Das in Nashville, TN, ansässige IoT-Sicherheitsunternehmen Phosphorus Cybersecurity hat in einer von SYN Ventures und MassMutual Ventures angeführten Finanzierungsrunde der Serie A 38 Millionen US-Dollar aufgebracht. Phosphorus entdeckt, liefert rechtzeitiges und automatisiertes Patchen und Rotation von Anmeldeinformationen für IoT-Geräte in dem, was es die „Sicherheit der Dinge“ nennt.
Phosphor wurde 2017 von Chris Rouland (CEO), Earle Ady (CTO) und Rebecca Rouland (CFO) gegründet. Chris Rouland ist kein Neuling bei Start-ups, er hat zuvor Bastille und Endgame gegründet. Er baute auch die X-Force Division bei IBM auf, wo er CTO und Distinguished Engineer war.
Phosphor wurde aus einer Epiphanie geboren. Im Jahr 2016 las Rouland ein Papier der University of Wisconsin, in dem ein 13 Jahre andauernder IoT-DDOS-Angriff analysiert wurde (einer der frühesten seiner Art, der hauptsächlich auf Netgear-Geräte abzielte). Das Papier zeigte, dass es in diesem Zeitraum eine hypothetische Halbwertszeit von sieben Jahren gab, bis eingebettete Router einen Patch erhielten. „Ich denke nach“, sagte er Sicherheitswoche, „wenn all diese kleinen Computer da draußen sieben Jahre brauchen, bis die Hälfte von ihnen gepatcht ist, ist das das größte Cybersicherheitsproblem, das mir je begegnet ist.“
Es ist ein riesiges und wachsendes Problem. Bei einer Weltbevölkerung von etwa 46 Milliarden IoT-Geräten, die um etwa 30 % pro Jahr wächst, sind viele, wenn nicht die meisten, ungepatcht und anfällig für Angriffe.
Rouland begann mit der Ausarbeitung einiger Ideen, dem Aufbau eines IoT-Labors und der Einstellung einiger Praktikanten. Er konnte schnell zeigen, dass er automatische IoT-Patches auf die gleiche Weise herausbringen kann, wie Microsoft Windows automatisch aktualisiert. Mit einem frühen Beta-Kunden konnte er 10,000 Geräte in vier Stunden patchen. Auf der Grundlage dessen sammelte er im August 5 eine Startfinanzierung in Höhe von 2017 Millionen US-Dollar.
Aber die Kunden begannen zu fragen, ob er die IoT-Anmeldeinformationen sowie das Patchen verwalten könne. Dies ist ein anderes, aber ähnlich wichtiges Problem für IoT – er stellte fest, dass etwa die Hälfte der Geräte, die er patchte, immer noch das Standardkennwort hatten. Aber er wollte nicht in das Geschäft mit der Passwortspeicherung einsteigen.
Also: „Wir haben alle IoT-Passwörter genommen und sie in einen Passwort-Tresor gelegt, und wir haben uns vom Tresor sagen lassen, wann wir ein Passwort ändern müssen und wie stark es sein muss. Mit diesen beiden Funktionen, Passwortverwaltung und Patching, haben wir die beiden größten Sicherheitsprobleme eingebetteter Geräte in Unternehmen von heute gelöst.“
Aber ein Problem blieb. „Wir haben unsere Kunden gebeten, ein Dokument auszufüllen, das den ‚Wertnachweis' belegt“, erklärt Rouland. „Ein Teil davon bestand darin, eine Liste aller ihrer Geräte anzufordern. Niemand hatte eine Liste. Wir hatten 2019 fälschlicherweise angenommen, dass jeder sein eigenes Inventar hat – aber das haben sie nicht. Also mussten wir Discovery-Funktionen einbauen, um die Dinge zu finden, die wir patchen wollten.“
Die Security of Things Phosphorus-Plattform findet jetzt die Dinge, verwaltet ihre Anmeldeinformationen und wendet automatisch Patches an, wenn sie bereit sind. Es blockiert keine Malware, da Sie für all diese Dinge keine Agenten installieren können. Wenn Malware durchkommt, bevor der entsprechende Patch angewendet wird, kann sie von Phosphorus erkannt werden, da die Firmware nicht mehr das ist, was sie sein sollte.
In solchen Fällen wird der Kunde benachrichtigt und die Sache kann auf Wunsch des Kunden automatisch behoben werden. In Fällen, in denen Anbieter es immer wieder ablehnen, Firmware-Updates herauszugeben, wird auch dadurch eine Warnung generiert. Der Kunde hat dann die Möglichkeit, das Gerät gegen eines eines zuverlässigeren Anbieters auszutauschen.
„Vor Phosphorus“, so Rouland, „entsprachen Zehntausende eingebetteter Geräte vollständig nicht den Sicherheitsrichtlinien ihrer Unternehmen. Sie waren in 10 bis 20 Jahren nie gepatcht worden, und die Passwörter waren nie geändert worden. Wir automatisieren einfach den gesamten Prozess und beheben ihn.“
Verbunden: Die Bedeutung des IoT wächst schnell, aber seine Sicherheit ist immer noch schwach
Verbunden: „BotenaGo“-Malware zielt mit über 30 Exploits auf Router und IoT-Geräte ab
Verbunden: So schützen Sie sich vor IoT-Sicherheitsbedrohungen
Related: Europäisches Institut für Telekommunikationsnormen veröffentlicht IoT-Sicherheitsstandard
Kevin Townsend ist Senior Contributor bei SecurityWeek. Er schreibt schon vor der Geburt von Microsoft über High-Tech-Themen. In den letzten 15 Jahren hat er sich auf Informationssicherheit spezialisiert; und hat viele tausend Artikel in Dutzenden verschiedener Zeitschriften veröffentlicht – von der Times und der Financial Times bis hin zu aktuellen und längst vergangenen Computerzeitschriften.
Stichworte:
