В свое время я бы не стал читать статью на такую тему — ведь речь в ней наверняка пойдет о совершенно абстрактных понятиях. Одно дело — эксплоит, тут все ясно. Другое дело — какие-то рынки, оценки, раунды и прочая белиберда. Но иногда стоит брать себя за шкирку и вынимать из болота, в котором сидишь, чтобы посмотреть на вещи с высоты. При этом вовсе не обязательно есть кактусы и читать Пелевина.

 

Введение

Рынок кибербезопасности стремительно растет и сейчас оценивается в 75–100 миллиардов долларов в год. Возможно, ты спросишь, что значит «рынок оценивается»? Что стоит за этими цифрами? 75 миллиардов долларов — это сумма, которую потратят за год все компании на то, чтобы приобрести продукты или услуги, относящиеся к кибербезопасности. То есть это такой большой пирог, который делят разные фирмы, занятые в инфосеке.

С одной стороны, это немало. С другой — многие крупные компании сейчас не обращают никакого внимания на эту область. Выйдя на рынок объемом 75 миллиардов, через пару лет можно получить дай бог десять процентов — то есть 7,5 миллиарда. Далеко не для всех больших игроков это достаточно интересный кусок. Для сравнения: рынок e-learning тоже активно развивается и оценивается примерно в 100 миллиардов долларов в год.

Если сопоставить, к примеру, с автомобилестроением, это сущие пустяки: автопроизводители за год суммарно зарабатывают что-то около девяти триллионов долларов. Так что если, например, Apple задумает выйти на новый рынок, то вряд ли решит выпускать Apple Firewall. Зачем, если гораздо выгоднее будет заняться электромобилями?

Но что, если считать кибербезопасность не отдельным рынком, а частью всего рынка безопасности? В него в числе прочего входят военные расходы государств, а рынок оборонной промышленности составляет триллион долларов в год. Кому нужны эти танки и «катюши», если взломать атомную станцию можно набором скриптов, написанных вчерашним прыщавым школьником?

 

Флешбек

Всего десять-двенадцать лет назад, когда я только начинал работать в этой области, на рынке существовало от силы два десятка компаний, которые целенаправленно занимались безопасностью в сфере ИТ. Это были разработчики антивирусов, файрволов и, может, пары сканеров. Весь этот рынок оценивался в два миллиарда долларов, что по текущим меркам ерунда. И я далеко не ветеран, многие эксперты крутятся в этой сфере уже лет по двадцать. Когда они начинали, такого понятия, как рынок cybersecurity, не было в принципе.

Сегодня же, по данным аналитиков компании 451 Research... Ой, ладно, к черту формальности! Сейчас в мире около 1300 компаний, которые частично или полностью заняты в рынке инфосека. Из них 250 появилось только за последний год, а к концу года их число перевалит за полторы тысячи. И это нижняя оценка — я думаю, что наберется и две тысячи. Рост, мягко говоря, ощутимый: в сто раз за десять лет.

Большая часть этих компаний базируется в США, и лишь Израиль как-то догоняет по количеству, да и то каждая вторая израильская компания после успешного года работы переезжает в США и на родине оставляет только разработчиков. Все продажи и сопутствующие им вещи делаются в Штатах.

Количество продуктов кибербезопасности в лидирующих странах
Количество продуктов кибербезопасности в лидирующих странах

Что же за компании держат этот рынок? Безусловно, все не перечислить, так что пройдемся по основным игрокам. Для начала поделим их на два больших лагеря: тех, кто разрабатывает и продает продукты, и тех, кто предоставляет услуги.

 

Софтверные компании

Софтверные компании можно, в свою очередь, поделить на два списка. Одни выпускают продукты, связанные с безопасностью, наряду с иными продуктами, другие занимаются исключительно ИБ. Среди вторых есть как свои гиганты, так и фирмы поменьше.
Все они в совокупности составляют примерно треть рынка ИБ — 25 миллиардов долларов.

