Duststorm schrieb:
mehr um den technologischen Ansatz. Regel- und signaturbasiert ist halt Stand 2010.
Wobei regelbasiert ja nicht per se schlecht ist. Auch diese KI-Ansätze arbeiten ja letztlich regelbasiert, nur das die da nicht explizit sondern implizit gesetzt sind.
Duststorm schrieb:
Plattformlösungen wie Darktrace, Vectra oder Wiz ziehen Daten aus verschiedenen Quellen zusammen und erkennen Anomalien, die du mit klassischen Tools nie siehst.
Ja. Das ist sicher besser. Meine Kritik ist ja eher, das solche Tools an der falschen Stelle ansetzen. Deren Schwerpunkt liegt auf
Detection.
Ich finde es aber wichtiger auf
Prävention zu setzen. Das ich weiß, das selbst wenn ein Angreifer kommt, der nicht viel Schaden anrichten kann.
Ich will nachts ruhig schlafen können, weil ich weiß mein Haus ist solide gebaut und da kommt man nicht so ohne Weiteres rein
und nicht weil die Alarmanlage gut funktioniert.
Und das der Schwerpunkt weniger auf Prävention gelegt wird, wird durch solche Tools noch befördert. Die suggiereren ja auch immer "Kauf unsere Lösung und dann bist Du sicher".
Und seriöserweise müsste man natürlich sagen: Sehe zu das Deine IT solide ist und das Du da sauber bist weil das das Wichtigste ist und dann auf Basis dessen kannst Du dann unsere Tools einsetzen, um die Sicherheit noch ein Stückchen mehr zu erhöhen.
Mein Take ist also gar nicht so sagen: Sophos und Co sind ähnlich gut wie "Deine" Tools. Sondern das der Ansatz schon suboptimal ist, auf solche Tools sein Schwerpunkt zu legen.
Man hat das ja auch sehr schön bei Browsern beobachten können. Die waren ja lange Zeit (und sind es bis heute) ein großes Sicherheitsrisiko, was ja irgendwo auch nachvollziehbar ist, wenn eine Software so exponiert gegenüber dem Internet ist.
Und infolgedessen gabs dann auch (und gibts ja teilweise bis heute) irgendwelche Internet Security Lösungen.
Was aber eine signifikante Verbesserung der Sicherheit brachte waren nicht diese Tools, sondern das die Browserhersteller angefangen haben zu sagen: Den kritischen Teil der mit der Verarbeitung und Darstellung von Webseiten befasst ist, packen wir in einen extra Prozess der nichts darf (kein Plattenzugriff und was sonst noch so kritisch ist). Unglücklicherweise hat man dann das aufgeweicht, weil man meinte für WebApps ja dann doch einiges erlauben.
Der Punkt: Nicht detektieren und abfangen hat hier das dickste Sicherheitsplus gebracht, sondern Prävention!
Und klar. Ich will auch Detection haben. Weil das o.g. hilft ja nicht gegen Angriffe wie beispielsweise Phising. Aber erst mal müssen die Basics stehen. Und das ist halt, das ich nicht gleich wegexploited werde, bloß weil ich eine Internetseite betrete.
Und was neue Ansätze angeht: Also wir haben jetzt ja schon etliche Iterationen durch. Angefangen hat es wirklich mit primitiven Signaturscans die einfach stumpf Strings verglichen haben. Irgendwann kam dann Heuristiken hinzu. Bis in zu Cloud-Lookups und verhaltensbasierte Erkennung. Und bei jeder neuen Technik war die Ansage (ich paraphrasiere jetzt mal): "Jetzt haben wir die Lösung aller Sicherheitsprobleme gefunden". Und wir sehen jedesmal, das es dann doch nicht so war.
Und nachdem wir das ja jetzt jahrzehnte(!)lang auf die Nase mit gefallen sind, könnte man ja mal auf die Idee kommen zu sagen: Vielleicht sollten wir mal andere Ansätze probieren.
Und das gibt es ja auch und wir sehen auch, das das erfolgreich ist. Man denke nur an die ganzen Mobilgeräte. Bei deren Systeme (im Wesentlichen iOS bzw. Android) war Sicherheit ein weniges Design-Kriterium. Zum Beispiel das man Apps isoliert und das man Rechte vergibt. Das ist jetzt auch nicht perfekt und nicht durchgehend umgesetzt. Trotzdem hat man ein deutlich höheres Grundsicherheitsniveau als bei etablierten Systemen (die deshalb auch solche Dinge zunehmend implementieren).
Duststorm schrieb:
Bei Darktrace ist es das Verständnis über Unternehmensdaten und daraus folgend eine Anomalie im Verhalten von Nutzer oder Geräten zu erkennen.
