Bei der Entscheidung, welchen Ansatz für Security-Tooling gewählt werden soll, scheint es zwei Optionen zu geben.
1. Verkaufen Sie Ihre linke Niere und kaufen Sie die Enterprise-Lösung, deren Name auf der Seite eines Formel-1-Wagens steht.
2. Wählen Sie das kostenlose Open-Source-Tool, das mehr False Positives als eine Dating-App an einem einsamen Freitagabend als richtig erkennt.
Wie bei allem im Bereich Sicherheit gibt es in der Realität mehr zu beleuchten. In diesem Artikel möchte ich untersuchen, wann Open-Source-Sicherheitstools eingesetzt werden sollten, wann kommerzielle Tools effektiver sind und ob wir Tools vertrauen können, die auf einem Open-Source-Kern basieren.
Eigenentwicklung vs. Kauf (die Open-Source-Kostenfalle)
Wenn Ihr Unternehmen wächst, werden Sie bald feststellen, dass die Wahl zwischen Open-Source und kommerziell eher eine Wahl zwischen dem Erstellen von Tools oder dem Kaufen von Tools ist. Open-Source bietet einen großartigen Ausgangspunkt, aber es fehlen viele der Funktionen, die Sie benötigen: Dashboards, Integrationen, Compliance-Berichte, Remediation-Workflows, False-Positive-Filterung und Schwachstellenpriorisierung, um nur einige zu nennen. Die Vorstellung, dass Open-Source kostenlos ist, stimmt also einfach nicht. Dies kann jedoch ein Vorteil sein: Das schrittweise Aufbauen streckt die Anfangsinvestition, und Sie können sich auf Funktionen konzentrieren, die Ihnen wichtig sind. Es bedeutet, dass Sie sich nicht auf einen Anbieter verlassen müssen, der die Funktion liefert, die er vor zwei Jahren im dritten Quartal „versprochen“ hat.
Es gibt viele Nachteile zu beachten, wenn man auf Open-Source-Tools aufbaut. Erstens wird der Aufbau dieser Tools nicht nur erhebliche Entwicklungszeit in Anspruch nehmen, sondern auch eine kontinuierliche Wartung erfordern. Sicherheitstools können auch die Produktion blockieren, wenn sie beispielsweise in Elemente wie CI/CD-Pipelines integriert sind. Das bedeutet, dass sie bei Ausfall oder Absturz Produktivitätsverluste verursachen können, ohne Unterstützung, die Ihnen hilft, wieder online zu kommen.
Was ist dann mit der Kaufoption? Erstens gibt es keine Anlaufphase, Sie erhalten von Anfang an vollständige Abdeckung, was später zu weniger Security Debt führt. Sie verlieren auch nicht die Opportunitätskosten, Engineering-Teams von ihren Kernzielen abzuziehen, um sich auf die Entwicklung von Funktionen für interne Tools zu konzentrieren. In der schnelllebigen Startup-Welt sollte man den Wert dessen nicht unterschätzen.
Open-Source vs. kommerziell
Sind kommerzielle Tools besser bei der Erkennung von Schwachstellen?
Bisher haben wir über alle Funktionen des Tools gesprochen, ohne möglicherweise eine der wichtigsten Fragen zu stellen: Was findet mehr Schwachstellen? Im Allgemeinen entspricht die Kernfunktionalität von Open-Source-Tools oft der ihrer kommerziellen Pendants in Bezug auf die Fähigkeit, Schwachstellen zu finden. Kommerzielle Tools haben jedoch einen Vorteil in ihrer Fähigkeit, Fehlalarme herauszufiltern und ihre Ergebnisse zu priorisieren.
Sehr oft sind kommerzielle Tools auf Open-Source-Projekten aufgebaut. Nehmen wir zum Beispiel Zen by Aikido, eine voll ausgestattete In-App-Firewall, die entwickelt wurde, um Bedrohungen zur Laufzeit zu stoppen. Ist sie also besser darin, Laufzeitbedrohungen zu erkennen und zu stoppen als ein Open-Source-Äquivalent? Nicht wirklich, denn sie basiert auf einem Open-Source-Projekt, AikidoZen. Der Wert der Enterprise-Version liegt in ihren zusätzlichen Funktionen wie Analyse, Regelerstellung, einem tieferen Verständnis Ihrer spezifischen Bedrohungen und der einfachen Bereitstellung – all das müssten Sie selbst entwickeln, wenn Sie die Open-Source-Version in einem Unternehmen verwenden würden. Open Source ist also nicht unbedingt schlechter, es fehlt lediglich die nächste Stufe des Triage.
