Сказать, что кибербезопасность переживает бум, было бы преуменьшением. Мы говорим о стремительном росте стоимости компаний, предоставляющие услуги в отрасли безопасности (в среднем 524,1 миллиона долларов) и огромном объеме финансирования (12,2 миллиарда долларов только в этом году), который инвесторы, конечно же, вливают в эту отрасль. Потому что в плане успеха есть к чему стремиться.
Недавние атаки на цепочки поставок на SolarWinds и Kaseya , а также атака нулевого дня на Microsoft Exchange вывела киберпреступность на новый уровень и показала, как одна утечка информации может нанести ущерб десяткам или даже сотням тысяч организаций. И атаки на критически важные объекты инфраструктуры, такие как больницы и крупнейшую трубопроводную систему для нефтепродуктов в США The Colonial Pipeline, ясно дали понять, насколько высоки ставки. Только в 2020 году произошло больше утечек данных, чем за последние 15 лет вместе взятых, и 2021 год выглядит не лучше.
«Это удручает», — сказала VentureBeat Джейди Хэнсон, директор по информационной безопасности компании Code42, которая имеет 15-летний опыт работы в кибербезопасности.
Дэйв Фурно, который недавно присоединился к компании Virsec, предоставляющей услуги в отрасли безопасности, в качестве генерального директора после 20 лет работы инвестором в ИТ и кибербезопасность, поддержал это мнение.
«Сейчас мы находимся в худшем положении, чем были когда-либо», — сказал он.
Некоторые ветераны отрасли даже считают кибербезопасность проигрышной игрой, в том числе Райан Нарайн, давний журналист по безопасности и бывший директор по безопасности в Intel. В целом, по его словам, он придерживается «пессимистического» мнения.
«Я слышал о решении проблем безопасности в течение последних 10 лет», — сказал он в интервью VentureBeat. «Мы здесь 10 лет спустя. Ситуация только ухудшилась в геометрической прогрессии».
Как же мы дошли до этого? И если десятилетия инноваций, большое поле игроков и миллиарды и миллиарды инвестиций привели нас в мир, где количество денег, ежегодно теряемых из-за киберпреступлений, превышает ВВП почти каждой страны, то что мы должны сделать с нынешней золотой лихорадкой венчурных инвестиций?
Почему кажется, что кибербезопасность горит
Резкое увеличение числа кибератак не означает, что прогресса нет. Многофакторная аутентификация (MFA), шифрование и технологии, обеспечивающие нулевое доверие, могут иметь реальное значение. А протокол передачи данных HTTPS, будучи простым и часто воспринимаемым как должное, привнес в наши браузеры эффективную аутентификацию. Мы можем использовать наши смартфоны для безопасной оплаты повседневных товаров в магазинах, и это очень важно.
«Из года в год технологии безопасности развиваются и становятся очевидными, — сказал VentureBeat Гюнтер Оллманн, один из пионеров в области аналитики безопасности и нынешний директор по безопасности Devo. — Однако разнообразие и сложность взаимосвязанных систем растет намного быстрее, и поэтому поверхности атак увеличиваются быстрее, чем большинство компаний могут эффективно обеспечить безопасность».
Эксперты по безопасности повсеместно называют темпы внедрения технологий основным фактором, способствующим возникновению киберпреступности. Технологии просто развиваются слишком быстро. И многие из новейших бизнес-стратегий, основанных на технологиях, например, хранение массивных объемов данных, увеличивают риск в геометрической прогрессии. Кроме того, компании, которые десятилетие или даже пять лет назад не слишком полагались на технологии, сегодня очень даже полагаются.
Хэнсон отметила, что в прежние времена вы обычно имели дело с сервером, на котором работало приложение, и его можно было физически заблокировать.
«Сегодня, с меняющимся ландшафтом и всеми технологиями, которые у нас под рукой, это не так», — сказала она.
Переход на удаленную работу и облачные технологии, в частности, играют огромную роль. По данным McKinsey, пандемия ускорила темпы цифровой трансформации на семь лет, а Gartner прогнозирует, что к 2023 году 70% всех рабочих нагрузок предприятия будут развернуты в облаке, по сравнению с 40% в 2020 году. В целом, по прогнозам Gartner, объем общедоступных облачных услуг в мире вырастет с 387,7 млрд долларов в 2021 году до 805,5 млрд долларов в 2025 году.
