Die einen lieben sie, die anderen lehnen sie konsequent ab. Die Rede ist von Software-Agenten als Teil der IT-Security. Debatten darüber werden mit harten Bandagen geführt. Aber warum ist das so? Und ist der Streit überhaupt nötig?
Kontroversen und sogar Streit können fruchtbar sein. Das Abwägen aller Argumente führt dann oft zu besseren Lösungen. Hier bildet die Welt der IT keine Ausnahme. Doch sie kennt auch eine ganze Reihe von Debatten, die sich zu Glaubenskriegen entwickelt haben. Ist nun Vim oder Emacs der bessere Editor, oder vielleicht ein anderes Tool? Sind Einrückungen im Code mittels Tabs besser als die Verwendung von Leerzeichen? Von den Diskussionen über die Vorzüge eines Betriebssystems gar nicht erst zu reden.
Diesen Scheindebatten gemeinsam ist, dass beide Seiten ihren Standpunkt emotional mit vielen Argumenten verteidigen – es aber keine objektive Lösung gibt. Daran erinnert auch die ewig junge Auseinandersetzung über die Nutzung von Software-Agents in der IT-Security.
Der schlechte Ruf von Software-Agents
Bedrohungen für IT-Systeme in Unternehmen gibt es nicht erst seit gestern. Gewachsen sind allerdings die Zahlen der Angriffsvektoren und zu schützenden Geräte sowie die Komplexität von IT-Strukturen durch Einbeziehung der Cloud oder eine größere Heterogenität der Landschaften durch BYOD-Strategien.
Die Geschichte der Software-Agents reicht in die Tage der IT zurück, als sich in Unternehmen die Systemadministratoren sozusagen nebenbei auch mit Fragen der Sicherheit beschäftigten. Als Arbeitserleichterung für diesen Nutzerkreis entwickelte die Industrie das Konzept der Security-Agents. Sie kümmerten sich unerreichbar für den nicht privilegierten Anwender darum, periodisch das System auf Malware zu untersuchen, sich selbst mit Updates zu versorgen oder eine Inventarisierung der Software vorzunehmen.
Und aus diesen Tagen resultiert auch der schlechte Ruf der Agents. Sie wurden schnell selbst zu Angriffszielen und zudem war mit ihrem Einsatz Verwaltungsaufwand verbunden. Viel schwerwiegender waren allerdings die Beeinträchtigungen der Performance. Die Agents verbrauchten oftmals nennenswerte Teile des Arbeitsspeichers oder beanspruchten viel Prozessorleistung für sich. Zudem verzögerte sich durch die Scans das Schreiben von Dateien. Nachteile, die besonders in virtuellen Server- und Desktop-Umgebungen auffielen. Doch seitdem hat sich viel verändert. Moderne Agents sind hoch optimiert und sehr effizient.
Agentless: Viele Vorteile sprechen dafür
Ohne die offensichtlichen Nachteile kommen Lösungen aus, die ohne den Einsatz von Agenten arbeiten. Sie sind erst durch die bessere Verfügbarkeit und größere Bandbreiten der Cloud möglich geworden. Die Security-Lösung stellt eine direkte Verbindung zu einem Cloud-Dienstanbieter her, um Daten darüber zu sammeln, wie das System genutzt wird.
Das tun Software-Agents allerdings auch und so gibt es Überschneidungen bei den verfügbaren Daten, die bei der Nutzung von Diensten in Containern oder Servern anfallen. Die Auslastung der CPU, der verfügbare Speicherplatz, die verfügbare Netzwerkbandbreite und andere gängige Datenpunkte können so entweder von einem Agenten oder agentenlos abgefragt werden.
Allerdings gibt es auch eine Reihe von Daten der Steuerungsebene, die nur außerhalb dieser Dienste und Container verfügbar sind. Zudem erlauben einige Cloud-Dienste technisch gar nicht, einen Software-Agenten auszuführen. Solche Managed-Services sind aber ein wichtiger und wertvoller Teil der Cloud-Architektur, weswegen auch Einblicke in die Aktionen benötigt werden. Diese Informationen sind dann nur über einen agentenlosen Ansatz verfügbar.
Eine veraltete Debatte?
Von der Meta-Ebene betrachtet, ähneln sich die beiden Strategien, Agents einzusetzen, oder darauf zu verzichten. In beiden Fällen geht es um die Gewinnung von Informationen und eindeutigen Daten.
Es ist zudem auch heute keine besondere technische Herausforderung mehr, Agents einzusetzen. Der Prozess für die Einrichtung und Nutzung ist überschaubar. Dafür stehen zahlreiche Tools zur Verfügung. Die Chancen stehen nicht schlecht, dass eine Cloud-Instanz – virtuelle Maschinen und Container – bereits über Software verfügen, die das möglich macht.
Somit stellt sich schon die Frage, warum der Streit um den Einsatz von Agents noch immer geführt wird. Technische Gründe gibt es dafür nämlich keine.
Glaubensfragen sind auch Beziehungsfragen
Wie bei vielen Glaubensfragen geht es auch hier um Haltungen, persönliche Erfahrungen und unterschiedliche Interessen. In diesem Fall vor allem zwischen Operations und Security. Beide wollen das Beste für das Unternehmen, gehen ihre Aufgabe aber unter verschiedenen Blickwinkeln an.