На софтверных гигантов, имеющих долю в рынке ИБ, приходится примерно 10 миллиардов долларов, или 15% рынка. К таким компаниям можно отнести: Microsoft, IBM, HP Enterprise, Cisco, Dell/EMC, Intel и с недавних пор SAP (посмотрим, кстати, что из этого получится и пойдет ли в случае успеха Oracle по стопам SAP).

Все эти компании объединяет то, что в их бизнесе доля доходов от продуктов, связанных с безопасностью, исключительно мала. Точные оценки найти сложно, но по моим прикидкам бизнес ИБ играет важную роль в годовых отчетах только у Cisco и HPE.

Еще один момент, о котором стоит помнить: эти компании ничего сами не изобретали в области ИБ. Если они видят перспективный бизнес, они просто покупают разработчиков и продолжают использовать уже готовый процесс и каналы сбыта. В этом плане SAP даже заслуживает уважения: там, по крайней мере, создают свою технологию. В общем, с точки зрения инноваций гиганты наименее интересны.

Вторая подгруппа — это крупные компании, которые работают исключительно в сфере ИБ. На них приходится около 15% рынка, то есть 10 миллиардов долларов в год. Вот их список и примерный годовой оборот в миллиардах долларов. Не все цифры точные, но уж что удалось найти.

Остается третья подкатегория — небольшие компании из сферы ИБ с доходом менее 100 миллионов долларов в год. Таких насчитывается свыше тысячи, и основная часть их имеет совсем скромный (в глобальных масштабах) годовой оборот — до десяти миллионов долларов. Их совокупный доход меньше 5 миллиардов долларов в год, то есть это всего порядка 3% рынка.

Перечислять эти компании смысла нет, их количество растет еженедельно. А ведь одновременно многие еще и исчезают: кто-то успешно или не очень продается более крупному игроку, кто-то не выдерживает конкуренции. Примеры можешь посмотреть в моей прошлой колонке про конференцию RSA.

Именно в таких компаниях изобретают вещи, из которых через какое-то время формируются новые категории продуктов. Все компании из списка выше еще не так давно были незаметными стартапами из пятидесяти человек, а то и меньше. Не пройдет и нескольких лет, и Rapid7 перегонит Fortinet, а место Rapid7 займет кто-то, о ком мы пока даже не слышали. Причем протекает все это быстрее, чем когда-либо: раньше путь от стартапа до компании с оборотом в 100 миллионов долларов требовал пятнадцати лет, а теперь некоторые проходят его за семь-восемь. Не без помощи внешних инвестиций, конечно.

 

Поставщики услуг

Вторая большая часть рынка — это компании, которые в том или ином виде предлагают услуги по аутсорсингу кибербезопасности либо продают продукты по подписке. Рынок услуг составляет около 60% от всего пирога. Его можно грубо разделить на консалтинг, имплементацию и аутсорсинг. Начнем с последнего.

 

Аутсорсинг

На долю аутсорсинга приходится около 15 миллиардов долларов, из них 9 миллиардов — это MSSP, Managed Security Service Providers. По сути, большая часть MSSP выстраивает свои системы мониторинга на базе существующих решений, то есть лицензирует продукты у вендоров безопасности и продает труд людей, которые при помощи этих продуктов мониторят безопасность клиентов. Но есть и такие, у которых имеются продукты собственной разработки. Вот их краткий список, хоть на самом деле таких компаний намного больше.

  • IBM
  • AT&T
  • HPE
  • Verizon
  • Atos
  • Orange
  • Accenture
  • BAE
  • CSC
  • BT
  • Wipro
  • NTT
  • Symantec
  • T-Systems

Помимо них, существует еще один список компаний — малоизвестный широкой аудитории, но крайне важный. На рынок ИБ они вышли совсем недавно, но их мощности хватит на то, чтобы без оглядки скупить сотни мелких и даже крутых рыбешек. Речь о крупнейших американских компаниях, которые занимаются оборонкой.