Но в ходе недавнего опроса специалистов по безопасности большинство из них заявили, что безопасность публичных облаков «едва» достаточна. Буквально на днях исследователи безопасности из Wiz предупредили Microsoft, что обнаружили уязвимость в центральной базе данных Azure и «смогли получить доступ к любой базе данных клиентов». Изучая вопрос о том, как теоретически может произойти «более сложная и разрушительная» кибератака — например, на несколько финансовых учреждений — Нью-Йоркская оперативная группа по кибербезопасности определила, что она, скорее всего, начнется с того, что северокорейские хакеры взломают стороннего поставщика услуг, например, компанию, занимающуюся облачными вычислениями.
«Вот почему у нас эпидемия программ-вымогателей. Вот почему все как будто горит», — говорит Нарайн. «Потому что мы резко перешли на облачные технологии, а настроить их должным образом просто невозможно. Все выставлено на показ».
Другим важным фактором является то, что хорошо оснащенные и финансово мотивированные противники работают каждую минуту каждого дня, чтобы подорвать усилия по обеспечению безопасности. Они постоянно внедряют новые стратегии и создают альянсы, а кибербезопасность находится только на один шаг впереди. Например, настройка Microsoft 365, созданная специально для предотвращения фишинговых атак, недавно была использована хакерами для — вы угадали — фишинга. Более того, Нарайн отмечает, что многие из высококлассных инструментов эксплойтов, которые раньше использовались только государственными субъектами, теперь попадают к обычным киберпреступникам, чего не было всего несколько лет назад.
«Организованная преступность продолжает осваивать эти новые технологии и, откровенно говоря, опережает как специалистов по безопасности, так и правоохранительные органы», — сказал Оллманн.
Проблема расстановки приоритетов
Несмотря на повышенный риск, связанный с современными технологиями и практикой работы с данными, кибербезопасность часто рассматривается как нечто второстепенное.
«Я не думаю, что каждая компания инвестирует в кибербезопасность так, как, вероятно, следовало бы», — сказал Хэнсон, добавив, что безопасность должна быть ключевым отделом в каждой компании — так же, как финансовый департамент и отдел кадров.
Однако реальность такова, что многие предприятия отдают приоритет функциям и функциональности, не рассматривая должным образом компромиссы в области безопасности. Недавний опрос, например, показал, что большинство ИТ-руководителей в первую очередь сосредоточены на обеспечении конкурентной дифференциации и цифровой трансформации, даже в свете все более актуальных угроз киберпреступности.
В связи с этим среди некоторых экспертов ощущается чувство поражения и разочарования. Хотя они признают, что в современном ландшафте невозможно защитить все, некоторые считают, что эффективные решения, предлагаемые отраслью, не используются в полной мере. Например, многофакторная аутентификация (MFA) считается стандартом и надежной защитой от многих типов атак, связанных с паролями, однако только 55% респондентов в отчете Thales «Угроза данным 2021» заявили, что их компания внедрила MFA в любой форме. Другое недавнее исследование, проведенное среди ИТ-руководителей и сотрудников, показало, что 43% признают, что не соблюдают протоколы безопасности. Еще больше осложняет ситуацию массовая нехватка специалистов по кибербезопасности, которая, как ожидается, в ближайшие годы только усугубится.
«Уже 30 лет мы инструктируем и обучаем пользователей использовать пароли из 8+ символов, но большинство людей так и не освоили их», — сказал Оллманн. «Уже более десяти лет у нас есть отличные технологии беспарольной и многофакторной аутентификации, которые значительно повышают удобство работы пользователей и заменяют эти устаревшие пароли (и все связанные с ними векторы атак), а предприятия только сейчас начинают принимать их в качестве стандартных решений».
Невозможно играть в «кошки мышки»
Все это указывает на неотъемлемую истину кибербезопасности: Это бесконечный цикл. По мере развития этой области совершенствуются как противники, работающие против нее, так и технологии, которые она должна защищать.
«Единственное, что остается неизменным [в индустрии кибербезопасности], это то, что мы все еще играем в догонялки», — сказал Хэнсон. «Это было верно 10 лет назад, и это верно сегодня».
Даже многие достижения в области кибербезопасности — такие как использование аналитики данных и машинного обучения — в свою очередь привели к появлению новых проблем безопасности, таких как увеличение поверхности атаки. Фурно сказал, что это «огромная проблема». И даже Оллманн, чья карьера была сосредоточена на аналитике безопасности — подходе, направленном на использование анализа данных для упреждающего предотвращения атак, согласен с тем, что использование машинного обучения и интеллектуальных решений увековечивает цикл и создает новые проблемы безопасности, которые необходимо решать.
