网络安全赛道加速，8个月涌入122亿美元

　　网络安全问题恶化的背景下，我们应该如何看待当前的风险投资热潮？
　　网络安全赛道正在蓬勃发展！今年，网络安全公司的估值普遍暴涨（平均 5.241亿美元 ），投资者也大量涌入该行业，仅今年迄今为止就有 122亿美元 的资金注入。
　　但就问题解决层面而言，该行业属实还有很多需要改进的地方。例如，最近针对SolarWinds和Kaseya的供应链攻击，以及对微软Exchange的零日攻击，都将网络犯罪提高到了新的水平，并表明一个漏洞可以使数万甚至数十万的公司陷入瘫痪。
　　数据显示，仅仅发生在2020年的数据泄露事件就比过去15年的总和还要多。如果将其作为一个国家来衡量，那么网络犯罪预计在2021年将在全球造成 6万亿美元 的损失，数额之大可以位列继美国和中国之后的世界第三大经济体。
　　网络安全风险投资公司甚至预计，未来五年全球网络犯罪损失金额将以每年 15% 的速度增长，到2025年达到 10.5万亿美元 。
　　对此，网络安全公司Code42的首席信息安全官、拥有15年行业经验的Jadee Hanson就表示，＂这很令人沮丧！＂安全公司Virsec的首席执行官、拥有20年IT和网络安全投资经验的Dave Furneaux也表达了类似的看法， ＂我们现在的处境比以往任何时候都糟糕。＂
　　一些行业资深人士甚至认为网络安全是一场必输的游戏。前网络安全记者、英特尔前安全主管Ryan Naraine悲观地表示， ＂在过去的10年里，我一直听说要解决安全问题。如今10年过去了，我们却在原地踏步，似乎事情只会变得越来越糟。＂
　　问题严重性远超你想象
　　实际上，网络攻击的急剧增加并不意味着安全技术没有任何进展。多因素认证（MFA）、加密和实现零信任的技术已经带来了真正的改变。而HTTPS虽然看似简单，却将有效的认证引入了我们的浏览器。我们可以用我们的智能手机在商店里安全地支付，这都是拜安全技术进步所赐。
　　＂安全技术每年都在进步，并得到了可证实的改善。＂早期的安全分析先驱、现任Devo公司首席安全官Gunter Ollmann说，＂然而，互联系统的多样性和复杂性的增长速度要快得多，因此，攻击面的增加速度比大多数企业能够有效保障的速度要快。＂
　　纵观全局，安全专家认为，技术应用的速度是造成当前网络安全环境恶化的主要因素。 技术的发展实在是太快了，许多最新的以科技为基础的商业模式（如存储大量的数据）导致风险呈指数级增长。此外，那些十年前甚至五年前还不太依赖技术的公司现在也很依赖技术。
　　Hanson指出，在过去，你通常是处理运行一个应用程序的服务器，并且有可能实际地将其锁定。而今天，随着形势的变化和唾手可得的技术，这种情况已经不复存在。
　　特别是远程工作和云计算的变革影响更为深远。麦肯锡发现，新冠疫情将数字化转型的速度加快了七年，而Gartner预测，到2023年，70%的企业工作负载将部署在云中，远高于2020年的40%。根据Gartner的预测，总体而言，全球公共云服务将从2021年的3,877亿美元增长到2025年的8,055亿美元。
　　据网络安全风险公司称，到2025年，世界将储存 200泽字节（约200万亿GB） 的数据。而由供应商和社交媒体公司（如苹果、Facebook、谷歌、微软、Twitter等）运营的公共云、公民和企业可以使用的政府拥有的云、中大型企业拥有的私有云以及云存储供应商就存储了其中的一半。
　　在最近对安全专业人士的调查中，大多数人也只是表示公共云的安全性＂勉强够用＂。就在前几天，Wiz的安全研究人员警告微软，他们在Azure的中央数据库中发现了一个漏洞，能够访问任何他们想访问的客户数据库。
　　＂这就是勒索软件泛滥的原因。＂ Naraine 说。 ＂因为我们正在高调的使用云服务，却不能正确地配置它。＂
　　另一个重要的因素是，有装备精良、财力雄厚的对手，每时每刻都在努力破坏安全工作。他们不断采用新的策略并形成联盟。例如，一个专门为挫败网络钓鱼攻击而创建的微软365设置，最近竟然被黑客用来网络钓鱼。 更重要的是，许多以前只有政府层面使用的高端漏洞工具现在已经渗透到日常网络犯罪中，而这在几年前还不是这样。
