To był wyjątkowo ciekawy rok w branży cyberbezpieczeństwa. Przyczynili się do tego zarówno cyberprzestępcy, do czego zdążyliśmy już przywyknąć, jak i zmiany własnościowe zachodzące na rynku narzędzi do ochrony urządzeń końcowych. Na pierwszy plan wysuwa się Broadcom, który wyłożył 10,7 mld dol. na zakup działu enterprise od Symanteca. Pozostała, konsumencka część koncernu, notabene odpowiedzialna za 90 proc. zysków Symanteca, zachowała niezależność i działa pod marką Norton LifeLock. Kolejna transakcja, a mianowicie kupno Carbon Black przez VMware’a za 2,1 mld dol., stanowiła pewne zaskoczenie dla ekspertów śledzących rynek security. Kupiony podmiot jest zaliczany do tzw. nowej fali, a więc dostawców rozwiązań Next Generation Anti-Virus. Specjaliści Carbon Black stworzyli bazującą na chmurze platformę do ochrony urządzeń końcowych. Pat Gelsinger oznajmił, że ta transakcja wstrząśnie branżą bezpieczeństwa. CEO VMware’a powtórzył w ten sposób to, o czym najwięksi gracze mówią już od dość dawna – czas skończyć ze stosowaniem pojedynczych rozwiązań do ochrony i postawić na kompleksowe rozwiązania.

W tym kontekście warto zwrócić uwagę na transakcję, która w Polsce przeszła bez większego echa. Tymczasem jest godna uwagi chociażby ze względu na fakt, że oznacza pojawienie się na rynku bezpieczeństwa tak słynnej nie tak dawno marki jak BlackBerry. W lutym bieżącego roku kanadyjska firma przejęła za 1,4 mld dol. start-up Cylance, dysponujący rozwiązaniami ochronnymi dla urządzeń końcowych, szeroko wykorzystującymi techniki sztucznej inteligencji, uczenia maszynowego i algorytmów matematycznych.

Analitycy spekulują, że na zakupach Broadcomu, BlackBerry i VMware’a się nie skończy i w przyszłym roku należy spodziewać się dalszych przejęć na rynku cyberbezpieczeństwa. Niewykluczone, że właścicielem FireEye zostanie Goldman Sachs. Z kolei redakcja amerykańskiego CRN-a zwraca uwagę na trzy obiecujące firmy – Tanium, Cybereason i Sentinel One. Jeśli w przyszłym roku nie przeprowadzą oferty publicznej, prawdopodobnie trafią pod skrzydła prywatnego funduszu kapitałowego lub któregoś z dużych producentów. W doniesieniach medialnych przewija się też wątek ewentualnego debiutu giełdowego McAfee (na razie John McAfee uruchomił własną zdecentralizowaną giełdę krypto walut – DEX).

 

Co z tym Microsoftem?

Pojawianie się na rynku bezpieczeństwa dużych koncernów, które wcześniej działały w innych obszarach IT, to nie jest dobra wiadomość dla producentów antywirusów. Wszystko wskazuje na to, że konkurencja jeszcze bardziej się zaostrzy, a to nie koniec złych wieści. Nieco ponad dwa lata temu Jewgienij Kasperski zarzucił Microsoftowi stosowanie praktyk monopolistycznych polegających na dołączaniu do systemu operacyjnego darmowego antywirusa. Chodziło oczywiście o Windows Defendera, który zadebiutował już w 2007 r. wraz z Windows Vista. Wprawdzie spór szybko wygaszono, ale problem nie zniknął. Antywirus Microsoftu jest cały czas rozwijany i wykazuje się dużą skutecznością w wykrywaniu szkodników. Świadczą o tym chociażby tegoroczne wyniki testu przeprowadzonego przez AV-Test wśród 20 programów antywirusowych. Windows Defender wraz z trzema innymi płatnymi aplikacjami uzyskał w nim najwyższe oceny.

Z drugiej strony dostawcy systemów z rezerwą podchodzą do wyników testów, bowiem każdy z nich ma zestawienia pokazujące wyższość jego oprogramowania nad rozwiązaniami konkurencji. Ponadto eksperci zwracają uwagę na ograniczoną funkcjonalność Windows Defendera.

– Microsoft jest skupiony na zabezpieczeniu swojego ekosystemu. Producent nie uzupełnia oferty o narzędzia ważne dla wielu klientów, dotyczące kompleksowego zabezpieczenia mobilnych systemów operacyjnych. Brak jest chociażby wsparcia dla Androida. Poza tym współczesne rozwiązania bezpieczeństwa od dostawców trzecich daleko wykraczają poza ochronę – wylicza Adrian Ścibor, redaktor naczelny AVLab.pl.

