Sicherheit 2020: Warum wir große Chancen für Gründer sehen, die entwicklerorientierte Sicherheits-Startups aufbauen

Infrastruktursoftware

Dharmesh Thakker, Danel Dayan | 4. März 2020

Cybersicherheit bleibt für viele Unternehmen ein großer Schmerzpunkt: Eine Studie des etablierten Sicherheitsanbieters Palo Alto Networks aus dem vergangenen Jahr ergab, dass Sicherheitsteams in großen Unternehmen im Durchschnitt mehr als 130 separate Sicherheitslösungen verwenden . Auf der diesjährigen gerade zu Ende gegangenen RSA-Sicherheitskonferenz in San Francisco haben mehr als 700 Sicherheitsanbieter und -aussteller um Aufmerksamkeit gekämpft. Einige dieser Unternehmen liefern neue Technologien, um automatisch statt manuell die wachsende Zahl von Sicherheitsproblemen zu lösen, die durch die neuen Cloud-nativen Umgebungen in vielen Unternehmen entstehen, in denen Teams neue DevOps-Praktiken nutzen und Microservices in öffentlichen und hybriden Clouds bereitstellen Startups.

Wir glauben, dass das aktuelle Unternehmenssicherheitsmodell angesichts dieser Umstellung auf Cloud-native Praktiken nicht nachhaltig ist. Mit mehr als 40 Millionen Entwicklern allein auf GitHub und Milliardenausgaben für entwicklergeführte digitale Transformationsbemühungen in Unternehmen aller Branchen ist klar, dass immer mehr Sicherheitsbedenken von Entwicklern früher im Softwareentwicklungszyklus angegangen werden müssen. In der Tat entstehen jetzt viele neue Startups, um Entwicklern und ihren Organisationen und nicht nur hochrangigen Führungskräften für Unternehmenssicherheit dabei zu helfen, sich proaktiver auf Sicherheit zu konzentrieren.

Wir haben in unserem OpenCloud-Bericht 2019 erörtert, dass die Verlagerung in die Cloud die „Angriffsfläche“ für Angreifer vergrößert und neue Sicherheitslücken für Unternehmen schafft, aber auch neue Möglichkeiten für Startups, die ihnen helfen wollen, sich zu wehren. Im weiteren Sinne verändert die Cloud die Philosophie, wie Unternehmen an Sicherheit herangehen, indem sie Entwickler dazu bringt, früher über Sicherheit nachzudenken, Sicherheitslösungen tiefer in ihre Arbeitsabläufe zu integrieren und Sicherheit als Code zu kodifizieren, um die Entwicklung schnell voranzutreiben.

Wie sind wir hierher gekommen?

In der Vergangenheit waren Chief Information Security Officers (CISOs) für die Kaufentscheidungen für Sicherheitssoftware in Unternehmen verantwortlich. Sie beaufsichtigten zentralisierte Security Operations Centers (SOCs), die Sicherheitssoftware verwendeten, um Bedrohungen und Schwachstellen im gesamten Unternehmen manuell zu erkennen und zu beheben (denken Sie an die Erkennung von Malware in einem Netzwerk, Firewall-Verletzungen, Änderung von Zugriffsberechtigungen usw.). In einer Welt, in der Infrastrukturumgebungen statisch waren und der Softwareentwicklungsprozess Monate dauerte, war diese Struktur überschaubar.

Aber mit dem Aufkommen der Cloud wurde die Infrastruktur dynamisch: Open-Source-Software und wiederverwendbare Softwaremodule wurden zu grundlegenden Bausteinen und die Entwicklungszeiten auf Tage/Wochen komprimiert. Heute muss sich das SOC nur noch mit den risikoreichsten Bedrohungen und Schwachstellen befassen, die umfassende sicherheitsforensische Expertise erfordern. Der Rest der Vorfälle wird automatisch an Entwickler und DevOps-Teams weitergeleitet, die über den Kontext zur Behebung der Probleme verfügen. Dies hat neuen Unternehmen die Möglichkeit eröffnet, neue, zielgerichtetere Tools für diese Entwickler und DevOps-Teams bereitzustellen, um Sicherheitsprobleme anzugehen.

