« Wir verhindern Cyber-Angriffe, die normalerweise unsichtbar bleiben »

Was haben RUAG, der Deutsche Bundestag, die HSBC-Bank und das US-Aussenministerium gemeinsam? Sie alle waren kürzlich von gröberen Cyber-Attacken betroffen. Genau derartige Angriffe knöpft sich xorlab vor. Das Jungunternehmen entwickelt eine Network Security Appliance, die Attacken in einer sehr frühen Phase detektiert. Was ist das Unkonventionelle an der Lösung? Und wo steht das Start-up im Entwicklungsprozess?

xorlab_team

Technische Innovationen, die zunehmende Komplexität der ICT-Vernetzung aber auch die Aktivität des Endnutzers auf unterschiedlichen Geräten öffnen Cyber-Angriffen Tür und Tor. Unternehmen und Regierungen sind also in höchstem Mass gefordert. Genau diese Herausforderungen treiben xorlab an.

Wie ist xorlab entstanden? Und was hat das Start-up Hackerangriffen dieser Grössenordnung entgegen zu setzen? Antonio Barresi (CEO), Matthias Ganz (CTO) und Marco Nembrini (COO) haben xorlab im Juli 2015 als Spin-off der ETH Zürich gegründet. „Wir haben an der ETH an einer Technologie geforscht, die Zero-Day Angriffe verlässlich erkennt und verhindert. Bei einem Zero-Day Angriff werden unbekannte Schwachstellen einer Software ausgenutzt. Mittels einer Network Security Appliance wollen wir dies verhindern“, sagt Antonio. Und das ist genau das Innovative an der Lösung, die sich SploitGuard Appliance X1 nennt: Sie wird als Hardware Appliance ins Netzwerk des Kunden integriert. Dort spürt sie Dateien auf, die unbekannte Software-Schwachstellen ausnützen. Sie detektiert also, ob E-Mails, Word-, Excel-, PDF-Dokumente oder Websites schädliche Dateien enthalten.

Das Unkonventionelle dran: „Unsere Lösung sucht nicht nach bösartigen Mustern in den Dateien und stützt sich auch nicht auf Heuristiken. Denn dies führt einerseits zu Fehlalarmen. Andererseits kann der Angreifer das Verhalten so anpassen, dass die Erkennungsmuster umgangen werden.“ xoralb setzt mit ihrer Lösung, an einem anderen Punkt an, nämlich bei Attacken wie Spear Phishing, Watering Hole, Drive-By Infections oder Client-Side Attacks. Diese Attacken sind das eigentliche Einfallstor zur IT Infrastruktur einer Organisation. Cyber-Attacken sollen also verhindert werden, bevor eingeschmuggelte Schadcodes überhaupt ausgeführt werden können. Das ist auch finanziell spannend für eine Unternehmung. Denn je später man einen Angriff erkennt, desto höher die Kosten.

„Die Verlässlichkeit einer Security-Lösung ist zentral für den Einsatz in Grossunternehmen“

Der B2B-Markt für Security-Lösungen wächst gemäss Frost & Sullivan um fast 50% pro Jahr. Neue, clevere Lösungen sind gefragt. So zum Beispiel bei Swisscom. Stefan Frei, Security Architekt bei Swisscom Group Security: „Wir setzen für unsere eigene Infrastruktur wie auch für jene unserer Kunden auf innovative Security-Lösungen. Entsprechend beobachten wir sehr aufmerksam, wie sich der Markt entwickelt.“

Stefan ist neben seiner Swisscom-Tätigkeit Dozent für Netzwerksicherheit an der ETH Zürich. So ist der Kontakt zu Antonio entstanden, der ihn aus den Vorlesungen kannte. An der Lösung von xorlab begeistert Stefan, dass sie einen neuen Ansatz verfolgt, der auf der Erkennung von sogenannten Exploits und nicht auf dem Aufspüren von Malware basiert. Dadurch sei die Erkennung sehr verlässlich und präzise. Es entstünden kaum Fehlalarme, was für den Einsatz in einem Grossunternehmen zentral sei. Swisscom ist nun am Evaluieren, ob sie als Pilot-Kunde an den Software-Tests teilnimmt.

„Die Windows Plattform hielt einige Überraschungen bereit“

Dass die Software heute im Pilot-Status steckt, ist der harten Knochenarbeit der Jungunternehmer zu verdanken. So stellten anfangs beispielsweise die unterschiedlichen Betriebssysteme eine Herausforderung dar. Während der Forschungsprototyp Linux basiert war, musste die Technologie für die Weiterentwicklung auf Windows portiert werden. „Die Windows Plattform hielt einige Überraschungen bereit für uns“, erinnert sich Antonio. „Moderne Client Applikationen (z.B. Browser) sind sehr komplex und entsprechende Programme zu unterstützen erfordert viel Geduld.“ Anfang Jahr konnte der erste Browser zum Laufen gebracht werden. Und das Beste dran: er hat erste Angriffe verlässlich detektiert!

xorlab_sploitguard

Damit eine derart komplexe Business-Idee zum Fliegen kommt, braucht es unterschiedlichste Kompetenzen im gleichen Boot. Während Matthias einen starken Software Engineering Hintergrund hat, bringt Antonio Software Security Know-how ein. Marco, ursprünglich ein Mathematiker, ist sehr stark im konzeptionellen Bereich. Das Zusammenspiel zwischen den Jungs funktioniert gut. Voraussetzung dafür ist gemäss Antonio die offene Diskussionskultur, die auch vor schwierigen Diskussionen nicht Halt macht.

