¡Bienvenidos a Aventura en Seguridad! Antes de comenzar, hazme un favor y asegúrate de presionar el botón “Suscribir”. Las suscripciones me hacen saber que te preocupas y me mantienen motivado para escribir más. ¡Gracias amigos!
Cualquiera con experiencia trabajando en ciberseguridad sabe que la categoría de seguridad en la nube es algo única. A diferencia de otras áreas de seguridad, está mucho menos dividida en pequeños casos de uso creados por diferentes empresas: cuando los clientes compran un producto de seguridad en la nube, esperan que aborde varias áreas, incluida la gestión de vulnerabilidades, la detección y respuesta, el cumplimiento y la generación de informes, así como como postura de seguridad en la nube y postura de seguridad de datos. Esto no sucede con otros segmentos del mercado, como la seguridad de terminales, donde estas áreas se consideran mercados separados. La nube parece haber formado un dominio más restringido (seguridad en la nube) en lugar de dar origen a segmentos con la palabra “nube” agregada al principio (prevención de pérdida de datos en la nube, sistema de detección de intrusiones en la nube, información de seguridad en la nube y gestión de eventos, vulnerabilidad en la nube). evaluación, etc.).
En este artículo, analizo los factores que permitieron que la seguridad en la nube evolucionara de manera diferente a otros tipos de categorías.
Un gran agradecimiento a Prahathess Rengasamy por sus opiniones, perspectivas y comentarios.
Si no hubiera demanda de una solución integral de seguridad en la nube, tal vez la industria de la ciberseguridad no se habría desarrollado como lo hizo. Afortunadamente para nosotros y para jugadores como Wiz y Orca Security, los clientes están cansados de tener que negociar decenas de contratos y desplegar equipos para unir docenas de herramientas distintas que no están diseñadas para funcionar entre sí desde cero. Las empresas suelen buscar soluciones “todo en uno”, las llamadas soluciones de plataforma, que puedan abordar múltiples casos de uso a través del mismo vector de ataque. Tenga en cuenta que, a veces, el deseo también existe en las instalaciones, pero parece mucho más difícil de lograr en comparación con la nube.
La demanda de los clientes es un poderoso motivador que definitivamente jugó un papel a la hora de impulsar a los empresarios de seguridad en el camino del desarrollo de una categoría de mercado de seguridad en la nube.
La mayoría de la gente en la industria está familiarizada con el hecho de que las plataformas (colecciones de herramientas construidas juntas para resolver una multitud de problemas) son mucho más valiosas que las llamadas soluciones puntuales (productos diseñados para resolver un problema específico). Esto no es sorprendente: cuantos más casos de uso pueda abordar una empresa, mayor será el gasto de los clientes que podrá captar y mayor será su crecimiento.
Hemos visto que para que una empresa de ciberseguridad se haga pública o salga con una valoración de unicornio, necesita construir una plataforma. CrowdStrike, Palo Alto, Sentinel One y muchos otros ilustran bastante bien este punto. La seguridad en la nube, con toda su complejidad y la demanda cada vez mayor de computación en la nube, presenta una gran oportunidad para la creación de plataformas que, al parecer, todavía está en juego.
Aunque la presencia de la demanda de los clientes, las ambiciones de los fundadores de construir una plataforma de seguridad y el potencial de salidas lucrativas son definitivamente motivadores poderosos, el simple hecho de que a alguien le gustaría construir una plataforma todo en uno no lo hace factible. La seguridad de endpoints es un buen ejemplo: si bien a muchos empresarios les gustaría haber creado plataformas, eso no cambia el hecho de que la seguridad de endpoints es una colección de decenas de productos separados, y sólo unos pocos, como el ya mencionado Palo Alto, CrowdStrike y SentinelOne pudieron crear soluciones integrales.
Hay dos factores claramente exclusivos de la seguridad en la nube que hicieron posible esta categoría de mercado.
