當(dāng)前,首席信息安全官不僅要確保越來越分散的員工隊(duì)伍的安全,他們還必須提防一些來自信譽(yù)良好的供應(yīng)商的軟件代碼,包括一些本來是用來保護(hù)他們免受網(wǎng)絡(luò)攻擊的補(bǔ)丁代碼。
一些頂級(jí)安全專家表示,SolarWinds黑客和COVID-19大流行加速了網(wǎng)絡(luò)安全支出。
當(dāng)前,首席信息安全官不僅要確保越來越分散的員工隊(duì)伍的安全,他們還必須提防一些來自信譽(yù)良好的供應(yīng)商的軟件代碼,包括一些本來是用來保護(hù)他們免受網(wǎng)絡(luò)攻擊的補(bǔ)丁代碼。企業(yè)現(xiàn)在更加優(yōu)先考慮各種零信任(Zero-trust)方法,包括簡(jiǎn)化身份訪問管理、更好的端點(diǎn)保護(hù)和云安全等方法。這些領(lǐng)域的領(lǐng)先解決方案的發(fā)展勢(shì)頭不錯(cuò),而從支出的角度來看,傳統(tǒng)的老舊產(chǎn)品則日漸式微。
我們將在本文里總結(jié)一下最近的企業(yè)技術(shù)研究VENN會(huì)議上CISO(首席信息安全官的英文縮寫)的觀點(diǎn),同時(shí)也將提供我們對(duì)網(wǎng)絡(luò)安全市場(chǎng)的季度更新。我們還將為讀者初步解讀一下2021年頭兩月信息安全領(lǐng)域的態(tài)勢(shì)。
SolarWinds攻擊:“我們從未見過這樣的情況”
媒體報(bào)道過SolarWinds攻擊,但假若讀者并不知道細(xì)節(jié)的話,SolarWinds公司提供的軟件用于監(jiān)控企業(yè)內(nèi)部基礎(chǔ)架構(gòu)許多方面的運(yùn)行,包括網(wǎng)絡(luò)性能、日志文件、配置數(shù)據(jù)、存儲(chǔ)、服務(wù)器等等。SolarWinds和所有其他軟件公司一樣也會(huì)定期發(fā)布更新和補(bǔ)丁。而黑客則成功滲透了SolarWinds的更新并植入“木馬”,這意味著客戶在安裝更新時(shí),植入的惡意軟件就搭上了順風(fēng)車。
這種情況下的中招很隱蔽,原因是黑客往往會(huì)瞄著那些沒有安裝補(bǔ)丁或更新的系統(tǒng),然后找到存在的基礎(chǔ)架構(gòu)漏洞。在這種情況下,用作保護(hù)組織的代碼實(shí)際上還促進(jìn)了漏洞的發(fā)生。據(jù)專家介紹,這次的SolarWinds攻擊屬于高級(jí)攻擊,而且有多個(gè)變種,大多數(shù)人認(rèn)為是出自俄羅斯黑客組織Cozy Bear的手筆。Cozy Bear被美國(guó)政府歸類為高級(jí)持久性威脅,或APT。
據(jù)推測(cè),Cozy Bear是以某種釣魚方式進(jìn)入一個(gè)GitHub庫并竊取了用戶名和密碼訪問權(quán)限,進(jìn)而滲透到經(jīng)互聯(lián)網(wǎng)交付的軟件供應(yīng)鏈里。但關(guān)于這次攻擊的公開信息還是很零散。已經(jīng)知道的信息是攻擊者去年3月就潛伏下來,在9個(gè)月的時(shí)間從美國(guó)政府和眾多其他公司(包括微軟公司和思科系統(tǒng)公司)那竊取了大量數(shù)據(jù)。
CISO們對(duì)SolarWinds攻擊的看法
去年我們的CUBE朋友 Val Bercovici of Chainkit在攻擊發(fā)生后發(fā)給我們的推特消息表示,他認(rèn)為政府被黑將對(duì)以后組織如何對(duì)待網(wǎng)絡(luò)安全產(chǎn)生永久性影響。CISO們似乎都同意這個(gè)觀點(diǎn)。以下是1月底由ETR主持的CISO圓桌會(huì)議上的一些評(píng)論原文。
- 這次泄露的影響是深遠(yuǎn)的,真的顛覆了很多關(guān)于網(wǎng)絡(luò)安全的慣例,我不認(rèn)為媒體夸大了威脅。
- 我們現(xiàn)在所處的情況是,我們必須監(jiān)控那些監(jiān)控機(jī)構(gòu)。
- 這次攻擊不具有任何過去攻擊的特征……所以是到了代碼層面。
- 那些代碼的 80-90%都是從網(wǎng)上下載的……事關(guān)DevOps安全流程,我們得重新思考如何重塑安全。
可以做什么?