Die Sterne stehen gut fürs Jungunternehmen: Erst kürzlich haben sie sich am Venture Kick Finale eine Finanzspritze von 130’000 Franken gesichert. Aktuell hat xorlab zwei Pilotprojekte in Planung, ein weiteres ist in Diskussion und zudem haben diverse Firmen Interesse an einer Teilnahme signalisiert, sogar aus dem Ausland. Die ausgereifte Lösung soll dann Anfang 2017 auf den Markt kommen. Wir sind gespannt darauf und drücken dem ETH-Trio die Daumen!

 

«Nous empêchons des cyberattaques qui restent normalement invisibles»

Quel est le point commun entre RUAG, le Bundestag allemand, la banque HSBC et le ministère américain des Affaires étrangères? Ils ont tous été récemment la cible de cyberattaques d’envergure. Justement le type de cyberattaques auxquelles xorlab a déclaré la guerre. La jeune entreprise développe une Network Security Appliance qui détecte les attaques dans une phase très précoce. Quelle est l’originalité de cette solution? Et où la start-up en est-elle de son développement?

xorlab_team

Les innovations technologiques, la complexité croissante des réseaux TIC, mais aussi les activités des utilisateurs finaux sur différents appareils ouvrent grand la porte aux cyberattaques. Les entreprises et les gouvernements sont également extrêmement menacés. C’est exactement ce type de défi qui motive xorlab. Comment est née xorlab? Et comment cette start-up compte-t-elle s’opposer à des attaques de cette ampleur?

Antonio Barresi (CEO), Matthias Ganz (CTO) et Marco Nembrini (COO) ont fondé xorlab en juillet 2015, en tant que spin off de l’EPF de Zurich. «À l’EPF, nous avons développé une technologie fiable pour identifier et empêcher les attaques Zero day, qui exploitent des failles inconnues d’un logiciel. C’est précisément ce que nous souhaitons empêcher avec notre Network Security Appliance,» explique Antonio Barresi. C’est en cela que la solution, appelée SploitGuard Appliance X1, est innovante: elle s’intègre au réseau du client sous la forme d’un dispositif matériel qui repère les fichiers exploitant les failles logicielles inconnues. Elle détecte donc les e-mails, les documents Word, Excel et PDF, ainsi que les sites Internet qui comportent des fichiers malveillants.

L’originalité: «Notre solution ne cherche pas de modèles malveillants dans les fichiers et ne repose pas sur l’heuristique. En effet, une telle approche a deux défauts: elle génère des fausses alertes et les pirates peuvent adapter leur comportement pour contourner les modèles d’identification.»

Avec sa solution, xorlab cible une autre dimension: les attaques comme le spear phishing, les attaques de point d’eau, les infections par Drive-by ou les attaques client-side, qui sont la vraie porte d’entrée vers l’infrastructure informatique d’une organisation. L’objectif est donc de bloquer les cyberattaques avant même qu’un code malveillant ne puisse s’exécuter. Pour une entreprise, la question est également financière. En effet, plus l’attaque est repérée tardivement, plus les coûts sont élevés.

«La fiabilité d’une solution de sécurité est essentielle pour une grande entreprise»

Selon Frost & Sullivan, le marché B2B des solutions de sécurité croît de près de 50% par an. Les entreprises cherchent de nouvelles solutions intelligentes, par exemple chez Swisscom, comme le confirme Stefan Frei, Security Architect chez Swisscom Group Security: «Nous utilisons des solutions de sécurité innovantes pour notre propre infrastructure, mais aussi pour celle de nos clients. Nous observons donc très attentivement l’évolution du marché.»

Outre son activité chez Swisscom, Stefan enseigne également la sécurité des réseaux à l’EPF de Zurich. C’est ainsi qu’il est entré en contact avec Antonio, qui assistait à ses cours. Pour Stefan, la solution de xorlab est intéressante, car elle suit une nouvelle approche basée sur l’identification des «exploits», et non sur la détection de malwares, qui la rend plus fiable et plus précise. Les fausses alertes seraient rares, un point essentiel pour une grande entreprise. Swisscom réfléchit actuellement à participer aux tests logiciels en tant que client pilote.

