Mit der am Dienstag angekündigten Übernahme von CardinalOps will Cribl seine Plattform deutlich näher an Detection Engineering und den operativen Ergebnissen von SOC-Teams positionieren. Bislang ist Cribl vor allem für Werkzeuge bekannt, die Security-Telemetrie über verschiedene Systeme hinweg sammeln, aufbereiten, weiterleiten und speichern. Durch CardinalOps kommt nun eine Komponente hinzu, die auf Erkennungsabdeckung und die Qualität von Regeln zielt.
Ein wesentlicher Baustein ist laut Cribl die Zuordnung von Erkennungsregeln und Sicherheitskontrollen zum MITRE-ATT&CK-Framework. Nicole Beckwith, Senior Director of Security Engineering and Operations bei Cribl, sagt, CISOs würden zunehmend nach Lücken in ihrer MITRE-ATT&CK-Abdeckung gefragt. Durch diese Zuordnung lasse sich erkennen, wo es Sichtbarkeitslücken gebe. Zudem helfe CardinalOps dabei, fehlerhafte und störanfällige Regeln zu finden und zu beheben, um den Nutzen des gesamten Sicherheitsstapels besser auszuschöpfen.
Beckwith zufolge soll CardinalOps Cribl-Kunden dabei helfen, Telemetriedaten nicht nur zu sammeln, sondern auch auf ihrer Grundlage zu handeln. Kunden könnten damit nicht nur sämtliche vorhandene Telemetrie sehen, sondern auch die Detection-Abdeckung validieren. Zugleich stärke die Übernahme die Cribl-Plattform so, dass sie eine Alternative zu gewachsenen, älteren SIEM-Stacks werde, die Kunden nach ihrer Einschätzung inzwischen entwachsen seien.
Sean Sosnowski, Research Director bei Software Analyst Cyber Research, bezeichnet die Übernahme als strategisch logisch. Cribl entwickle sich von einer vor allem auf Sicherheits- und Observability-Daten ausgerichteten Steuerungsschicht hin zu einem direkteren Akteur im Detection Engineering und bei den Ergebnissen von SOC-Teams. Wenn Cribl die Kontrolle über Telemetrie mit dem Management der Detection-Positionierung kombiniere, könne das Kunden laut Sosnowski dabei helfen, von „wir haben zu viele Daten“ zu „wir wissen, welche Daten für die benötigten Erkennungen relevant sind“ zu gelangen.
Gerade diese Verknüpfung von Datenmanagement und Wirksamkeit im SOC sei ein stärkeres Nutzenversprechen für Sicherheitsteams, weil sie Entscheidungen im Data Engineering direkt mit der operativen Erkennung verbinde, statt Pipeline-Optimierung und Detection Engineering als getrennte Probleme zu behandeln. Sosnowski schränkt jedoch ein, dass dieses Versprechen nur dann eingelöst werde, wenn die Technik sauber integriert werde. Arbeitsabläufe müssten Erkennungslücken identifizieren, die dafür nötige Telemetrie bestimmen, die richtigen Daten weiterleiten oder transformieren und SOC-Teams helfen, ihre Abdeckung zu verbessern, ohne eine weitere isolierte Konsole hinzuzufügen. Bleibe es dagegen bei einem nur lose gekoppelten Produktbündel, sei die Wirkung begrenzt.
Cribl mit Sitz in San Francisco wurde 2018 von ehemaligen Splunk-Architekten gegründet, die eine skalierbare Plattform zur Verarbeitung von Telemetrie aufbauen wollten. Das Unternehmen ist in den vergangenen drei Jahren stark gewachsen: Der jährlich wiederkehrende Umsatz stieg von 1 Million auf 100 Millionen US-Dollar in weniger als vier Jahren, erreichte dann 200 Millionen US-Dollar und überschritt später 300 Millionen US-Dollar. Cribl hat nach eigenen Angaben mehr als 600 Millionen US-Dollar eingesammelt und wurde nach einer von GV geführten Series-E-Finanzierung über rund 320 Millionen US-Dollar im Jahr 2024 mit 3,5 Milliarden US-Dollar bewertet.
Nach Unternehmensangaben nutzen mehr als die Hälfte der Fortune 100 und 35 Prozent der Fortune 500 die Plattform von Cribl. Das Unternehmen beschäftigt mehr als 1.000 Mitarbeiter. Zu den jüngeren Personalzugängen zählt Beckwith, die zuvor bei Kroger, einem der größten Lebensmittelhändler der USA, als Director of Detection and Response tätig war. Kroger nutzt sowohl Cribl als auch CardinalOps. Laut Beckwith holte CISO Myke Lyons sie zu Cribl. Sie sagte Dark Reading, sie glaube an das, was das Unternehmen tue, und an dessen Produktfahrplan.