這是每個(gè)CISO現(xiàn)在都在糾結(jié)的問題。安全專家會(huì)告訴你,他們正在重新考量自己的實(shí)踐、工具和方法,但沒有答案。
下圖是個(gè)標(biāo)簽云,總結(jié)了我們?cè)贑UBE社區(qū)和VENN圓桌會(huì)議上從安全從業(yè)者那里聽到的一些情況。
可以聽到CISO們經(jīng)常談?wù)摿阈湃螜C(jī)制,許多人都在傾向于用身份訪問管理和特權(quán)訪問管理,即PAM。我們也聽到關(guān)于必須用雙因素認(rèn)證的說法。我們過去寫過大量關(guān)于身份和公司的文章,如Okta公司、Sailpoint技術(shù)公司和CyberArk軟件公司。微軟在這場(chǎng)對(duì)話里出現(xiàn)得越來越多了,尤其是業(yè)界認(rèn)為Okta設(shè)置了一個(gè)價(jià)格保護(hù)傘,CISO們肯定會(huì)有一些沮喪。Auth0是個(gè)做身份驗(yàn)證即服務(wù)的公司,Auth0也出現(xiàn)在我們的雷達(dá)上。
當(dāng)然,端點(diǎn)安全受到關(guān)注,在家工作的趨勢(shì)已經(jīng)變得更加重要。從CrowdStrike Holdings Inc.的增長(zhǎng)中可以看到這一點(diǎn),過一會(huì)兒就可以看到,從ETR調(diào)查數(shù)據(jù)中可以看到VMware Inc.和Carbon Black以及Tanium Inc.的發(fā)展勢(shì)頭。
CISO們不會(huì)隨便摘掉自己的東西,所以思科(尤其是Umbrella和Duo)出現(xiàn)在談話中。還有Palo Alto Networks公司。我們說過很多次,他們被視為思想領(lǐng)袖,CISO們喜歡Palo Alto以及Fortinet公司。Fortinet買家往往更注重成本,他們往往是一些中等市場(chǎng)客戶。
分析和微觀細(xì)分市場(chǎng)方面、云安全方面的Zscaler公司也是這樣,甚至實(shí)現(xiàn)某些任務(wù)自動(dòng)化的機(jī)器人流程自動(dòng)化公司。UiPath公司 出現(xiàn)在談話中,還有更多的公司也是在安全場(chǎng)景下出現(xiàn)。
因此,看了上面的這個(gè)標(biāo)簽云后,沒有答案,網(wǎng)絡(luò)這一塊也一樣,很多工具,很多學(xué)科,還有一個(gè)非常有力的對(duì)手,已經(jīng)學(xué)會(huì)了俗話說的"靠天吃飯",學(xué)會(huì)了用自己的基礎(chǔ)架構(gòu)和工具來對(duì)付你。
安全預(yù)算并非無限
比較一致的說法是,安全是CIO和CISO的重中之重,預(yù)算會(huì)增加。董事會(huì)意識(shí)到了重要性也愿意花費(fèi)。那我們就來看看這一點(diǎn)。
事實(shí)是,只是在某種程度上是這樣。上圖顯示了整個(gè)ETR分類里各行業(yè)的凈得分或支出的趨勢(shì),我們高亮了信息安全板塊。是的,相對(duì)于10月份的調(diào)查,安全板塊的支出是上升了,但并不突出。
一切都在上升,就像我們所報(bào)道過的,前一年的科技支出下降,是負(fù)4%,我們預(yù)測(cè)今年會(huì)有正6%到7%的增長(zhǎng),取決于復(fù)蘇的速度。但問題是,網(wǎng)絡(luò)是眾多預(yù)算項(xiàng)目里的一項(xiàng),組織并不是簡(jiǎn)單地給CISO一張空白支票。
一眾公司已經(jīng)在安全方面做了大量投資。
上圖顯示了幾個(gè)行業(yè)的場(chǎng)景,我們用紅框標(biāo)出了安全?v軸顯示的是凈得分或支出速度,橫軸是市場(chǎng)份額或在數(shù)據(jù)集中的位置?梢钥吹,安全的位置很靠右,當(dāng)然,安全無處不在。
但安全在支出速度上卻落后一些頂級(jí)行業(yè),因?yàn)榻M織有很多的優(yōu)先事項(xiàng)。當(dāng)然,正如在下面將要看到的那樣,安全領(lǐng)域也和大多數(shù)成熟市場(chǎng)一樣,有些公司在這方面的支出爆棚,也有一些公司的支出模式落在后面。
身份識(shí)別、端點(diǎn)和云計(jì)算領(lǐng)域廠商具消費(fèi)動(dòng)力
下圖是同樣的XY坐標(biāo)圖,列出了一些選定的安全玩家的數(shù)據(jù)。
從上圖可以看出幾點(diǎn)。
- 首先,微軟一如既往,遠(yuǎn)遠(yuǎn)地拋開其他商家處于圖右邊,令人驚奇的是,凈得分也提升了48%。
- Okta在過去幾次調(diào)查里一直處于領(lǐng)先地位,凈得分為61.5%,比上一季度的調(diào)查凈得分高。
- Okta、Crowdstrike、CyberArk、Fortinet、Proofpoint和Splunk均比上一季度調(diào)查的凈得分有很好的增長(zhǎng)。
- 我們還要特別提一下 Carbon Black。該公司上個(gè)季度的凈得分為23.9%,被提及134次,本季度的凈得分飆升至近38%。VMware在2019年夏天花21億美元收購Carbon Black,這樣明顯的增長(zhǎng)也是不負(fù)這次的收購。
我們看到了一些公司的好勢(shì)頭,一方面是源于科技支出的普遍反彈,但也源于我們強(qiáng)調(diào)提出的安全支出的轉(zhuǎn)變。我們也可以看到有幾家傳統(tǒng)安全公司失去了支出動(dòng)力,尤其是FireEye公司和RSA公司,但在ETR數(shù)據(jù)集中還有許多其他公司也處于紅色區(qū)域。
微軟、Palo Alto Networks、Okta和CrowdStrike:顯著的好勢(shì)頭和市場(chǎng)位置。
下面我們來深入了解一下數(shù)據(jù)和廠商的表現(xiàn)。
下表是我們?cè)?019年首次展示的數(shù)據(jù)視圖。這張表顯示了凈得分(支出速度)和分享N指標(biāo),分享N指標(biāo)表示在業(yè)界被提及的次數(shù),是個(gè)市場(chǎng)存在指標(biāo)。左邊的表是按凈得分排序,右邊的表按分享N指標(biāo)排序,入選被考慮之列并出現(xiàn)在圖表里的供應(yīng)商在調(diào)查時(shí)間范圍內(nèi)至少在業(yè)內(nèi)被提及50次。
可以從左邊的表看到,Okta(61.5%)和Sailpoint(59.5%)在凈得分上領(lǐng)先,微軟在業(yè)界的存在指標(biāo)數(shù)最大(518共享N),思科(305)和Palo Alto(278)排第二、第三。
四星級(jí)公司和兩星級(jí)公司
我們?cè)趦赡昵伴_始用星級(jí)評(píng)等方法,如果一家廠商的凈得分和分享N指標(biāo)都出現(xiàn)在前十名,我們就會(huì)給四顆星。所以微軟、Palo Alto、Okta和CrowdStrike四家都是四星級(jí)網(wǎng)絡(luò)安全廠商。