Hinweis: Das Benchmarking von Tools anhand gefundener Schwachstellen kann ebenfalls sehr schwierig sein. Ein hervorragendes Sicherheitstool findet möglicherweise weniger Schwachstellen, weil es besser darin ist, False Positives basierend auf dem Kontext zu entfernen. Daher ist das bessere Tool nicht immer dasjenige, das die meisten findet; oft ist das Gegenteil der Fall.
Basierend auf Open Source, entwickelt für Unternehmen
Open Source bedeutet also zu viel Entwicklungsaufwand und die kommerzielle Lösung ist zu teuer – wie wäre es mit einem guten Mittelweg? Voll ausgestattete Tools, die Open Source im Kern nutzen, sind kein neues Konzept. Einige der erfolgreichsten Sicherheitsprodukte der Welt verwenden Open Source als Basis, wie zum Beispiel Hashicorp Vault, Elastic Security und Metasploit, um nur einige zu nennen. Es gibt viele Gründe, warum diese Tools so erfolgreich sind, und es sind wahrscheinlich nicht die Gründe, die Sie denken.
Kosteneffizienz
Open-Source-basierte Tools müssen nicht nur mit alternativen kommerziellen Tools konkurrieren, sondern auch mit ihrer Open-Source-Basis. Das bedeutet, ihr Wert muss nachgewiesen und transparent sein, was oft zu einem kostengünstigeren Angebot führt.
Die Kraft der Community
Oft werden Open-Source-Tools von kommerziellen Unternehmen gepflegt und entwickelt, wie zum Beispiel Aikido Zen. Tools, die auf Open Source basieren, werden nicht nur entwickelt, um die Entwicklungszeit zu reduzieren, sondern auch, weil die Gründer grundsätzlich an die Kraft von Open Source glauben. Open-Source-Tools sind oft schneller bei der Entwicklung von Funktionen, da sie eine Community hinter sich haben. Das bedeutet auch, dass Sie, wenn Sie ein spezifisches Nischenproblem haben, es selbst in das Tool einbringen können.
Transparenz
Der Kauf kommerzieller Tools kann oft ein wenig so sein, als würde man ein Auto kaufen, ohne dessen Motor zu sehen. Wie gut/zuverlässig ist es langfristig? Es ist einfacher, Schwachstellen zu verbergen, wenn niemand in den Motor blicken kann. Open-Source-basierte Tools können ihren Motor nicht verbergen, sodass man sich leichter auf das Tool selbst verlassen kann.
Kommerzielle Funktionen
Wie bereits erwähnt, muss ein Open-Source-basiertes Tool, da es oft sowohl mit kommerziellen Alternativen als auch mit Open-Source-Tools konkurriert, stolz hinter seinen zusätzlichen Funktionen stehen. Das bedeutet alles, was Sie von einem kommerziellen Tool erwarten, aber oft noch einiges mehr. Da das Produkt von einer gut definierten Open-Source-Basis profitiert, kann die Aufmerksamkeit auf Verbesserungen gerichtet werden, die letztendlich an den EndBenutzer weitergegeben werden.
Was wähle ich (abschließende Gedanken)
Wir haben die Vorteile von Open-Source-, kommerziellen und Open-Source-basierten Sicherheitstools diskutiert. Ich denke, aus meinem Tonfall wird klar, dass ich als Autor die Open-Source-Community liebe und Open-Source-basierte Tools als einen Kompromiss beim Preis ohne Kompromisse bei den Funktionen betrachte. Es wäre natürlich unsinnig zu behaupten, dass es keine Szenarien gibt, in denen eine rein kommerzielle Version besser ist. Es gibt großartige innovative Lösungen, die vollständig Closed-Source sind. Mein eigentlicher Punkt ist jedoch, dass nur weil etwas auf einem Open-Source-Projekt basiert, dies nicht bedeutet, dass es Kompromisse bei den Fähigkeiten oder Funktionen eingeht. Und da es seinen Wert in vollständiger Transparenz beweisen muss, bietet es oft tiefere Funktionen und einen höheren Mehrwert.
Aikido Security wurde von Entwickelnden für Entwickelnde geschaffen, um die Sicherheit zu gewährleisten. Wir sind stolz auf unser Open-Source-Erbe und würden uns freuen, wenn Sie es selbst in Aktion erleben würden.
