Upload
sba-research
View
570
Download
0
Embed Size (px)
Citation preview
History & Idea
• Idea was born while doing business development for Lastline
• Lastline was founded by researchers from DACH region, SBA researchers implemented first version, now US
• 2014-2015: Business Development for Lastline & First customers in DACH
• Now: Successful installations in the DAX 30 league
• Rated as top APT solution by independent NSS report 2015 against e.g. TrendMicro, McAffee & FireEye
Observations
• StartUps coming out of research institutions are well perceived
• Interest for security solutions made in DACH/Europe
• Simultaneously customers fear to rely on StartUps
• Major barrier for each StartUp: winning the first substantial customer in DACH/Europe/region
• A well established vendor from DACH would always be the preferred solution in DACH
Security Rockstars
• Starting April 2016 – October 2016• 3 Phases - Contestants
o April – July: Concept Phase – 100+o Aug. – Sep.: Business Plan – 25 o October: 1 week Bootcamp & Pitch – Final 10 & 5
• Marketing channel: 50+ research inst., 100+ key researchers in infosec, press, online & social media
• Finals: 250+ CIO/CISO Rockstar Finals & Party in Vienna• 20K/10K/5K price money + bootcamp• Some jury members & supporters: Bessemer VP, Momentum
Partners, 451 Group, Bank of America, Gartner, KPMG, Deutsche Bank, RWE, Flextronics, AON, VP Security Google, Next Layer
Webapplikationen – Ein Sicherheitsrisiko?Komplexere Services – erhöhte Angriffsfläche.
• Webseiten sind die wichtigste Visitenkarte eines Unternehmens.
• Statt statischem HTML Code werden heute technisch hoch
komplexe Webapplikationen genutzt.
• Kurze Entwicklungszyklen stehen im Vordergrund.
Sicheres Design hat nicht die erste Priorität.
• Automatisierte Angriffe zielen auf diese Webtechnologien ab.
Die Angriffsfläche wächst exponentiell.PHP
JAVA
ASP.net
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Nimbusec
Nimbusec erkennt und alarmiert bei:
• Rufschädigungen
• Semantische Inhaltsanalyse
zur Defacement-Erkennung
• Überwachung rufschädigender Blacklist-Einträge
• Malwareinfektionen
• Externe Malwareüberwachung ohne Installation
• Interne Überwachung mit Schadcodeerkennung
• Wartungsnotfällen
• Veraltete/angreifbare Webtechnologien
• SSL/TLS Verschlüsselungsprobleme
Wartungsfreie Webseitenüberwachung.
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Nimbusec ArchitekturExterner Scan und Server Agent zur 360° Überwachung
Nimbusec externer Scan
Nimbusec Server Agent
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Online Rufschädigungen
Rufschädigende Blacklist-Einträge
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Nimbusec prüft den Online-Ruf und alarmiert bei Problemen
• der eigenen Onlineangebote und
• fremder Onlineangebote, auf die verlinkt wird.
Erkennung von inhaltlichen und grafischen VerunstaltungenAutomatisierte semantische Inhaltsprüfung.
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Erkennung von inhaltlichen und grafischen VerunstaltungenAutomatisierte semantische Inhaltsprüfung.
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Erkennung von inhaltlichen und grafischen VerunstaltungenAutomatisierte semantische Inhaltsprüfung.
Eigene
Onlineangebote
• Textinhalt
• Grafisches Design &
Struktur
• Jede Änderung
zwischen zwei Scans
wird geprüft
Basis Defacement-
Analyse
• Alarmiert, wenn
Änderungen
auffälligen Text
beinhalten, der auf
eine Verunstaltung
hinweist.
Semantische
Defacement-Analyse
• Erkennt Sprachen
• Erkennt inhaltliche Themen
• Evaluiert Seitenstruktur
• Erkennt fundamentale grafische
Änderungen
• Lernt, welche Bereiche einer Seite
oft geändert werden.