Trudno nie zgodzić się z tą opinią. Zaawansowane aplikacje zapewniają zarządzanie za pomocą aplikacji w chmurze, a także szyfrowanie plików, ustanawianie połączeń VPN oraz skanowanie urządzeń IoT podłączanych do domo-
wej sieci. Windows Defender ze względu na ograniczenia funkcjonalności dość rzadko znajduje zastosowanie u klientów biznesowych. Między innymi z tych powodów Grzegorz Michałek, CEO w mks_vir, ze spokojem patrzy na antywirusa Microsoftu.

– Połowa użytkowników Windows 10 nie korzysta z dodatkowych narzędzi ochronnych. Ale nie postrzegamy tego w kategoriach problemu, ponieważ Microsoft w obszarze bezpieczeństwa jest takim samym graczem jak inni producenci. Nie uważam też, że nadużywa swojej uprzywilejowanej pozycji. Microsoft aktywnie współpracuje z partnerami będącymi dostawcami rozwiązań ochronnych zarówno w warstwie technicznej, jak też handlowej i marketingowej – twierdzi Grzegorz Michałek.

Jednak nie można wykluczyć, że Microsoft napsuje sporo krwi dostawcom antywirusów, szczególnie w segmencie produktów adresowanych dla odbiorców SOHO.

– Mamy cały czas na radarze Windows Defendera. To konkurent, którego należy obserwować. Zauważmy, że Microsoft agresywnie promuje darmowego antywirusa, żeby zwiększyć sprzedaż pakietów Office – mówi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

 

EDR dla proaktywnych

Według IDC w 2019 r. globalne wydatki na bezpieczeństwo wyniosą 103 mld dol., a więc o 9 proc. więcej niż rok wcześniej. Mimo rosnących nakładów media codziennie informują o spektakularnych cyberatakach i wyciekach wrażliwych informacji. W bieżącym roku z Facebooka wyparowało 491 mln numerów telefonów użytkowników, a z popularnej wśród millennialsów aplikacji Dubsmash wyciekło 162 mln adresów e-mail. Latem niemal wszystkie amerykańskie media pisały o niejakiej Paige Thompson, która wykradła z Capital One dane dotyczące 106 mln klientów. Z kolei w Polsce hakerzy wymyślili fikcyjny konkurs Lidla, który rzekomo miał rozdawać smartfony Samsung Galaxy S9 i iPhone X. Laureaci musieli zapłacić jedyne 9 zł za odbiór nagrody, dokonując opłaty własną kartą kredytową.

Jak widać, pomysłowość hakerów nie zna granic. Co gorsza, są nie tylko kreatywni, lecz także bardzo skuteczni. Walka z nimi staje się coraz trudniejsza, a zdaniem specjalistów od bezpieczeństwa jednym z najczęściej popełnionych błędów przez działy IT jest wyczekiwanie na cyberatak, a dopiero potem podejmowanie działań minimalizujących jego skutki. Dlatego też warto szerzej stosować narzędzia proaktywne, takie jak NTF (Network Traffic Analysis), Threat Intelligence czy EDR (Endpoint Detection Response). Wymienione grupy produktów znajdują się na fali wznoszącej, aczkolwiek najwyżej stoją akcje ostatniego z wymienionych rozwiązań. Adrian Ścibor uważa, że systemy EDR bardzo dobrze obrazują, w jakim kierunku zmierza cała branża, czyli automatyzacji i błyskawicznego reagowania na incydenty.

O ile antywirus jest pewnego rodzaju automatem, który reaguje jedynie na działania uznawane za szkodliwe, o tyle EDR zapewnia śledzenie całej aktywności na stacji roboczej. Popularność tego typu rozwiązań rośnie, ponieważ znacząco zwiększają skuteczność ochrony i zapewniają lepszą kontrolę środowisk.

– Systemy EDR bazują na monitorowaniu sieci pod względem występującego w nich ruchu, a przede wszystkim wykrywaniu i reagowaniu na anomalie w przypadku poszczególnych plików, aplikacji jak również zachodzących procesów – tłumaczy Maciej Reksa, Software Product Manager w AB.

