Bei der Entscheidung, welcher Ansatz für Sicherheitstools verwendet werden soll, gibt es zwei Möglichkeiten.
1. Verkaufen Sie Ihre linke Niere und kaufen Sie die Unternehmenslösung, deren Name auf der Seite eines Formel-1-Autos steht.
2. Entscheiden Sie sich für das kostenlose Open-Source-Tool, das bei mehr Fehlalarmen nach rechts wischt als eine Dating-App an einem einsamen Freitagabend.
Wie bei allem im Sicherheitsbereich gibt es in der Realität mehr zu entdecken. In diesem Artikel möchte ich untersuchen, wann Open-Source-Sicherheitstools verwendet werden sollten, wann kommerzielle Tools effektiver sind und ob wir Tools vertrauen können, die auf einem Open-Source-Kern aufbauen.
Build vs. Buy (die Open-Source-Kostenfalle)
Wenn Sie Ihr Unternehmen ausbauen, werden Sie bald feststellen, dass die Entscheidung zwischen Open-Source und kommerzieller Software eher eine Entscheidung zwischen dem Bau von Tools oder dem Kauf von Tools ist. Open-Source bietet einen guten Ausgangspunkt, aber es fehlen viele Funktionen, die Sie benötigen: Dashboards, Integrationen, Compliance-Berichte, Abhilfeworkflows, False-Positive-Filterung und Priorisierung von Schwachstellen, um nur einige zu nennen. Die Vorstellung, dass Open-Source-Software kostenlos ist, stimmt also einfach nicht. Dies kann jedoch ein Vorteil sein, da die Anfangsinvestition entfällt und Sie sich auf die Funktionen konzentrieren können, die für Sie wichtig sind. Das bedeutet, dass Sie sich nicht darauf verlassen müssen, dass ein Anbieter die Funktion liefert, die er vor 2 Jahren in Q3 versprochen hat.
Bei der Entwicklung auf der Grundlage von Open-Source-Tools gibt es viele negative Aspekte zu berücksichtigen. Erstens erfordert die Entwicklung dieser Tools nicht nur viel Zeit, sondern auch eine kontinuierliche Wartung. Sicherheitstools können auch die Produktion blockieren, wenn sie in Elemente wie CI/CD-Pipelines integriert sind. Das heißt, wenn sie ausfallen oder abstürzen, können sie zu Produktivitätsverlusten führen, ohne dass der Support Ihnen hilft, wieder online zu gehen.
Was ist dann mit der Kaufoption? Erstens gibt es keine Anlaufzeit, Sie erhalten von Anfang an eine vollständige Abdeckung, was später zu weniger Sicherheitsschulden führt. Außerdem entgehen Ihnen die Opportunitätskosten, die dadurch entstehen, dass Ingenieurteams von ihren Kernaufgaben abgezogen werden, um sich auf die Entwicklung von Funktionen für interne Tools zu konzentrieren. In der schnelllebigen Welt der Startups sollten Sie den Wert dieser Maßnahme nicht unterschätzen.
Open-Source vs. kommerziell
Sind kommerzielle Tools besser bei der Erkennung von Schwachstellen?
Bislang haben wir über alle Funktionen des Tools gesprochen, ohne eine der vielleicht wichtigsten Fragen zu stellen. Welches Tool findet mehr Schwachstellen? Im Allgemeinen sind die Kernfunktionen von Open-Source-Tools in ihrer Fähigkeit, Schwachstellen zu finden, mit denen kommerzieller Tools vergleichbar. Wo kommerzielle Tools jedoch die Nase vorn haben, ist ihre Fähigkeit, falsch-positive Ergebnisse herauszufiltern und ihre Ergebnisse zu priorisieren.
Sehr oft handelt es sich um kommerzielle Tools, die auf Open-Source-Projekten aufbauen. Nehmen wir zum Beispiel Zen von Aikido, eine voll funktionsfähige In-App-Firewall, die Bedrohungen zur Laufzeit stoppen soll. Ist sie also besser in der Lage, Bedrohungen zur Laufzeit zu erkennen und zu stoppen als ein Open-Source-Äquivalent? Nicht wirklich, denn sie basiert auf dem Open-Source-Projekt AikidoZen. Der Wert der Unternehmensversion liegt in den zusätzlichen Funktionen wie Analyse, Regelerstellung, tieferes Verständnis Ihrer spezifischen Bedrohungen und einfache Bereitstellung - alles Dinge, die Sie selbst entwickeln müssten, wenn Sie die Open-Source-Version in einem Unternehmen einsetzen würden. Open-Source ist also nicht unbedingt schlechter, es fehlt nur die nächste Stufe der Triage.
