Tanium, US-amerikanischer Spezialist für die hochskalierende und schnelle Absicherung von Endpunkten (Endpoint Detection and Response, EDR), hat 2017 mit einem Büro in München seine Fühler in den DACH-Markt ausgestreckt. LANline sprach mit Olav Strand, Regional Vice President Central Europe von Tanium, über die Besonderheiten der Lösung und die Ziele des Anbieters hierzulande.

„Die ursprüngliche System-Management-Architektur – Hub and Spoke mit hoher Netzwerklast, aber geringer Genauigkeit – entspricht nicht mehr heutigen Herausforderungen“, so Tanium-Manager Olav Strand im LANline-Interview. „Wenn der Scan eines Enterprise-Netzwerks Tage oder Wochen dauert, ist das nicht mehr zeitgemäß.“

Diesen Missstand will Tanium beenden. Das Unternehmen wurde 2007 vom Vater- und Sohn-Duo David and Orion Hindawi gegründet, die zuvor das Client-Management-Werkzeug BigFix entwickelt und es dann an IBM verkauft hatten. Ihr Ziel: ein Endpoint-Management-System, das selbst bis auf Millionen Endpunkte skaliert, ohne an Performance zu verlieren.

Den Leistungsschwächen weit verzweigter Hub-and-Spoke-Architekturen tritt Tanium mit einem neuartigen Konzept der Kommunikation mit Endpunkten entgegen, „Linear Chain“ genannt. Die „Linear Chain“ ist ein Konglomerat aus Peer-to-Peer-Grid und zentraler Kontrolle (siehe Bild): Der Server stellt an einen Client – bestückt mit einem Tanium-Agent – eine Anfrage; dieser reicht die Anfrage dann in Peer-to-Peer-Manier an benachbarte Clients weiter, bis – zum Beispiel per Firewall – das Ende der Verwaltungszone oder des Netzwerksegments erreicht ist. Der letzte Client einer Zone erstattet dann dem Server Rückmeldung.

Taniums „Linear Chain“ vereint ein Peer-to-Peer-Grid mit zentraler Kontrolle. Bild: Tanium

Taniums „Linear Chain“ vereint ein Peer-to-Peer-Grid mit zentraler Kontrolle. Bild: Tanium

Damit, so schwärmt Tanium-VP Strand, erreiche Tanium „eine noch nie gesehene Geschwindigkeit“. Der Hersteller verspricht in seinen Unterlagen Antworten auf Fragen zum unternehmensweiten Endpoint-Status innerhalb von 15 Sekunden.

Dank dieser enormen Performance und hoher Genauigkeit, so Strand, zähle Tanium neben der Air Force inzwischen auch die US Navy, Army und die Marines zur Kundschaft. Von Vorteil sei insbesondere, dass die hauseigene Lösung sehr schlank aufgebaut sei: Die Navy habe zur Endpunktverwaltung stolze 1.100 Server betrieben, mit Tanium seien es nun lediglich vier.

Informationen immer vom Endpunkt direkt
Ihre beachtliche Geschwindigkeit erzielt die Plattform laut Auskunft Strands, indem sie für Aussagen und Auswertungen nicht auf aggregierte Daten in einer Datenbank zurückgreift, sondern die Informationen immer direkt von den Endpunkten einholt. Dazu verfüge der Tanium-Agent auf dem Endpunkt über rund 1.200 Sensoren, deren Werte er sammelt und mit den benachbarten Peers teilen kann.

„Wir erreichen die Geräte, die gerade online sind“, so Olav Strand auf die LANline-Rückfrage nach offline befindlichen Clients, „aber dank der Linear Chain bleibt die Abfrage im Netz. Beim nächsten Log-in wird der Endpunkt miterfasst, da er sofort mit seinen Peers kommuniziert.“

Gemäß Taniums Motto „Ask, Know, Act“ („Fragen, wissen, handeln“) sind nicht nur Abfragen möglich, sondern auch die Umsetzung vom Befehlen. So könne man zum Beispiel bei einer neuen Adobe-Schwachstelle alle betroffenen Geräte in Sekundenschnelle ermitteln, jene Geräte patchen, für die ein Patch verfügbar ist, und die übrigen in Quarantäne setzen. Ein Kunde, berichtet Strand, habe zum Beispiel aufgrund eines WannaCry-Befalls eine Inventarisierung betroffener Clients durchgeführt, sie in Quarantäne gesetzt, gelöscht und neu hochgefahren; innerhalb von nur vier Stunden habe das Unternehmen so seine 40.000 Endpunkte komplett abgesichert.

