Wenn es um den Fachkräftemangel im Technologiebereich geht, ist die Cybersicherheit eine der größten und dringendsten Herausforderungen, die es zu bewältigen gilt. Böswillige Angriffe nehmen zu, und auch die Techniken, mit denen man sich in Netzwerke einschleicht, werden immer ausgefeilter. Doch das Weltwirtschaftsforum stellte kürzlich fest, dass es 4 Millionen Positionen weltweit unbesetzt – eine Zahl, die Projekte wird sich diese Zahl in den nächsten fünf Jahren auf 85 Millionen erhöhen.
Itai Tevet war sich nur allzu bewusst, wie diese Mängel in der realen Welt aussehen. Als Leiter des Cyber Incident Response Teams (CERT) der israelischen Streitkräfte stellte Tevet fest, dass selbst eine Organisation wie die israelischen Streitkräfte – berühmt für ihre Arbeit im Bereich Cybersicherheit – trotz der modernsten Technologie zum Aufspüren merkwürdiger Aktivitäten nicht über genügend Personal verfügte, um die vielen von ihren Tools generierten Warnmeldungen zu sortieren. Woher sollten sie wissen, ob eine Warnmeldung einen schwerwiegenden Verstoß darstellte, während es sich bei einer anderen um einen geringfügigen Vorfall handelte, dessen Untersuchung keine kostbaren Ressourcen in Anspruch nehmen sollte?
Dieser unvollständige Kreis wurde zur Grundlage für Tevets nächsten Auftritt. Dieser Auftritt, ein Startup namens Intezerhat gerade 33 Millionen US-Dollar in der Serie C aufgebracht, um sein Geschäft auszubauen. Dabei konnte das Unternehmen nicht nur starkes Wachstum verzeichnen, sondern auch einige Beinahe-Fehlschläge abwenden.
Norwest Venture Partners führt die Runde an und alle bestehenden Investoren – darunter Intel Capital, OpenView, Magma und Alon Cohen, Mitbegründer von CyberArk – nehmen teil. (Cohen wird tatsächlich auch als Mitbegründer des Startups bezeichnet, zusammen mit Roy Halevi, einem weiteren IDF-Alumnus, der CTO von Intezer ist.) Das Startup hat bisher 60 Millionen US-Dollar aufgebracht und gibt seine Bewertung nicht bekannt.
Intezer, das seinen Sitz in New York hat, aber tiefe Wurzeln in Israel hat, hat sich nicht so sehr vorgenommen, das Rad der Sicherheit neu zu erfinden, sondern sich eher auf die Entwicklung besserer Mechanismen konzentriert, damit alles reibungsloser läuft.
Heute gibt es eine Vielzahl von Sicherheitsprodukten auf dem Markt, und sie haben im Wesentlichen eine Reihe sehr innovativer Möglichkeiten geschaffen, um zu erkennen, wenn in Netzwerken, auf Geräten oder in Apps etwas Ungewöhnliches passiert, also eine mögliche Bedrohung darstellt. Aber die Anzahl der Warnungen, die sie zusammen auslösen – Schätzungen reichen von bis zu 4.000 pro Tag bis 11.000 oder mehr – kann ein Sicherheitsteam überfordern. Aus Sicht von Tevet bedeutet das einen operativen Albtraum.
„In den meisten Fällen dauert die Untersuchung einer Warnung für Menschen zwischen einer halben und vier Stunden“, sagte er. Dies liege daran, dass nicht nur die eigentliche Aktivität untersucht werden müsse, die eine Warnung ausgelöst hat, sondern auch andere Protokolle und Aktivitäten, die damit in Zusammenhang stehen könnten, und möglicherweise auch Personen befragt werden müssten. Viele dieser Warnungen sind in der Regel Fehlalarme, aber das ist möglicherweise erst nach Abschluss der Untersuchung offensichtlich.
Sie können erkennen, dass dies ohne jegliche Art der Triage unpraktisch erscheint und dass die Beauftragung von Cyber-Teams mit dieser Art von Arbeit letztlich selbst ein Sicherheitsrisiko darstellen könnte.
Die autonome Technologie von Intezer kann sowohl die Triage- als auch die Untersuchungstätigkeiten übernehmen. Sie behandelt im Wesentlichen jeden Alarm aus Untersuchungssicht als hohen Alarm und untersucht dann genauer, ob es sich wirklich um Probleme handelt oder ob sie vernachlässigbar sind. Für jeden Alarm, dessen Untersuchung Stunden dauern könnte, „erledigt Intezer die Arbeit in zwei Minuten“, sagte Tevet.
Kartierung des Sicherheitsgenoms
Die KI des Unternehmens basiert teilweise auf Forschungsarbeiten, die es in seinen Anfangsjahren durchgeführt hat. Als ich das letzte Mal über Intezer schrieb, hatte das Unternehmen 15 Millionen Dollar aufgebracht, um die Kartierung dessen fortzusetzen, was man im Wesentlichen als „Genom“ von Sicherheitsproblemen bezeichnen könnte: eine DNA-ähnliche Kartierung aller verschiedenen Permutationen, Ursprünge und Verbindungen verschiedener Vektoren, die das Universum der Cyberbedrohungen ausmachen.
Das Ziel bestand damals darin, Produkte zu entwickeln, um dieses DNA-Wissen auf die breitere Welt der Sicherheitsbedrohungen anzuwenden, und als ich über das Unternehmen berichtete, hatte Intezer dies bereits mit beeindruckenden Ergebnissen getan. Es war das erste Unternehmen, das erkannte, dass WannaCry kam aus Nordkorea; Es eine Code-Map erstellt die dabei halfen, die Verbindungen zwischen dem Einbruch in das Democratic National Committee und russischen Hackern herzustellen; und es identifizierte eine neue Malware-Familie namens „HiddenWasp“ mit Linux-Systemen verknüpft.
Die Plattform, auf die sich Intezer in jüngster Zeit konzentriert hat, ist die abgespeckte und skalierte Version dieser Arbeit. Sie kombiniert nicht nur die Fähigkeit, die wirklich geringfügigen von den unbeabsichtigt schwerwiegenden Warnungen zu unterscheiden, sondern verfügt auch über eine automatisierte Fähigkeit, diejenigen zu priorisieren, die Aufmerksamkeit erfordern. Einiges davon basiert auf Intezers eigener Arbeit (wie der DNA-Kartierung und der Behebung), und einiges greift auf Technologie von Drittanbietern zurück. So erzählte mir Tevet beispielsweise, dass Intezer OpenAI-APIs verwendet, um natürlichsprachige Texte beispielsweise in der internen Kommunikation zu „lesen“, die wiederum in sein System eingespeist werden, um festzustellen, ob es Sicherheitsflaggen gibt, denen nachgegangen werden muss.
Normalerweise sind etwa 4 % der Alarme einer Organisation eskalierte rote Alarme, schätzte Tevet, aber die Millionenfrage wird immer sein, welche 4 % die Rechts 4 %?
Er erzählte mir von zwei jüngsten Vorfällen – einer bei einem großen Technologieunternehmen und einer bei einem großen Gesundheitsunternehmen –, bei denen die Teams des Sicherheitszentrums jeweils eine scheinbar harmlose Warnung durchwinkten. „Das Sicherheitsteam hatte nicht die Zeit, sich alles anzuschauen“, sagte er.
Aber beide Organisationen nutzten Intezer als zweites Augenpaar für alle ihre Warnungen. „Wir haben tatsächlich festgestellt, dass es sich um einen chinesischen staatlichen Akteur in ihren Netzwerken handelte“, sagte er.
Diese Anekdote weist natürlich auf künftige Herausforderungen für Intezer hin. Die Zahl der Tools, die entwickelt werden, um ungewöhnliche Aktivitäten zu erkennen und zu stoppen, wächst weiter, aber in mancher Hinsicht sind wir bereits an einem Wendepunkt angelangt.
Einige Sicherheitsunternehmen – sogar solche mit interessanter Technologie – sind am Ende ihrer Laufzeit angelangt und können nicht mehr Geld auftreiben. Andere werden von größeren Playern aufgekauft. Obwohl die großen Sicherheitsplattformen wie Palo Alto Networks, Wiz und CrowdStrike heute Partner von Intezer sind – das Startup koordiniert seine Ankündigungen zur Mittelbeschaffung tatsächlich mit einer großen CrowdStrike-Benutzerkonferenz –, könnten sie möglicherweise auch zu Konkurrenten werden, da sie tiefer in die Entwicklung von Tools einsteigen, die ihren Kunden die Arbeit erleichtern.
Das stellt für Unternehmen wie Intezer einen möglichen Scheideweg dar: ob sie ebenfalls auf den Konsolidierungszug aufspringen oder es alleine versuchen sollen. Tevet sagte, dass sein Unternehmen regelmäßig zu Sondierungsgesprächen eingeladen wird, aber bisher noch nichts davon zu einem Alarmzustand eskaliert ist.