EDR ze względu na koszt inwestycji, a także ilość generowanych informacji jest produktem przeznaczonym dla dużych firm i instytucji. Wraz z upowszechnieniem się tego typu narzędzi ich ceny mogą nieco stopnieć, aczkolwiek zatrudnienie specjalistów od bezpieczeństwa wydaje się dla mniejszych przedsiębiorstw barierą nie do przejścia. Dlatego analitycy Gartnera uważają, że rynek EDR podzieli się na dwie części. Pierwszą będą tworzyć nabywcy dysponujący wysokiej klasy specjalistami odpowiedzialnymi za monitorowanie bezpieczeństwa firmy, którzy wiedzą, jak korzystać z danych. Ten segment ma być w 2020 r. wart 1,5 mld dol. Drugą grupą klientów będą mniejsze przedsiębiorstwa inwestujące w tzw. EDR Light, czyli okrojone wersje systemów, wspierające oprogramowanie do ochrony urządzeń końcowych. Niemniej część dostawców sceptycznie patrzy na tego typu prognozy.

– Zasadność wprowadzenia EDR w wersji light postrzegałbym przede wszystkim w kategoriach handlowych i marketingowych. Takie rozwiązanie, żeby zachować akceptowalny poziom skuteczności, musiałoby funkcjonować jak ich odpowiedniki oferujące pełną funkcjonalność. Dlatego obecnie nie planujemy wprowadzać różnych wariantów systemu EDR – zapewnia Grzegorz Michałek.

 

Sztuczna inteligencja i spadające marże

Technologiczny wyścig zbrojeń na rynku bezpieczeństwa nabiera tempa. Hakerzy sięgają po wysublimowane metody, takie jak chociażby manipulowanie obrazem wideo. Ponieważ sfałszowanych filmów nie da się odróżnić od prawdziwych nagrań, stwarza to przestępcom ogromne możliwości przeprowadzania ataków. Już teraz wielu specjalistów pracuje nad stworzeniem oprogramowania, które ma rozpoznawać tzw. deepfaki. Ale to nie jedyny problem do rozwiązania dla dostawców narzędzi ochronnych.

Największym wyzwaniem dla producentów aplikacji zabezpieczających jest opanowanie ataków socjotechnicznych, zwłaszcza tych wymierzonych przeciwko firmom. Niemniej ważne staje się integrowanie usług chmurowych. Na celowniku hakerów ciągle znajdują się też „inteligentne urządzenia”, łączące świat zewnętrzny z domową lub firmową siecią. Producenci antywirusów mają tutaj duże pole do popisu – mówi Adrian Ścibor.

Jednym z najgorętszych tematów w branży cyberbezpieczeństwa jest sztuczna inteligencja. Niestety, często to pojęcie jest błędnie utożsamiane z uczeniem maszynowym i sieciami neuronowymi, które to metody naukowe są znane od wielu lat i wykorzystywane również w systemach antywirusowych. Adrian Ścibor przywołuje spektakularny przykład jednego z producentów, który w pierwszym kwartale 2019 r. wykrył ponad 30 tys. różnych próbek trojana Emotet. Nie byłoby to możliwe bez zastosowania sieci neuronowych. Wprawdzie dostawcy oprogramowania bezpieczeństwa często nadużywają pojęcia sztucznej inteligencji, aczkolwiek nie można odmówić im postępów w wykrywaniu zagrożeń. Przez ostatnie lata rozwiązania, które mają temu służyć, wzbogaciły się o nowe funkcje. Wielu producentów oferuje systemy wnikliwie monitorujące praktycznie każdy element sieci.

Oczywiście producenci i dystrybutorzy muszą przy tym zmierzyć się z bardziej przyziemnymi problemami.

– Poważnym wyzwaniem jest erozja cen w segmencie narzędzi ochrony punktów końcowych, a także uzyskanie wzrostów na dojrzałym rynku. Z kolei nowe kanały dystrybucji, takie jak sprzedaż przez telekomy, wymusza niższą marżowość, co może być hamulcem do dalszego wzrostu – zauważa Paweł Jurek.

Wiele wskazuje na to, że ekspansja zaawansowanych narzędzi ochronnych przyczyni się do zwiększenia popularności modelu usługowego. Choć jak na razie rodzimi resellerzy i integratorzy nie przejawiają większego zainteresowania taką formą sprzedaży. Tak czy inaczej w najbliższych latach będziemy świadkami bardzo ciekawej i coraz zacieklejszej rywalizacji nie tylko między siłami dobrej i złej strony mocy, lecz także wśród dostawców rozwiązań ochronnych.

