Böswillige Hacker werden immer kreativer mit den Techniken, die sie verwenden, um in Netzwerke einzudringen, um Daten zu stehlen und Chaos anzurichten, aber ihr primärer Weg, um diese Tür zu öffnen, ist ziemlich konstant geblieben. E-Mail ist bei weitem der beliebteste Einstiegspunkt für die Einrichtung und Ausführung von Phishing, Ransomware und anderen Angriffsvektoren, was laut a allein im Jahr 2021 zu Schäden in Höhe von rund 2,4 Milliarden US-Dollar bei geschäftlichen E-Mail-Interaktionen führen wird Bericht vom letzten Jahr vom FBI.
Heute hat ein Startup angerufen Erhabene Sicherheit tritt mit einem neuartigen, kollektiven Ansatz zur Bewältigung dieses Problems aus der Tarnung hervor: Es hat eine Plattform und eine domänenspezifische Sprache (DSL) für Forscher und Sicherheitsmitarbeiter – diejenigen, die Netzwerke verteidigen – entwickelt, um Regeln zu schreiben, auszuführen und mit allen zu teilen andere zum Erkennen und Blockieren der zahlreichen Bedrohungen, die am häufigsten (und am wenigsten) per E-Mail zugestellt werden.
Das in Washington, DC ansässige Startup ist seit über einem Jahr in der privaten Beta-Phase tätig und hat in dieser Zeit eine Reihe großer multinationaler Kunden gewonnen, die von Regierungsorganisationen bis hin zu Unternehmen wie Spotify reichen – zusammen mit einer Warteliste von 2.500 anderen. Jetzt, da es in die allgemeine Verfügbarkeit übergeht, kündigt es auch eine Finanzierung von 9,8 Millionen US-Dollar an.
Decibel führt die Runde an, an der Slow Ventures und eine Reihe von Personen aus der Welt der Cybersicherheit teilnehmen, darunter Sounil Yu (der Schöpfer der Cyber Defense Matrix und DIE Triad); Martin Roesch, Schöpfer von Snort und Sourcefire; die erfahrenen CISOs Jerry Perullo und Michael Sutton; Demisto-Gründer Rishi Bhargava und Slavik Markovich; Lookout-Gründer Kevin Patrick Mahaffey; und Phantom Cyber und Pangea-Gründer Oliver Friedrichs.
Sublime deckt Vektoren wie Malware, Ransomware, Anmeldedaten-Phishing, VIP-Imitation und Callback-Phishing ab. Sein Code kann auf Microsoft 365- und Google Workspace-Unternehmens-E-Mail-Systeme angewendet sowie über IMAP auf einzelnen Konten ausgeführt werden. Und zusätzlich zu seiner grundlegendsten Verwendung – der Sicherheit eingehender E-Mails – kann Sublime verwendet werden, um Trends bei Bedrohungen für ein Unternehmen zu sammeln und zu analysieren, ganze Domänen zu blockieren, Sicherheitsübungen für Compliance und Schulungen durchzuführen und vieles mehr.
Joshua Kamdjou, der zusammen mit Ian Thiel Sublime gründete, sagte in einem Interview, dass ihm die Idee für das Startup aufgrund seiner Arbeit für das Verteidigungsministerium gekommen sei, wo er als „White Hat“-Hacker anfing, als er war noch auf dem Gymnasium.
Dort lernte er die Techniken kennen, die böswillige Hacker mit Phishing-E-Mails verwendeten.
„Angreifer entwickeln ständig neue Wege, um Abwehrmaßnahmen zu umgehen“, sagte er, wobei das Problem darin besteht, dass die meisten dieser Abwehrmaßnahmen auf Sicherheitsparametern basieren, die von einzelnen Sicherheitsanbietern eingerichtet wurden, ein „Black-Box“-Ansatz in seinen Worten. Als Hacker neue Techniken anwendeten, lag die Pflicht bei den Anbietern, Patches und Updates für ihre Systeme herauszugeben, um diese zu berücksichtigen.