Was immer vergessen wird, das solche Dinge die Komplexität und die Angriffsfläche erhöhen. Du hast also
immer auch einen negativen Sicherheitsimpact. Das wird aber eher selten thematisiert. Es schwingt immer so implizit mit: "Kann ja nur nützen, aber nicht Schaden" was natürlich falsch ist und auch durch die Beobachtungen in der Praxis nicht gedeckt ist. Gab ja schon öfter Vorfälle, wo Sicherheitssoftware das Problem war.
Davon mal ab ist das Verhaltensanalyse eine nicht unproblematische Herangehensweise. Weil Du hast in der Praxis auch mal unvorhergesehene Sachen. Ich kam Letztens in die Verlegenheit wegen einer Zeichensatzumstellung viele Dateien ändern zu müssen. Und das ist eine Sache die
erstens selten vorkommt
und zweitens dann auch noch was ist, was auch typisch für Schadsoftware ist.
Nämlich in kürzester Zeit viele Dateien auslesen und beschreiben.
Das grundsätzliche Problem bei solcher Verhaltensanaylse ist, das Du immer ein Kompromiss fahren muss. Denn steckst Du die (impliziten) Regeln zu eng, hast Du am laufenden Band Fehlalarme. Steckst Du sie zu weit, riskierst Du halt das Dir bösartige Anomalien durch die Lappen gehen.
Und um noch mal an mein obiges Beispiel anzuknüpfen:
Klar ist das nützlich wenn ich irgendwie ein Tool hab was mir sagt: "Schau mal. Daundda wurden innerhalb von 10 Minuten 100 Dateien geändert. Guck mal, ob das mit rechten Dingen zugeht".
Viel viel viel wichtiger ist aber, das ich ein zuverlässiges und manipulationssicheres Backup habe, das wenn das eben wirklich böswillig war, das ich das recovern kann.
Und das Backup zu haben grundsätzlich eine gute Idee ist, hat sich inzwischen sogar herumgesprochen. Aber wie das oftmals ausgestaltet ist ... ähm ich sag mal Beziehungsstatus: kompliziert
Ich halte das Verhältnis für schwierig. Das in Zusammenhang mit IT-Security viel zu viel über Detektion gesprochen wird aber weniger über die Basics. Kann man ja auch hier schön im Forum bestaunen. Vergleich mal wo oft die Fragen nach Antivir und ähnlichen Security-Programmen kommen und wie oft gefragt wird: "Ich mach dasunddas und wie kann ich mich gegen damit verbundene Gefahren schützen?"
Ich ich fände es zielführender, wenn dann nicht Antworten kommen wie "Vergiss Sophos. Nimm Tool XYZ. Das ist der neue heiße Scheiß"
sondern eher "Vergiss Sophos. Kümmere Dich vor allem um grundsätzliche Dinge wie Backups, Angriffsfläche reduzieren, Prozesse sicherer gestalten usw. usw."
Duststorm schrieb:
Und ja, die Website ist Marketing
Ja. Nur ist IT-Sicherheit ein Thema, welches man einigermaßen seriös angehen sollte. Und ja, ich verstehe natürlich das eine Firma die ein Produkt verkauft irgendwie Werbung für sich macht und dabei auch eher die positiven Dinge rausstellt. Das finde ich auch alles in Ordnung. Aber wenn man dann maßlos übertreibt und das dann noch kombiniert mit BUllshit-Bingo artigen Sätzen wie
Erzielen Sie Cyber-Resilienz mit adaptiver, intelligenter KI, die zum Schutz Ihrer Hybrid- oder Multi-Cloud-Umgebung entwickelt wurde
dann ist das weit übers Ziel hinausgeschossen. Weil es deutlich vermittelt, das es hier gar nicht darum geht den Kunden ernstzunehmen, sondern nur darum geht auf biegen und brechen ein Produkt an den Mann zu bringen.
Welchen Vertrauen soll ich da in das Produkt haben? Wenn die mich schon quasi beim Marketing versuchen über den Tisch zu ziehen, welchen Grund habe ich davon auszugehen, das das Produkt brauchbar ist?
Das ist wie, als wenn man irgendwie im Internet über so typische Werbung wie "Investieren Sie hier und wir garantieren 80% Rendite" u.ä.
Da denk man auch nur "Jaja. Scam" und klickt weiter.
Duststorm schrieb:
über das Produkt selbst arbeitet auf Netzwerkebene und hat mit JavaScript im Browser herzlich wenig zu tun
Indirekt schon. Weil das genau das unterstreicht, was ich sagte. Der Kunde wird überhaupt nicht ernst genommen und ist lediglich Konsumvieh.
Weil wer sich so ein bisschen mit der Thematik Sicherheit auseinander gesetzt hat, der macht ja möglicherweise auch sowas wie "Javascript ausschalten und nur im Bedarfsfall benutzen". Diese Webseite verkauft aber einerseits Sicherheitssoftware. Andererseits torpediert sie aber Sicherheitsmaßnahmen.
Und das gibt dann halt kein gutes Bild ab.
Vielmehr unterstützt es den Verdacht, das es hier nur darum geht, Leuten die kein Plan haben, ihr Produkt anzudrehen.