Frühe Unternehmen der Branche

Die erste Welle von Unternehmen in diesem Bereich konzentrierte sich auf das Sichern und Scannen von Anwendungen während des Entwicklungsprozesses – vor allem, weil diese Anwendungen Einnahmen generierten und eine hohe Verfügbarkeit und Sicherheit erforderten. Zu diesen Unternehmen gehörten Contrast Security* und etablierte Unternehmen wie Veracode und Fortify. Unternehmen beginnen auch damit, Entwickler proaktiv über Best Practices im Bereich Sicherheit aufzuklären, indem sie personalisierte Programme und Mitteilungen bereitstellen, die ihnen helfen, Sicherheit in ihre Arbeitsabläufe zu integrieren. Unternehmen wie Secure Code Warrior haben dafür Bildungsplattformen entwickelt. Obwohl solche Tools von CISOs vorgeschrieben wurden, wurden sie für Entwickler und nicht für Sicherheitsanalysten entwickelt. Dies bedeutete eine enge Zusammenarbeit zwischen dem CISO und dem Chief Technology Officer („CTO“) einer Organisation.

Heute stellen andere Unternehmen Tools bereit, die es Entwicklern und DevOps-Teams ermöglichen, Sicherheitslösungen organisch zu übernehmen und sie noch tiefer in ihre Arbeitsabläufe einzubetten. JFrog*, das als Artefakt-Repository begann und nun kontinuierliche Sicherheit für Container und Software-Artefakte bietet, kann sich einer Community von drei Millionen Entwicklern rühmen. Snyk, das Code-Scanning-Sicherheit für Open-Source-Bibliotheken und -Container bietet, hat 400.000 Entwickler auf seiner Plattform und sammelte Anfang dieses Jahres Mittel, die das Unternehmen auf mehr als 1 Milliarde US-Dollar bewerteten.

Da DevOps-Teams außerdem die Time-to-Production mithilfe von „Infrastructure as Code“ (IaC)-Vorlagen verkürzen, ist die Kodifizierung von Sicherheitspraktiken – oder „Security as Code“ (SaC) – ebenfalls Teil ihres Arbeitsablaufs geworden. Unternehmen wie Styra und HashiCorp Sentinel kodifizieren die Behebung von Vorfällen in Richtlinienrahmen, während andere wie Bridgecrew alles zusammen in Build-Time- und Run-Time-Umgebungen automatisieren.

Außerhalb von Unternehmen und Entwicklungsteams beginnen auch Cloud-Anbieter, die sich traditionell darauf konzentriert haben, Entwickler anzuziehen, Sicherheit in ihre Angebote einzubetten und Sicherheit ernst zu nehmen. Github (2018 von Microsoft für 7,5 Milliarden US-Dollar übernommen) erwarb Semmle und Dependabot, um die Codequalität zu verbessern und Abhängigkeitsdateien auf veraltete Anforderungen zu überprüfen. Palo Alto Networks hat in den letzten 24 Monaten mehr als 1 Milliarde US-Dollar für Cloud-native Sicherheitslösungen wie Evident.io RedLock, Twistlock, Demisto und andere ausgegeben. Darüber hinaus veranstaltete der Cloud-Gigant Amazon Web Services 2019 seine erste Konferenz zum Thema Cloud-Sicherheit: AWS re:Inforce.

Learnings und Überlegungen für Gründer

Bei Battery haben wir die letzten Jahre damit verbracht, die Transformation der Sicherheit und ihre Verlagerung auf die Entwicklerebene zu untersuchen. Wir sehen ein paar wichtige Überlegungen, die Sie berücksichtigen sollten, wenn Sie ein Gründer sind, der ein sicherheitsorientiertes Unternehmen für Entwickler aufbaut.

