一些優(yōu)秀安全專家表示，SolarWinds黑客和COVID-19大流行加速了網(wǎng)絡(luò)安全支出。

當(dāng)前，首席信息安全官不僅要確保越來(lái)越分散的員工隊(duì)伍的安全，他們還必須提防一些來(lái)自信譽(yù)良好的供應(yīng)商的軟件代碼，包括一些本來(lái)是用來(lái)保護(hù)他們免受網(wǎng)絡(luò)攻擊的補(bǔ)丁代碼。企業(yè)現(xiàn)在更加優(yōu)先考慮各種零信任(Zero-trust)方法，包括簡(jiǎn)化身份訪問管理、更好的端點(diǎn)保護(hù)和云安全等方法。這些領(lǐng)域的領(lǐng)先解決方案的發(fā)展勢(shì)頭不錯(cuò)，而從支出的角度來(lái)看，傳統(tǒng)的老舊產(chǎn)品則日漸式微。

我們將在本文里總結(jié)一下最近的企業(yè)技術(shù)研究VENN會(huì)議上CISO(首席信息安全官的英文縮寫)的觀點(diǎn)，同時(shí)也將提供我們對(duì)網(wǎng)絡(luò)安全市場(chǎng)的季度更新。我們還將為讀者初步解讀一下2021年頭兩月信息安全領(lǐng)域的態(tài)勢(shì)。

SolarWinds攻擊：“我們從未見過這樣的情況”

媒體報(bào)道過SolarWinds攻擊，但假若讀者并不知道細(xì)節(jié)的話，SolarWinds公司提供的軟件用于監(jiān)控企業(yè)內(nèi)部基礎(chǔ)架構(gòu)許多方面的運(yùn)行，包括網(wǎng)絡(luò)性能、日志文件、配置數(shù)據(jù)、存儲(chǔ)、服務(wù)器等等。SolarWinds和所有其他軟件公司一樣也會(huì)定期發(fā)布更新和補(bǔ)丁。而黑客則成功滲透了SolarWinds的更新并植入“木馬”，這意味著客戶在安裝更新時(shí)，植入的惡意軟件就搭上了順風(fēng)車。

這種情況下的中招很隱蔽，原因是黑客往往會(huì)瞄著那些沒有安裝補(bǔ)丁或更新的系統(tǒng)，然后找到存在的基礎(chǔ)架構(gòu)漏洞。在這種情況下，用作保護(hù)組織的代碼實(shí)際上還促進(jìn)了漏洞的發(fā)生。據(jù)專家介紹，這次的SolarWinds攻擊屬于高級(jí)攻擊，而且有多個(gè)變種，大多數(shù)人認(rèn)為是出自俄羅斯黑客組織Cozy Bear的手筆。Cozy Bear被美國(guó)政府歸類為高級(jí)持久性威脅，或APT。

據(jù)推測(cè)，Cozy Bear是以某種釣魚方式進(jìn)入一個(gè)GitHub庫(kù)并竊取了用戶名和密碼訪問權(quán)限，進(jìn)而滲透到經(jīng)互聯(lián)網(wǎng)交付的軟件供應(yīng)鏈里。但關(guān)于這次攻擊的公開信息還是很零散。已經(jīng)知道的信息是攻擊者去年3月就潛伏下來(lái)，在9個(gè)月的時(shí)間從美國(guó)政府和眾多其他公司(包括微軟公司和思科系統(tǒng)公司)那竊取了大量數(shù)據(jù)。

CISO們對(duì)SolarWinds攻擊的看法

去年我們的CUBE朋友 Val Bercovici of Chainkit在攻擊發(fā)生后發(fā)給我們的推特消息表示，他認(rèn)為政府被黑將對(duì)以后組織如何對(duì)待網(wǎng)絡(luò)安全產(chǎn)生永久性影響。CISO們似乎都同意這個(gè)觀點(diǎn)。以下是1月底由ETR主持的CISO圓桌會(huì)議上的一些評(píng)論原文。

