"Okta到底怎么了?"
类似这样五花八门的问题,我在过去一年里老被问到。
我也见怪不怪了。自从2022年3月宣布第一次漏洞以来,Okta的日子一直不好过。之后又发生了几起事件,人们很容易加入嗜血的暴徒行列,数着日子,等待Okta的灭亡。
我不是Okta的辩护人,但他们的情况并不像某些人想象的那么糟糕。他们会好起来的。甚至可能比以前更好......从终局来看。
什么?出了这么多问题,这怎么可能?
我们异想天开一把,来比较下Okta与人类历史上的一个流行故事。
灰姑娘的故事
所有伟大的故事都有个弧线。我们在观看节目、阅读书籍或观看电影时的感受,会让我们隐约地理解这一点。我们大多数人都不会去思考故事的机制,它只是我们情感上的体验。
Kurt Vonnegut是有史以来最伟大的小说家之一,他将模糊、难以量化的故事曲线概念变成了一门科学。他在《故事的形状》(Shapes of Stories)的简短(搞笑)演讲中,定义了伟大故事最常见的几个模式。
有一种特殊类型的曲线,一直在不断创造出一个又一个的爆款。这就是"灰姑娘的故事"。它是这样的:
想看点刺激的吗?
Okta从2017年上市到现在的股价走势图,几乎完全遵循了同样的曲线:
我没骗你。真是不可思议。
当然,这种比较只是一种隐喻,但Okta的成长叙事,与故事曲线非常吻合。
从厄运缠身,到网络安全的名媛舞会
Okta起步时的情况很糟。
2008年,Todd McKinnon 30多岁,是Salesforce的一名新晋高管,有一个宝贝女儿,还被诊断出患有1型糖尿病。当时的经济形势正处于自由下坠状态。
经济稳定、家庭和健康都对他不利。他好不容易才说服妻子,开公司是个好主意。
该公司最初名为Saasure,是一款网络监控产品。但它并没有获得成功。创始人迅速转向云身份管理,并将公司更名为Okta。
Okta云访问管理产品的稳步发展超出了所有人的想象。Andreessen Horowitz和红杉Sequoia的神仙教母们总共为公司提供了2.28亿美元的风险投资。2017年,Okta以15亿美元的估值上市。
作为一家上市公司,Okta的业绩和估值持续稳步增长,企业价值在2021年9月达到顶峰,为412.9亿美元。它是全球最有价值的网络安全公司之一。
这就是Okta如何从一个命运多舛的开端,一跃成为网络安全名媛舞会上的宠儿之一的简要介绍。
午夜钟声敲响时,故事才真正开始变得有趣起来。
当午夜钟声敲响
2022年3月22日,当LAPSUS$公开披露它通过第三方服务提供商入侵Okta时,一切都变了。
魔法消失了。他们的特斯拉变成了南瓜,Cotopaxi变成了破布。唯一留下的痕迹,是一只Allbirds的玻璃鞋。
Okta真实故事的主角是Todd McKinnon。他并不是衣衫褴褛,但你绝对找不到比这张照片更疲惫不堪的CEO了。这张照片是在漏洞披露后的第二天,他在一次软件行业会议上接受采访时拍摄的。
Source: Wolfe Research - March Madness Software Conference (2022)
从那时起,我们都听说过直接或间接的安全事件和PR失败:源代码泄露、Rightway Healthcare、Oktapus、MGM、支持案例管理......好了,别说了。
现在感觉就像,Okta做的再好,也都会被出错的事情掩盖了。
为什么?因为我们正在实时见证Okta“午夜钟声敲响”的时刻。
他们之前还站在网络安全世界的巅峰,现在却不是了。这令人震惊。我们都坐立不安,不知道故事将如何收场。
我们现在的想法和经历,正是灰姑娘故事的发展过程。可怕的事情发生了。事情看起来很糟糕。谁也不知道英雄这次能否崛起。
下面是公主从舞会上消失后发生的事情,她的玻璃鞋落下了。
下一个灰姑娘?