Aber dann würden neue Techniken auftauchen und so weiter und so fort, was zu Verzögerungen und Lücken im Schutz führen würde. „Der Lieferant ist der Engpass“, sagte er. In seinen eigenen Tests wendete Kamdjou einen Monat lang eine Phishing-Technik an und kehrte dann einen Monat später zurück, „und das Problem wäre immer noch da“.
Kamdjou sah eine Gelegenheit, eine Lösung zu entwickeln, indem er auf das kollektive Wissen und die Arbeitspraktiken von Entwicklern zurückgreift. Aus der Welt des Hackens und Codierens kommend, lag es in seiner DNA, Dienste wie GitHub zu nutzen, um Projekte zu verfolgen und zu ihnen beizutragen. Er wendete dieses Crowdsourcing-Modell darauf an, wie Sublime seine eigene Datenbank mit Bedrohungsvektoren und -ansätzen verfolgen und erweitern würde.
Um es klar zu sagen, Sublime ist nicht „Open Source“ und Thiel und Kamdjou sagten, dass sie immer noch überlegen, welche Aspekte sie gegebenenfalls Open Source machen könnten. Aber es leiht sich etwas von diesem Ethos. Das Sublime-Team hat rund zwei Drittel der Regeln in die Datenbank von Sublime geschrieben, wobei ein Drittel von der Community beigesteuert wird, sagte Thiel.
Einzelne Organisationen führen anschließend ihre eigenen Gespräche darüber, wie sie ihre eigene E-Mail-Sicherheit anpassen können, welche dieser Regeln gelten und welche außer Acht gelassen werden sollen, wodurch deutlich mehr Macht in die Hände der Kunden gelangt. Das war bisher eines seiner Verkaufsargumente.
„Sublime gibt Erkennungsteams die Möglichkeit, die Kontrolle über den E-Mail-Posteingang zurückzugewinnen“, sagte Dan Nguyen-Huu, Partner bei Decibel, in einem Interview. „Das von der Community betriebene DSL bedeutet, dass alle Kunden dieselbe Sprache sprechen, Regeln teilen und besser Abhilfe schaffen können“, sagte er. „Das bedeutet, dass sie sich vereinen können, um den gemeinsamen Feind zu bekämpfen.“ Der Ansatz sei einzigartig auf dem Markt, fügte er hinzu.
„Verteidiger kennen ihre Netzwerke besser als jeder andere, aber wir haben sie nicht als Gemeinschaft bewaffnet“, sagte Kamdjou. So funktionieren auch viele andere Sicherheitsprodukte, die nichts mit E-Mail zu tun haben. YARA für Binärdateien, Sigma/EQL für Protokolle, Snort/Suricata für Netzwerke, osquery/EDR für Endpunkte, Semgrep für statische Analysen sind einige der von Kamdjou angeführten Beispiele.
Interessanterweise war die Anzahl der Mitwirkenden bisher nur ein kleiner Bruchteil der Gesamtzahl der Benutzer, die Sublime derzeit hat.
„Es ist ein bisschen wie Twitter“, sagte Kamdjou. „Die meisten twittern nicht, sondern lesen nur, und es sieht so aus, als ob unser Modell ähnlich sein wird, wobei nur eine kleine Anzahl Regeln schreibt und der Rest diese nützlich findet.“
Twitter ist aus einem anderen Grund eine passende Analogie: Thiel sagte, dass Sublime größtenteils durch Mundpropaganda gewachsen sei, und viele dieser Worte seien auf dieser speziellen sozialen Plattform ausgetauscht worden. „Infosec lebt auf Twitter“, sagte er.
Mit neuen Tools wie der generativen KI, die potenzielle Möglichkeiten darstellen, das Volumen von anspruchsvolleren und überzeugenderen E-Mails zu erhöhen, können Sie sehen, warum und wo es sinnvoll wäre, die Art und Weise zu beschleunigen, wie Endbenutzer selbst diese Bedrohungen erkennen und darauf reagieren können. Das könnte im Laufe der Zeit zu mehr Mitwirkenden und mehr Sublime-Nutzung führen; Es wird interessant sein zu beobachten, wie und ob KI-Modelle auch für die Generierung von mehr Abwehrmaßnahmen eingesetzt werden.