Sentinelone-CEO Weingarten: Cybersecurity sollte keine ständigen Updates erfordern
Nach dem Ausfall von Crowdstrike erklärt Tomer Weingarten, CEO vom Wettbewerber Sentinelone, gegenüber CRN, dass die Häufigkeit der Updates des Anbieters "so ziemlich die gesamte Prämisse des Schutzes der nächsten Generation in Frage stellt". Crowdstrike dagegen verteidigt seine Update-Strategie.
Der beispiellose IT-Ausfall, der durch ein fehlerhaftes Update von IT-Sicherheitsanbieter Crowdstrike vor einer Woche verursacht wurde, hat Fragen zur Häufigkeit der Updates für die Falcon-Plattform des Anbieters aufgeworfen, so Sentinelone-CEO Tomer Weingarten vor der Kamera bei CRN-TV.
Weingarten, der auch Mitbegründer von Sentinelone, einem Top-Konkurrenten von Crowdstrike, ist, sprach letzte Woche Donnerstag mit CRN in seinem ersten Interview seit der massiven Crowdstike-Panne am 19. Juli 2024.
Der Ausfall hat unter anderem dazu geführt, dass die Häufigkeit der Updates [bei Crowdstrike] in Frage gestellt wird - und damit so ziemlich "die gesamte Prämisse des Schutzes der nächsten Generation", so Weingarten. "Warum müssen Sie den Schutz ständig aktualisieren? Ist er ohne ständige Updates nicht wirksam?" Letztlich, so Weingarten, "wurde Ihnen ein Schutz der nächsten Generation versprochen. Aber in Wirklichkeit hat man etwas bekommen, das mit einem ziemlich großen Risiko verbunden ist."
Das Crowdstrike-Update führte bei rund 8,5 Millionen Windows-Geräten zu einem eingefrorenem "Blue Screen" und damit zu massiven Beeinträchtigungen im Flugverkehr, im Gesundheitswesen und in der Wirtschaft. Experten haben dies als den größten IT-Ausfall aller Zeiten bezeichnet, und eine Schätzung geht davon aus, dass sich der direkte finanzielle Schaden für die Fortune-500-Unternehmen allein in den USA auf 5,4 Mrd. Dollar belaufen könnte.
Weingarten zufolge stelle der weithin wahrgenommene Vorfall die Art und Weise, wie man über Schutz denkt, in Frage. "Wir sind der Meinung - und das sagen wir seit vielen, vielen Jahren -, dass das beste System eines ist, das nicht häufig aktualisiert werden muss", sagte er. "Das beste System ist eines, das die Algorithmen bereits eingebaut hat - eingebettete KI, die sich weiterentwickeln kann und nicht jedes Mal ein Update benötigt, wenn ein neuer Angreifer oder eine neue Variante auftaucht."
Mit anderen Worten: Ein Sicherheitstool sollte nicht jedes Mal aktualisiert werden müssen, wenn sich etwas in der Bedrohungslandschaft ändert, so Weingarten.
"Wenn Ihr System effektiv und mit echter Technologie ausgestattet ist, brauchen Sie nicht alle diese Updates", sagte der CEO von Sentinelone. "Ich glaube nicht, dass die Zukunft der Cybersicherheit darin liegt, immer mehr Updates zu liefern. Es geht darum, ein widerstandsfähigeres System zu entwickeln, das in das Gerät eingebettet ist."
Crowdstrike reagiert auf Vorwurf und verteidigt Update-Strategie
Als Reaktion auf Weingartens Kommentare erklärte Crowdstrike am Freitag in einer Stellungnahme, dass seine Falcon-Plattform "fortschrittliche KI- und maschinelle Lernalgorithmen" verwende, die "dynamische Bedrohungserkennung und -reaktion" bieten.
"Während diese hochentwickelten Algorithmen auch ohne ständige Updates einen starken Schutz bieten, erfordert die sich schnell entwickelnde Cybersicherheitslandschaft regelmäßige Updates für Behavioral AI und Bedrohungsintelligenz", so Crowdstrike in der Erklärung, die CRN vorliegt. "Unsere regelmäßigen Updates sind eine proaktive Maßnahme, um umfassende Sicherheit für alle unsere Kunden zu gewährleisten. Inhaltliche Updates sind in der Cybersicherheitsbranche Routine."
In Crowdstrikes "Preliminary Post Incident Review" vom Mittwoch vergangener Woche gab der Anbieter an, dass es sich bei dem Update, das zu dem Ausfall führte, um so genannten "Rapid Response Content" handelte, der als Teil der Durchführung von "Behavioral Pattern Matching Operations" verwendet werde, um zukünftige Cyberangriffe zu vereiteln.
Der betreffende fehlerhafte Inhalt sei in einer "proprietären" Binärdatei gespeichert gewesen und sei "kein Code oder Kernel-Treiber" gewesen, so Crowdstrike.
Die Unterbrechungen durch den Ausfall zogen sich mehr als eine Woche hinein, da die IT-Teams viele der betroffenen Windows-Server und PCs manuell reparieren mussten. Crowdstrike gab in der vorläufigen Überprüfung bekannt, dass ein Fehler in seinem Validierungsprozess für Sicherheitskonfigurations-Updates für seine Falcon-Plattform zu dem Ausfall führte.
Das Unternehmen gab an, dass 97 Prozent der Windows-Sensoren für Falcon am Donnerstag letzter Woche online waren, also 6 Tage nach dem Ausfall erster Systeme am Freitag vorletzter Woche.