而那些在這兩個(gè)類別中進(jìn)入前20名的公司則獲得兩顆星。Cisco(由于Umbrella和Duo的關(guān)系)、Splunk、Proofpoint、Fortinet、Zscaler、CyberArk和Carbon Black(現(xiàn)屬VMware)都是兩星級(jí)網(wǎng)絡(luò)安全廠商。Carbon Black由于凈積分的快速上升成為兩星榜單新廠商。
關(guān)于Carbon Black的一個(gè)小插曲
在2019年的VMworld活動(dòng)上,Pat Gelsinger告訴theCUBE,他覺得花21億美元的價(jià)格拿下Carbon Black是一筆好的大買賣。
他這樣說的邏輯一部分是基于Carbon Black競(jìng)爭(zhēng)對(duì)手CrowdStrike的估值。CrowdStrike當(dāng)時(shí)的估值(如下圖)是Carbon Black的9倍。而且可以從尾部12個(gè)月的營(yíng)收里看到,CrowdStrike是一家規(guī)模更大的公司,營(yíng)收比Carbon Black高一億多美元,但故事的核心是CrowdStrike的增長(zhǎng)達(dá)100%。CrowdStrike當(dāng)時(shí)的增長(zhǎng)速度遠(yuǎn)高于Carbon Black的22%,證明其相對(duì)價(jià)值明顯更高。
當(dāng)然,VMware的想法是可以以低于市場(chǎng)領(lǐng)導(dǎo)者的價(jià)格折價(jià)收購Carbon Black,然后通過將其捆綁到VMware日益強(qiáng)大的安全產(chǎn)品上為該資產(chǎn)注入增長(zhǎng)和盈利能力。VMware創(chuàng)建了一個(gè)由Carbon Black首席執(zhí)行官Patrick Morley領(lǐng)導(dǎo)的云安全集團(tuán),凸顯了在該領(lǐng)域的承諾。
VMware在最近的財(cái)報(bào)電話會(huì)議上表示,Carbon Black的預(yù)訂表現(xiàn) "良好"。誰都不知道這到底是什么意思,但如果增長(zhǎng)率明顯超過22%(收購時(shí)Carbon Black的增長(zhǎng)率是22%),我們猜VMware的溢美之詞可能會(huì)更夸張一些。我們不妨假設(shè)自收購后,Carbon Black的增長(zhǎng)相對(duì)于收購時(shí)的增長(zhǎng)更趨向于平緩,VMware在這一段時(shí)間不是在想辦法整合這個(gè)公司嘛。
盡管如此,我們?nèi)詴?huì)認(rèn)為Carbon Black的估值自收購時(shí)起已大幅上升了,或許在30億至50億美元之間。所以在我們看來,對(duì)VMware而言是宗不錯(cuò)的收購,VMware在收購公司及將資產(chǎn)貨幣化方面有良好的記錄。而且我們認(rèn)為,置于VMware內(nèi)部的Carbon Black的價(jià)值可能會(huì)從這里開始增長(zhǎng)。此外,Carbon Black的ETR數(shù)據(jù)也令人鼓舞。
領(lǐng)軍企業(yè)的網(wǎng)絡(luò)安全估值持續(xù)飆升
我們來看看自新冠以來這個(gè)行業(yè)的估值是如何變化的。