«La plate-forme Windows nous a réservé quelques surprises»

La jeune entreprise a travaillé dur pour proposer aujourd’hui son logiciel en phase de pilote. Ainsi, les différents systèmes d’exploitation représentaient au départ un défi. Si le prototype de recherche était basé sur Linux, la technologie devait être portée sous Windows pour poursuivre le développement. «La plate-forme Windows nous a réservé quelques surprises, se rappelle Antonio. Les applications client modernes (navigateur, p. ex.) sont très complexes, il faut beaucoup de patience pour prendre en charge les programmes correspondants.» Le premier navigateur a pu être lancé en début d’année. Et bonne nouvelle: il s’est révélé fiable dans la détection de ses premières attaques!

xorlab_sploitguard

Concrétiser une idée d’entreprise aussi complexe suppose de réunir des compétences extrêmement variées. Matthias apporte ses connaissances en développement logiciel, Antonio, son savoir-faire en sécurité logicielle, et Marco, mathématicien à l’origine, est le spécialiste de la conception. Et la sauce prend entre les trois jeunes entrepreneurs. Pour Antonio, cela tient à leur culture de discussion ouverte, qui résiste même aux discussions difficiles.

xorlab prévoit actuellement deux projets pilotes, un troisième est en discussion, et plusieurs entreprises, notamment à l’étranger, ont fait connaître leur intérêt pour une participation. Une solution mature devrait être lancée début 2017. Nous sommes impatients de la découvrir et croisons les doigts pour ce trio de l’EPF!

 

“We prevent cyberattacks that would otherwise go undetected”

What do RUAG, the German Bundestag, HSBC Bank and the US Department of State all have in common? They were all recently the victims of major cyberattacks. Just the type of attack that xorlab prevents. The fledgling company has developed a network security appliance that is able to detect attacks in the very early stages. What is unusual about the solution? And where is the start-up company in terms of development?

xorlab_team

Technical innovations and the increasing complexity of ICT networking not to mention end-user activity on the most diverse devices is opening up the floodgates for cyberattacks. Companies and governments are being pushed to their limits. Precisely the type of challenge that drives xorlab. How did xorlab start? And what is the start-up company doing to combat hacking on this scale?

Antonio Barresi (CEO), Matthias Ganz (CTO) and Marco Nembrini (COO) founded xorlab in July 2015 as an ETH Zurich spin-off. “At the ETH, our research focused on developing a technology that would reliably recognise and prevent zero-day attacks. Zero-day attacks exploit undetected software weaknesses. Our aim was to develop a network security appliance that would prevent these,” Antonio explains. That is the innovative part about SploitGuard Appliance X1. Integrated as a hardware appliance into the customer’s network, it tracks down files or programs that are exploiting undetected software weaknesses. It is therefore able to detect whether e-mails, Word documents, Excel documents, PDFs or websites contain potentially damaging files.

What’s so unusual about that? “Our solution doesn’t look for malicious patterns in the files and is not based on heuristics: these can lead to false alarms and the attackers can adapt their behaviour to bypass the detection patterns.”

xorlab’s solution works differently, combating attacks such as spear phishing, watering hole, drive-by downloads and client-side attacks. These attacks are the real gateway to an organisation’s IT infrastructure: it is important to prevent cyberattacks before smuggled malicious code can be run at all. Which also saves the company money because the longer an attack goes undetected, the more it costs.

“For major corporations, reliable security solutions are vital.”

According to Frost & Sullivan, the B2B market for security solutions is growing by around 50% a year. Demand for new, intelligent solutions among major corporations is high. Swisscom is one such example. Stefan Frei, security architect at Swisscom Group Security: “We use innovative security solutions for our own infrastructure and at each of our customers. So we pay very close attention to how the market is developing.”

In addition to his work at Swisscom, Stefan is a lecturer in network security at ETH Zurich. Which was how he first met Antonio, who attended his lectures. Stefan is enthusiastic about the xorlab solution because it adopts a new approach that detects exploits rather than tracking malware, and is therefore highly reliable and precise. There are very few false alarms, which is of crucial importance for major corporations. Swisscom is currently deciding whether to test the software as a pilot customer.

“The Windows platform had a number of surprises in store”

The software’s current pilot status is all thanks to the hard work of the young entrepreneurs. Initially, different operating systems posed something of a challenge: the research prototype was based on Linux so the technology had to be ported to Windows to be developed further. “The Windows platform had a number of surprises in store for us,” Antonio recalls. “Modern client applications (such as browsers) are very complex and working out how to support the associated programs required considerable patience.” The first browser was up and running at the start of the year. And what’s more, it has already successfully detected its first attacks.

xorlab_sploitguard

To bring such a complex business idea to fruition requires a varied skill set. Matthias has a solid software engineering background and Antonio brings software security expertise. Originally a mathematician, Marco has a strong conceptual approach. The synergy within the young team works well. According to Antonio, this is a direct result of the open communication culture, which enables even difficult issues to be tackled head on.

xorlab is currently planning two pilot projects, with a further project under discussion. Various companies, including some from outside of Switzerland have also shown an interest in working with them. The solution should be fully developed and available by the start of 2017. We await it with bated breath and wish the very best of luck to the ETH trio!