Forrester hat sich geirrt: Die Schwächen der NAV-Welle (Network Analysis and Visibility)

27. Juni 2023
Kevin Kennedy
Senior-Vizepräsident für Produkte
Forrester hat sich geirrt: Die Schwächen der NAV-Welle (Network Analysis and Visibility)

Am Dienstag, den 27. Juni 2023, veröffentlichte Forrester die erste Forrester Wave zu Netzwerkanalyse und -sichtbarkeit (NAV). Dies ist der zweite Versuch von Forrester, die NAV-Anbieterlandschaft zu bewerten, da die erste NAV-Welle aufgrund der Fluktuation der Analysten und der daraus resultierenden mangelnden Expertise gestrichen wurde. Nach unserer Einschätzung der Forschungsergebnisse fehlt es weiterhin an Fachwissen im Bereich der modernen Bedrohungserkennung.

Forrester bleibt in einer anbietergesteuerten Denkweise verhaftet, die durch starre technische Anforderungen definiert ist, die auf einer faszinierenden Mischung aus Zero Trust Elfenbeinturm-Idealismus und veraltetem Technologieverständnis beruhen, das von den Kunden und dem Markt insgesamt völlig abgekoppelt ist. Nirgendwo in der Bewertung berücksichtigt Forrester die Definition der Kunden für moderne Bedrohungserkennung und -abwehr, die sich über Netzwerk, Identität und cloud erstreckt.

Der eklatanteste Fehler ist die Tatsache, dass die Methodik von Forrester der integrierten Entschlüsselung mehr Gewicht beimisst als jedem anderen Kriterium, während sie alle relevanten Aspekte der ML/AI-Nutzung oder der tatsächlichen Bedrohungsabdeckung völlig außer Acht lässt. Das Ergebnis ist, dass ein rein signaturbasiertes IDS mit Entschlüsselung das fortschrittlichste KI-System ohne integrierte Entschlüsselung deutlich übertreffen würde. (Vielleicht steht NAV tatsächlich für Network Anti-Virus?)

NAV ist ein Denkfehler, und die fehlerhafte Methodik der Forrester Wave bei der Definition moderner Bedrohungserkennung und der Bewertung von Technologieangeboten hat das Potenzial, Kunden in die Irre zu führen. Ein Beispiel: Beim Aufzeigen von sachlichen Ungenauigkeiten in ihrer Bewertung beschränkte Forrester die Anbieter auf 5 Einwände, und jede Falschdarstellung eines Anbieters, die über diese 5 hinausging, wurde weder diskutiert noch vom Analysten korrigiert. Wir empfehlen allen potenziellen Käufern, die Anbieter mit einem roten Team zu testen - je fortschrittlicher, desto besser - um selbst zu sehen, was wirklich wichtig ist.

Wir könnten zahlreiche Schwachstellen in ihrer Methodik aufzählen, wollen uns aber auf die drei eklatantesten konzentrieren, wenn es um die Erkennung moderner Bedrohungen geht:

  • Fehler Nr. 1: Forrester glaubt, dass der gesamte Datenverkehr innerhalb von Unternehmen verschlüsselt ist
  • Schwachstelle Nr. 2: Forrester behauptet, dass NAV entschlüsselt werden muss, um Bedrohungen zu finden
  • Fehler Nr. 3: Forrester glaubt, dass die Zeit bis zur Basislinie wichtiger ist als die Bedrohungsabdeckung für ML/AI

Zusammengenommen bedeuten diese Mängel eine große betriebliche Belastung für die Kunden bei geringem bis gar keinem Nutzen, während die Charakterisierung der NAV-Landschaft in Richtung Legacy-Technologie verzerrt wird.

Fehler Nr. 1: Forrester glaubt, dass der gesamte Datenverkehr innerhalb von Unternehmen verschlüsselt ist

Der starke Fokus von Forrester auf die Entschlüsselung basiert auf der Ansicht, dass alle Unternehmen den gesamten Datenverkehr verschlüsseln oder in Kürze verschlüsseln werden, um Zero Trust anzupassen.  

Das stimmt einfach nicht. Vectra AI überwacht seit Jahren die Verschlüsselungsraten in unserer installierten Basis, zu der einige der sicherheitsbewusstesten Unternehmen der Welt gehören. Nur 1 % der Protokolle, bei denen die Sichtbarkeit der Nutzdaten erforderlich ist, um moderne Bedrohungsmethoden zu erkennen (DCERPC, Kerberos, SMB und DNS), sind verschlüsselt, und diese Zahl steigt nicht. Ja, 1 %! Selbst die Einführung von SMBv3 hat dies nicht wesentlich geändert.

Warum? Die Kunden wägen die Vorteile gegenüber den Nachteilen der Verschlüsselung des internen Datenverkehrs ab und entscheiden sich gegen die Verschlüsselung. Dies sind begründete Entscheidungen. Die Verwaltung der Entschlüsselung ist schwierig, selbst mit integrierten Funktionen. Es bedeutet, dass jeder Schlüssel von jedem internen Server geladen werden muss, zu dem der Datenverkehr entschlüsselt werden soll, und dann jedes Mal aktualisiert werden muss, wenn ein Schlüssel wechselt.  

Wie einer unserer von Forrester befragten Unternehmenskunden sagte: "Die Realität ist, dass der Versuch, jedes Protokoll und jede Kommunikation in einem modernen Unternehmen zu entschlüsseln, bestenfalls naiv ist." Ein anderer, ebenfalls von Forrester befragter Kunde sagte, dass die Entschlüsselung - selbst mit integrierten Funktionen - "die Zeit, den Aufwand und den zusätzlichen Overhead nicht wert" sei.  

Es scheint, dass das Dogma Zero Trust für Forrester wichtiger ist als die Kundenperspektive.