在电影《灰姑娘》中,王子在灰姑娘失踪后,展开了一场大规模的寻找行动。镇上的每个人都在试穿玻璃鞋,看看是否合脚。为了把脚塞进玻璃鞋里,继姐妹等人使出了各种阴险的招数。
这个标志性的场景,其实与Okta敲响午夜钟声后的那段时间并没有什么不同。
这里有一个关于竞争的重要教训:只要有机会,很多人都想让玻璃鞋合脚,抢走王位。
一些竞争对手纷纷采取“如果……就不会发生这种情况”之类的手法,以及各种可疑的策略,来抹黑Okta,以促使客户替换。很不幸,但也确实活该。
Okta能在安全方面做得更好吗?当然可以。
他们的错误是否让成千上万的客户面临风险?当然。
他们最初的公关和事件管理是否有所欠缺?好吧,是的。
但并非所有的安全事件都是一样的。事件时有发生。它们也可能发生在任何人身上,甚至是安全公司。“why”和“how”很重要。精明的安全领导者知道这一点。
现实情况是:玻璃鞋并不适合大多数其他身份安全公司。
由创始人领导的十角兽正处于鼎盛时期,不可能在一夜之间消失。Okta已经用掉了很多好运点,但这些事件造成的集体损害,远没有达到我们作为一个行业所见过的最糟糕的程度。
从实际情况来看,对于大多数客户来说,一旦实施了像Okta这样的身份平台,就很难再将其撤掉,而且在财务上也很难承担责任。身份平台的粘性极强,尤其是当它们与企业的大部分应用程序集成时。
对于大型企业来说,“不容易”意味着要花费数年时间、将数百或数千个应用集成迁移到新的身份识别平台。“不负财务责任”意味着数百万或数千万的资本支出,包括一大笔专业服务费用。
安全领导者对一再发生的一系列涉及Okta的事件感到失望和恼火。但是,对于大多数人来说,失望还不足以让他们断绝关系,另有所谋,尤其是在安全预算越来越紧张、而资金最好用在其他方面的时候。
当然,他们会大发雷霆,要求打折。他们会缩短续约时间。各种政治噱头都有可能发生,但很少有噪音能转化为实际的客户流失。
接下来,让我们来谈谈,为什么一些有洞察力的财务指标,意味着玻璃鞋仍然合脚。
玻璃鞋依然合脚
目前的证据并不能证明客户的大规模流失,也不支持某些人坚持认为的即将发生重大内爆。
我们如何知道客户没有流失?Okta在季度收益报告中报告了客户数据。他们的客户数量并没有减少:
Source: Okta Q3 FY24 Investor Presentation
那些10万美元以上的大客户也不会离开:
Source: Okta Q3 FY24 Investor Presentation
Okta的客户并没有离开。事实上,自第一次漏洞事件发生以来,他们新增了435家10万美元以上的客户。
收入也没有雪崩。从21财年(第一次漏洞发生前)到24财年末,其收入的CAGR为39%:
Source: Okta Q3 FY24 Investor Presentation
顺便说一句,他们现在比以往任何时候的利润都要好,计划在本财政年度结束时达到12%(non-GAAP)的营业利润率。
在2023年Gartner的访问管理魔力象限(2023 Gartner Magic Quadrant for Access Management)中,Okta仍然是领导者,这已经是连续第七次了。但这次他们并不是绝对的领导者,主要是因为微软在身份识别领域的投资,以及Thoma Bravo对Ping和ForgeRock的复兴,而不是Okta的一系列不幸事件。
作为一家市值约20亿美元的公司,在任何情况下都很难实现如此快速的增长。Okta是在恶劣的宏观经济环境、和除SolarWinds之外的其他网络安全公司从未面对过的嘈杂和审查的情况下,做到这一点的。
分析师评级和财务指标,不足以衡量Okta的客户和安全从业人员因安全事件而感受到的痛苦和沮丧。但是,它们是相关的。
如果客户抛弃Okta转而购买其他身份识别产品,那么现在的排名、收入和留存率指标都会一落千丈。但它们都没有。
我知道事情现在看起来仍然很糟糕,但Okta的故事会有一个美好的结局。这并不容易,但这是可能的,就像所有美好的灰姑娘故事一样。
Okta的故事仍有美好结局
从目前来看,Okta的大团圆结局肯定不是命中注定。但如果他们能做对一切,还是有可能的。
CISO和投资者最关心的问题是:是否还会发生更多的安全事件?
也许吧。对于攻击者来说,Okta中的“O”现在可能就是一个巨大的靶心。神仙教母不会拯救他们。要改变这种说法,需要付出巨大的努力。
还有一个伊卡洛斯的故事曲线。这是一个关于狂妄自大和好高骛远的危险的道德警示。
一个孩子用蜡做了一双翅膀,躲过了追捕。他过于自信,飞得离太阳太近,翅膀融化后淹死了。
Okta正在做些什么,来确保他们的故事有一个圆满的结局?几件事:
他们需要完美处理任何事故。他们的运气用完了。如果Okta不能迅速解决这个问题,首席信息安全官们将从轻微的沮丧转变为叛变,因此他们一直在努力解决这个问题。
然后,开始进攻:将安全明确列为优先事项,并解决影响较大的问题。这正是"Project Bedrock"(内部项目名称)的目的所在。90天的专注并不能解决所有问题,但这是一个良好的开端。
现在,Okta不需要更多产品。它需要更多的安全性。
如果Okta能在现实和感知两方面都解决安全问题,他们就不会有问题。
解决安全问题就是解决增长问题。
噪音会消失。聚光灯会转向别处。客户会注意到我们的进步。
保持冷静,是Okta目前最好的发展策略。
为什么?Okta拥有大量具有增长潜力的产品。它的身份治理(Identity Governance)和特权访问管理(Privileged Access Management,PAM)产品都已进入全面可用期。早期的发展势头很好,尤其是在三个最大的竞争对手被私有化,其他传统产品逐渐被数据中心遗忘的情况下。
风险不容小觑。如果Okta兑现了自己的灰姑娘故事,那么他们就将成为身份识别市场的赢家。
有点讽刺,如何处理安全问题竟然会决定Okta的未来:是伊卡洛斯的堕落,还是灰姑娘的幸运?
原文链接:https://strategyofsecurity.com/oktas-cinderella-story/
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
