Bei offener und transparenter Security nach wie vor führend

blog-open-and-transparent-security-720x420-A.png

Elastic Security ist seit Langem offen – mit Wurzeln in der Open-Source-Bewegung, einer offenen Entwicklung und der Veröffentlichung unseres SIEM im Jahr 2019. In der Tradition dieser Offenheit haben wir 2020 unser offenes Repo „detection-rules“ veröffentlicht, mit dem wir die Zusammenarbeit mit unseren Nutzer:innen verstärken und transparent darlegen möchten, wie wir unsere Kunden schützen. Dieses Repo ist für unsere SIEM- und Security-Analytics-Anwendungsfälle gedacht und beinhaltet noch keine Elastic Endpoint Security-Artefakte. Mit der Einrichtung eines neuen öffentlichen Repos, protections-artifacts, setzen wir heute einen weiteren Stein auf dieses Fundament.

Im Repo protections-artifacts finden Sie die Schutzlogik, die Elastic Endpoint Security für die Bekämpfung von Bedrohungen unter Windows, macOS und Linux nutzt. Dazu gehören sowohl in EQL geschriebene Regeln zum Schutz vor Malware-Verhalten als auch YARA-Signaturen für Dateien und den Arbeitsspeicher. In diesem Repo findet sich nicht nur eine Teilmenge oder eine Mustersammlung, sondern wir stellen sämtliche Regeln und Signaturen zur Verfügung, mit denen Bedrohungen aktiv blockiert werden. Wenn wir diese Features in unserem Produkt aktualisieren, können Sie die Änderungen sofort mitverfolgen, sodass stets Transparenz darüber herrscht, wie diese Features feststellen, welche Bedrohungen und Verhaltensweisen sie blockieren sollen.

Volle Transparenz

Während SIEM-Anbieter mittlerweile standardmäßig uneingeschränkten Zugriff auf die Erkennungslogik bieten, ist das bei Endpoint-Produkten noch lange nicht der Fall. Wir finden, dass sich das ändern sollte. Endpoint Detection and Response (EDR) und Endpoint Protection Platforms (EPP) sind häufig eine Art Blackbox – viele Anbieter lassen die Nutzer:innen einfach im Dunkeln, wenn es um zusätzliche Informationen und Einblicke geht. Ein solcher Ansatz bringt aber niemanden wirklich weiter und hilft auch nicht, die Nutzer:innen zu befähigen. 

Wir sehen uns dagegen als Partner unserer Nutzer:innen. In einer solchen Partnerschaft ist Transparenz eine Voraussetzung für den beiderseitigen Erfolg. Die Vorteile eines solchen Verhaltens liegen auf der Hand und eine solche Praxis ist universell. Schließlich sind Security-Lösungen dazu da, Risiken zu mindern, und wenn ein Anbieter nicht transparent darlegt, wie er die Umgebung schützt, haben die Nutzer:innen keinerlei Möglichkeit sicher zu erkennen, ob er tatsächlich die bestehenden Risiken eindämmen kann. Durch unsere Transparenz können die Nutzer:innen die Stärken unseres Produkts verstehen und sich darauf konzentrieren, die Lücken, die für sie das größte Risiko darstellen, zu schließen.

[Weiterführender Artikel: Forrester führt Elastic im „Endpoint Detection and Response Wave“-Bericht als „Strong Performer“]

Unsere Antwort auf bestehende Bedenken

Wir sind überzeugt, dass eine offene und transparente Herangehensweise für die Nutzer:innen das Beste ist und langfristig für mehr Sicherheit für alle sorgt. Wir haben unsere Entscheidung nicht leichtfertig getroffen. Zur Transparenz gehört es auch, ganz offen auf möglicherweise aufkommende Einwände zu reagieren. Das tun wir gern:

Durch unsere Transparenz setzen wir uns öffentlicher Kritik und einer verschärften Beobachtung aus. Das ist kein Grund dafür zu verstecken, wie ein Produkt funktioniert, zumindest dann nicht, wenn wir unsere Nutzer:innen befähigen und schützen möchten. Elastic ist bereits offen verfügbar und wird tagtäglich tausendfach heruntergeladen und ausprobiert – darunter auch von einigen wirklich fähigen Researcher:innen, die sich unser Produkt näher ansehen. Wir finden das gut. Und wir hoffen, dass die meisten Researcher:innen, die auf Erkennungslücken stoßen, bereit sind, sich im Geiste der Zusammenarbeit an uns zu wenden. 