Der Markt ist noch am Anfang: Wir befinden uns erst in den frühen Innings dieser Branchentransformation. Große Unternehmen verlassen sich immer noch auf viele Sicherheitstaktiken der alten Schule, wie z. B. den Einsatz von SOC Analyst und die Einbeziehung von Managed Security Service Providern. Während sich immer mehr Verantwortlichkeiten auf die Entwicklerebene verlagern, geschieht dies nicht über Nacht. Daher ist es wichtig, dass Sie als entwicklerorientiertes Sicherheits-Startup vom Käufer vertraut werden. Die Anteile sind viel höher, wenn eine Drittanbieterlösung den Code einer Organisation berührt oder proaktiv Änderungen an Workloads und Infrastruktur vornimmt. Unser Rat ist, Vertrauen bei Ihren potenziellen Käufern aufzubauen und sicherzustellen, dass die Benutzer ihr Entwicklungstempo beibehalten können, indem Sie entweder: sich mit einem erfahrenen und glaubwürdigen Team umgeben; Aufbau mit Blick auf einfache Implementierung und Überprüfbarkeit; Aufbau und Einbeziehung der Entwicklergemeinschaft in irgendeine Form von Gemeinschaftsbeziehungen durch Entwicklerbeziehungen; und/oder Erstellen von und Beitragen zu Open-Source-Projekten, die das Ökosystem unterstützen.

Sicherheitsteams wird es geben, aber die Verantwortlichkeiten verschmelzen: Sicherheitsteams werden immer spezialisierter. Einige der fortschrittlichsten Unternehmen wie Netflix, Spotify, Stripe und Airbnb haben spezielle Teams für die Anwendungssicherheit oder die Sicherheit der Cloud-Infrastruktur. Vorbei sind die Zeiten, in denen ein Team die Sicherheit für das gesamte Unternehmen verwaltete. Infolgedessen verschwimmen die Verantwortlichkeiten für die Sicherheit von CISO und CTO. Erwarten Sie, dass mehr CISOs und CTOs ihre eigenen Sicherheitsbudgets besitzen – wissen Sie, was Ihre Sicherheitslösung letztendlich erreichen wird, um den richtigen Käufer zu qualifizieren.

Der Käufer ist nicht der Benutzer: Da diese Transformation noch am Anfang steht, handelt es sich noch um einen Dual-Persona-Verkauf. Sie müssen nicht nur das Budget des CISO und der Sicherheitsorganisation freigeben, sondern auch die Herzen und Köpfe der Entwickler gewinnen, die die Lösung letztendlich verwenden werden. Stellen Sie als Gründer sicher, dass Sie Ihr Wertversprechen entsprechend ausrichten. Wir haben gesehen, dass einige Unternehmen Sicherheiten für beide Personas erstellt haben – die Sicherheitsorganisation und die technische Organisation. Verkaufen Sie im Rahmen des Budgets, aber bauen Sie Vertrauen auf und zeigen Sie dem Benutzer, dass sich der Zeitwert amortisiert.

Wir denken, dass es eine großartige Zeit ist, ein Gründer zu sein, der eine entwicklerzentrierte Sicherheitslösung entwickelt. Da die Cloud-Akzeptanz weiter zunimmt – und die Softwareentwicklung noch schneller wird – werden mehr Sicherheitsverantwortlichkeiten auf die Entwicklerebene verlagert und Sicherheit wird weiterhin ein vorrangiges Anliegen für Unternehmen sein, was viele Möglichkeiten für Sicherheitsunternehmer bedeutet.

Dieser Artikel erschien ursprünglich auf Forbes.

Die hierin enthaltenen Informationen beruhen ausschließlich auf der Meinung von Morad Elhafed und sind nicht als Anlageberatung zu verstehen. Dieses Material wird zu Informationszwecken zur Verfügung gestellt und stellt weder eine Rechts-, Steuer- oder Anlageberatung noch ein Angebot zum Verkauf oder eine Aufforderung zum Kauf einer Beteiligung an einem von Battery Ventures oder einem anderen von Battery verwalteten Fonds oder Anlageinstrument dar und darf in keiner Weise als solche angesehen werden.

