Forrester hat sich geirrt in Sachen NAV (Network Analysis and Visibility). Dies ist die Überzeugung von Vectra, führender Anbieter von KI-gestützter Cyberbedrohungserkennung und -reaktion für Hybrid- und Multi-Clouds
München, den 24. Juli 2023 – Ende Juni veröffentlichte Forrester den ersten Bericht „The Forrester Wave for Network Analysis And Visibility, Q2 2023“. Dies ist der zweite Anlauf von Forrester, die NAV-Anbieterlandschaft zu bewerten. Nach Einschätzung der Forschungsergebnisse von VECTRA AI fehlt es jedoch weiterhin an Expertise im Bereich der modernen Bedrohungserkennung.
Kevin Kennedy, Senior Vice President of Products bei Vectra AI, geht dem Thema „Network Analysis and Visibility“ und den Schlussfolgerungen der Analysten auf den Grund:
„Forrester bleibt in einer anbietergesteuerten Denkweise verhaftet, die durch starre technische Anforderungen definiert ist. Diese beruhen auf einer faszinierenden Mischung aus Zero-Trust-Idealismus aus dem Elfenbeinturm und veraltetem Technologieverständnis, während sie völlig losgelöst von Kunden und dem Markt insgesamt sind. Nirgendwo in der Bewertung berücksichtigt Forrester die Definition der Kunden für moderne Bedrohungserkennung und -abwehr, die sich auf Netzwerk, Identität und Cloud erstreckt.
Der eklatanteste Fehler ist die Tatsache, dass die Methodik von Forrester der integrierten Entschlüsselung mehr Gewicht beimisst als jedem anderen Kriterium, während sie alle relevanten Aspekte der ML/KI-Nutzung oder der tatsächlichen Bedrohungsabdeckung völlig außer Acht lässt. Das Ergebnis ist, dass ein rein signaturbasiertes IDS mit Entschlüsselung das fortschrittlichste KI-System ohne integrierte Entschlüsselung deutlich übertreffen würde.
NAV ist ein Denkfehler, und die fehlerhafte Methodik der Forrester Wave bei der Definition moderner Bedrohungserkennung und der Bewertung von Technologieangeboten hat das Potenzial, Kunden in die Irre zu führen. Ein Beispiel: Beim Aufzeigen von sachlichen Ungenauigkeiten in seiner Bewertung beschränkte Forrester die Anbieter auf fünf Einwände, und jede Falschdarstellung eines Anbieters, die über diese fünf hinausging, wurde weder diskutiert noch vom Analysten korrigiert. Vectra empfiehlt allen potenziellen Käufern, die Anbieter mit einem Red Team zu testen, um selbst zu sehen, was wirklich wichtig ist.
Es gibt zahlreiche Schwachstellen in dieser Methodik, wenn es um die Erkennung moderner Bedrohungen geht, die drei eklatantesten sind:
- Fehler Nr. 1: Forrester glaubt, dass der gesamte Datenverkehr innerhalb von Unternehmen verschlüsselt ist.
- Schwachstelle Nr. 2: Forrester behauptet, dass NAV entschlüsselt werden muss, um Bedrohungen zu finden.
- Fehler Nr. 3: Forrester glaubt, dass die Zeit bis zur Baseline wichtiger ist als die Bedrohungsabdeckung für ML/KI.
Zusammengenommen bedeuten diese Mängel eine große betriebliche Belastung für die Kunden bei geringem bis gar keinem Nutzen, während die Charakterisierung der NAV-Landschaft in Richtung Legacy-Technologie verzerrt wird.
Fehler Nr. 1: Nicht der gesamte Datenverkehr innerhalb von Unternehmen ist verschlüsselt
Der starke Fokus von Forrester auf die Entschlüsselung basiert auf der Ansicht, dass alle Unternehmen den gesamten Datenverkehr verschlüsseln oder in Kürze verschlüsseln werden, um Zero Trust zu erreichen.
