Jens Sabitzer, Venafi: Viele Securityteams sind nicht in der Lage, auf Augenhöhe mit ihren eigenen Kollegen zu sprechen
November 2022 von Manuel Langhans, Global Security Mag
Gespräch auf der it-sa 2022. Venafi bietet Lösungen zum Machine Identity Management für effiziente und sichere Verwaltung von Maschinenidentitäten, sowie die Expertise, um Sicherheitsteams entsprechend zu schulen
Global Security Mag: Stellen Sie bitte kurz ihr Unternehmen vor
Venafi ist ein amerikanischer Hersteller von Sicherheitslösungen. Wir kümmern uns um die sichere und effiziente Verwaltung von Maschinenidentitäten. Wir als Industrie haben schon viel getan, um Benutzer zu schützen. Wir wissen genau wie viele Mitarbeiter wir haben. Wir wissen was wir zu tun haben, wenn ein Mitarbeiter ausscheidet. Aber wir haben noch sehr wenig getan, was Maschinenidentitäten angeht, insbesondere was effiziente und sichere Verwaltung anbelangt. Und daraus resultieren so Sachen wie Ausfälle durch abgelaufene Zertifikate. Gerade im Cloudumfeld wird eine Sache auch immer mehr zum Problem: In der Vergangenheit hatte ich mein Perimeter und habe gesagt, es kommt niemand in mein Netzwerk rein. Wenn mein Administrator mich verlassen sollte, dann weiß ich zwar nicht überall welche Zugänge er hatte oder welches Schlüsselmaterial er benutzt hat aber ich kann zumindest sagen, dass er nicht mehr in mein Netzwerk kommt. Jetzt, mit der fortschreitenden Digitalisierung und der unter großem Zeitdruck stattfindenden Migration in die Cloud bei vielen Unternehmen, passiert es ganz oft, dass ich das nehme, was ich on-premise hatte und es einfach per Lift und Shift in die Cloud schiebe. Irgendwann stelle ich dann fest: Oh, jetzt hat der Administrator, der uns vor 10 Jahren verlassen hat, vielleicht immer noch Zugriff, wenn er irgendeinen Schlüssel mitgenommen hatte.
Das sind die zwei großen Teilbereiche. Der dritte Teilbereich ist Codesigning. Jedes Unternehmen, egal aus welcher Branche, ist mittlerweile zu einem gewissen Grad Softwarehersteller, ob sie es wollen oder nicht. Codesigningprozesse sicher und effizient zu gestalten ist für viele eine große Herausforderung.
GSM: Was stellen Sie auf der it-sa vor?
Im Prinzip zwei große Bereiche. Wir haben uns vor etwa 2 Jahren mit einer Firma zusammengetan, die im Kubernetes-Umfeld sehr bekannt ist, nämlich Jetsack. Jetsack hat die Open-Source-Lösung cert-manager entwickelt. Das ist im Prinzip der de-facto-Standard für Zertifikatsverwaltung im Kubernetes-Umfeld. Bei 9 von 10 Clustern, ist das, nachdem die Grundinstallation fertig ist, das erste, was ich installiere. In den letzten zwei Jahren haben wir die Partnerschaft intensiviert, wir haben jetzt die ersten Lösungen, die wir gemeinsam auf den Markt bringen. Wir haben uns aber auch dazu entschlossen, den cert-manager der Cloud Native Foundation zu stiften. Das heißt, jeder, der den cert-manager heute nutzt, die Gewissheit hat, dass wir das nicht zu einem closed doors Projekt machen. Sicherlich werden wir weitere Enterprise Features add-on liefern, aber der Core, der cert-manager, ist gestiftet und wird Open Source bleiben.
GSM: Was sind die Stärken Ihrer Software?