Schwachstelle Nr. 2: Forrester behauptet, dass NAV entschlüsselt werden muss, um Bedrohungen zu finden

Hochwertige Protokolle werden also nicht verschlüsselt. Was verschlüsselt ist, ist der Webverkehr, sowohl intern (etwa 60 %) als auch extern (über 90 %). Forrester behauptet, dass es entscheidend ist, diesen zu entschlüsseln, um Bedrohungen zu erkennen. Auch das ist schlichtweg falsch.  

Moderne Technologien zur Erkennung von Bedrohungen basieren auf dem Verständnis von Angriffsmethoden und Datenbewegungen, wobei eine Mischung aus ML/AI und Heuristiken zum Einsatz kommt, die durch Bedrohungsdaten ergänzt werden. Eine Entschlüsselung ist dabei weder notwendig noch hilfreich. Selbst wenn der Datenverkehr entschlüsselt wird, bleibt die Nutzlast des Angreifers auf eine Weise verschlüsselt, die vom Unternehmen nicht entschlüsselt werden kann.  

Das Einzige, was Sie für die Entschlüsselung erhalten, ist die Möglichkeit, IDS-Signaturen auszuführen. Das ist mit hohen Betriebskosten verbunden. Aufgrund von TLS 1.3 mit PFS erfordert die passive Entschlüsselung, dass jedes einzelne System einen Agenten ausführt, um Sitzungsschlüssel weiterzuleiten. Noch ein weiterer Agent und die damit verbundenen Kopfschmerzen, nur um einige IDS-Signaturen auszuführen!

Aus diesem Grund entschlüsseln Kunden den ausgehenden Datenverkehr an der SASE/dem Proxy für die Inhaltskontrolle und die Durchsetzung von Richtlinien und den eingehenden DMZ-Datenverkehr in einer Inline-NGFW für die IDPS-Abdeckung bekannter Exploits. NAV ergänzt diese Maßnahmen durch Verhaltenserkennung und Bedrohungsdaten, um moderne und unbekannte Bedrohungen zu finden.  

Vectra AI erkennt präzise Angriffe im verschlüsselten Datenverkehr - einschließlich C2, Exfil, Data Staging, Brute Force, Scans/Sweeps, verdächtige Verwendung von Verwaltungsprotokollen usw. - sonst hätten unsere Kunden nicht die Ergebnisse, die sie erzielen, und auch nicht die Geschäftsergebnisse, die wir dadurch erzielen. Wie einer unserer Kunden es ausdrückt: "Man muss nicht ins Innere des Autos schauen, um zu wissen, dass es nicht richtig fährt."  

Fehler Nr. 3: Forrester glaubt, dass die Zeit bis zur Basislinie wichtiger ist als die Bedrohungsabdeckung für ML/AI

Forresters Besessenheit von der Entschlüsselung im Dienste von Zero Trust lenkt völlig von der Realität dessen ab, was in diesem Markt am wichtigsten ist: klare Bedrohungssignale zu erhalten, die das SOC mit kurzer Time-to-Value und geringem betrieblichen Aufwand verstehen kann. Es gibt zwar eine Menge Marketing-BS rund um ML und KI, der die Köpfe verdrehen kann, aber kein vernünftiger Mensch glaubt, dass ein modernes Bedrohungserkennungssystem nur mit Signaturen aufgebaut werden kann. Großartiges ML/AI ist ein Muss, um mit den sich entwickelnden und aufkommenden Angreifermethoden Schritt zu halten.  

Soweit ML/AI in Betracht gezogen wird, bewertet Forrester es ausschließlich danach, wie lange es bis zur Baseline dauert. Je kürzer die Basislinie, desto höher die Punktzahl. Auch hier handelt es sich um eine völlig unzureichende und fehlgeleitete Methode zur Bewertung von ML/AI. Denken Sie an die Verwendung von Admin- und Dienstkonten, die für die meisten modernen Angriffe von zentraler Bedeutung sind. Diese müssen über einen Zeitraum von mindestens 30 Tagen erlernt werden, um eine genaue Basislinie zu erhalten, da die Arbeit von Administratoren in der Natur der Sache liegt. Wenn Sie sich nur an ein paar Tage erinnern können - in der Regel aufgrund von Beschränkungen in Ihrem System -, wird das Ergebnis für die Benutzer unangenehm und störend sein.

Die Forrester-Methode berücksichtigt hingegen überhaupt nicht, wie gut KI/ML-Modelle die verschiedenen Angriffsmethoden abdecken, die modernen Angriffen zugrunde liegen. Buchstäblich keine einzige Frage und kein einziges Bewertungskriterium in ihrer Methodik bezieht sich auf die Erkennung von KI/ML-Angriffen. Unglaublich! Sprechen Sie mit Käufern oder Anwendern, die sich in erster Linie für dieses Thema interessieren. Vectra AI hat 35 Patente in diesem Bereich, die meisten Patente, die in MITRE D3FEND Gegenmaßnahmen genannt werden - mehr als Crowdstrike, Microsoft und jeder andere Anbieter in dieser Welle zusammen.

Unser Rat: Red Team Vectra AI.

Verlassen Sie sich nicht nur auf unser Wort, und bitte auch nicht auf das von Forrester. Der wahre Test für die Effektivität moderner Bedrohungserkennung sind Red Teams bei den Anbietern, und dieser "starke Performer" von Forrester NAV wird es mit jedem der "Marktführer" aufnehmen, um unseren Standpunkt zu beweisen.  

Um zu erfahren, warum 4 von 5 Kunden Vectra AI den Mitbewerbern (einschließlich der in der Forrester Wave genannten Unternehmen) vorziehen, besuchen Sie vectra.ai/products/ndr.

Häufig gestellte Fragen