从事网络安全行业的人可能会发现,云安全有些独特。与其他安全领域不同,它很少被细分到不同厂商的小型用例:当客户购买云安全产品时,他们希望该产品能够解决多个领域的问题,包括漏洞管理、检测和响应、合规与报告,以及云安全态势和数据安全态势。而终端安全等其他细分市场则不会出现这种情况,因为这些领域被视为独立的市场。
云计算似乎已经形成了一个更加紧密的领域(云安全),而不是在前面加上“云”字的细分市场(云DLP、云入侵检测系统、云安全信息和事件管理、云漏洞评估等)。
本文,我将探讨云安全与其他类别发展不同的因素。
加速云安全市场兴起的因素
客户希望在一个地方完成所有工作
如果没有整体云安全解决方案的需求,也许网络安全行业就不会发展成现在这样。幸运的是,对于我们和Wiz、Orca Security等公司来说,客户已经厌倦了谈判几十份合同,部署团队来拼接数十种不同的工具,而这些工具从一开始就不是为了相互协作而设计的。企业都在寻找 所谓“一体化”的平台解决方案,这种解决方案可以解决同一攻击载体的多个用例。需要注意的是,企业内部有时也有这种愿望,但与云计算相比,似乎要难得多。
客户的需求是一个强大的推动力,它无疑是推动安全企业家走上开发云安全市场这一条路的其中一个因素。
创始人的雄心和IPO的空间
大多数业内人士都熟悉这样一个事实,即平台(为解决多种问题而构建的工具集合)比所谓的单点解决方案(为解决某一特定问题而设计的产品)更有价值。这并不奇怪:一家公司能解决的问题越多,就能抓住更多的客户买单,也就能发展得越大。
我们看到,网络安全公司要想上市或以独角兽估值退出,就必须建立一个平台。CrowdStrike、Palo Alto、Sentinel One 等公司都很好地说明了这一点。云安全的复杂性和对云计算日益增长的需求,为平台的创建提供了一个巨大的机会,而这个机会似乎仍有待把握。
使云安全与众不同的因素
虽然客户的需求、创始人建立安全平台的雄心以及获利退出的潜力无疑都是强大的动力,但仅仅因为有人想建立一个一体化的平台,并不意味着它是可行的。终端安全就是一个很好的例子:虽然许多创业者都想建立平台,但这并不能改变终端安全是数十种独立产品的集合这一事实,只有少数几家公司(如上述的Palo Alto、CrowdStrike 和 SentinelOne)能够建立整体解决方案。
云安全有两个独特的因素使这一市场类别成为可能。
云提供商强大的API
纵观大多数安全领域,我们可以清楚地看到,构建一个能够全面覆盖某一资产类型的产品是非常困难的。不同的公司有不同的终端平台,为Windows构建的终端与为Linux构建的终端是完全不同的(这两项任务都可能需要一两年的时间才能完成)。资产发现、资产管理、漏洞管理、检测和响应以及其他关键的安全组件在不同平台上的工作方式也不尽相同。更重要的是,不同的公司在日志管理、自动化和相似场景方面使用不同的解决方案;进入该领域的供应商需要找到一种方法,以支持深植于组织基础架构中的传统工具。所有这些原因都清楚地说明了,为什么没有一家初创公司能够在一个地方快速开发出涵盖所有类型终端平台的、所有可能用例的产品。
其他领域也存在类似的问题,例如在应用安全领域,一些组织使用 GitHub,另一些则依赖GitLab以及其他十几种工具来保护软件开发生命周期不同阶段的软件应用程序代码和其他核心组件的安全。
云计算则不同。由于云被设计为可无限扩展且API优先,云提供商构建了强大的API。这使得一家公司可以实现大部分逻辑,并构建保护云安全所需的大部分组件。每个云提供商如AWS、Azure、GCP、Digital Ocean等都有提取数据的能力,因此云安全厂商只需要一种方法,将其规范为通用格式,并在不同平台间映射类似的概念。
云的这种API优先特性,是云安全厂商能够快速行动、并从头开始构建云安全平台的主要原因,而这在以前的其他资产类别中是不可能实现的。如今,我们看到其他资产类别也开始采用这种模式,例如API驱动的EDR。
利用现有概念的能力
我们所熟知的网络安全是过去几十年发展的结果。当我们审视该领域中一些最古老的领域,即网络和终端安全时,就会发现我们今天拥有的所有概念,都是多年研究、知识共享、对新威胁做出反应以及迭代不同产品的结果。
将新概念引入行业的过程很容易理解。我们有工作站,因此需要确保工作站的安全。当我们意识到很难跟踪环境中的所有终端时,我们建立了资产发现系统。当我们开始发现计算机病毒时,我们开发了反病毒解决方案来检测并清除系统中的病毒。当我们意识到并非所有的坏人都能通过检查签名来识别时,我们引入了行为检测。当我们意识到每种资产都有许多漏洞,但并非所有漏洞都被利用,而且我们无法修复所有漏洞时,我们引入了漏洞管理的概念。当我们开始关注如何大规模处理所有问题时,“基础设施即代码”、“策略即代码”和“检测即代码”的概念应运而生。
我们所熟知的网络安全供应商市场,从根本上说,是不同企业家为实现我们作为一个行业所发现、并认为需要的概念,而进行的一系列尝试。
当云安全成为一种需求时,从资产管理到漏洞管理、检测与响应、一切皆代码等大多数概念都已被人们所熟知。这意味着,云安全公司的创始人能够快速行动,实施已经为其他资产类别构建的内容。
云平台的局限性
事件响应是云计算仍有待解决的领域之一,尽管我们看到:a)云 API 也能实现自动事件响应(想想Torq、Tines等);b)Gem Security等公司专注于云中的事件响应。由于云是为规模而构建的,每毫秒都会有变化,而这种变化都会被记录下来。大部分事件响应都依赖于审计和访问日志。遗憾的是,不仅很难理解这种机器规模的数据量,而且这些数据的存储成本也高得惊人。如今的云安全平台对数据的访问非常临时,因此 客户别无选择,只能依靠其他工具进行长期存储。
挑战之一是许多公司希望将所有数据集中在一处。要解决这一难题,云安全提供商需要成为数据平台——数据湖或SIEM提供商,专门用于存储和查询海量遥测数据。在所有的安全都成为云安全之前(这本身在未来几十年内就不太可能),云安全市场类别不会吞噬所有其他安全解决方案。
结语:从头开始
云安全面临诸多挑战
首先,利用云功能的公司不断增加,使其成为一个快速增长的市场。其次,由于只有AWS、Azure 和GCP三家大型公共云提供商比较重要,因此构建云安全解决方案的公司有能力集中精力。第三,云安全企业有能力从零开始:在利用其他安全领域所有现有知识库的同时,构建新型产品,并利用强大的应用程序接口优势,快速实现产品化。
所有这一切,再加上那些执行力强的安全平台可以通过IPO获得丰厚的估值和退出机会,使得云安全提供商的创始人们专注于整个云安全。我坚信,在未来几年里,云安全领域将出现多个令人印象深刻的退出案例。
尽管取得了这些积极进展,但一些挑战依然存在。从数据存储到跟上云计算日益增长的复杂性,许多棘手的问题都有待解决。重要的是,并不是每个问题都应该通过购买工具来解决。如果您想从实践者的角度了解云安全以及为云原生组织构建与购买安全解决方案,我强烈推荐Rami McCarthy在fwd上的演讲:cloudsec - Beyond the AWS Security Maturity Roadmap。
原文链接:
https://ventureinsecurity.net/p/cloud-security-factors-that-make
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。