Wir sind der Vorreiter im Bereich Maschinenidentitäten. Mittlerweile hat Gartner den Begriff Machine Identity Management aufgenommen, so wie auch unsere Mitbewerber. Das hilft natürlich auch dem gesamten Markt, denn es handelt sich prinzipiell um ein großes Problem, das nicht nur ein Hersteller lösen können wird. Wir sehen uns aber als Vorreiter, wir haben über 30 Patente auf unsere Lösungen und wir spüren im Gespräch mit Kunden, gerade wenn es um die Tiefe der Integration und des Lösungsportfolios geht, dass wir in der Regel die Lösung der Wahl sind.
GSM: Was ist Ihre Message an unsere Leser?
Die IT hat sich ja schon immer sehr schnell entwickelt und entwickelt sich immer schneller. Und wir hören von unseren Kunden immer mehr, dass es neben der klassischen IT auch eine DevOps-Abteilung oder eine Abteilung, die noch agilen Methoden arbeiten soll, gibt. Solche Initiativen stellen alle klassischen Serviceanbieter im Bereich Sicherheit vor große Probleme, denn viele Securityteams sind gar nicht in der Lage, auf Augenhöhe mit ihren eigenen Kollegen zu sprechen.
Durch den Zusammenschluss mit Jetsack haben wir zum einen das Lösungsportfolio, das es ihnen ermöglicht intern Lösungen anzubieten, zusätzlich sind wir sind auch in der Lage, entsprechende Trainings anzubieten. Das heißt, wir bringen die internen Securityteams auf die Höhe der Zeit, so dass sie nicht nur Lösungen anbieten, sondern auch Empfehlungen abgeben und Policies schreiben könen, ganz so, wie sie es in der Vergangenheit auch getan haben. Aber dazu sind viele Securityteams heute einfach nicht mehr in der Lage, weil sie CI/CD-Pipelines nicht verstehen, weil sie Service Meshs nicht verstehen, weil sie diese ganzen Begrifflichkeiten nicht kennen. Diese Kombination aus Lösungen und Expertise ist ein weiteres, großes Alleinstellungsmerkmal von uns.
- Paul Bauer, Illumio : Never trust, always verify! Das ist das Leitmotto von Zero Trust
- Uwe Gries, Stormshield: Spagat der CISOs zwischen schrumpfenden Budgets und gesteigertem Bedarf an adäquatem Schutz
- Jörg Vollmer, Qualys: Risikobasierte Priorisierung gegen schneller und effizienter agierenden Cyberangreifer
- Valentin Boussin, Tixeo: Unsere Videokonferenzlösung ist die sicherste auf dem Markt
- Phil Leatham, YesWeHack: Veränderte Rahmenbedingungen stellen Sicherheitsverantwortliche vor neue Herausforderungen
- Stefan Henke, Cloudflare: Jeder soll sich wie ein CISO fühlen
- Airlock: Secure Access Hub mit Anomaly Shield und Continuous Adaptive Trust
- Nils Karn, Mitigant: Sicherheit ist etwas, das ich kontinuierlich betreiben muss
- Georg Gann, Yubico: Ich muss heutzutage phishingresistent sein!
- Ramon Mörl, itWatch: Der europäische Cybersecurity-Markt kann nur durch Zusammenarbeit wachsen
- Roland Stritt, SentinelOne : Die Cybersecurity-Community muss zusammenarbeiten
- Will Stefan Roth, Nozomi: Zwischen OT und IT findet oft kein regulärer Austausch statt
- Jutta Cymanek, Omada: Identity Management ist eine extrem wichtige Basiskomponente
- SailPoint : "Intelligente Entscheidungen kann man nur über Dinge treffen, die man sehen kann."
- Jelle Wieringa: "Wir wollen niemanden zwingen, ein Cybersecurity Training zu machen, wir wollen sie befähigen und motivieren, es selbst zu tun!"
- Armin Simon, Thales: Secure the Breach, sei vorbereitet, dass etwas passieren wird, du kannst schon davon ausgehen