  • Raytheon
  • Lockheed Martin
  • General Dynamics
  • Airbus
  • BAE Systems
  • Honeywell

В основном они продают самолеты, ракеты и прочие военные штуки, но заодно и как бы невзначай — всякие файрволы. Как я уже говорил, рынок безопасности — это давно не игрушки. Чем в реальности занимаются эти ребята, известно только ограниченному кругу лиц, но поглощения компаний, связанных с безопасностью, заметны и снаружи. И чем дальше, тем больше станет подобных покупок.

 

Консалтинг

Дальше у нас в списке идут крупные компании, которые занимаются консалтингом в области информационной безопасности. На их долю приходится 20% рынка, или около 15 миллиардов долларов в год. Сейчас их уже сложно разделить на тех, кто специализируется исключительно на консалтинге, и тех, кто предоставляет услуги MSSP. Скоро они все будут заниматься и тем и другим, но сейчас еще можно выделить компании, для которых консалтинг — это приоритет.

  • Deloitte
  • E&Y
  • PWC
  • KPMG
  • IBM
  • Accenture
  • CSC
  • Protiviti
  • TCS

Мы подходим к тому, что тебе, наверное, знакомо лучше всего, — разговору о компаниях, которые специализируются на тестировании на проникновение. Сюда же относятся red team и прочие высокоспециализированные услуги вроде аудита защищенности бизнес-приложений, исследования различных девайсов и протоколов на уязвимости и так далее.

В обычной жизни такие компании назвали бы бутик-агентствами. По сравнению с вендорами это небольшие фирмы, и их штат в основном состоит из экспертов в области анализа защищенности. Найти такую работу — задача не из простых, а чтобы такая компания провела аудит и не обнаружила уязвимостей — практически невозможно. Опыт работы в подобной фирме бесценен — ты по-настоящему поймешь, как устроены самые защищенные системы крупнейших мировых компаний и как их взломать.

Когда клиент действительно хочет разобраться, где в его системах серьезные проблемы с безопасностью, он обращается именно в эти агентства, а не в какие-нибудь крупные консалтинговые компании. К большой четверке обычно идут как раз после такого аудита — за советом и руководством по устранению проблем. И это уже совсем иной бизнес, но о нем как-нибудь в другой раз.

На долю консалтинговых услуг небольших агентств приходится от силы десятая доля процента всего бизнеса cybersecurity, но именно они двигают его вперед. Вот лишь пара примеров.

Безопасность критической инфраструктуры сейчас горячая тема, а на конференциях вроде Black Hat о ней начали говорить еще в 2008 году. Безопасность медицинских девайсов, да и в целом IoT — рынок, который сейчас только зарождается. Первые презентации консалтинговых фирм на эту тему можно было увидеть в 2010 году. О безопасности SAP и ERP-систем, которую агентство Gartner в этом году отнесло к ключевым трендам на ближайшее будущее, эксперты говорили еще с 2007 года. Или та же безопасность автомобилей. Первое обширное публичное исследование было выпущено в 2011 или 2012 году и выиграло приз за инновации на Black Hat pwnie awards. Что мы видим сейчас? Появление компаний, которые специализируются на разработке устройств для защиты автомобилей. Короче, если хочешь понять, где будущее, ты знаешь, куда смотреть.

Что до крупных компаний, которые занимаются исключительно консалтингом и не аффилированы с разработчиками продуктов, то их в мире не так много. В США это IOActive, в Европе — MWR, SensePost, ERNW, Digital Security и еще несколько.

 

Имплементация

К этой области относятся компании, которые занимаются дистрибуцией, внедрением, настройкой и перепродажей решений. По сути, в зависимости от договоренностей они получают от 30% тех денег, что идут в руки продуктовым компаниям. Точную рыночную долю посчитать сложно, но в среднем это 10–12 миллиардов долларов в год.

 

Подводим итоги

Вот, собственно, и все. Мы совсем кратко, но рассмотрели рынок кибербезопасности и ознакомились с основными игроками. В следующей части поговорим о тех, кто производит средства защиты, и изучим, какие есть категории этих средств. А от вас жду фидбэк: пишите на почту или в комментарии свои мысли, советы, вопросы и пожелания о том, про что хотелось бы почитать подробнее.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии