösungen

 

Safebase:

• Trust Center Software, um Compliance Dokumente wie Zertifikate zu managen und Fragen von Kunden z.B. zu Datenschutz, rechtlichen Themen oder Informationssicherheit zu beantworten
• Sensible Dokumente wie detaillierte technische + organisatorische Maßnahmen (TOM) können als „Private“ gekennzeichnet und dann auf Basis von Freigabe-Workflows und Regelwerken (Beispiel: NDA unterzeichnet? Falls nein: NDA wird automatisch zur Unterzeichnung gesendet) von externen Partnern heruntergeladen werden. Die Dokumente werden dann automatisch mit Wasserzeichen versehen, um sie zu dem Partner zurückverfolgen zu können, der das Dok heruntergeladen hat.
• Individuelle Fragebögen von Kunden (z.B. „Nutzen Sie Disk Encryption wie Bitlocker?“, „Welcher Algorithmus wird zur Verschlüsselung verwendet?“, „Wie hoch ist die Deckung Ihrer Cyber-Versicherung im Schadensfall?“) werden mittels KI auf Basis existierender Dokumente vorbefüllt
• Kunden können automatisch Updates erhalten, wenn im Trust Center Dokumente aktualisiert werden (z.B. Erneuerung SOC2-Audit)
• > 700 Unternehmenskunden (z.B. LinkedIn, Palantir, Asana, Hubspot), darunter wohl auch einige in der EU

 

Appdome:

• Mobile App Protection (für App Developer) und Mobile EDR (für Anwender), also Wettbewerber von z.B. Zimperium, Crowdstrike / SentinelOne / F5 Mobile Threat Protection
• Mobile App Protection enthält beispielsweise Features wie E2E-Transportverschlüsselung und In-Memory-Verschlüsselung out of the box integrierbar in die CI/CD Piepline, damit das nicht selbst entwickelt werden muss.
• Interessant dabei: Integration in Kunden-Apps erfolgt auf Binary-Ebene („Binary Merging“), keine SDK oder Änderung am Source Code des Kunden. Dadurch deutlich weniger Entwicklungsressourcen beim Kunden notwendig. Und der ganze PoV/PoC inkl. Pen Tests kann innerhalb von 1-2 Wochen durchgeführt werden, um den Sicherheitszugewinn nachzuweisen.
• Pen Test Berichte sind auch sehr transparent verfügbar
• Mobile EDR bietet z.B. Anti-Reverse Engineering, Botnet Schutz, Jailbreak Schutz, Malware- und Rootkit-Erkennung für iOS und Android (via Intune, MobileIron oder anderen MDMs).
• Dazu natürlich zentrales Monitoring der Geräte-Telemetrie möglich
• US Anbieter mit kleinem Team in D. Hersteller gibt an, bereits auf 1,5 Mrd. Mobilgeräten installiert zu sein, via ca. 300 Unternehmenskunden

 

Übrigens dachte ich, mit den SuperBowl Ads von Crowdstrike hätten wir Peak Peinlichkeit in der Security-Werbung erreicht. Aber weit gefehlt, das war nur ein Zwischengipfel – Palo Alto hat jetzt nachgezogen und dafür sogar Keanu Reeves engagiert. Dem sieht man aber zumindest am Gesichtsausdruck an, dass nicht nur die Zuschauer mit dem von jeglichem Humor tiefengereinigten Clip gequält werden.

 

Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte und auch gegenläufige Meinungen oder Richtigstellungen gerne per Email.

Viele Grüße

Jannis Stemmann