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
SSL/TLS AnalyseErkennt Probleme bei Verschlüsselung.
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Verschlüsselung ist die Basis für Onlinegeschäfte.
Nimbusec prüft SSL/TLS Zertifikate auf:
• Zertifikatsgültigkeit
• Zertifikatsablauf
• Trust chain für Microsoft, Apple und Mozilla
• Nutzung unsicherer Protokolle (e.g. SSL v2, SSL v3)
• Nutzung unsicherer Cipher-Suites (e.g. RC4, MD5, NULL)
Nimbusec ArchitekturExterner Scan und Server Agent zur 360° Überwachung
Nimbusec externer Scan
Nimbusec Server Agent
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Web Shells – Der blinde Fleck von AntivirenlösungenEin Standardwerkzeug von Onlineangreifern
Verwundbare Webseite
Code mit Hintertüre
wird eingebracht: “Web-Shell“
Webseite wird missbraucht
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Zeitraum um Web-Shell zu finden
• Meist liegen Tage, Wochen oder sogar Monate zwischen dem Einbruch und dem Missbrauch.
• Nimbusec nutzt diese Zeit um Web-Shells zu finden und zukünftigen Missbrauch zu verhindern.
automatisiert
Erkennung
Vorbeugung
manuell
Sichere Entwicklung
Manuelle Penetrationstests Automatisierte
Penetrationstests
Patch Management
Benutzer-meldungen
Logfileanalyse
Nimbusec im Vergleich zu traditioneller WebsicherheitWenn Vorbeugung scheitert, alarmiert Nimbusec.
• Fokus: Alarmiert nur, wenn
sofortiges Eingreifen zur
Risikominimierung notwendig
ist.
• Skalierbar: Erlaubt kleinen
Teams, hunderte
Onlinedienste zu überwachen
• Frequenz: Prüfung im
Minutentakt
Web ApplicationFirewall
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Nimbusec VorteileSichere, europäische Enterprise-Lösung
Entwickelt für Enterprise IT Systeme
Europäischer Fokus
• Analyseserver in Österreich
• Oberfläche in Deutsch, Englisch, Französisch,… verfügbar
• API zur Integration und Automatisierung
• „Audit Trail“ - Protokolle in PDF, XML, JSON, CSV verfügbar
Datenschutz/Datensparsamkeit
• Externe Überwachung ohne Angriffsversuche
• EU Datenschutz - kein externer Zugriff auf Ihre Quelldaten notwendig
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Security Rockstars 2015 („Start Secure“)
1. DAX Konzern als Kunde
Vorstellung
bei führenden Unternehmen in Österreich
Innovators Club
• München
• Zürich
• Frankfurt
• Wien
• Amsterdam
FIRST.org 2016 Seoul, KOREA
Die ersten 180 Tage als Security Rockstars
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Vom Linzer Start-Up zum Dienstleister für Konzerne
Fragen?Sprechen Sie mit uns direkt!
Alexander Mitter [email protected]
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Christian Baumgartner [email protected]
Nimbusec Proof of Concept
Nimbusec GmbH - Alle Rechte vorbehalten. Nicht zur Veröffentlichung.
Angebot für Rockstars Launch Teilnehmer
Möchten Sie Nimbusec in Aktion sehen?
1. Bitte lassen Sie uns eine Domainliste Ihres Unternehmens
zukommen
2. Nutzen Sie das Nimbusec Discovery Service um weitere
Domains zu finden, die mit Ihrem Unternehmen in
Zusammenhang stehen.
3. Wir scannen für Sie alle Webapplikationen und stellen Ihnen
die Ergebnisse im Rahmen einer Videokonferenz vor
Alle Ergebnisse und Daten werden nach Abschluss des Proof of Concepts restlos gelöscht.
Scans werden auf ein Datenvolumen von 10MB pro Domain beschränkt.
Im Rahmen des Proof of Concepts werden keine Kosten durch die Nimbusec GmbH berechnet.
Ihre Domains
Nimbusec Discovery
Nimbusec Analyse
security start-up noun\si-ˈkyu̇r-ə-tēˈstärt-ˌəp\
A new company you will pay to do a better job at something you already pay an older company for, though the new company has less experience doing it, there are no guarantees it will do a better job and you’re going to keep paying the older company
With friendly permission adapted from @sawaba – additional ressources @ http://zip.sh/z/sawaba/rsa2016
The next big thing
• Founders: “This could be a thing”• Investors: “We’re not sure if this is a thing, but we’d better
invest in case it turns out to be…”• Copycat founders: “Those ex-BigVendor guys seem to think this
is a thing. Perhaps this is a thing. We should get in on this!”• Industry Analyst: “There are a bunch of startups getting funded
and they’re all doing something similar. This must be a thing! We need an acronym for it.
• The Media: “This is definitely a thing”• Founders (leaving, post-acquisition): “Good luck, we’re going to
start something else!”
We will find out in the end…
EITHER
• Enterprise: “Yes, this works.”
• Everyone else: “It is a thing that’s here to stay!”
OR
• Enterprise: “Nope, not a thing. Nice try though.”
• Everyone else: <crickets>
Security Startup Goals
• Displace existing vendors
• Address (security) gaps
• Solve technical challenges
• Address new market segments or environments
Startup Due Diligence
• Does the product work?• Can vendor claims be validated?• How could efficacy be measured and compared to other options?
Process
• Research the startup (“Passive Recon”)
• Engage the startup
• Ensure a good product/environment fit (avoid Shelfware!)
• This is a startup: the roadmap IS the product
• Proper preparation makes the most of your PoC
• Contracts, agreements, liability – rubber, meet road
• Uh-oh, they got acquired!
Top reasons for shelfware
Top five reasons products become shelfware according to buyers:
1. Compliance-driven purchase
2. Internal Politics (tied for #1)
3. Lack of staffing/headcount
4. Lack of time/expertise
5. Features overpromised or missing
Value of security products
• Can you calculate the value you should get from it?
• What’s the Time-to-Implementation?
• What’s the Time-to-Value?
• What’s the True Cost?
Drawing and concept by Henrik Kniberg
Lessons learned
• Not comfortable? Don’t do it, or do it through a trusted partner
• Don’t have the spare staff/skills/cycles? Don’t do it.
• Plan to lose most of one FTE’s productivity to testing, implementation and bug reporting activities, at least initially.
• Look for products with a high potential reward/effort ratio - threat prevention technologies, for example.
• Check workflow integration before purchasing!
Our concept & Innovators Club
• Goal: Identifying and supporting innovative European security solutions & ideas
• Evaluation of the technical concept & business model by analysts• Funding & Contacts• Innovators Club: Verification of the business model with our
„Innovators Club“ in Austria, Germany, Switzerland & Netherlands• First Step: Generating reference customers & technology partners• Second Step: Building up channel & Business Development
through partners & area managers o Phase 1 – Core Circle of Innovators Club: DACH & Netherlandso Phase 2 – Growth – Establish IC in other European countries
• Third Step: European VC money for growth stage or exit
sbaPRIME 2016 in Zahlen
• Mitglieder: o 6 Großunternehmeno 17 Angebote
• Konferenzen (wissenschaftlich & kommerziell)o 21 vorläufig für 2016 eingeplanto 6 bereits besucht
• 9 Talks auf IT Security Veranstaltungen gehalten• 4 Whitepaper bis Ende April fertiggestellt• Plattform:
o 20 Accountso 28 Security Beiträgeo 2x pro Monat aufbereitete Security News
Call to action
• 19.05 – Innovators Club Vienna with KPMG
• June – October: Security Rockstars: Jury Member
• 23th June: PRIME P2
• 24th October: Rockstars Finals & Security Side Event
• 24-28 October: CCS
https://www.sba-research.org/about/events/