Hinweis: Der Vergleich von Tools mit gefundenen Sicherheitslücken kann ebenfalls sehr schwierig sein. Ein hervorragendes Sicherheitstool findet möglicherweise weniger Schwachstellen, weil es besser in der Lage ist, Fehlalarme auf der Grundlage des Kontexts zu beseitigen. Daher ist das bessere Tool nicht immer dasjenige, das die meisten Schwachstellen findet, oft ist das Gegenteil der Fall.
Mit Open-Source für Unternehmen entwickelt
Open-Source ist also zu aufwändig in der Entwicklung und die kommerzielle Variante zu teuer. Voll funktionsfähige Tools, die im Kern auf Open Source basieren, sind kein neues Konzept. Einige der erfolgreichsten Sicherheitsprodukte der Welt basieren auf Open Source, wie Hashicorp Vault, Elastic Security und Metaploit, um nur einige zu nennen. Es gibt viele Gründe, warum diese Tools so erfolgreich sind, und es sind wahrscheinlich nicht die Gründe, die Sie denken.
Kosten-Wirksamkeit
Open-Source-basierte Tools müssen nicht nur mit alternativen kommerziellen Tools konkurrieren, sondern auch mit ihrer Open-Source-Basis. Das bedeutet, dass ihr Wert erwiesen und transparent sein muss, was oft zu einem kostengünstigeren Angebot führt.
Die Macht der Gemeinschaft
Oft werden Open-Source-Tools von kommerziellen Unternehmen, wie Aikido Zen, gepflegt und entwickelt. Tools, die auf Open-Source basieren, werden nicht nur entwickelt, um die Entwicklungszeit zu verkürzen, sondern auch, weil die Gründer grundsätzlich an die Stärke von Open-Source glauben. Open-Source-Tools sind oft schneller bei der Entwicklung von Funktionen, weil eine Gemeinschaft hinter ihnen steht. Das bedeutet auch, dass Sie bei einem spezifischen Nischenproblem dieses selbst in das Tool einbringen können.
Transparenz
Der Kauf von kommerziellen Werkzeugen ist oft ein bisschen wie der Kauf eines Autos, ohne dessen Motor zu sehen. Wie gut/zuverlässig ist es auf lange Sicht? Es ist einfacher, Schwächen zu verbergen, wenn man nicht in den Motor schauen kann. Bei quelloffenen Werkzeugen lässt sich der Motor nicht verstecken, so dass es einfacher ist, Vertrauen in das Werkzeug selbst zu haben.
Kommerzielle Merkmale
Wie bereits erwähnt, konkurriert ein Open-Source-Werkzeug häufig sowohl mit kommerziellen Alternativen als auch mit Open-Source-Werkzeugen und muss daher mit Stolz auf seine zusätzlichen Funktionen verweisen. Das bedeutet alles, was Sie von einem kommerziellen Tool erwarten, aber oft noch einiges mehr. Da das Produkt von einer gut definierten Open-Source-Basis profitiert, kann die Aufmerksamkeit auf Verbesserungen gerichtet werden, die letztendlich an den Endbenutzer weitergegeben werden.
Wofür entscheide ich mich also (letzte Überlegungen)
Wir haben die Vorteile von Open-Source-, kommerziellen und Open-Source-basierten Sicherheitstools diskutiert. Ich denke, aus meinem Tonfall geht klar hervor, dass ich als Autor die Open-Source-Gemeinschaft liebe und der Meinung bin, dass Open-Source-basierte Tools einen Kompromiss beim Preis darstellen, ohne Kompromisse bei den Funktionen einzugehen. Es ist natürlich idiotisch zu sagen, dass es keinen Grund gibt, warum in manchen Szenarien eine rein kommerzielle Version besser ist. Es gibt großartige innovative Lösungen, die vollständig Closed-Source sind. Aber ich will damit sagen, dass nur weil etwas auf einem Open-Source-Projekt basiert, es nicht bedeutet, dass es Kompromisse bei den Fähigkeiten oder Funktionen macht. Und weil es seinen Wert in völliger Transparenz beweisen muss, bietet es oft tiefere Funktionen und einen größeren Wert.
Aikido Security wurde von Entwicklern für Entwickler entwickelt, um die Sicherheit zu gewährleisten. Wir sind stolz auf unser Open-Source-Erbe und würden uns freuen, wenn Sie es selbst in Aktion sehen.
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.jpg)
.png)