15 Things You Didn't Know About The CyberSecurity Industry
關於網路安全行業你不知道的 15 件事
說網路安全正在蓬勃發展,是輕描淡寫的說法。當然,我們談論的是證券公司飛漲的估值(平均為 5.241 億美元)和大量資金(僅今年迄今為 122 億美元)投資者湧入該行業。因為就成功而言,還有很多不足之處。最近對 SolarWinds 和 Kaseya 的供應鏈攻擊,以及對 Microsoft Exchange 的零日攻擊,將網路犯罪提升到了一個新的水平,並顯示一次違規可能會削弱數万甚至數十萬組織。以及對醫院和殖民管道等關鍵基礎設施的攻擊,明確了賭注有多高。僅 2020 年發生的數據洩露事件,就比過去 15 年的總和還要多 —— 而 2021 年的情況也好不到哪裡去。
「這令人沮喪,」在該行業擁有 15 年經驗的網路安全公司 Code42 的首席資訊安全官 Jadee Hanson 告訴 VentureBeat。
Dave Furneaux 在擔任 IT 和網路安全投資者 20 年後,最近加入安全公司 Virsec 擔任首席執行官,他也表達了這種觀點。「我們現在處於比以往更糟糕的時刻,」他說。
一些行業資深人士甚至認為網路安全是一場失敗的遊戲,包括長期擔任安全記者和英特爾前安全總監的瑞安·納雷恩 (Ryan Naraine)。總的來說,他說他有一個「悲觀」的觀點。
「在過去的 10 年裡,我一直在聽說解決安全問題,」他告訴 VentureBeat。「10 年後,我們來到這裡。事情只會變得更糟。」
那我們是怎麼到這裡的呢?如果幾十年的創新、廣泛的參與者和數十億的投資只會讓我們陷入一個每年因網路犯罪造成的損失幾乎超過每個國家 GDP 的世界,那麼我們應該如何看待當前的 VC 淘金熱?
為什麼一切都感覺像著火了
網路攻擊的急劇增加,並不意味著沒有任何進展。實現零信任的多因素身份驗證 (MFA)、加密和技術可以產生真正的影響。HTTPS 雖然簡單且通常被認為是理所當然的,但它在我們的瀏覽器中引入了有效的身份驗證。我們可以使用智慧手機安全地支付商店中的日常用品,這很重要。
「年復一年,安全技術不斷進步並變得越來越好,」早期安全分析先驅兼 Devo 現任首席安全官 Gunter Ollmann 告訴 VentureBeat。「然而,互連繫統的多樣性和複雜性成長得更快,因此攻擊面的成長速度超過了大多數企業,可以有效保護的速度。」
安全專家普遍認為,技術採用的速度是導致當前網路犯罪環境的主要因素。技術只是發展得太快了。許多最新的技術驅動的商業策略 —— 例如儲存大量數據 —— 會帶來成倍增加的風險。此外,十年甚至五年前還不太依賴技術的公司,如今也非常依賴。
Hanson 指出,在過去,你通常要處理運行應用的伺服器,並且實際上可以將其實體鎖定。她說:「如今的環境不斷變化,我們擁有的所有技術都觸手可及。」
特別是向遠程工作和雲的轉變,正在發揮巨大的作用。麥肯錫發現,大流行將數位化轉型的步伐加快了七年,Gartner 預測,到 2023 年,70% 的企業工作負載將佈署在雲中,高於 2020 年的 40%。總體而言,預計全球公共雲端服務,將成長根據 Gartner 的數據,從 2021 年的 3877 億美元增加到 2025 年的 8055 億美元。
但在最近對安全專業人士的一項調查中,大多數人表示公共雲端安全「勉強」夠用。就在前幾天,Wiz 的安全研究人員警告微軟,他們在 Azure 的中央數據庫中發現了一個漏洞,並且「能夠訪問 [他們] 想要的任何客戶數據庫。」 在研究「更複雜、更具破壞性」的網絡攻擊——比如針對多個金融機構的網絡攻擊——理論上會如何失敗時,紐約市的網路工作組確定它可能會從朝鮮駭客,入侵第三方服務提供商開始,例如作為一家雲端運算公司。
「這就是為什麼我們有勒索軟體流行的原因。這就是為什麼一切都感覺像是著火了,」Naraine 說。「因為我們以戲劇性的方式進入了雲端運算,而正確配置它是不可能的。事情暴露了。」
另一個重要因素是,每天每時每刻都有裝備精良,且有經濟動機的對手,在破壞安全工作。他們不斷採用新策略並結成聯盟,網路安全只是領先一步。例如,專門為阻止網路釣魚攻擊而創建的 Microsoft 365 設置,最近被駭客用於(你猜對了)網路釣魚。更重要的是,Naraine 指出,許多以前僅由民族國家行為者,使用的高端漏洞利用工具,現在正在過濾到日常網路犯罪分子,而幾年前情況並非如此。
「有組織犯罪繼續採用這些新技術,坦率地說,其支出超過了維權者和執法部門,」奧爾曼說。
https://www.approtech.com/index.php |
一個優先級問題
儘管與當今的技術和數據實踐相關的風險增加,但網路安全通常被視為事後的想法。
「我不認為每家公司,都以他們可能應該的方式投資於網路安全,」漢森說,並補充說安全應該是每家公司的核心部門 —— 就像財務和人力資源一樣。