Cuando analizamos la mayoría de las áreas de seguridad, queda claro que es difícil crear un producto que ofrezca una cobertura integral de un tipo de activo. Diferentes empresas tienen diferentes plataformas de terminales y crear un agente para Windows es muy diferente a crear un agente para Linux (ambas tareas pueden tardar uno o dos años en completarse). El descubrimiento de activos, la gestión de activos, la gestión de vulnerabilidades, la detección y respuesta y otros componentes críticos de la seguridad funcionan de manera diferente para diferentes plataformas. Además, diferentes empresas utilizan diferentes soluciones para la gestión de registros, la automatización y casos de uso adyacentes; un proveedor que ingrese al espacio necesitaría encontrar una manera de respaldar las herramientas heredadas profundamente arraigadas en la infraestructura de la organización. Todas estas razones dejan claro por qué ninguna startup sería capaz de crear rápidamente un producto que cubra todos los casos de uso posibles para todo tipo de plataformas de terminales en un solo lugar. Un problema similar se aplica a otras áreas, como la seguridad de las aplicaciones, donde algunas organizaciones usan GitHub, otras confían en GitLab, así como una docena de otras herramientas que protegen el código y otros componentes centrales de las aplicaciones de software presentes en diferentes etapas del ciclo de vida del desarrollo de software.
La nube es una bestia diferente. Dado que la nube fue diseñada para ser infinitamente escalable y priorizar las API, los proveedores de la nube han creado API potentes. Esto hizo posible que una empresa implementara la mayor parte de la lógica y construyera la mayoría de los componentes necesarios para proteger la nube. Cada uno de los proveedores de la nube (AWS, Azure, GCP, Digital Ocean y otros) tiene la capacidad de extraer datos, por lo que los proveedores de seguridad en la nube solo necesitan una forma de normalizarlos al formato común y mapear conceptos similares en diferentes plataformas.
Esta naturaleza de la nube basada en API es la razón principal por la que los proveedores de seguridad en la nube pudieron moverse rápidamente y construir plataformas de seguridad para la nube desde cero, algo que antes no era posible para otras clases de activos. Hoy en día, vemos que otras clases de activos también comienzan a adoptar este modelo, por ejemplo, la EDR basada en API.
La ciberseguridad tal como la conocemos es el resultado de una evolución que se desarrolló a lo largo de las últimas décadas. Cuando observamos algunas de las áreas más antiguas en este campo, es decir, la seguridad de redes y terminales, resulta evidente que todos los conceptos que tenemos hoy son el resultado de años de investigación, intercambio de conocimientos, respuesta reactiva a nuevas amenazas e iteración sobre diferentes productos.
El proceso mediante el cual se introdujeron nuevos conceptos en la industria es fácil de entender. Tenemos estaciones de trabajo, por lo que necesitábamos protegerlas. Cuando nos dimos cuenta de que es bastante difícil realizar un seguimiento de todos los puntos finales de nuestro entorno, creamos el descubrimiento de activos. Cuando empezamos a ver virus informáticos, creamos soluciones antivirus para detectarlos y eliminarlos del sistema. Cuando nos dimos cuenta de que no todos los malos actores pueden identificarse mediante la verificación de firmas, introdujimos detecciones de comportamiento. Cuando quedó claro que cada activo tiene muchas vulnerabilidades pero no todas están siendo explotadas y no podemos solucionarlo todo, introdujimos un concepto de gestión de vulnerabilidades. Cuando nos preocupamos por manejar todo a escala, se concibieron la infraestructura como código, las políticas como código y las detecciones como código.
El mercado de proveedores de ciberseguridad tal como lo conocemos es, en el nivel fundamental, una serie de intentos de diferentes empresarios para implementar conceptos que nosotros, como industria, hemos descubierto e identificado como algo necesario.
