Hallo zusammen,<\/p>\n
heute mal ein Sammelsurium an Themen, \u00fcber die ich in letzter Zeit gestolpert bin.<\/p>\n
Los geht es mit einer Rarit\u00e4t in der Infosec-Medienm\u00e4rchenlandschaft: Grafana Labs<\/a><\/strong> dreht eine \u00f6ffentliche Ehrenrunde, nachdem ein Angriff vereitelt wurde. Konkret wurden dabei mehrere Tausend Canary Tokens<\/strong> eingesetzt, mit deren Hilfe der versuchte Zugriff auf einen AWS API Key erkannt wurde. Canary Tokens sind API Keys, URLs, DynamoDB Tabellen, S3 Buckets, Queues und sonstige Dateien mit eingebettetem Token \u2013 also sehr \u00e4hnlich Honeypots\/-Tokens. Der Name kommt von Kanarienv\u00f6geln, die fr\u00fcher im Bergbau eingesetzt wurden, um vor zu hoher Kohlenmonoxidkonzentration zu warnen.<\/p>\n Im Artikel wird aber auch die Schwierigkeit erw\u00e4hnt, die Fehlalarme zu managen, die durch eigene MA ausgel\u00f6st werden. Ans\u00e4tze sind hier wohl unternehmensinterne Konventionen zu Namensgebung oder Plazierung der Tokens. Wer sich daf\u00fcr interessiert: G\u00e4ngige Deception Tools unterschiedlicher Couleur finden sich u.a. bei Fortinet, SentinelOne, Cynet, Sentrybox, Commvault, ZScaler, Thinkst<\/strong> oder Tracebit<\/strong>.<\/p>\n Lakera<\/strong> (jetzt Teil von Checkpoin<\/strong>t) beschenkt uns mit Gandalf<\/a><\/strong>: Einer Gamified AI Prompt Injection Awareness Schulung<\/strong>, k\u00f6nnte man sagen. Ich bin ja immer f\u00fcr Denksportaufgaben und R\u00e4tsel zu haben, habe ich mich sofort darin verliebt. Aktuell und voraussichtlich auch bis zur Verrentung stecke ich in Level 8 fest.<\/p>\n Von Wiz<\/strong> kommt mit einem \u00e4hnlichen Ansatz The Ultimate Cloud Security Championship<\/a>. Allerdings sind da ungleich h\u00f6here technische Kenntnisse (oder Claude) notwendig, um aus Containern auszubrechen und Entra ID Fehlkonfigurationen auszunutzen. Wer das gelernt hat, kann dann mit 0-Click Remote Code Execution Exploits bei der ZeroDay Cloud Hacking Challenge<\/a><\/strong> f\u00fcnfstellige Preisgelder aus dem 4,5 Mio. USD Bug Bounty Pool verdienen.<\/p>\n On an unrelated note: Wiz bietet jetzt einen eigenen Incident Response Service<\/strong> f\u00fcr Kunden an (Crowdstrike hat m.W. auch mal so angefangen), aktuell sogar noch kostenlos. M\u00f6glicherweise werden die IR-Teamressourcen mit Google\/Mandiant<\/strong> geteilt, w\u00fcrde naheliegen.<\/p>\n 8 Mrd. USD Umsatz mit Security hat Cisco<\/strong> in den letzten 12 Monaten gemacht, wie bei der Vorstellung der Finanzjahreszahlen im Nebensatz erw\u00e4hnt wurde. Das ist ungef\u00e4hr auf dem Niveau von PAN<\/strong> und doppelt so viel wie Crowdstrike<\/strong>. Organisches Wachstum (ohne Splunk) lag um 9%, Splunk<\/strong> entwickelt sich seit der Akquisition wohl positiv mit ~300 Neukunden. Cisco fehlt noch ein gutes EDR, um eine echte Security-Plattform zu werden. Evtl. schl\u00e4gt man ja demn\u00e4chst bei SentinelOne o.\u00e4. zu.<\/p>\n Figma (Design-Software, ca. 1600 MA, ~25 Mrd. B\u00f6rsenwert) hat einen Bericht<\/a> zu den Erfahrungen mit dem Einsatz von Application Allowlisting<\/strong> ver\u00f6ffentlicht. Das \u00fcbliche Kernargument gegen Whitelisting ist ja, dass Entwickler dann nicht mehr arbeitsf\u00e4hig sind. Bei Figma ist Santa im Einsatz, ein Open Source Device-\/Application Control Tool speziell f\u00fcr MacOS. Ich denke aber, die Erfolgsfaktoren sind \u00fcbertragbar auf WDAC, Drivelock, Matrix42<\/strong> o.\u00e4.:<\/p>\n Ein \u00f6ffentliches Security Benchmark von KI-Modellen<\/strong> (genannt riskrubric.ai<\/a><\/strong>) kommt jetzt von der Cloud Security Alliance und einigen AI Security Anbietern (Noma, Haize Labs, Harmonic<\/strong>). GPT5, Claude Sonnet und Claude Opus waren zum Redaktionsschluss weit vorne, Mistral weit hinten, Gemini habe ich nicht gefunden. Die Methodik<\/a> der Tests ist auch beschrieben.<\/p>\n Ein gesch\u00e4tzter Leser hat mir noch eine Replik zum OT Sec<\/strong> Absatz aus dem letzten Marktkommentar zukommen lassen, die ich hier leicht editiert wiedergebe:<\/p>\n \u201eOT-Protection sollte man nicht auf die leichte Schulter nehmen. Eine Investition sollte aber im sinnvollen Verh\u00e4ltnis zur Exponiertheit gegen\u00fcber der Wahrscheinlichkeit von Angreifern vor Ort und dem Perimeterschutz stehen.<\/em><\/p>\n Zu Cyberangriffen noch zwei Aspekte:\u00a0<\/em><\/p>\n Daher spielen Cyberangriffe als Vorbereitung von milit\u00e4rischen Aktionen eher eine Rolle, als nach Beginn von Kampfhandlungen.\u00a0<\/em><\/p>\n Ich bin \u00fcberzeugt, dass die Cyberkomponente einen wesentlichen Anteil an der Ausschaltung der iranischen Luftabwehr hatte. Sonst w\u00e4re zumindest die eine oder andere Rakete abgefeuert worden.\u00a0<\/em><\/p>\n \u00a0<\/em>Was bedeutet das als Produzent? In dem Ma\u00dfe, in dem man st\u00e4rker in den R\u00fcstungsbereich geht, muss man auch mit gezielten Angriffen auf Werke rechnen. Meine Vermutung ist, dass die Angriffe eher \u00fcber die IT oder Infrastruktur (z.B. Stromnetz) kommen, weniger \u00fcber direkte Angriffe durch Lieferanten\/Supplier vor Ort. Man kann sich darauf aber nicht verlassen.\u201c\u00a0<\/em><\/p>\n M&A News:<\/strong><\/p>\n Notizen aus Anbietergespr\u00e4chen:<\/strong><\/p>\n Onum:<\/strong><\/p>\n Vali Cyber:<\/strong><\/p>\n Persona:<\/strong><\/p>\n Sprinto:<\/strong><\/p>\n Wie immer gilt: Fragen, Anregungen, Kommentare, Erfahrungsberichte, Themenw\u00fcnsche und auch gegenl\u00e4ufige Meinungen oder Richtigstellungen gerne per Email. Dito f\u00fcr Abmeldungen vom Verteiler. Die n\u00e4chsten 3 Tage bin ich auch auf der unvermeidlichen it-sa zu finden.<\/p>\n\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n