Das ist einfach nicht wahr. Vectra AI überwacht seit Jahren die Verschlüsselungsraten in seiner installierten Basis, zu der einige der sicherheitsbewusstesten Unternehmen der Welt gehören. Nur ein Prozent der Protokolle, bei denen die Sichtbarkeit der Nutzdaten erforderlich ist, um moderne Bedrohungsmethoden zu erkennen (DCERPC, Kerberos, SMB und DNS), sind verschlüsselt, und diese Zahl steigt nicht. Selbst die Einführung von SMBv3 hat dies nicht wesentlich geändert.
Warum? Die Kunden wägen die Vorteile gegenüber den Nachteilen der Verschlüsselung des internen Datenverkehrs ab und entscheiden sich gegen die Verschlüsselung. Dies sind begründete Entscheidungen. Die Verwaltung der Entschlüsselung ist schwierig, selbst mit integrierten Funktionen. Es bedeutet, dass jeder Schlüssel von jedem internen Server geladen werden muss, zu dem der Datenverkehr entschlüsselt werden soll, und dann jedes Mal aktualisiert werden muss, wenn ein Schlüssel wechselt.
Wie einer der von Forrester befragten Unternehmenskunden sagte: „Die Realität ist, dass der Versuch, jedes Protokoll und jede Kommunikation in einem modernen Unternehmen zu entschlüsseln, bestenfalls naiv ist.“ Ein anderer, ebenfalls von Forrester befragter Kunde sagte, dass die Entschlüsselung – selbst mit integrierten Funktionen – „die Zeit, den Aufwand und den zusätzlichen Overhead nicht wert“ sei. Es scheint, dass das Zero Trust-Dogma für Forrester wichtiger ist als die Kundenperspektive.
Fehler Nr. 2: NAV muss nicht entschlüsselt werden, um Bedrohungen zu finden
Hochwertige Protokolle werden also nicht verschlüsselt. Was verschlüsselt ist, ist der Webverkehr, sowohl intern (etwa 60 Prozent) als auch extern (über 90 Prozent). Forrester behauptet, dass es entscheidend ist, diesen zu entschlüsseln, um Bedrohungen zu erkennen. Auch das ist schlichtweg falsch. Moderne Technologien zur Erkennung von Bedrohungen basieren auf dem Verständnis von Angriffsmethoden und Datenbewegungen, wobei eine Mischung aus ML/KI und Heuristiken zum Einsatz kommt, die durch Bedrohungsdaten ergänzt werden. Eine Entschlüsselung ist dabei weder notwendig noch hilfreich. Selbst wenn der Datenverkehr entschlüsselt wird, bleibt die Nutzlast des Angreifers auf eine Weise verschlüsselt, die vom Unternehmen nicht entschlüsselt werden kann.
Das Einzige, was Unternehmen für die Entschlüsselung erhalten, ist die Möglichkeit, IDS-Signaturen auszuführen. Das ist mit hohen Betriebskosten verbunden. Aufgrund von TLS 1.3 mit PFS erfordert die passive Entschlüsselung, dass jedes einzelne System einen Agenten ausführt, um Session Keys weiterzuleiten. Die ist somit noch ein weiterer Agent einschließlich der damit verbundenen Probleme, nur um einige IDS-Signaturen auszuführen. Aus diesem Grund entschlüsseln Unternehmen den ausgehenden Datenverkehr am SASE/Proxy für die Inhaltskontrolle und die Durchsetzung von Richtlinien und den eingehenden DMZ-Datenverkehr in einer Inline-NGFW für die IDPS-Abdeckung bekannter Exploits. NAV ergänzt diese Maßnahmen durch Verhaltenserkennung und Bedrohungsdaten, um moderne und unbekannte Bedrohungen zu finden.