但現實情況是,許多企業在沒有充分考慮安全權衡的情況下,優先考慮特性和功能。例如,最近的一項調查發現,即使面對日益緊迫的網路犯罪威脅,大多數 IT 領導者,仍主要專注於實現競爭差異化,和數位化轉型。
正因為如此,你可以感受到一些專家的挫折感和挫敗感。雖然他們承認在當今的環境中,不可能確保一切安全,但有些人認為該行業推出的有效解決方案,並未得到充分利用。例如,多因素身份驗證被廣泛認為是標準,並且可以強有力地防禦多種類型的密碼相關攻擊,但在 Thales 的 2021 年數據威脅報告中,只有 55% 的受訪者表示,他們的公司已經實施了任何形式的 MFA。最近對 IT 領導者和員工的另一項研究顯示,43% 的人承認不遵守安全協議。更複雜的問題是網路安全專業知識的嚴重短缺,預計這種情況只會惡化 在未來幾年。
「30 年來,我們一直在指導和教育用戶使用 8 個以上字符的密碼,但大多數人仍然沒有掌握它,」Ollmann 說。「十多年來,我們擁有出色的無密碼,和多因素身份驗證技術,可證明可以增強用戶體驗,並取代那些舊密碼(以及與之相關的所有攻擊媒介),而企業現在才開始採用它們作為默認密碼解決方案。」
一場不可能的追趕遊戲
所有這些都指向了一個關於網路安全的內在真理:這是一個永無止境的循環。隨著該領域的發展,對抗它的對手及其必須保護的技術也在不斷發展。
「[關於網路安全行業]保持不變的是我們仍在追趕,」漢森說。「10年前是這樣,今天也是這樣。」
甚至網路安全領域的許多進步(例如數據分析和機器學習的使用),也反過來導致了新的安全問題,例如增加了攻擊面。Furneaux 說這是一個「巨大的挑戰」。甚至 Ollmann 的職業生涯一直專注於安全分析,這是一種專注於使用數據分析,主動阻止攻擊的方法,他也同意使用機器學習和智慧解決方案會延續這個循環並產生必須處理的新安全問題。
在創建內部風險檢測和響應軟體的 Code42,Hanson 甚至覺得這在內部製造了障礙。她說,一個難題是他們希望員工使用新的協作工具,並共享他們的工作,但這樣做本身現在是「安全團隊需要應對的巨大風險」。
智慧酒店門禁資安首選設備 Klacci Kii 酒店助理系統
網路安全淘金熱
據《紐約時報》報導,自 2019 年以來,網路安全資金的成長速度,超過了整體風險投資的成長速度。現在自從大流行以來,網路安全創始人描述了大量資金湧入他們的方式,比以往任何時候都更快地完成了大規模交易,並且他們的電話在接到風險投資家的電話時響起,即使他們並不在尋找交易。Greylock Partners 剛剛向 Abnormal Security 開出了有史以來最大的一張支票 —— 4000 萬美元,一位風投告訴《紐約時報》,他從未見過估值「如此上升」。
可以說,這些投資者正在註視著看似永無止境的網路攻擊,並爭相支持解決方案的開發。但是當你考慮到現有的解決方案,沒有得到充分利用、企業現在願意在安全上投入多少(比以往任何時候都多)以及行業的周期性時,就很容易理解為什麼風投眼中,會有賺錢的跡象。一個本質上準備永遠持續下去,總是試圖趕上的行業,對投資者來說是完美的。
當然,風險投資家首先從事賺錢的業務。更具體地說,他們用自己的錢來競爭,即使沒有證據顯示,產品有效或公司具有可行的商業模式。從叫車服務到第三方外賣,風險投資繼續支撐著尚未盈利,且明顯處於雙輸局面的整個行業。即使公司或行業失敗,風險投資家通常也已經獲得回報。通常,他們是唯一真正獲勝的人。
「他們甚至沒有註入資金,期望這家公司可能會在未來賺錢、退出、出售或首次公開募股。那不是他們正在做的事情,」Naraine 說。「其中很多是 1000 萬美元的 A 系列,他們押注他們可以讓這家公司進行 B 系列,然後他們將責任轉嫁給另一位投資者,B 系列和 A 系列的人可以套現,並離開再來一遍。他們受到的激勵不是建立公司,而是獲得更多資金。這變成了金錢追逐劣幣追逐劣幣的滾雪球。」
Naraine 還指出,所有投入的資金都與當今行業的「假定違約」心態不符。Furneaux 也同意現金的淘金熱,並不能「解決問題」,儘管他的公司 Virsec 最近確實籌集了 1 億美元的資金。然而,Virsec 加薪的一個顯著區別是,除了風險投資公司之外,龐大的投資者名單,還包括來自公共部門的幾位著名人物,包括前政府高級官員和情報官員。Furneaux 認為更類似於 NASA 的公私合作方式,是前進的方向,這代表了一種新興觀點 —— 網路安全是一項更符合國家安全的關鍵任務,超出了安全新創公司(甚至大型科技公司)的權限範圍。
網路安全是拜登總統議程的重中之重。就在前幾天,當白宮宣布與亞馬遜、微軟、IBM、谷歌和蘋果共同發起,一項廣泛的網路安全計劃時,他敦促公司「提高標準」 。所有公司的首席執行官都出席了會議並承諾了各種貢獻,包括現金捐贈、網路培訓以及圍繞我們已知有效的方法做出的努力,例如免費的多因素身份驗證設備。
「我不認為抽錢解決問題了,」納雷恩說。「我認為我們遠遠超出了金錢。因為如果錢可以解決它,我們早就解決了。」
0 comments:
張貼留言