START ME UP!

Security Rockstars -StartUp Competition

Innovators Club

Infosec outperforms!• 10%

annual growth rates

• 200 Billion in 5 years

Graphic: Business Wire

Market Overview – Where is Europe?

Central Part of Strategy

Security Research in Europe

WE NEED MORE EUROPEAN SECURITY SOLUTIONS & STARTUPS!

History & Idea

• Idea was born while doing business development for Lastline

• Lastline was founded by researchers from DACH region, SBA researchers implemented first version, now US

• 2014-2015: Business Development for Lastline & First customers in DACH

• Now: Successful installations in the DAX 30 league

• Rated as top APT solution by independent NSS report 2015 against e.g. TrendMicro, McAffee & FireEye

Observations

• StartUps coming out of research institutions are well perceived

• Interest for security solutions made in DACH/Europe

• Simultaneously customers fear to rely on StartUps

• Major barrier for each StartUp: winning the first substantial customer in DACH/Europe/region

• A well established vendor from DACH would always be the preferred solution in DACH

Start Secure 2015

2016: Proudly presentingSecurity Rockstars

Security Rockstars

• Starting April 2016 – October 2016• 3 Phases - Contestants

o April – July: Concept Phase – 100+o Aug. – Sep.: Business Plan – 25 o October: 1 week Bootcamp & Pitch – Final 10 & 5

• Marketing channel: 50+ research inst., 100+ key researchers in infosec, press, online & social media

• Finals: 250+ CIO/CISO Rockstar Finals & Party in Vienna• 20K/10K/5K price money + bootcamp• Some jury members & supporters: Bessemer VP, Momentum

Partners, 451 Group, Bank of America, Gartner, KPMG, Deutsche Bank, RWE, Flextronics, AON, VP Security Google, Next Layer

ROCKSTAR 2015NIMBUSEC

FRÜHERKENNUNG GEFÄHRDETER WEBSEITEN.

Alexander Mitter a.mitter@nimbusec.com+43 699 144 155 11

Webapplikationen – Ein Sicherheitsrisiko?Komplexere Services – erhöhte Angriffsfläche.

• Webseiten sind die wichtigste Visitenkarte eines Unternehmens.

• Statt statischem HTML Code werden heute technisch hoch

komplexe Webapplikationen genutzt.

• Kurze Entwicklungszyklen stehen im Vordergrund.

Sicheres Design hat nicht die erste Priorität.

• Automatisierte Angriffe zielen auf diese Webtechnologien ab.

Die Angriffsfläche wächst exponentiell.PHP

JAVA

ASP.net

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Nimbusec

Nimbusec erkennt und alarmiert bei:

• Rufschädigungen

• Semantische Inhaltsanalyse

zur Defacement-Erkennung

• Überwachung rufschädigender Blacklist-Einträge

• Malwareinfektionen

• Externe Malwareüberwachung ohne Installation

• Interne Überwachung mit Schadcodeerkennung

• Wartungsnotfällen

• Veraltete/angreifbare Webtechnologien

• SSL/TLS Verschlüsselungsprobleme

Wartungsfreie Webseitenüberwachung.

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Nimbusec ArchitekturExterner Scan und Server Agent zur 360° Überwachung

Nimbusec externer Scan

Nimbusec Server Agent

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Online Rufschädigungen

Rufschädigende Blacklist-Einträge

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Nimbusec prüft den Online-Ruf und alarmiert bei Problemen

• der eigenen Onlineangebote und

• fremder Onlineangebote, auf die verlinkt wird.

Erkennung von inhaltlichen und grafischen VerunstaltungenAutomatisierte semantische Inhaltsprüfung.

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Erkennung von inhaltlichen und grafischen VerunstaltungenAutomatisierte semantische Inhaltsprüfung.

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Erkennung von inhaltlichen und grafischen VerunstaltungenAutomatisierte semantische Inhaltsprüfung.

Eigene

Onlineangebote

• Textinhalt

• Grafisches Design &

Struktur

• Jede Änderung

zwischen zwei Scans

wird geprüft

Basis Defacement-

Analyse

• Alarmiert, wenn

Änderungen

auffälligen Text

beinhalten, der auf

eine Verunstaltung

hinweist.