上表是我們的估值矩陣最新視圖,時(shí)間段為自美國(guó)爆發(fā)新冠大流行病前夕以來?梢钥吹,標(biāo)準(zhǔn)普爾指數(shù)比那個(gè)時(shí)間段上漲了16%,納斯達(dá)克綜合指數(shù)上漲了43%。現(xiàn)在來看看其他的股票。只有Splunk的估值真的沒有大的提升。Proofpoint的估值也沒有跟上。但其他公司要么漲幅明顯,如CyberArk和SailPoint,要么反彈上漲,如Palo Alto,要么保持良好,如Fortinet,要么大爆發(fā),如Crowdstrike、Okta和Zscaler。
那大家會(huì)大致會(huì)覺得VMware的資產(chǎn)Carbon Black也會(huì)和這些公司一樣做得很好吧,會(huì)對(duì)VMware做出長(zhǎng)期的貢獻(xiàn)。
此外,我們預(yù)計(jì),由于今年科技支出的回升,加上對(duì)SolarWinds黑客事件的高度關(guān)注以及從在家工作和數(shù)字化業(yè)務(wù)轉(zhuǎn)型構(gòu)造性轉(zhuǎn)變的加速,這些公司將持續(xù)向好……在一段時(shí)間內(nèi)。
網(wǎng)絡(luò)方面的關(guān)注因素
我們退出大流行,同時(shí)也在經(jīng)歷一個(gè)新的數(shù)字現(xiàn)實(shí),這時(shí)的網(wǎng)絡(luò)威脅空前嚴(yán)重。每年的一月,如果回顧上一年的情況,我們就會(huì)說出和過去幾十年同樣的話。而現(xiàn)實(shí)情況是,網(wǎng)絡(luò)預(yù)算分配和后續(xù)支出與經(jīng)濟(jì)風(fēng)險(xiǎn)是不對(duì)稱的。換句話說,1250億左右的美元花在網(wǎng)絡(luò)安全上,每年因網(wǎng)絡(luò)犯罪而損失達(dá)數(shù)萬億美元的價(jià)值,二者并不對(duì)等。我們現(xiàn)在花的錢還不夠多,但可能也無法靠花錢解決這個(gè)問題。
CISO們必須平衡在自己的傳統(tǒng)安裝基礎(chǔ)安全基礎(chǔ)架構(gòu)以及向零信任的轉(zhuǎn)變、加速端點(diǎn)、新的訪問管理挑戰(zhàn)和不斷擴(kuò)展的云之間取得平衡。還有做更多的事情。很少有人能夠像一張白紙一樣沒有過去的包袱。
人才的缺乏仍然是企業(yè)面臨的最大挑戰(zhàn),企業(yè)已經(jīng)捉襟見肘了,因此在自動(dòng)化上的投資就成為一種趨勢(shì),這種趨勢(shì)是不會(huì)在一段時(shí)間內(nèi)減弱的。
在網(wǎng)絡(luò)方面,各種陳詞濫調(diào)仍然有效:不存在靈丹妙藥。無暇喘息,仍要疲于奔命。對(duì)手的資金充足,能力也極強(qiáng),他們只需成功一次,就能給一個(gè)組織帶來商業(yè)災(zāi)難,而一個(gè)組織每時(shí)每刻都必須成功。因此,準(zhǔn)備好應(yīng)付更多相同情況的出現(xiàn),打擊網(wǎng)絡(luò)犯罪時(shí)的復(fù)雜性、分散性和“打地鼠”(Whac-A-Mole)法等等都是沒有盡頭可言的。
這樣說很痛苦,但這樣說只是意味著這個(gè)行業(yè)的基本面正在不斷改善。而對(duì)于試圖保護(hù)自己數(shù)據(jù)的組織來說,這就是現(xiàn)實(shí)。而這對(duì)投資者來說是個(gè)好消息,機(jī)會(huì)多多!
來源:siliconANGLE
來源:siliconANGLE