Современная индустрия кибербезопасности оказалась в глубоком кризисе из-за неверных стимулов и ложных представлений об угрозах, в то время как концепция «софт поедает мир» усложняет защиту цифровой инфраструктуры. Эксперт венчурного фонда Andreessen Horowitz (a16z) с более чем 20-летним опытом работы в качестве директора по информационной безопасности (CISO) анализирует текущее состояние рынка безопасности, развенчивает мифы о технологически сложных атаках и делится прогнозами развития отрасли на ближайшие десять лет. Ключевой вывод анализа заключается в том, что спасение кроется не в покупке очередных дорогостоящих надстроек, а в переходе к облачным решениям и встроенной безопасности устройств.
🍽️ Как софт «поедает» мир и безопасность 0:02
В основе инвестиционной философии фонда Andreessen Horowitz лежит знаменитый тезис о том, что программное обеспечение «поедает» мир. Это означает, что привычные физические объекты, которые раньше существовали исключительно в мире аппаратного обеспечения, теперь работают под управлением того или иного софта. По словам эксперта a16z, сегодня никого не удивляет холодильник со встроенным микроядром Linux или телевизор Samsung с микрофоном и аналогичной операционной системой. Все эти предметы, бывшие когда-то простыми «глупыми» вещами, теперь содержат программный код.
Однако этот тотальный переход создаёт массу новых вызовов для ИТ-специалистов. Спикер отмечает, что за его 20-летнюю практику в сфере информационной безопасности характер угроз радикально изменился. Защитникам (так называемой blue defense) становится всё труднее справляться с лавиной уязвимостей, возникающих по мере того, как программный код проникает во все сферы жизни.
🚗 Синдром автодилера: в чём проблема индустрии кибербезопасности 0:53
По мнению эксперта фонда a16z, одним из главных препятствий на пути к реальной защищённости является сама индустрия кибербезопасности. На протяжении долгого времени эта отрасль развивалась по глубоко порочной модели, превратившись в своеобразную анафему для безопасности как таковой.
Для иллюстрации этой проблемы спикер приводит яркую аналогию с покупкой автомобиля. Представьте, что вы только что приобрели новую Toyota Corolla в автосалоне, подписали все документы и уже собираетесь выехать за ворота. В этот момент вас останавливает продавец и заявляет, что вам необходимо доплатить ещё 10% от стоимости машины, чтобы она внезапно не загорелась во время движения. По утверждению партнёра a16z, именно в такую абсурдную схему и превратилась индустрия информационной безопасности в последние годы.
Основа этой индустрии изначально несовершенна из-за критического несовпадения стимулов (misalignment of incentives). Внутри сферы безопасности возникли целые кустарные промыслы, которые напрямую выигрывают от того, что ваша модель защиты оказывается сломанной. Существует развитая хакерская культура, представители которой ищут способы взлома продуктов и кражи данных исключительно ради создания возможностей для собственного заработка.
Дополнительная сложность заключается в том, что большинство ключевых продуктов на рынке безопасности сами являются программным обеспечением. В итоге ИТ-службам приходится наслаивать защитный софт поверх других продуктов, которые изначально были фундаментально небезопасными. Организации попадают в ловушку бесконечного цикла, закупая всё новые и новые надстройки.
Тем не менее, эксперт видит и позитивные изменения. Ситуация начинает меняться к лучшему благодаря двум макротрендам:
- Интеграция встроенных защитных механизмов непосредственно в устройства. Ярким примером, по мнению спикера, служит подход компании Apple к экосистеме iOS, созданной по принципу «закрытого сада» (Walled Garden).
- Создание изначально безопасных операционных систем, таких как Google Chromebook, которые кардинально меняют правила игры на рынке.
💸 Криптовалютные угрозы и эволюция программ-вымогателей 3:14
С появлением специализированных фондов, таких как a16z crypto, аналитики начали фиксировать смещение фокуса киберпреступности в сторону блокчейн-технологий. Электронные криминальные синдикаты активно переходят на использование криптовалютных приложений.
По наблюдениям эксперта, сейчас доминируют атаки, нацеленные на получение доступа к крупным облачным платформам с целью последующего скрытого майнинга криптовалют. В качестве примера приводится случай с неназванной компанией, сотрудники которой случайно загрузили свои учетные данные для AWS в публичный репозиторий GitHub. Буквально за пару часов злоумышленники успели запустить мощности и сгенерировать для пострадавшей стороны счета за облачные вычисления AWS на сумму около $500 000 в попытках намайнить биткоины.
Рождение и стремительный рост всего рынка программ-вымогателей (ransomware) также напрямую обусловлены развитием криптовалютной экономики. Этот сектор сейчас претерпевает серьёзную трансформацию:
- Появление облачно-ориентированного вымогательского ПО (Cloud-aware ransomware). Эксперт отмечает, что на момент записи дискуссии индустрия ещё не столкнулась с полноценными версиями зловредов, модифицирующих данные непосредственно в облаке, однако такие разработки уже ведутся, и за ними будущее.