Semantische

Defacement-Analyse

• Erkennt Sprachen

• Erkennt inhaltliche Themen

• Evaluiert Seitenstruktur

• Erkennt fundamentale grafische

Änderungen

• Lernt, welche Bereiche einer Seite

oft geändert werden.

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

SSL/TLS AnalyseErkennt Probleme bei Verschlüsselung.

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Verschlüsselung ist die Basis für Onlinegeschäfte.

Nimbusec prüft SSL/TLS Zertifikate auf:

• Zertifikatsgültigkeit

• Zertifikatsablauf

• Trust chain für Microsoft, Apple und Mozilla

• Nutzung unsicherer Protokolle (e.g. SSL v2, SSL v3)

• Nutzung unsicherer Cipher-Suites (e.g. RC4, MD5, NULL)

Nimbusec ArchitekturExterner Scan und Server Agent zur 360° Überwachung

Nimbusec externer Scan

Nimbusec Server Agent

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Web Shells – Der blinde Fleck von AntivirenlösungenEin Standardwerkzeug von Onlineangreifern

Verwundbare Webseite

Code mit Hintertüre

wird eingebracht: “Web-Shell“

Webseite wird missbraucht

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Zeitraum um Web-Shell zu finden

• Meist liegen Tage, Wochen oder sogar Monate zwischen dem Einbruch und dem Missbrauch.

• Nimbusec nutzt diese Zeit um Web-Shells zu finden und zukünftigen Missbrauch zu verhindern.

automatisiert

Erkennung

Vorbeugung

manuell

Sichere Entwicklung

Manuelle Penetrationstests Automatisierte

Penetrationstests

Patch Management

Benutzer-meldungen

Logfileanalyse

Nimbusec im Vergleich zu traditioneller WebsicherheitWenn Vorbeugung scheitert, alarmiert Nimbusec.

• Fokus: Alarmiert nur, wenn

sofortiges Eingreifen zur

Risikominimierung notwendig

ist.

• Skalierbar: Erlaubt kleinen

Teams, hunderte

Onlinedienste zu überwachen

• Frequenz: Prüfung im

Minutentakt

Web ApplicationFirewall

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Nimbusec VorteileSichere, europäische Enterprise-Lösung

Entwickelt für Enterprise IT Systeme

Europäischer Fokus

• Analyseserver in Österreich

• Oberfläche in Deutsch, Englisch, Französisch,… verfügbar

• API zur Integration und Automatisierung

• „Audit Trail“ - Protokolle in PDF, XML, JSON, CSV verfügbar

Datenschutz/Datensparsamkeit

• Externe Überwachung ohne Angriffsversuche

• EU Datenschutz - kein externer Zugriff auf Ihre Quelldaten notwendig

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Security Rockstars 2015 („Start Secure“)

1. DAX Konzern als Kunde

Vorstellung

bei führenden Unternehmen in Österreich

Innovators Club

• München

• Zürich

• Frankfurt

• Wien

• Amsterdam

FIRST.org 2016 Seoul, KOREA

Die ersten 180 Tage als Security Rockstars

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Vom Linzer Start-Up zum Dienstleister für Konzerne

Ausgezeichnet: Im Einsatz:

Fragen?Sprechen Sie mit uns direkt!

Alexander Mitter a.mitter@nimbusec.com

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Christian Baumgartner c.baumgartner@nimbusec.com

Nimbusec Proof of Concept

Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.

Angebot für Rockstars Launch Teilnehmer

Möchten Sie Nimbusec in Aktion sehen?

1. Bitte lassen Sie uns eine Domainliste Ihres Unternehmens

zukommen

2. Nutzen Sie das Nimbusec Discovery Service um weitere

Domains zu finden, die mit Ihrem Unternehmen in

Zusammenhang stehen.

3. Wir scannen für Sie alle Webapplikationen und stellen Ihnen

die Ergebnisse im Rahmen einer Videokonferenz vor

Alle Ergebnisse und Daten werden nach Abschluss des Proof of Concepts restlos gelöscht.

Scans werden auf ein Datenvolumen von 10MB pro Domain beschränkt.

Im Rahmen des Proof of Concepts werden keine Kosten durch die Nimbusec GmbH berechnet.

