Airlock: Secure Access Hub mit Anomaly Shield und Continuous Adaptive Trust
November 2022 von Manuel Langhans, Global Security Mag
Gespräch auf der it-sa 2022. 20 Jahre Erfahrung in der Web Application Security: Airlock möchte Synergien nutzbar machen und zugleich dem Kunden eine schnelle und einfache Handhabung bieten
Global Security Mag: Stellen Sie bitte kurz ihr Unternehmen vor
TK: Die Ergon Informatik AG ist ein Schweizer Unternehmen mit Headquarter in Zürich, ca. 380 Mitarbeitern und einem Umsatz von etwa 63 Millionen CHF im letzten Jahr. Kerngeschäft ist die Businesssoftwareentwicklung. Das macht das Unternehmen schon seit fast 40 Jahren und hat z. B. das erste Onlinebanking in der Schweiz entwickelt. Unsere DNA ist also Softwareentwicklung, ist Application Development. Man hat aber auch sehr früh erkannt, dass es, wenn man Software entwickelt, notwendig ist, sich sehr früh auch um die Security zu kümmern. Es ist unmöglich permanent zu überlegen: Gibt es irgendwo auf der Welt neue Angriffe? Was muss ich tun? Deshalb hat man innerhalb der Ergon eine eigene Abteilung gegründet, Airlock, die dieses Jahr seit 20 Jahren besteht. Wir beschäftigen uns also seit 20 Jahren mit Web Application Security und haben entsprechende Lösungen. Ca. 80 der 380 Mitarbeiter von Ergon sind bei Airlock.
GSM: Was sind die Stärken Ihrer Software?
TK: Wichtig ist, wir reden nicht wie viele unserer Marktbegleiter über Web Application Firewall, wir reden über Web Application Security. Wir sehen Web Application Security in einem ganz anderen Blickwinkel. Es bringt nichts, nur zu analysieren: Was kommt rein? Ist das gut oder schlecht? Sondern wichtig ist auch: Wer kommt rein? Wer möchte rein? Wo will er hin? Das haben wir von Anfang an integriert. Deshalb haben wir Produkte wie eine WAF, wir nennen sie Gateway, aber es ist eine WAF. Wir haben ein IAM, ein cIAM, d. h. nicht nur Authentisierung sondern auch Identity. Wir haben moderne Technologien dabei, wie 2FA, um eine positive User Experience zu schaffen. Wir sehen dieses Thema breiter. Der Vorteil, den wir in unserer Lösung haben, ist, dass alle Komponenten ineinander arbeiten und aufeinander abgestimmt sind.
MB: Wir sprechen daher auch vom Security Access Hub, eben nicht nur von einer Gateway oder WAF oder API-Gateway oder IAM. Wichtig ist, dass alles zusammenhält. Wir machen das schon immer so, mittlerweile etwas ausgereifter, aber schon vor 20 Jahren war die Idee, alles aus einer Hand zu bekommen. Auf der technischen Ebene gibt es keine wirklich effektiv nutzbaren Standardschnittstellen zwischen Gateway/WAF-Bereich und IAM. Es gibt ganz dünne Standards aber es gibt keine Standardschnittstellen, die wirklich erlauben, die Synergien aus allen Teilen zu nutzen. Darum ist es wichtig, diese Lösungen gesamtheitlich zu betrachten. Die einzelnen Teile müssen dann wirklich miteinander interagieren. Konkret in der Form, dass Information aus dem IAM im Gateway genutzt werden können und umgekehrt, und zwar auf feiner-granularer Stufe als einfach nur den eingeloggten Nutzer und mögliche Anomalien zu kennen. Es gibt dort viele Synergien die zusammenspielen, und unser USP liegt darin, dass wir das kombiniert anbieten.
TK: Es gibt ja immer mehr Applikationen. Jeder Verantwortliche hat seinen eigenen User in jeder Applikation und jeweils einen eigenen Log-in und das muss alles gemanagt werden. Muss man dann bei 20, 30 Applikationen alles einzeln managen? Nein, mit unserem IAM muss man das nicht. Die Verwaltung läuft zentral und es gibt ein Zusammenspiel zwischen WAF und IAM. Die WAF kriegt das erste Mal einen Request, kennt den User nicht, kriegt dann vom IAM alle Informationen. Danach hat sie diese Informationen in der WAF, muss nicht jedes Mal wieder den gleichen Weg gehen. Das führt zu einer hohen Performance.