- Целевые атаки (Targeted ransomware). Вымогательские программы теперь проектируются индивидуально под конкретную жертву, а за ними стоит развитая кастомная инфраструктура и платёжные схемы.
☁️ Ошибки настройки облаков: когда горят даже гиганты 4:59
Ещё одной критической точкой уязвимости эксперт называет банальные ошибки при настройке конфигурации облачных сред. Он упоминает инцидент с крупным хостинг-провайдером, где утечка конфиденциальных данных клиентов произошла по вине сотрудника отдела продаж самой компании AWS (Amazon Web Services). Этот специалист неправильно настроил права доступа к бакету S3, из-за чего закрытая информация была свободно скачана сторонними лицами.
По мнению спикера, этот случай крайне показателен: если даже сотрудники Amazon совершают ошибки при управлении собственными облачными системами, то обычным компаниям контролировать свои облака будет в разы сложнее. Проблемы контроля изменений (Change Control) в таких масштабах становятся огромным вызовом для бизнеса.
📊 Реальные причины взломов: почему мифы об APT преувеличены 5:51
Общая ситуация в сфере безопасности описывается экспертом как классический мем: «Всё отлично, но вокруг всё горит». С точки зрения венчурного капитала, сектор перегрет инвестициями. По оценкам спикера, за прошлый год венчурные фонды инвестировали в стартапы из сферы кибербезопасности около $7,6 млрд. В текущем году ожидаются ещё более внушительные объёмы вливаний из-за активности нескольких сверхкрупных фондов.
При этом дефицит кадров остаётся главной головной болью руководителей служб безопасности. Найти инженера по безопасности младшего уровня (junior) в Кремниевой долине сейчас занимает до шести месяцев, а поиски топ-менеджера на позицию CISO нередко растягиваются более чем на год.
В то же время эксперт ставит под сомнение популярный тезис ИТ-вендоров о том, что количество и сложность кибератак непрерывно растут. Ссылаясь на авторитетный отчет Verizon Data Breach Investigations Report (DBIR), он подчеркивает, что за подавляющей частью инцидентов не стоит ничего сверхтехнологичного:
- Около 93% всех успешных взломов происходят из-за фишинга и претекстинга (социальной инженерии).
- В большинстве случаев сотрудники компаний добровольно отдают свои логины и пароли злоумышленникам.
В подтверждение этого тезиса приводится исследование, проведённое группами ИБ-специалистов в Сан-Франциско примерно за полтора года до выступления. Исследователи раздавали сотрудникам местных офисов подарочные сертификаты Starbucks номиналом в $5 в обмен на их рабочие логины, пароли и авторизацию на тестовом устройстве. И люди массово соглашались.
Таким образом, пока индустрия бьёт тревогу из-за роста сложности угроз, реальной причиной подавляющей части взломов остаются примитивные фишинговые письма.
Согласно данным VERIS, топ-3 корневых причин успешных атак выглядит следующим образом:
- Фишинг и социальная инженерия.
- Отсутствие своевременных обновлений (Patch Management). Причём речь идёт не об уязвимостях нулевого дня, а о патчах, которые были выпущены более 60–70 дней назад, но так и не были установлены из-за плохой гигиены ИТ-инфраструктуры.
- Ошибки управления изменениями (Change Management). Сюда относятся случайные удаления настроек файрволов, некорректные изменения в продакшн-среде и компрометация ключей в публичных репозиториях.
Эксперт подчёркивает, что в списках главных причин взломов практически отсутствуют сложные целевые атаки (APT) или изощрённое вредоносное ПО от правительственных хакеров. По его меткому выражению, «зачем взламывать замок, если окно оставлено открытым?». Даже продвинутые государственные киберкампании в большинстве случаев начинаются с банальной кражи учётных данных электронной почты.
🛡️ Куда уходят деньги: парадокс расходов на безопасность 8:41
С точки зрения распределения бюджетов, индустрия безопасности работает крайне неэффективно и не соотносит расходы с реальными причинами взломов. Эксперт приводит структуру затрат компаний на защиту:
- Первое место по объёму трат занимают системы аутентификации и авторизации (Identity Management). Это логично, учитывая проблемы с паролями.
- На втором месте с минимальным отрывом находится сегмент обнаружения вредоносного ПО (Malware Detection) — огромный рынок решений для хостов и сетей.
- Третье место удерживают решения для защиты конечных точек (Endpoint Security) и традиционные антивирусы.
Парадокс заключается в том, что ни одна из этих топ-категорий расходов напрямую не решает проблемы своевременного наката патчей (patch management), контроля конфигураций (change management) или обеспечения фундаментально безопасного пользовательского опыта.