В компании Code42, которая создает программное обеспечение для обнаружения и реагирования на инсайдерские риски, Хэнсон даже считает, что это создает препятствия внутри компании. Одна из дилемм, по ее словам, заключается в том, что они хотят, чтобы сотрудники использовали новые средства совместной работы и делились своими наработками, но это само по себе теперь является «огромным риском, с которым должны бороться команды безопасности».
Золотая лихорадка кибербезопасности
По данным The New York Times, с 2019 года рост финансирования кибербезопасности опережает рост общего венчурного финансирования. А теперь, после пандемии, основатели компаний, занимающихся кибербезопасностью, рассказывают, что к ним приходят потоки денег, они заключают крупные сделки быстрее, чем когда-либо прежде, а их телефоны разрываются от звонков венчурных капиталистов, даже когда они не ищут сделки. Компания Greylock Partners только что выписала самый крупный чек в своей истории — 40 миллионов долларов — компании Abnormal Security, а один из венчурных капиталистов сказал в интервью Times, что никогда не видел, чтобы расценки «так возрасли».
Можно сказать, что эти инвесторы наблюдают за, казалось бы, бесконечным натиском кибератак и стремятся поддержать разработку решения. Но если учесть, что существующие решения не используются в полной мере, что предприятия готовы тратить на безопасность (больше, чем когда-либо), и циклический характер отрасли, легко понять, почему у венчурных капиталистов в глазах есть денежные знаки. Отрасль, которая по своей природе готова развиваться вечно, всегда пытаясь наверстать упущенное, идеально подходит для инвесторов.
Венчурные капиталисты, конечно же, в первую очередь занимаются зарабатыванием денег. Точнее, они используют свои деньги для конкуренции, даже когда нет никаких доказательств того, что продукт работает или что у компании есть жизнеспособная бизнес-модель. Венчурные инвестиции продолжают поддерживать целые отрасли, которые пока не приносят прибыли и явно проигрывают. Даже когда компания или отрасль терпит крах, венчурные капиталисты, как правило, уже получили свою прибыль. Зачастую они единственные, кто действительно выигрывает.
“Они даже вкладывают деньги без расчета на то, что эта компания может заработать деньги в будущем, выйти, продать или провести IPO. Это не то, что они делают”, — сказал Нарейн. “ Многие из них вкладывают 10 миллионов долларов в серию А, и они делают ставку на то, что смогут довести эту компанию до серии В, а затем передадут деньги другому инвестору, и ребята из серии B и серии A получат деньги и пойдут делать это снова. У них есть стимул не создавать компании, а получать больше финансирования. Это превращается в снежный ком просто денег, гоняющихся за плохими деньгами, гоняющихся за плохими деньгами».
Нарайн также отметил, что все инвестируемые деньги не соответствуют менталитету «предполагаемого нарушения», характерному для современной индустрии. Фурно также согласился с тем, что «золотая лихорадка» не «помогает проблеме», хотя его компания Virsec недавно привлекла финансирование в размере 100 миллионов долларов. Однако в привлечении средств Virsec есть одно существенное отличие: помимо венчурных фирм, в обширный список инвесторов вошли несколько известных деятелей государственного сектора, включая бывших высокопоставленных правительственных чиновников и сотрудников разведки. Фурно считает, что в будущем необходимо использовать подход, схожий с государственно-частным подходом NASA, и это отражает формирующуюся точку зрения, согласно которой кибербезопасность является критически важной задачей, в большей степени связанной с национальной безопасностью и выходящей за рамки компетенции только стартапов (и даже крупных технологических компаний).
Кибербезопасность находится на первом месте в повестке дня президента Байдена. Буквально на днях он призвал компании «поднять планку», после того как Белый дом объявил о широкой инициативе по кибербезопасности с участием Amazon, Microsoft, IBM, Google и Apple. На встрече присутствовали руководители всех компаний, которые пообещали внести различные вклады: денежные пожертвования, обучение кибербезопасности, и усилия в отношении подходов в использовании уже известных нам эффективных методов, таких как бесплатные устройства многофакторной аутентификации.
«Я больше не думаю, что вкладывание денег решает проблемы», — сказал Нарайн. «Я думаю, что мы уже далеко за пределами того, что можно решить с помощью денег. Потому что если бы деньги могли решить проблему, мы бы ее уже решили».
Перевод статьи «The cybersecurity industry is burning — but VCs don’t care»