Das Züricher Cybersecurity-Unternehmen Exeon Analytics ist auf die automatische Überwachung von IT-Netzwerken und -Infrastrukturen spezialisiert. Sein Kernprodukt Exeon Trace ermöglicht laut Anbieter KI-gestützte Erkennung und Bekämpfung von Cyberbedrohungen. Nun strecken die Schweizer ihre Fühler auch nach Deutschland aus. ChannelPartner hat CEO David Gugelmann zur Strategie des Unternehmens und den Differenzerungsmerkmalen zum Wettbewerb befragt.
ChannelPartner: Exeon Analytics bietet mit dem Kernprodukt ExeonTrace eine KI-gestützte Erkennung und Bekämpfung von Cyberbedrohungen, mit dem Modul Xlog wurde das bisher Network Detection & Response (NDR) umfassende Angebot in Richtung Extended Detection & Response (XDR) erweitert. Was genau machen Sie bei NDR und was verstehen Sie unter XDR?
David Gugelmann: Exeon Trace analysiert Netzwerk- und Web-Log-Daten - Flow und DNS beziehungsweise Proxy/Secure Web Gateway - mit Hilfe von Big-Data- und KI-Algorithmen, um Cyberbedrohungen in Netzwerken sofort zu erkennen. Diesen Ansatz überschreiben wir mit dem Begriff "Network Detection & Response", kurz NDR. Da Exeon Trace Cyber-Sicherheitsrisiken automatisch erkennt, macht es die mühsame Erstellung manueller Regelsätze überflüssig.
Leistungsstarke KI, ergänzt durch vorgefertigte Use Cases und Erkennungsregeln, gewährleistet eine hohe Detektionsrate mit minimalen Fehlalarmen. So decken wir Bedrohungsszenarien auf, beispielsweise versteckte Datenlecks durch Advanced Persistent Threats, Ransomware-Angriffe, Schatten-IT und andere Probleme. Die Algorithmus-gesteuerte Bewertung und Priorisierung von Vorfällen ermöglicht es den Anwendern, sich auf die richtigen Fälle zu konzentrieren. Die KI-unterstützte Untersuchung und Bekämpfung von Eindringlingen hilft Unternehmen bei der effektiven Verteidigung ihrer Daten.
Gemeinsamkeiten und Unterschiede zu SIEM-Systemen
Was kommt mit dem nun neuen Modul Xlog dazu?
Gugelmann: Bei Exeon Trace haben wir Wert darauf gelegt, Daten und Bedrohungsszenarien visuell und intuitiv darzustellen, damit Anwender sich leicht einen Überblick verschaffen und Gegenmaßnahmen einleiten können. Mit dem neuen Xlog-Modul gehen wir noch einen nächsten Schritt in Richtung Extended Detection & Response, also XDR. Der zusätzliche Schutz besteht hierbei etwa in der Integration von Log-Daten von Endpunkten, Cloud- und Host-basierten Anwendungen sowie deren Korrelation mit Netzwerksicherheitsdaten und die automatische Analyse mit KI und vorgefertigten Erkennungsszenarien.
Sie greifen für Ihre Arbeit auf eine "Vielzahl an Sicherheitsdaten" zurück. Woher kommen die und wie erhalten Sie die? Und wie verhält sich Exeon zu SIEM-Systemen?
Gugelmann: Im Gegensatz zu den meisten unserer Mitbewerber verzichten wir auf den Einsatz von Hardware-Sensoren, die den Datenverkehr überwachen. Unser Ansatz besteht darin, die Daten direkt von der Netzwerkinfrastruktur unserer Kunden (Secure Web Gateway, Firewall/Switches, etc.) zu beziehen, was die Netzwerke unserer Kunden nicht durch unnötige Datenspiegelungen belastet. Xlog kann darüber hinaus noch weitere Datenquellen nutzen, etwa per Deep Packet Inspection (Zeek-/Corelight -Sensoren), Endpunkt- und Nutzerverhalten-Anomalien, DER und Antivirus oder IDS-Alerts sowie VPN-Logs.
Auch interessant: Webcast - SIEM für den Mittelstand
SIEM-Lösungen sind zwar traditionellerweise stark darin, Daten zusammenzuführen, aber der Nutzer ist bei der Analyse oft auf sich alleine gestellt und muss sich seine Use Cases selbst zusammensuchen. Unsere Stärke sehen wir hier in der Analyse von Netzwerkdaten. Außerdem verfügt unsere Lösung mittels Xlog über die Möglichkeit, weitere Daten einzubinden und vorgefertigte Algorithmen darauf anzusetzen. Das hebt unsere Lösung klar von einem SIEM ab.
Im Zusammenhang mit KI kommt oft Cloud zum Einsatz - einfach um die Vorteile der Analyse größerer Datenmengen zu nutzen. Bei Security-Daten sehen manche das jedoch kritisch. Außerdem profitiert eine zentrale, lernende Instanz zwar von dem, was bei allen Kunden gleich ist, tendiert aber dazu, bei Besonderheiten false positives zu produzieren oder erfordert manuelle Eingriffe. Wie sieht das bei Exeon aus? Steckt die KI in einer Cloud oder ist sie auch lokal möglich?
Gugelmann: Wir stellen Exeon Trace, inklusive der KI-Algorithmen, standardmäßig als Virtuelle Appliance zur Verfügung. Diese wird beim Kunden entweder auf einem physischen oder Cloud-Server aufgesetzt. Dabei kommen vortrainierte Modelle zum Einsatz, wie auch solche, die nur auf den Daten des Kunden basieren. Der Kunde hat also vollste Kontrolle über seine Security-Daten. Auf Wusch kann ExeonTrace sogar komplett offline beim Kunden laufen.
Vertriebsstrategie von Exeon Analytics
Als Referenzkunden haben Sie einige große Schweizer Unternehmen. Außerdem nennen Sie auf der Website drei Vertriebspartner. Wie wollen Sie den Vertrieb in Deutschland organisieren?
Gugelmann: Wir sind gezielt auf der Suche nach Partnern in Deutschland. In dem engen Zugang der Partner zu ihren Kunden sowie der Kapazität unterstützende Leistungen beispielsweise beim Betreiben der Lösung oder der Auswertung der Alerts anzubieten, sehen wir einen klaren Mehrwert.
Gibt es bereits Ansprechpartner vor Ort?
Gugelmann: Um Partnerschaften kümmern wir uns noch zentral. Potenzielle Partner - und natürlich auch Kunden - können sich an unsere COO Carola Hug wenden.
Sind Sie mit Vertriebspartnern für Deutschland im Gespräch?
Gugelmann: Ja, wir sind momentan mit mehreren Partnern im Gespräch. Wir halten darüber hinaus aber natürlich weiter die Augen nach potenziellen Partnern offen.
Welche Anforderungen stellen Sie an potenzielle, weitere Vertriebspartner und was bieten Sie im Gegenzug an Unterstützung?
Gugelmann: Für eine langfristige Partnerschaft ist uns zunächst einmal wichtig, dass die Chemie stimmt und ein gegenseitiges Vertrauen vorhanden ist. Ansonsten sollten potenzielle Partner natürlich die grundlegenden technischen Ressourcen mitbringen, aber vor allem auch in der Lage sein, das Produkt zu verstehen und potenzielle Kunden kompetent beraten und unterstützen können. Dafür bieten wir eine enge Unterstützung beim Onboarding und einen direkten Zugang bei Fragen und weiteren Anforderungen. Ein klassisches Partnerprogramm mit Schulungen und Discounts gibt es natürlich auch.
Die technischen Vorteile gegenüber dem Mitbewerb stellen Sie auf Ihrer Website dar. Welche Vorteile sehen Sie für Vertriebspartner in einer Zusammenarbeit mit Ihnen statt einem der dort als Wettbewerber genannten Unternehmen?
Gugelmann: Zum einen haben wir den Vorteil, dass wir als europäisches Unternehmen mit der Mentalität und den Datenschutzrichtlinien in Deutschland bestens vertraut sind. Da wir eine rein Software-basierte Lösung anbieten, gestalten sich Vertrieb und Inbetriebnahme für uns direkter und einfacher. Wir haben zudem einen zukunftsträchtigen Ansatz, denn da sich die Überwachung und Detektion auf die Analyse von Log-Dateien konzentriert - und nicht Packet Payloads - ist keine Rechenleistung für Ver- und Entschlüsselung von Daten nötig, was ansonsten langfristig ja einen rasant steigenden Aufwand mit sich bringen würde. Dies kommt natürlich auch Partnern zugute, die über einen längeren Zeitraum hinweg mit uns zusammenarbeiten wollen.