Was noch ganz wichtig ist – und das unterscheidet uns extrem von unseren Mitbewerbern – wir machen nichts anderes als Web Application Security, d.h. wir haben unsere ganze Erfahrung in unsere Lösungen für unsere Kunden bereits eingebracht. Unsere Lösungen sind scharf, von der ersten Sekunde an. Das heißt, ich installiere innerhalb einer halben Stunde, lege die Applikation an und habe die Basissecurity komplett installiert. Ich muss nicht anfangen die Applikation zu lernen, 1 Woche hierfür, 1 dafür. Nein, ich kann innerhalb von 1 h secure online sein und das auf einem extrem hohen Niveau. Wir haben externe Pentester, die immer wieder alle Hersteller vergleichen. Im Schnitt kommen die Mitbewerber auf 40-45 % 1. Blockrate, wir sind bei 84 %. Das ist extrem. Wir machen nichts anderes als Web Application Security und das schätzen unsere Kunden.
GSM: Was stellen Sie auf der it-sa vor?
TK: Neu auf der it-sa ist vor allem unser Anomaly Shield. Das Anomaly Shield ist ein Bestandteil des Gateways. Aber wir haben auch den ganz neuen Ansatz des Zusammenspiels von API-Security und Web Application Security in einer Lösung als WAAP. Außerdem ist unser Continuous Adaptive Trust zu nennen. Mit unserem Anomaly Shield haben wir jetzt Intelligenz eingebaut. Wir analysieren nicht nur den Request, sondern auch wie sich der User verhält.
MB: Wir lernen mit Machine Learning, was normales und was abnormales Verhalten ist, und bewerten auch nach dem Login laufend. Die Benutzersession wird laufend überwacht. Der große Unterschied bei uns – weil wir uns auch bei sehr datensensitiven Kunden wie Regierung, Militär, Banken bewegen, bei denen Datenschutz eine sehr große Rolle spielt – ist Folgender: Die Daten, die fürs Machine Learning verwendet werden, bleiben bei unseren Kunden. Außer, sie wollen das in der Cloud betreiben. Dann können sie das. Andere nehmen die Daten aller Kunden zusammen und lernen aus diesen. Dann hat man eine große Datenmenge aber es ist dann nicht mehr spezifisch für ihre maßgeschneiderte Applikation. Wir können auch Threat Intelligence Feeds einfließen lassen aber zusätzlich bieten wir das lokale Machine Learning beim Kunden mit seinen spezifischen Daten.
TK: Das hört sich alles komplex an aber wir haben sehr viele Background Engineering investiert. Wenn uns jemand fragt: Anomaly Shield, wow, super, aber ich habe keine Ressourcen und Zeit dafür, dann sagen wir: Ganz einfach, du brauchst 2 x 10 Minuten, mehr nicht. 10 Minuten zum Lernen, zum Füllen der Datenbank und dann noch 10 min zum Entscheiden, wie was gemacht wird. Der Rest läuft komplett im Hintergrund. Und das ist etwas, was Innovation ist. Komplexes Machine Learning, aber trotzdem ganz einfach für den Administrator. Wir sind fokussiert auf Web Application Security und das ist der Mehrwert für unsere Kunden.