Für Aufgaben wie das Patchen, so der Tanium-Mann, zerlege die Lösung den Patch in 64-KBit-Bausteine, die dann zusammen mit dem Bauplan Peer-to-Peer übertragen werden. Jeder Endpunkt sammle die Bauteile und setze den Patch dann vor Ort selbst zusammen. So könne man selbst an abgelegene Standorten, die zum Beispiel nur per Satellit angebunden sind, zügig Patches ausbringen. Für offline befindliche Endpunkte könne man seitens des IT-Managements ein Nachziehen der Patches vorgeben, sobald die Geräte sich wieder mit dem Unternehmensnetz verbinden.

Core-Plattform und ergänzende Module
Taniums Lösung ist modular aufgebaut. Neben der Core-Plattform gibt es verschiedene Module für diverse Aufgabenbereiche von der Inventarisierung über das Endpoint-Management bis hin zur zeitnahen Incident Response (Reaktion auf Sicherheitsvorfälle, siehe Bild oben). Ziel ist es, die gesamte Endpoint-Verwaltung und -Absicherung aus einer einzigen Konsole heraus zu ermöglichen.

Zum Modulbestand zählt seit Mitte letzten Jahres der Baustein Threat Response. Er sorgt laut Hersteller für eine kontinuierliche Überwachung mit automatisierter Bedrohungserkennung direkt auf dem Endpunkt, ergänzt um proaktive Alarmierung des Security-Teams bei Auffälligkeiten. Die IT könne dann von zentraler Stelle aus zum Beispiel unternehmensweit die Registry-Einstellungen überprüfen und nach Anomalien oder verdächtigen Dateien fahnden, um Bedrohungen schnell einzudämmen.

Die Plattform bietet laut Herstellerangaben vordefinierte Workflows, um die Teamarbeit zu erleichtern und die Durchführung von Erkennungs-, Untersuchungs- sowie Wiederherstellungsmaßnahmen zu beschleunigen. Der Incident-Response-Mitarbeiter könne aus einer einheitlichen Konsole heraus Abfragen oder Untersuchungen starten und Remediation-Aktionen anstoßen. Dies soll helfen, im Ernstfall die Reaktionszeit zu verkürzen, etwa wenn es gilt, bösartige Prozesse rasch zu eliminieren.

Daten bleiben vor Ort
Server-seitig bietet Tanium seine Lösung als Software oder Appliance an. Die Auswertungen halte man lokal in einer Datenbank vor. „Anders als bei anderen Anbietern, die Kundendaten in die Cloud pumpen, bleiben bei uns die Daten vor Ort beim Kunden“, betonte Strand gegenüber LANline. Zur Verwaltung weit verzweigter Infrastrukturen könne man Zone-Server aufsetzen, dank der geringen Netzwerklast sei aber auch eine zentralisierte Architektur möglich.

Für das Management und Auswertungen bietet die Tanium-Lösung ein Web-Interface mit den üblichen Dashboard-Ansichten und Drilldowns zu Detailinformationen. Der Zugriff ist rollenbasiert und lässt sich laut Hersteller sowohl nach Aufgabenbereich wie auch nach Verwaltungszone einschränken. Eine weitere Besonderheit der Lösung: Abfragen sind in natürlicher Sprache möglich. Der Anwender stellt also Abfragen wie zum Beispiel: „Zeig mir alle Clients mit Adobe Flash in Version XYZ!“

Damit, so Olav Strand, könne Tanium zahlreiche Client-Management-Tools ersetzen und die Zahl benötigter Agents reduzieren. Dennoch und trotz des geplanten Zuwachses beim Modulbestand wolle man aber bestehende Lösungen nicht samt und sonders ersetzen, sondern Funktionierendes ergänzen. So integriere sich Tanium über APIs zum Beispiel mit den Lösungen von Splunk, Palo Alto Networks und ServiceNow. Zudem gebe es ein Software Development Kit (SDK) für individuelle Anpassungen.

Persönliche Betreuung
Als weitere Besonderheit des Tanium-Ansatzes nannte Olav Strand die Betreuung durch den Anbieter: Jedem Kunden stehe ein sogenannter TAM (Technical Account Manager) zur Seite, der seine Zuständigkeit von der Pre-Sales-Phase über die Installation bis hin zum Betrieb behalte. Jeder TAM betreue höchstens fünf Kunden und unterstütze sie im laufenden Betrieb, etwa mittels interner Collaboration-Tools, über die er zum Beispiel kritische Bedrohungsinformationen mit dem Anwender diskutieren kann.

Anfangs privat finanziert, hat Tanium seinen Kapitalstamm inzwischen mittels Investoren aufgestockt, darunter das namhafte Investorenhaus a16z (also Andreesen-Horowitz). Im DACH-Markt habe man nach sechs Monaten Marktpräsenz nun 20 Mitarbeiter und unterhalte zahlreiche Partnerschaften. Olav Strand zielt mit seinen Vermarktungsaktivitäten auf Unternehmen mit mindestens 5.000 Endpunkten.

Weitere Informationen finden sich unter www.tanium.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.