Für wen macht eine One-Vendor Strategie Sinn?

Ich höre immer öfter die Aussage, dass eine One-Vendor Strategie im IT-Security Umfeld sehr viel Sinn ergibt. Das bedeutet, dass man nicht unterschiedliche Lösungen von mehreren Herstellern betreibt, sondern alle Lösungen aus dem gleichen Haus bezieht. Natürlich versuchen vor allem die Hersteller diesen Ansatz zu positionieren. Dazu haben grosse Hersteller in den vergangenen Jahren massiv in Zukäufe investiert, damit ihr Portfolio die komplette Breite abdecken kann. Wann und für wen eine One-Vendor Strategie wirklich Sinn macht, möchte ich in diesem Blog-Post erläutern.

Ein zentraler Punkt in einem effizienten Security Umfeld ist die Integration sowie die Automatisierung aller bestehenden Komponenten. Während man früher die einzelnen Lösungen eher als Silos betrachtet hat, welche eventuell sogar von unterschiedlichen Teams betreut wurden, werden heute sämtliche Komponenten in die Security-Architektur integriert und interagieren im Optimalfall miteinander. Bei grösseren Unternehmen gibt es natürlich weiterhin Teams, welche sich z.B. um E-Mail, und andere, welche sich um Proxies kümmern. Aber übergreifend gibt es ein Security-Team, welches sich aus Security-Perspektive um das “Big Picture” kümmert. Bei kleineren Unternehmen gibt es bei den Teams eher Überschneidungen und die Security- und Betriebs-Verantwortung ist nicht klar getrennt.

Unabhängig von der Grösse einer Firma ist es eine enorme Herausforderung, die ganzen Komponenten miteinander zu integrieren. Standardmässig bieten heute alle Lösungen REST-API Schnittstellen an, über welche dies gelöst werden kann. Das setzt dann aber doch einiges an Integrations-Know-how und Know-how im Entwicklungs-Bereich (oder Scripting) voraus. Das Ganze muss auch dann betreut und aktualisiert werden, wenn einzelne Komponenten sich weiterentwickeln. Der Aufwand dafür sollte also nicht unterschätzt werden. Deswegen kommen in grösseren Umgebungen mittlerweile SIEM- und SOAR-Lösungen zum Einsatz, welche die Integration und Automation der Umgebung unterstützen. Beide Lösungen sind aber nicht ganz günstig in der Anschaffung und auch im Betrieb. Daher macht es vor allem für kleinere Teams Sinn, die Vorteile einer One-Vendor Strategie auszunutzen.

Als Beispiel für eine solche Strategie werde ich in diesem Artikel die Fortinet Security Fabric verwenden, da ich die Lösung sehr gut kenne und schon in verschiedenen Kundenprojekten eingesetzt habe. Anhand der Fortinet Security Fabric möchte ich einige Vorteile einer One-Vendor Strategie aufzeigen.

Die Fortinet Security Fabric ist ein Automatisierungs-Framework, welches sich durch das komplette Portfolio zieht. Die Idee ist, dass sämtliche Komponenten Informationen untereinander austauschen und dadurch perfekt integrieren. Das Ganze funktioniert nicht nur mit Fortinet Lösungen, sondern auch Lösungen anderer Anbieter können sich in die Security Fabric integrieren lassen. Die Lösungen müssen also nicht über API integriert werden, sondern können im GUI mit wenigen Mausklicks verbunden werden und tauschen ab diesem Moment Informationen aus und verwenden diese, um die Security zu erhöhen. Als Beispiel könnte man sich folgenden Ablauf vorstellen:

1. 1. Ein Benutzer erhält ein E-Mail mit einem Attachment. Aus Zeitgründen werden E-Mails sofort zugestellt und nachgelagert werden die Attachments in der Sandbox analysiert.
   2. Das Attachment wird in der Sandbox ausgeführt und analysiert. Nach 2-3 Minuten ist klar, dass es sich um ein schädliches Attachment handelt.
   3. Die FortiSandbox teilt die Information sowie die gewonnenen IOC’s (Indicators of Compromise) mit der Security Fabric. IOC’s sind in diesem Fall z.B. IP oder Domain vom Callback-Server sowie File-Hash des Attachments.
   4. Andere Komponenten in der Security Fabric erhalten die IOC’s und nehmen diese automatisch in ihre Blacklists auf. So blockiert z.B. die Firewall den ausgehenden Verkehr zum Callback-Server. Die AntiVirus-Engine nimmt den Hash in ihre Liste auf.
   5. Weiter sind Automation-Stiches konfiguriert, die weitere Tasks automatisch ausführen.
      1. 1. Es wird geprüft, ob der User das E-Mail schon geöffnet hat.
         2. Falls nicht, dann wird das E-Mail aus der Mailbox entfernt. Falls schon geöffnet, wird der Client in Isolation verschoben bis eine weitere Analyse durchgeführt wurde.

Den Prozess kann man natürlich den eigenen Wünschen entsprechend anpassen. Das Beispiel zeigt aber exemplarisch, wie eine automatische Reaktion mit einfachen Mitteln eingerichtet werden kann.

Ein weiterer Vorteil des One-Vendor Ansatzes ist, dass das Management der Komponenten einfacher wird. Üblicherweise bieten die Hersteller ein zentrales Management, mit welchem ein Grossteil der Produkte verwaltet werden kann. Man hat also weniger Management-Systeme im Einsatz, was Vorteile beim Know-how und betrieblichen Aufwand bringt. Auch das Logging wird zentralisiert. Sprich, sämtliche Komponenten senden ihre Logs und Events in das gleiche System. Da der Hersteller seine Systeme gut kennt, kann das zentrale Log-System gleich auch Events von verschiedenen Produkten korrelieren und dadurch wertvolle Informationen liefern. Diese werden im nächsten Schritt dann für die weitere Automatisierung der Umgebung verwendet. Man kriegt also von Haus aus gewisse Vorteile, welche normalerweise eine SIEM-Lösung bieten würde.

Lösungen des gleichen Herstellers funktionieren oder verhalten sich oftmals ähnlich. Damit ist nicht die Funktion der Komponenten gemeint, sondern eher das Web-Interface und die Navigation auf der CLI. Wer sich mit einer FortiGate Firewall auskennt, wird wenig Probleme haben, sich auf einer FortiMail oder FortiWeb zurecht zu finden. Auch beim Troubleshooting von Problemen verhalten sich die Systeme ähnlich. Bereits geschulte Teams benötigen also deutlich weniger Aufwand beim Deployment von neuen Lösungen, dadurch fallen auch weniger Kosten für das Training an.

Eine One-Vendor Strategie im Security-Bereich kann durchaus Sinn machen. Die Integration von verschiedenen Lösungen miteinander wird dadurch massiv einfacher. Dadurch erhöht sich am Ende des Tages auch die Sicherheit des ganzen Netzwerkes. Natürlich kann dies auch mit einer Best-of-Breed Strategie erreicht werden. Benötigt aber mehr Aufwand und meistens auch spezifische Tools wie SIEM- oder SOAR-Lösungen. Ich sehe hier also klare Vorteile vor allem für kleinere Unternehmen, welche keine dedizierten Security-Teams haben. Aber auch grössere Teams können profitieren, da sie sich nicht mit den Eigenheiten von verschiedenen Herstellern rumschlagen müssen. Natürlich hat eine One-Vendor Strategie auch Nachteile gegenüber einem Best-of-Breed Ansatz. Vorallem zu erwähnen ist hier, dass man nicht überall auf den Markt-leader in einem Segment setzen kann. Schlussendlich muss jedes Unternehmen die Entscheidung treffen, ob die Vor- oder Nachteile für einen überwiegen.