MB: Kurz zum Continuous Adaptive Trust. Wir haben auf der einen Seite die Benutzer, Handys, Browser, usw. und auf der anderen Seite die geschützten Applikationen. Dazwischen steht unser Secure Access Hub. Es geht darum, dass wir nicht zu Beginn den Benutzer einloggen und dann ist er drin, sondern dass wir während der ganzen Session kontinuierlich beurteilen. Es kann sein, dass sich jemand für einen höheren Trustlevel qualifiziert hat (z.B. Zugriff auf E-Banking), später kann dieser Level aber wieder sinken, z.B. weil etwas Ungewöhnliches in der Session passiert oder weil eine IP auf einem Threat Intelligence Feed aufgetaucht ist. Dann verliert man das Trustlevel und es wird z.B. der Zugriff auf kritische Applikationsteile verwehrt. Wenn man darauf zugreifen will, kommt man zurück zum IAM und muss z.B. nochmal einen zweiten Faktor eingeben. Oder es wird entschieden: das Risiko ist gebannt, der Trustlevel wird wieder gestattet. Es geht einfach darum, dass man während der ganzen Session diese laufende Änderung des Vertrauens in die Session immer beurteilen kann. Weil wir dieses enge Zusammenspiel zwischen den Komponenten bieten können, weil alles aus einer Hand ist, können wir viel besser reagieren als wenn es Point Solutions sind, also unabhängige Lösungen. So erreichen wir einen hohen Grad an Benutzerfreundlichkeit und können fein-granularer arbeiten.
GSM: Was ist Ihre Message an unsere Leser?
Das Wesentliche heute ist, dass viele IT-Abteilungen, CISOs unter Zeitdruck stehen. Das heißt sie brauchen erfahrene Lösungen, die ineinander spielen, die vollautomatisiert sind, die mit wenig Aufwand sofort scharf sind. Lösungen, die Intelligenz integriert haben – das ist, was wir mit unserem Continuous Adaptive Trust bieten – aber auf der anderen Seite auch modern sind, wie mit unserem 2FA, wo ich per App, die ich costumizen kann, ein automatisiertes Login machen kann, User Self Services integriert habe. Alles kommt bei uns aus einer Hand, wir sind nicht amerikanisch abhängig, müssen nicht durch irgendwelche Regierungsbescheide plötzlich alle Türen öffnen. Wir haben keine Backdoors, wir sind nirgends anhängig von irgendjemandem und das ist die Message. Aus diesem Grund hat uns die Bundesrepublik Deutschland im Dezember letzten Jahres 4 Jahre Rahmenvertrag für all unsere Lösungen gegeben. Sie haben über einen langen Zeitraum alle führenden Hersteller getestet und sich für Airlock entschieden.
- Paul Bauer, Illumio : Never trust, always verify! Das ist das Leitmotto von Zero Trust
- Uwe Gries, Stormshield: Spagat der CISOs zwischen schrumpfenden Budgets und gesteigertem Bedarf an adäquatem Schutz
- Jörg Vollmer, Qualys: Risikobasierte Priorisierung gegen schneller und effizienter agierenden Cyberangreifer
- Valentin Boussin, Tixeo: Unsere Videokonferenzlösung ist die sicherste auf dem Markt
- Phil Leatham, YesWeHack: Veränderte Rahmenbedingungen stellen Sicherheitsverantwortliche vor neue Herausforderungen
- Stefan Henke, Cloudflare: Jeder soll sich wie ein CISO fühlen
- Nils Karn, Mitigant: Sicherheit ist etwas, das ich kontinuierlich betreiben muss
- Georg Gann, Yubico: Ich muss heutzutage phishingresistent sein!
- Jens Sabitzer, Venafi: Viele Securityteams sind nicht in der Lage, auf Augenhöhe mit ihren eigenen Kollegen zu sprechen
- Ramon Mörl, itWatch: Der europäische Cybersecurity-Markt kann nur durch Zusammenarbeit wachsen
- Roland Stritt, SentinelOne : Die Cybersecurity-Community muss zusammenarbeiten
- Will Stefan Roth, Nozomi: Zwischen OT und IT findet oft kein regulärer Austausch statt
- Jutta Cymanek, Omada: Identity Management ist eine extrem wichtige Basiskomponente
- SailPoint : "Intelligente Entscheidungen kann man nur über Dinge treffen, die man sehen kann."
- Jelle Wieringa: "Wir wollen niemanden zwingen, ein Cybersecurity Training zu machen, wir wollen sie befähigen und motivieren, es selbst zu tun!"
- Armin Simon, Thales: Secure the Breach, sei vorbereitet, dass etwas passieren wird, du kannst schon davon ausgehen