Das Ziel der Security-Teams ist es, dem Unternehmen dabei zu helfen, seine Gesamtziele zu erreichen, aber gleichzeitig die Risiken, die sich aus der Nutzung digitaler Technologien ergeben, zu minimieren und ein effektives Risikomanagement zu betreiben. Security steht wegen der zahlreichen Herausforderungen unter Druck und vielfach fehlt es an Zeit, Personal oder Ressourcen, um die Sicherheitsumgebung aufzubauen, die aus Sicht der Spezialisten optimal wäre. In der Praxis fällt Security-Teams häufig die Aufgabe der Feuerwehr zu, die Brände löschen muss und im Hintergrund agiert. Das erleichtert indes nicht gerade den Austausch mit anderen Teams. Ein Problem, das sich noch potenziert, je stärker ein Unternehmen die Cloud nutzt, um darum weitere Spezial-Teams aufzubauen, die sich eigentlich mit den Sec-Teams koordinieren müssten.
Dev- und Op-Teams arbeiten ebenfalls im Interesse des Unternehmens und versuchen dabei, die beste Lösung für ein Unternehmensproblem zu finden. In ihrem Interesse liegt, dass die Lösung zuverlässig, leistungsfähig, vernünftig, einfach zu betreiben und nicht zu kostspielig ist. Eine wichtige Prämisse für ihr Handeln liegt darin, die Lösung schnell zum Nutzen des Unternehmens einzusetzen. Die Frage der Sicherheit spielt zwar auch hier eine Rolle, ist aber eben nicht die primäre Motivation dieser Teams.
Diese nur teilweise deckungsgleiche Interessenlage führt dann in vielen Organisationen zu einem Verhältnis zwischen den Beteiligten, das sich als „angespannt“ charakterisieren lässt. Und darin liegt der Schlüssel für den Glaubenskrieg rund um Software-Agents.
Der große K(r)ampf
Der Konflikt um das Thema Software-Agents hat oft damit zu tun, dass es vielerorts noch an echten Beziehungen zwischen Sec- und Dev/Ops-Teams mangelt. Es fehlt dann häufig die Erkenntnis, dass sich die Interessen gar nicht so stark voneinander unterscheiden. In der Konsequenz führen diese oberflächlichen oder gar nicht existierenden Beziehungen zwischen den Beteiligten dazu, dass Dev-Ops-Teams der Bitte der Security-Experten nur widerwillig entsprechen, wenn es darum geht, ein Stück „Fremdsoftware“, den Agent, auf einem System zu installieren. Als Argumente werden dann die in der Praxis längst widerlegten Probleme von Agents gebracht.
An erster Stelle sollten und müssen die Interessen des Unternehmens stehen: Innovation, Agilität und Sicherheit in der Anwendungsentwicklung oder dem Betrieb von IT-Architekturen. Um höchste Ansprüche an die IT-Security zu erfüllen, benötigen Unternehmen die bestmöglichen Informationen und Einblicke in das, was in ihren Systemen gerade passiert. Die größte Transparenz ergibt sich aus den Daten und Informationen, die sowohl über Agents und agentlose Verbindungen verfügbar sind.
Umfassende Einblicke und damit größere Sicherheit bietet nur die Kombination aus beiden.
In vielen Organisationen bedarf es nach wie vor eines kulturellen Wandels, um die erwähnten unterschiedlichen Interessen von Sec und Dev/Ops zum Ausgleich zu bringen und ein gemeinsames Verständnis zu erreichen. Statt sich den kulturellen Herausforderungen zu stellen, wird vorschnell die Entscheidung Pro und Contra von Software-Agents getroffen. Das ist bedauerlich, denn tatsächlich streben die verschiedenen Teams eigentlich dasselbe an: den Aufbau robuster Lösungen, die die Unternehmensziele sicher erfüllen. Die Sicherheit ist ein kritischer Aspekt einer gut aufgebauten Lösung. Deshalb sollten die Teams an einem Strang ziehen, um eine starke, sichere und widerstandsfähige Lösung zu gewährleisten. Deshalb dürfen sich Unternehmen auch nicht auf Scheindebatte zu Software-Agents einlassen. Sie müssen falsche Prämissen über Bord werfen und alle vorhandenen Instrumente verwenden, um ihre Geschäftsziele zu erreichen.
Über den Autor
Bernd Mährlein verantwortet den Aufbau des Lacework-Geschäfts in Zentral- und Osteuropa. Der Cybersecurity-Experte kam im März 2021 zu dem Cloud-Sicherheitsanbieter, nachdem er zuvor für Cybereason die Region DACH aufgebaut hat. DACH-Verantwortung hatte er zuvor auch bei MongoDB und Intralinks inne. In seiner Rolle als Regional Vice President Central & Eastern Europe bei Lacework fokussiert er zusammen mit einem ausgewählten Team an Experten die Automatisierung von Cloud-Security und Compliance in Unternehmen.
Über Lacework
Lacework ist das Sicherheitsunternehmen für die Cloud. Die Lacework Cloud Security Platform wird as-a-Service angeboten und bietet Bedrohungsidentifikation von der Build- bis zur Runtime, verhaltensbasierte Erkennung von Anomalien sowie Cloud-Compliance über AWS-, GCP-, Azure- und Kubernetes-Services, Workloads und Container hinweg. Unternehmen auf der ganzen Welt vertrauen auf Lacework, um ihre Kosten und Risiken zu senken und unnötige Aufwände, Regel-Definitionen und ungenaue Alarme zu eliminieren. Lacework wurde 2015 gegründet und wird von Sutter Hill Ventures, Snowflake Ventures, Altimeter Capital, AME Cloud Ventures, D1 Capital Partners, Coatue, Dragoneer Investment Group, Liberty Global Ventures, Spike Ventures, Tiger Global Management und dem Webb Investment Network (WIN) unterstützt. Das Unternehmen hat seinen Sitz in San Jose, Kalifornien. Weitere Informationen unter www.lacework.com.