😤 Будни CISO: почему «всё ужасно» и как облака спасают ситуацию 9:19
Регулярное общение с директорами по безопасности показывает крайнюю степень их разочарования. По словам спикера, большинство профильных мероприятий быстро превращаются в коллективные жалобы на то, что «всё ужасно, а жизнь — это ад».
Основные причины недовольства CISO, по мнению эксперта, носят системный характер:
- Маркетинговые уловки вендоров. Каждая новая волна технологий продвигается под соусом «Следующего поколения» (Next Generation). Чтобы получить бюджет, CISO вынуждены покупать продукты именно с этой приставкой.
- Продукты-костыли. Большинство защитных инструментов создаются лишь для того, чтобы решать проблемы, порождённые другими ИТ-продуктами (например, покупка дорогого файрвола для защиты старого устройства, которое нельзя обновить или безопасно перенести в облако).
- Низкая удовлетворенность результатами. Почти никто из руководителей ИБ не испытывает тёплых чувств к используемому инструментарию.
Ситуацию начинают спасать мобильные и облачные технологии. Наиболее прогрессивные CISO в крупных организациях сейчас внедряют тысячи устройств вроде Google Chromebook. На таких терминалах нет необходимости разворачивать антивирусное ПО, а управление ими в разы проще. Перенос серверов из локальных дата-центров в облако и внедрение концепций BYOD (Bring Your Own Device) на базе iOS позволяют решать проблемы безопасности на уровне архитектуры и дизайна.
Кадровый голод также вынуждает менять подходы. У CISO часто просто нет людей, чтобы тестировать и внедрять очередные инновационные продукты. В итоге внутри ИБ-сообщества ключевую роль начинает играть обмен опытом и копирование практик коллег.
🔮 Взгляд на 5 лет вперёд: комплаенс, страхование и блокчейн 11:26
Рассматривая пятилетний горизонт развития рынка, эксперт a16z выделяет три ключевых драйвера изменений:
Во-первых, это комплаенс на основе измеримых стандартов. Государственные инициативы в США, такие как стандарт NIST 800-53 и процесс FedRAMP, заставили облачных провайдеров интернализировать безопасность на беспрецедентном уровне. Это сделало провайдеров более открытыми и прозрачными, что подняло планку для всей экосистемы. По мнению спикера, после масштабных инцидентов вроде утечки данных в Equifax, даже аудиторы стандартов PCI начали подходить к проверкам инфраструктуры максимально жёстко и глубоко, превращая комплаенс из формальной бюрократии в реальный инструмент контроля.
Во-вторых, полноценное развитие получит киберстрахование (Cyber Insurance). Когда бизнес научится оцифровывать риски, их можно будет полноценно передавать страховщикам. Перенос данных в инфраструктуру Amazon, Google, Box или Dropbox смещает зону юридической ответственности в сторону этих гигантов, что меняет ландшафт страховых споров. Правда, спикер предупреждает об уловках в текущих полисах: многие компании только после взлома узнают, что атаки со стороны правительственных группировок (nation-state) аннулируют выплаты.
В-третьих, неожиданное применение найдёт блокчейн. Эксперт подчёркивает, что технология распределённого реестра интересна ему как база для построения сообществ по интересам. Блокчейн позволяет координировать и материально стимулировать участников децентрализованных сетей за их вклад. Это может решить давнюю проблему центров обмена киберугрозами (ISAC), где токенизированная система со встроенной верификацией участников позволит сбалансировать обмен данными.
🚀 Горизонт 10 лет: тотальное облако и концепция Zero Trust 14:49
В долгосрочной десятилетней перспективе мир кибербезопасности полностью перейдёт на облачную модель: «Всё в облаке, всегда в облаке». По мнению эксперта, собственное присутствие компаний в физических дата-центрах сожмётся до минимальной инфраструктуры управления секретами (Secrets Management Infrastructure), а все остальные вычислительные процессы уйдут на аутсорс.
Специализированные устройства со встроенной безопасностью (по модели iOS и Chromebook) вытеснят традиционные ПК, что окончательно уничтожит необходимость в наложенных (bolt-on) средствах защиты.
Главным архитектурным трендом станет окончательное внедрение концепций Zero Trust (нулевое доверие) и BeyondCorp от Google. Концепция Zero Trust, сформулированная аналитиком Forrester ещё в начале 2000-х годов, требует полной ликвидации неявных отношений доверия внутри корпоративных сетей. Исторически сети строились так: если сотрудник находится внутри офисного периметра (LAN), он автоматически получает доступ к производственным серверам. Модель Zero Trust полностью устраняет это транзитивное доверие, возводя барьеры на каждом этапе.
Реализация этого подхода со стороны Google — инициатива BeyondCorp — переводит доступ на уровень временных зашифрованных соединений без использования классического VPN. В результате само понятие «корпоративная сеть» исчезает. Приходя на рабочее место в офис, сотрудник по факту оказывается в таких же условиях, как если бы он работал через открытый Wi-Fi в кофейне Starbucks, а безопасность его сессии гарантируется сквозной верификацией.