• 這次泄露的影響是深遠(yuǎn)的，真的顛覆了很多關(guān)于網(wǎng)絡(luò)安全的慣例，我不認(rèn)為媒體夸大了威脅。
• 我們現(xiàn)在所處的情況是，我們必須監(jiān)控那些監(jiān)控機(jī)構(gòu)。
• 這次攻擊不具有任何過去攻擊的特征……所以是到了代碼層面。
• 那些代碼的 80-90%都是從網(wǎng)上下載的……。事關(guān)DevOps安全流程，我們得重新思考如何重塑安全。

可以做什么?

這是每個(gè)CISO現(xiàn)在都在糾結(jié)的問題。安全專家會(huì)告訴你，他們正在重新考量自己的實(shí)踐、工具和方法，但沒有答案。

下圖是個(gè)標(biāo)簽云，總結(jié)了我們?cè)贑UBE社區(qū)和VENN圓桌會(huì)議上從安全從業(yè)者那里聽到的一些情況。

可以聽到CISO們經(jīng)常談?wù)摿阈湃螜C(jī)制，許多人都在傾向于用身份訪問管理和特權(quán)訪問管理，即PAM。我們也聽到關(guān)于必須用雙因素認(rèn)證的說法。我們過去寫過大量關(guān)于身份和公司的文章，如Okta公司、Sailpoint技術(shù)公司和CyberArk軟件公司。微軟在這場(chǎng)對(duì)話里出現(xiàn)得越來(lái)越多了，尤其是業(yè)界認(rèn)為Okta設(shè)置了一個(gè)價(jià)格保護(hù)傘，CISO們肯定會(huì)有一些沮喪。Auth0是個(gè)做身份驗(yàn)證即服務(wù)的公司，Auth0也出現(xiàn)在我們的雷達(dá)上。

當(dāng)然，端點(diǎn)安全受到關(guān)注，在家工作的趨勢(shì)已經(jīng)變得更加重要。從CrowdStrike Holdings Inc.的增長(zhǎng)中可以看到這一點(diǎn)，過一會(huì)兒就可以看到，從ETR調(diào)查數(shù)據(jù)中可以看到VMware Inc.和Carbon Black以及Tanium Inc.的發(fā)展勢(shì)頭。

CISO們不會(huì)隨便摘掉自己的東西，所以思科(尤其是Umbrella和Duo)出現(xiàn)在談話中。還有Palo Alto Networks公司。我們說過很多次，他們被視為思想領(lǐng)袖，CISO們喜歡Palo Alto以及Fortinet公司。Fortinet買家往往更注重成本，他們往往是一些中等市場(chǎng)客戶。

分析和微觀細(xì)分市場(chǎng)方面、云安全方面的Zscaler公司也是這樣，甚至實(shí)現(xiàn)某些任務(wù)自動(dòng)化的機(jī)器人流程自動(dòng)化公司。UiPath公司 出現(xiàn)在談話中，還有更多的公司也是在安全場(chǎng)景下出現(xiàn)。

因此，看了上面的這個(gè)標(biāo)簽云后，沒有答案，網(wǎng)絡(luò)這一塊也一樣，很多工具，很多學(xué)科，還有一個(gè)非常有力的對(duì)手，已經(jīng)學(xué)會(huì)了俗話說的"靠天吃飯"，學(xué)會(huì)了用自己的基礎(chǔ)架構(gòu)和工具來(lái)對(duì)付你。

安全預(yù)算并非無(wú)限

比較一致的說法是，安全是CIO和CISO的重中之重，預(yù)算會(huì)增加。董事會(huì)意識(shí)到了重要性也愿意花費(fèi)。那我們就來(lái)看看這一點(diǎn)。

事實(shí)是，只是在某種程度上是這樣。上圖顯示了整個(gè)ETR分類里各行業(yè)的凈得分或支出的趨勢(shì)，我們高亮了信息安全板塊。是的，相對(duì)于10月份的調(diào)查，安全板塊的支出是上升了，但并不突出。

一切都在上升，就像我們所報(bào)道過的，前一年的科技支出下降，是負(fù)4%，我們預(yù)測(cè)今年會(huì)有正6%到7%的增長(zhǎng)，取決于復(fù)蘇的速度。但問題是，網(wǎng)絡(luò)是眾多預(yù)算項(xiàng)目里的一項(xiàng)，組織并不是簡(jiǎn)單地給CISO一張空白支票。

(1) 一眾公司已經(jīng)在安全方面做了大量投資。

上圖顯示了幾個(gè)行業(yè)的場(chǎng)景，我們用紅框標(biāo)出了安全?？v軸顯示的是凈得分或支出速度，橫軸是市場(chǎng)份額或在數(shù)據(jù)集中的位置?？梢钥吹?，安全的位置很靠右，當(dāng)然，安全無(wú)處不在。

但安全在支出速度上卻落后一些頂級(jí)行業(yè)，因?yàn)榻M織有很多的優(yōu)先事項(xiàng)。當(dāng)然，正如在下面將要看到的那樣，安全領(lǐng)域也和大多數(shù)成熟市場(chǎng)一樣，有些公司在這方面的支出爆棚，也有一些公司的支出模式落在后面。

(2) 身份識(shí)別、端點(diǎn)和云計(jì)算領(lǐng)域廠商具消費(fèi)動(dòng)力

下圖是同樣的XY坐標(biāo)圖，列出了一些選定的安全玩家的數(shù)據(jù)。

從上圖可以看出幾點(diǎn)。

• 首先，微軟一如既往，遠(yuǎn)遠(yuǎn)地拋開其他商家處于圖右邊，令人驚奇的是，凈得分也提升了48%。
• Okta在過去幾次調(diào)查里一直處于領(lǐng)先地位，凈得分為61.5%，比上一季度的調(diào)查凈得分高。
• Okta、Crowdstrike、CyberArk、Fortinet、Proofpoint和Splunk均比上一季度調(diào)查的凈得分有很好的增長(zhǎng)。
• 我們還要特別提一下 Carbon Black。該公司上個(gè)季度的凈得分為23.9%，被提及134次，本季度的凈得分飆升至近38%。VMware在2019年夏天花21億美元收購(gòu)Carbon Black，這樣明顯的增長(zhǎng)也是不負(fù)這次的收購(gòu)。

我們看到了一些公司的好勢(shì)頭，一方面是源于科技支出的普遍反彈，但也源于我們強(qiáng)調(diào)提出的安全支出的轉(zhuǎn)變。我們也可以看到有幾家傳統(tǒng)安全公司失去了支出動(dòng)力，尤其是FireEye公司和RSA公司，但在ETR數(shù)據(jù)集中還有許多其他公司也處于紅色區(qū)域。

(3) 微軟、Palo Alto Networks、Okta和CrowdStrike：顯著的好勢(shì)頭和市場(chǎng)位置。

下面我們來(lái)深入了解一下數(shù)據(jù)和廠商的表現(xiàn)。

下表是我們?cè)?019年首次展示的數(shù)據(jù)視圖。這張表顯示了凈得分(支出速度)和分享N指標(biāo)，分享N指標(biāo)表示在業(yè)界被提及的次數(shù)，是個(gè)市場(chǎng)存在指標(biāo)。左邊的表是按凈得分排序，右邊的表按分享N指標(biāo)排序，入選被考慮之列并出現(xiàn)在圖表里的供應(yīng)商在調(diào)查時(shí)間范圍內(nèi)至少在業(yè)內(nèi)被提及50次。

可以從左邊的表看到，Okta(61.5%)和Sailpoint(59.5%)在凈得分上領(lǐng)先，微軟在業(yè)界的存在指標(biāo)數(shù)最大(518共享N)，思科(305)和Palo Alto(278)排第二、第三。

(4) 四星級(jí)公司和兩星級(jí)公司

我們?cè)趦赡昵伴_始用星級(jí)評(píng)等方法，如果一家廠商的凈得分和分享N指標(biāo)都出現(xiàn)在前十名，我們就會(huì)給四顆星。所以微軟、Palo Alto、Okta和CrowdStrike四家都是四星級(jí)網(wǎng)絡(luò)安全廠商。

而那些在這兩個(gè)類別中進(jìn)入前20名的公司則獲得兩顆星。Cisco(由于Umbrella和Duo的關(guān)系)、Splunk、Proofpoint、Fortinet、Zscaler、CyberArk和Carbon Black(現(xiàn)屬VMware)都是兩星級(jí)網(wǎng)絡(luò)安全廠商。Carbon Black由于凈積分的快速上升成為兩星榜單新廠商。

(5) 關(guān)于Carbon Black的一個(gè)小插曲

在2019年的VMworld活動(dòng)上，Pat Gelsinger告訴theCUBE，他覺得花21億美元的價(jià)格拿下Carbon Black是一筆好的大買賣。

他這樣說的邏輯一部分是基于Carbon Black競(jìng)爭(zhēng)對(duì)手CrowdStrike的估值。CrowdStrike當(dāng)時(shí)的估值(如下圖)是Carbon Black的9倍。而且可以從尾部12個(gè)月的營(yíng)收里看到，CrowdStrike是一家規(guī)模更大的公司，營(yíng)收比Carbon Black高一億多美元，但故事的核心是CrowdStrike的增長(zhǎng)達(dá)100%。CrowdStrike當(dāng)時(shí)的增長(zhǎng)速度遠(yuǎn)高于Carbon Black的22%，證明其相對(duì)價(jià)值明顯更高。

當(dāng)然，VMware的想法是可以以低于市場(chǎng)領(lǐng)導(dǎo)者的價(jià)格折價(jià)收購(gòu)Carbon Black，然后通過將其捆綁到VMware日益強(qiáng)大的安全產(chǎn)品上為該資產(chǎn)注入增長(zhǎng)和盈利能力。VMware創(chuàng)建了一個(gè)由Carbon Black首席執(zhí)行官Patrick Morley領(lǐng)導(dǎo)的云安全集團(tuán)，凸顯了在該領(lǐng)域的承諾。

VMware在最近的財(cái)報(bào)電話會(huì)議上表示，Carbon Black的預(yù)訂表現(xiàn) "良好"。誰(shuí)都不知道這到底是什么意思，但如果增長(zhǎng)率明顯超過22%(收購(gòu)時(shí)Carbon Black的增長(zhǎng)率是22%)，我們猜VMware的溢美之詞可能會(huì)更夸張一些。我們不妨假設(shè)自收購(gòu)后，Carbon Black的增長(zhǎng)相對(duì)于收購(gòu)時(shí)的增長(zhǎng)更趨向于平緩，VMware在這一段時(shí)間不是在想辦法整合這個(gè)公司嘛。

盡管如此，我們?nèi)詴?huì)認(rèn)為Carbon Black的估值自收購(gòu)時(shí)起已大幅上升了，或許在30億至50億美元之間。所以在我們看來(lái)，對(duì)VMware而言是宗不錯(cuò)的收購(gòu)，VMware在收購(gòu)公司及將資產(chǎn)貨幣化方面有良好的記錄。而且我們認(rèn)為，置于VMware內(nèi)部的Carbon Black的價(jià)值可能會(huì)從這里開始增長(zhǎng)。此外，Carbon Black的ETR數(shù)據(jù)也令人鼓舞。

領(lǐng)軍企業(yè)的網(wǎng)絡(luò)安全估值持續(xù)飆升

我們來(lái)看看自新冠以來(lái)這個(gè)行業(yè)的估值是如何變化的。

上表是我們的估值矩陣最新視圖，時(shí)間段為自美國(guó)爆發(fā)新冠大流行病前夕以來(lái)?？梢钥吹剑瑯?biāo)準(zhǔn)普爾指數(shù)比那個(gè)時(shí)間段上漲了16%，納斯達(dá)克綜合指數(shù)上漲了43%?，F(xiàn)在來(lái)看看其他的股票。只有Splunk的估值真的沒有大的提升。Proofpoint的估值也沒有跟上。但其他公司要么漲幅明顯，如CyberArk和SailPoint，要么反彈上漲，如Palo Alto，要么保持良好，如Fortinet，要么大爆發(fā)，如Crowdstrike、Okta和Zscaler。

那大家會(huì)大致會(huì)覺得VMware的資產(chǎn)Carbon Black也會(huì)和這些公司一樣做得很好吧，會(huì)對(duì)VMware做出長(zhǎng)期的貢獻(xiàn)。

此外，我們預(yù)計(jì)，由于今年科技支出的回升，加上對(duì)SolarWinds黑客事件的高度關(guān)注以及從在家工作和數(shù)字化業(yè)務(wù)轉(zhuǎn)型構(gòu)造性轉(zhuǎn)變的加速，這些公司將持續(xù)向好......在一段時(shí)間內(nèi)。

網(wǎng)絡(luò)方面的關(guān)注因素

我們退出大流行，同時(shí)也在經(jīng)歷一個(gè)新的數(shù)字現(xiàn)實(shí)，這時(shí)的網(wǎng)絡(luò)威脅空前嚴(yán)重。每年的一月，如果回顧上一年的情況，我們就會(huì)說出和過去幾十年同樣的話。而現(xiàn)實(shí)情況是，網(wǎng)絡(luò)預(yù)算分配和后續(xù)支出與經(jīng)濟(jì)風(fēng)險(xiǎn)是不對(duì)稱的。換句話說，1250億左右的美元花在網(wǎng)絡(luò)安全上，每年因網(wǎng)絡(luò)犯罪而損失達(dá)數(shù)萬(wàn)億美元的價(jià)值，二者并不對(duì)等。我們現(xiàn)在花的錢還不夠多，但可能也無(wú)法靠花錢解決這個(gè)問題。

CISO們必須平衡在自己的傳統(tǒng)安裝基礎(chǔ)安全基礎(chǔ)架構(gòu)以及向零信任的轉(zhuǎn)變、加速端點(diǎn)、新的訪問管理挑戰(zhàn)和不斷擴(kuò)展的云之間取得平衡。還有做更多的事情。很少有人能夠像一張白紙一樣沒有過去的包袱。

人才的缺乏仍然是企業(yè)面臨的最大挑戰(zhàn)，企業(yè)已經(jīng)捉襟見肘了，因此在自動(dòng)化上的投資就成為一種趨勢(shì)，這種趨勢(shì)是不會(huì)在一段時(shí)間內(nèi)減弱的。

在網(wǎng)絡(luò)方面，各種陳詞濫調(diào)仍然有效：不存在靈丹妙藥。無(wú)暇喘息，仍要疲于奔命。對(duì)手的資金充足，能力也極強(qiáng)，他們只需成功一次，就能給一個(gè)組織帶來(lái)商業(yè)災(zāi)難，而一個(gè)組織每時(shí)每刻都必須成功。因此，準(zhǔn)備好應(yīng)付更多相同情況的出現(xiàn)，打擊網(wǎng)絡(luò)犯罪時(shí)的復(fù)雜性、分散性和“打地鼠”(Whac-A-Mole)法等等都是沒有盡頭可言的。

這樣說很痛苦，但這樣說只是意味著這個(gè)行業(yè)的基本面正在不斷改善。而對(duì)于試圖保護(hù)自己數(shù)據(jù)的組織來(lái)說，這就是現(xiàn)實(shí)。而這對(duì)投資者來(lái)說是個(gè)好消息，機(jī)會(huì)多多。