　　此外，如今全世界每天大约有一百万人接入互联网。预计到2022年将有60亿人连接到互联网，2020年为50亿，2030年将有超过75亿互联网用户。伴随而来的是网络威胁已经从针对和伤害计算机、网络和智能手机扩展到人、汽车、铁路、飞机、电网和任何有电子设备。
　　根据思科的一份报告，到2023年，地球上的联网设备将比人类多3倍。到2022年，我们周围的世界将嵌入1万亿个联网的传感器，20年后将达到45万亿。
　　这带来的直接后果就是网络安全支出严重飙升。 2004年，全球网络安全市场还只有35亿美元，到了2017年，其价值超过1,200亿美元。在这13年期间，网络安全市场大约增长了35倍。而预计在2017年至2021年的五年期间，全球用于抵御网络犯罪的网络安全产品和服务的支出累计将超过 1万亿美元 。
　　企业为何无法应对？
　　面对网络安全威胁，大多数企业的安全观仍然稍显陈旧。＂我不认为每家公司都在网络安全方面进行了应有的投资，＂Hanson说。＂网络安全应该像财务和人力资源一样成为每个公司的核心部门。＂
　　但现实是，许多企业优先考虑特性和功能，而没有充分考虑安全方面的权衡。 例如，最近的一项调查发现，大多数IT领导人主要关注的是实现竞争差异化和数字化转型，往往忽视掉日益紧迫的网络犯罪威胁。
　　正因为如此，你可以感受到一些专家的失败感和挫败感。虽然他们承认在今天的环境中不可能保证所有的安全，但是一些人觉得这个行业提出的有效的解决方案并没有被充分利用。
　　例如，多因素认证（MFA）就被广泛认为是标准的安全手段，是对许多类型的密码相关攻击的有力防御，但在Thales公司的2021年数据威胁报告中，只有 55% 的受访者表示他们的公司已经实施了MFA。
　　另一项最近对IT领导和员工的研究显示， 43% 的人承认没有遵守安全协议。而使问题进一步复杂化的是网络安全专业人员的大量短缺，预计这种情况在未来几年只会更加严重。
　　＂30年来，我们一直在指导和教育用户使用8个以上字符的密码，但大多数人仍置之不理。＂Ollmann说。＂十多年来，我们一直拥有强大的无密码和多因素认证技术，这些技术可以提高用户体验，而企业直到现在才开始采用它们作为默认解决方案。＂
　　而所有这些都指出了网络安全的一个固有的事实：这是一个永无止境的循环。随着这个领域的发展，与之对抗的对手和它所要保护的技术也在不断进步。
　　Hanson说：＂网络安全行业唯一保持不变的是我们仍然在追赶。十年前是这样，今天也是这样。＂
　　甚至是网络安全领域的许多技术进步（如数据分析和机器学习的应用）还反过来导致了新的安全问题。 职业生涯一直专注于安全分析（一种专注于使用数据分析来主动挫败攻击的方法）的Ollmann也同意，机器学习和智能解决方案的使用使这个循环永久化，并产生了必须处理的新安全问题。
　　在 Code42，这个创建内部风险检测和响应软件的公司，Hanson甚至觉得这在内部造成了障碍。一方面，他们希望员工使用新的协作工具并分享他们的工作，但这样做本身就是＂安全团队需要处理的巨大风险＂。
　　安全从来不是纯粹的商业
　　据《纽约时报》报道，自2019年以来，网络安全领域的融资增长速度超过了整体风投资金的增长速度。一位风险投资人对媒体说，他从未见过估值升得如此快。
　　可以说，考虑到现有的解决方案没有被充分使用、企业现在愿意在安全方面花更多的钱，以及这个行业的周期性，网络安全的确是一个优质的投资赛道。
　　但与此同时，网络安全也越来越被视为是一项更符合国家安全的关键任务，超出了安全初创公司（甚至是大型科技公司）的职权范围。
　　就在前几天，美国政府就宣布与亚马逊、微软、IBM、谷歌和苹果联手推出一项广泛的网络安全计划，美国总统拜登敦促这些企业要＂提高标准＂。所有这些公司的首席执行官都出席了会议，并承诺作出各种贡献，包括现金捐赠、网络培训等。
　　＂我不认为光投钱就能够解决问题，＂Naraine 说。 ＂我认为这远远不是钱的问题，因为如果钱能解决这个问题，那我们早就解决了。＂