Ihre Domains

Nimbusec Discovery

Nimbusec Analyse

WORKING WITH INFOSEC STARTUPS

How to (not) get burned

security start-up noun\si-ˈkyu̇r-ə-tēˈstärt-ˌəp\

A new company you will pay to do a better job at something you already pay an older company for, though the new company has less experience doing it, there are no guarantees it will do a better job and you’re going to keep paying the older company

With friendly permission adapted from @sawaba – additional ressources @ http://zip.sh/z/sawaba/rsa2016

The next big thing

• Founders: “This could be a thing”• Investors: “We’re not sure if this is a thing, but we’d better

invest in case it turns out to be…”• Copycat founders: “Those ex-BigVendor guys seem to think this

is a thing. Perhaps this is a thing. We should get in on this!”• Industry Analyst: “There are a bunch of startups getting funded

and they’re all doing something similar. This must be a thing! We need an acronym for it.

• The Media: “This is definitely a thing”• Founders (leaving, post-acquisition): “Good luck, we’re going to

start something else!”

We will find out in the end…

EITHER

• Enterprise: “Yes, this works.”

• Everyone else: “It is a thing that’s here to stay!”

OR

• Enterprise: “Nope, not a thing. Nice try though.”

• Everyone else: <crickets>

Security Startup Goals

• Displace existing vendors

• Address (security) gaps

• Solve technical challenges

• Address new market segments or environments

Startup Cycle

SO HOW CAN I WORK WITH INFOSECSTARTUPS

Startup Due Diligence

• Does the product work?• Can vendor claims be validated?• How could efficacy be measured and compared to other options?

Process

• Research the startup (“Passive Recon”)

• Engage the startup

• Ensure a good product/environment fit (avoid Shelfware!)

• This is a startup: the roadmap IS the product

• Proper preparation makes the most of your PoC

• Contracts, agreements, liability – rubber, meet road

• Uh-oh, they got acquired!

Top reasons for shelfware

Top five reasons products become shelfware according to buyers:

1. Compliance-driven purchase

2. Internal Politics (tied for #1)

3. Lack of staffing/headcount

4. Lack of time/expertise

5. Features overpromised or missing

Value of security products

• Can you calculate the value you should get from it?

• What’s the Time-to-Implementation?

• What’s the Time-to-Value?

• What’s the True Cost?

Drawing and concept by Henrik Kniberg

Lessons learned

• Not comfortable? Don’t do it, or do it through a trusted partner

• Don’t have the spare staff/skills/cycles? Don’t do it.

• Plan to lose most of one FTE’s productivity to testing, implementation and bug reporting activities, at least initially.

• Look for products with a high potential reward/effort ratio - threat prevention technologies, for example.

• Check workflow integration before purchasing!

Identify GAPs

Our concept & Innovators Club

• Goal: Identifying and supporting innovative European security solutions & ideas

• Evaluation of the technical concept & business model by analysts• Funding & Contacts• Innovators Club: Verification of the business model with our

„Innovators Club“ in Austria, Germany, Switzerland & Netherlands• First Step: Generating reference customers & technology partners• Second Step: Building up channel & Business Development

through partners & area managers o Phase 1 – Core Circle of Innovators Club: DACH & Netherlandso Phase 2 – Growth – Establish IC in other European countries

• Third Step: European VC money for growth stage or exit

SBA PRIME

Our own startup

SBA PrimeVerbindung zwischen Wissenschaft, Beratung & Wirtschaft

sbaPRIME 2016 in Zahlen

• Mitglieder: o 6 Großunternehmeno 17 Angebote

• Konferenzen (wissenschaftlich & kommerziell)o 21 vorläufig für 2016 eingeplanto 6 bereits besucht

• 9 Talks auf IT Security Veranstaltungen gehalten• 4 Whitepaper bis Ende April fertiggestellt• Plattform:

o 20 Accountso 28 Security Beiträgeo 2x pro Monat aufbereitete Security News

Call to action

• 19.05 – Innovators Club Vienna with KPMG

• June – October: Security Rockstars: Jury Member

• 23th June: PRIME P2

• 24th October: Rockstars Finals & Security Side Event

• 24-28 October: CCS

https://www.sba-research.org/about/events/

Andreas Tomek

SBA Research gGmbH

Favoritenstraße 16, 1040 Wien

+43 699 115 18 148

atomek@sba-research.org