Cuando la seguridad en la nube se convirtió en una necesidad, la mayoría de los conceptos, desde la gestión de activos hasta la gestión de vulnerabilidades, la detección y respuesta, todo como código, etc., ya se entendían bien. Esto significa que los fundadores de las empresas de seguridad en la nube pudieron actuar con rapidez e implementar lo que ya se había creado para otras clases de activos.
Una de las áreas que quedan por resolver para la nube es la respuesta a incidentes, aunque vemos que a) las API de la nube también permiten una respuesta automatizada a incidentes (piense en Torq, Tines y similares), y b) empresas como Gem Security se centran en respuesta a incidentes en la nube. Dado que la nube se construyó para escalar, cada milisegundo algo cambia y ese cambio se registra. La mayor parte de la respuesta a incidentes se basa en registros de acceso y auditoría. Desafortunadamente, no sólo es difícil entender este volumen de datos a escala de máquina, sino que además su almacenamiento es prohibitivamente caro. Actualmente, las plataformas de seguridad en la nube tienen un acceso muy transitorio a los datos, por lo que
los clientes no tienen más remedio que confiar en otras herramientas para el almacenamiento a largo plazo.
Parte del desafío es que muchas empresas quieren todos sus datos en un solo lugar. Para resolver este dilema, los proveedores de seguridad en la nube necesitarían convertirse en plataformas de datos: lagos de datos o proveedores de gestión de eventos e información de seguridad (SIEM) diseñados específicamente para almacenar y consultar cantidades masivas de telemetría. Hasta que toda la seguridad se convierta en seguridad en la nube, lo cual en sí mismo es muy poco probable en las próximas décadas, la categoría del mercado de seguridad en la nube no consumirá todas las demás soluciones de seguridad.
La seguridad en la nube ha enfrentado muchos obstáculos. En primer lugar, el aumento continuo de empresas que aprovechan las capacidades de la nube hace que este sea un mercado de rápido crecimiento. En segundo lugar, dado que sólo hay tres grandes proveedores de nube pública importantes: AWS, Azure y GCP, las empresas que crean soluciones de seguridad en la nube tienen la capacidad de concentrarse. En tercer lugar, los actores de la seguridad en la nube tuvieron la capacidad de comenzar desde cero: crear un nuevo tipo de producto mientras utilizan toda la base de conocimientos existente de otras áreas de seguridad y aprovechar la ventaja de las potentes API para que esto suceda rápidamente.
Todo esto, combinado con las valoraciones lucrativas y los escenarios de salida a través de OPI disponibles para las plataformas de seguridad que funcionan bien, hizo que los fundadores de proveedores de seguridad en la nube se centraran en poseer la seguridad en la nube en su conjunto. Tengo mucha confianza en que en los próximos años el espacio de la seguridad en la nube verá varias salidas impresionantes.
A pesar de todos los acontecimientos positivos, persisten algunos desafíos. Desde el almacenamiento de datos hasta mantenerse al día con la complejidad cada vez mayor de la nube, muchos problemas difíciles están esperando solución. Es importante destacar que no todos los problemas deberían resolverse comprando una herramienta. Para aquellos interesados en la visión de un profesional sobre la seguridad en la nube y la creación versus compra de soluciones de seguridad para organizaciones nativas de la nube, recomiendo encarecidamente la charla de Rami McCarthy en fwd:cloudsec: Más allá de la hoja de ruta de madurez de la seguridad de AWS.
Si te gusta mi blog, suscríbete y compártelo con tus amigos. Hago esto en mi tiempo libre, por lo que ver crecer el número de lectores me ayuda a mantenerme motivado y escribir más. No envío nada excepto mis escritos y no vendo tus datos a nadie como Tengo mejores cosas que hacer. Si es un profesional de la seguridad, consulte y corra la voz sobre el Sindicato de ángeles VIS. Si su empresa está interesada en patrocinar Venture in Security, consulte Patrocinios. ¡Gracias!
Fuente Original Venture in Security