Wir sind uns bewusst, dass das nicht allen gefällt, und es mag auch Leute geben, denen daran gelegen ist, durch die Bloßstellung von Lücken Internet-Fame zu sammeln und uns unter Druck zu setzen. Wir sind offen, auch gegenüber Kritik und Feedback. Wir werden immer besser werden und wir werden Ihnen zeigen, wie wir das tun. 

Es könnte das Argument kommen, dass es durch unsere Transparenz für Angreifer:innen einfacher wird, unsere Schutzmaßnahmen zu umgehen. Es könnte die Meinung vertreten werden, dass es motivierte Angreifer:innen bei einem geschlossenen Produkt schwerer hätten zu verstehen, wie es Bedrohungen erkennt und blockiert. Das stimmt nicht. Angreifer:innen verschaffen sich so oder so Zugriff auf die Erkennungslogik, ob durch Auslesen von Datenträgern oder des Arbeitsspeichers oder durch Trial-and-Error-Tests des Produkts. Sicherheit durch Im-Unklaren-Lassen ist keine Sicherheit! Wir glauben an die Entwicklung von Schutzmaßnahmen, die auch Angreifer:innen standhalten können, die die Funktionsweise einer bestimmten Schutzmaßnahme oder Regel kennen. Wir nehmen insbesondere Verfahren ins Visier, auf die Angreifer:innen schwerlich verzichten können, und wir sorgen für einen gestaffelten Schutz – wer den ersten Schutzwall durchbrechen konnte, muss noch etliche weitere überwinden.

Wettbewerber könnten sich unserer Erkennungslogik bemächtigen. Mit unserem offenen Ansatz möchten wir unsere Nutzer:innen befähigen und durch maximale Transparenz deren Sicherheit deutlich verbessern. Das bedeutet für uns, alle teilhaben zu lassen, selbst wenn andere Anbieter von Security-Lösungen ebenfalls davon profitieren – und es gibt tatsächlich einige, die sich nicht um Lizenzierungsfragen und andere Einschränkungen scheren und nehmen, was sie bekommen, ohne selbst etwas beizutragen. Wir sind zuversichtlich, dass unser Engagement für unsere Nutzer:innen uns dabei hilft, unseren Wettbewerbsvorteil auszubauen. Es geht auch nicht allein um die Erkennungsregeln. Mit Elastic Security erhalten die Nutzer:innen die beste Architektur für die Ausführung der Erkennungslogik und für das Blockieren von Bedrohungen.

Offener Austausch

Unsere Offenheit bedeutet auch, dass wir gern Ihr Feedback hätten: Lassen Sie uns wissen, wenn es GitHub-Probleme gibt, chatten Sie mit uns in unserem Community-Slack und stellen Sie Ihre Fragen in unseren Diskussionsforen. Sagen Sie uns, was Sie brauchen. Fragen Sie uns, wenn Sie wissen möchten, warum wir etwas so und nicht anders tun. Oder, besser noch, teilen Sie Erkennungslogik mit der Welt und helfen Sie uns dabei, die Sicherheit überall zu erhöhen. 

Mit unserer Einladung, Erkennungslogik mit der Welt zu teilen, sprechen wir mehr als nur unsere globale Nutzerbasis an. Unser Ziel ist es, dass sich die EPP/EDR-Anbieter insgesamt in Richtung Transparenz bewegen. Wir wissen um unsere Pionierrolle hierbei und hoffen, dass wir nicht allein bleiben. 

Zusammenfassend lässt sich sagen, dass Transparenz beim Endpoint-Schutz unserer Meinung nach für unsere Nutzer:innen der richtige Weg ist. Daher haben wir uns für ihn entschieden. Wir hoffen darauf, dass uns andere Anbieter auf diesem Weg folgen werden, um für zusätzliche Transparenz beim Schutz von Endpoints zu sorgen. Wir aktualisieren Elastic Endpoint Security regelmäßig mit neuen YARA-Signaturen und Verhaltensregeln.

Bleiben Sie gespannt auf weitere Endpoint-Security-Transparenz von Elastic Security in der Zukunft, zu finden im Repo protections-artifacts. Wir planen, weitere Artefakte für zusätzliche Endpoint-Schutzfunktionen zu veröffentlichen. Vergessen Sie auch nicht, immer mal wieder bei Elastic Security Labs reinzuschauen, um mehr über unsere Security-Research-Arbeit hier bei Elastic zu erfahren.  

Unsere Empfehlung zum Weiterlesen: Mehr Daten und bessere Betriebseffizienz für Ihre SIEM-Lösung.