Die Informationen und Daten beziehen sich auf den Zeitpunkt der Veröffentlichung, sofern nicht anders angegeben.

Inhalte, die aus Drittquellen stammen, werden zwar als zuverlässig erachtet, wurden jedoch nicht von unabhängiger Seite auf ihre Richtigkeit oder Vollständigkeit hin überprüft und können nicht garantiert werden. Battery Ventures ist nicht verpflichtet, den Inhalt dieses Beitrags zu aktualisieren, zu ändern oder zu ergänzen oder Leser*innen zu benachrichtigen, falls sich darin enthaltene Informationen, Meinungen, Prognosen, Vorhersagen oder Schätzungen ändern oder später ungenau werden.

Die obigen Informationen können Prognosen oder andere zukunftsgerichtete Aussagen zu zukünftigen Ereignissen oder Erwartungen enthalten. Vorhersagen, Meinungen und andere Informationen, die in diesem Video besprochen werden, können sich ständig und ohne Vorankündigung ändern und sind nach dem angegebenen Datum möglicherweise nicht mehr zutreffend. Battery Ventures übernimmt keine Verpflichtung und beabsichtigt auch nicht, diese zukunftsgerichteten Aussagen zu aktualisieren.

*Bezeichnet ein Battery-Portfoliounternehmen. Für eine vollständige Liste aller Battery-Investments klicken Sie bitte hier.

Zurück zum Blog

DIESEN ARTIKEL TEILEN

ARTIKEL VON

Dharmesh Thakker

Dharmesh Thakker ist General Partner bei Battery Ventures, wo er in Unternehmen in der Früh- und Wachstumsphase in den Märkten Cloud-Infrastruktur, Big Data, Sicherheit und Unternehmensanwendungen der nächsten Generation investiert.

Danel Dayan

Danel ist ein Principal, der sich derzeit auf Frühphasen- und Growth Equity in Bereichen wie Cloud-Infrastruktur, Big Data, Sicherheit und Unternehmensanwendungen der nächsten Generation konzentriert.

Ein monatlicher Newsletter zum Austausch neuer Ideen, Erkenntnisse und Einführungen, um Unternehmer*innen beim Ausbau ihres Geschäfts zu helfen.

SCHWERPUNKTE

GESCHÄFTSFUNKTIONEN

News und Markttrends von Battery Fallstudien Personalwesen & Finanzen Leadership Vertrieb & Marketing

Cookie	Duration	Description
AWSELB	session	Associated with Amazon Web Services and created by Elastic Load Balancing, AWSELB cookie is used to manage sticky sessions across production servers.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
optimizelyRumLB	session	This cookie controls the AWSELB cookie's attributes (e.g., SameSite and Secure).
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	Persistent	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	Persistent	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	Persistent	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	Persistent	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duration	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
sb	2 years	This cookie is used by Facebook to control its functionalities, collect language settings and share pages.

Cookie	Duration	Description
_gat	1 minute	This cookie is installed by Google Universal Analytics to restrain request rate and thus limit the collection of data on high traffic sites.
AWSELBCORS	session	This cookie is used by Elastic Load Balancing from Amazon Web Services to effectively balance load on the servers.

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
browser_id	5 years	This cookie is used for identifying the visitor browser on re-visit to the website.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
pvc_visits[0]	1 day	This cookie is created by post-views-counter. This cookie is used to count the number of visits to a post. It also helps in preventing repeat views of a post by a visitor.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Duration	Description
__Host-GAPS	2 years	This cookie allows the website to identify a user and provide enhanced functionality and personalisation.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.

Cookie	Duration	Description
_cookie_id	session	No description available.
_scribd_session	3 years	No description available.
scribd_ubtc	100 years	No description available.
VISITOR_PRIVACY_METADATA	6 months	Description is currently not available.

BRANCHEN

TEAMS

SERVICES