Vectra KI erkennt präzise Angriffe im verschlüsselten Datenverkehr – einschließlich C2, Exfil, Data Staging, Brute Force, Scans/Sweeps, verdächtige Verwendung von Verwaltungsprotokollen etc. Wie einer der Kunden von Vectra es ausdrückt: „Man muss nicht ins Innere des Autos schauen, um zu wissen, dass es nicht richtig fährt.“
Fehler Nr. 3: Die Zeit bis zur Baseline ist nicht wichtiger als die Bedrohungsabdeckung für ML/KI
Forresters Besessenheit von der Entschlüsselung im Dienste von Zero Trust lenkt völlig von der Realität dessen ab, was in diesem Markt am wichtigsten ist: klare Bedrohungssignale zu erhalten, die das Security Operations Center (SOC) mit kurzer Time-to-Value und geringem betrieblichen Aufwand verstehen kann. Es gibt zwar eine Menge irreführender Marketingbotschaften rund um ML und KI, aber kein vernünftiger Mensch glaubt, dass ein modernes Bedrohungserkennungssystem nur mit Signaturen aufgebaut werden kann. ML/KI ist ein Muss, um mit den sich entwickelnden und neu entstehenden Angriffsmethoden Schritt zu halten.
Soweit ML/KI in Betracht gezogen wird, bewertet Forrester es ausschließlich danach, wie lange es bis zur Baseline dauert. Je kürzer die Baseline, desto höher die Punktzahl. Auch hier handelt es sich um eine völlig unzureichende und fehlgeleitete Methode zur Bewertung von ML/KI. Man denke an die Verwendung von Admin- und Dienstkonten, die für die meisten modernen Angriffe von zentraler Bedeutung sind. Diese müssen über einen Zeitraum von mindestens 30 Tagen erlernt werden, um eine genaue Baseline zu erhalten, da die Arbeit von Administratoren in der Natur der Sache liegt. Wenn sie sich nur an ein paar Tage erinnern können, in der Regel aufgrund von Beschränkungen in ihrem System, wird das Ergebnis für die Benutzer unangenehm und störend sein.
Die Forrester-Methode berücksichtigt hingegen überhaupt nicht, wie gut KI/ML-Modelle die verschiedenen Angriffsmethoden abdecken, die modernen Angriffen zugrunde liegen. Buchstäblich keine einzige Frage und kein einziges Bewertungskriterium in der Methodik bezieht sich auf die Erkennung von KI/ML-Angriffen. Vectra AI hat 35 Patente in diesem Bereich, die meisten Patente, die in den MITRE D3FEND-Gegenmaßnahmen genannt werden – mehr als Crowdstrike, Microsoft und jeder andere Anbieter in dieser Forrester Wave zusammen. Der wahre Test für die Effektivität moderner Bedrohungserkennung bleiben Red Teams, denn hier trennt sich die Spreu vom Weizen.“
# # # ENDE # # #
Über Vectra AI
Vectra AI ist der Pionier bei der KI-gesteuerten Erkennung und Reaktion auf hybride Cloud-Bedrohungen. Nur Vectra optimiert KI, um Angreifermethoden – die TTPs, die allen Angriffen zugrunde liegen – zu erkennen, anstatt einfach nur bei “anders” zu warnen. Das daraus resultierende zuverlässige Bedrohungssignal und der klare Kontext ermöglichen es Cybersecurity-Teams, schnell auf Bedrohungen zu reagieren und Angriffe zu verhindern, die sich zu Sicherheitsverletzungen entwickeln. Die Vectra-Plattform und -Dienste decken öffentliche Clouds, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastrukturen ab – sowohl vor Ort als auch in der Cloud. Unternehmen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Services, um sich vor Ransomware, Kompromittierung der Lieferkette, Identitätsübernahmen und anderen Cyberangriffen zu schützen, die ihr Unternehmen betreffen. Weitere Informationen finden Sie unter https://www.vectra-ai.com/de
Pressekontakt
tech2com UG (haftungsbeschränkt)
Philipp Haberland
0049 163 2722 363