Zdaniem integratora

Karol Labe, CEO Miecz Net

Popyt na aplikacje zabezpieczające sukcesywnie rośnie, co jest zasługą coraz bardziej wyrafinowanych cyberataków. W bieżącym roku odnotowaliśmy wzrost zainteresowania systemami EDR ze strony dużych przedsiębiorstw, dla których istotne znaczenie ma analiza zachowania w sieci. Barierą hamującą sprzedaż tych systemów jest niewystarczająca wiedza administratorów na temat ich obsługi, a także niewielka liczba firm korzystających z SOC. Największym wyzwaniem stojącym przed producentami aplikacji ochronnych jest dostarczanie nowych rozwiązań kompleksowo zabezpieczających sieć. Mam tutaj na myśli sandboxing, EDR, szyfrowanie i wykorzystanie mechanizmów sztucznej inteligencji. W tym kontekście producenci powinni wprowadzać innowacje, które nie wpływają na wydajność urządzeń.

 

Zdaniem specjalisty

Maciej Kotowicz, Senior Channel Account Executive, Sophos

Zauważamy wzrost świadomości użytkowników, jeśli chodzi o zabezpieczenia stacji i urządzeń końcowych, co bezpośrednio przekłada się na rosnące wymagania dotyczące produktów popularnie nazywanych systemami antywirusowymi. Klienci poszukują bardziej złożonych rozwiązań oferujących nie tylko sam skaner antywirusowy, lecz także zabezpieczających przed zagrożeniami typu ransomware. Istotnym aspektem z punktu widzenia klienta końcowego jest możliwość centralnej administracji zabezpieczeniami, a także metodologia aktualizacji systemów. Przy czym ważnym trendem w rozwoju systemów antywirusowych jest nie tylko detekcja i neutralizacja zagrożeń, lecz także prewencja i ograniczenie skutków zaistniałego incydentu. Właśnie dlatego producenci rozwiązań ochronnych coraz chętniej sięgają po technologię sztucznej inteligencji, centralne chmurowe konsole zarządzające i wieloplatformowość oferowanych rozwiązań – Windows, iOS, Android i Linux.

Kamil Sadkowski, starszy analityk zagrożeń, Eset

Mówiąc o wykorzystywaniu sztucznej inteligencji w dzisiejszych rozwiązaniach IT, mamy tak naprawdę na myśli zastosowanie konkretnych jej metod, takich jak uczenie maszynowe czy sieci neuronowe. Te naukowe metody są znane od kilkudziesięciu lat i z powodzeniem wykorzystuje się je w bardziej złożonych systemach, także w oprogramowaniu antywirusowym. O ile sieci neuronowe i uczenie maszynowe ułatwiają przetwarzanie ogromnej liczby plików, a także wspierają niektóre warstwy ochrony wbudowane w naszym oprogramowaniu antywirusowym, o tyle nie sposób uznać tych pojedynczych metod za złoty środek chroniący przed wszelkimi atakami. Dopiero wykorzystanie kilkudziesięciu zróżnicowanych warstw ochrony zapewnia użytkownikom naszych systemów skuteczną minimalizację ryzyka podczas korzystania z sieci.

Grzegorz Michałek, CEO mks_vir

Użytkownicy domowi i małe firmy zazwyczaj oczekują, że oprogramowanie antywirusowe będzie działać na zasadzie „instaluję, aktywuję i działa, chroni”. Więksi odbiorcy szukają rozwiązań, w których dodatkowo będą mieć możliwość interakcji z producentem, jeśli chodzi o kontrolę nad bezpieczeństwem ich systemów i dostosowania funkcji oprogramowania do konkretnych, często nietypowych sytuacji. Zdarzało się, że dla wybranych, dużych klientów na ich życzenie dodawaliśmy do naszych pakietów określone funkcje. Wychodzimy przy tym z założenia, że oprogramowanie antywirusowe odgrywa taką rolę jak systemy bezpieczeństwa w samochodzie. Ich zadaniem jest błyskawiczna reakcja w sytuacjach stanowiących zagrożenie. Mówimy tu zarówno o sytuacjach znanych, czyli takich, do których już kiedyś doszło, jak i przypadkach związanych z niespotykanymi jeszcze wektorami ataków i wariantami szkodliwego oprogramowania.

Robert Dziemianko, PR Manager, G Data

Po zeszłorocznym peaku związanym z regulacjami unijnymi wzmożone zainteresowanie rozwiązaniami bezpieczeństwa się utrzymało. Klienci wciąż wykazują się dużym zaufaniem do tzw. tradycyjnych systemów antywirusowych. Jednak zauważalne jest także poszukiwanie rozwiązań komplementarnych lub umożliwiających przywrócenie działania przedsiębiorstwa po różnego rodzaju awariach, niekoniecznie związanych z zagrożeniami typu malware. Antywirusy wciąż pozostają w wąskim gronie rozwiązań podstawowych, tych pierwszego wyboru, jeżeli chodzi o bezpieczeństwo w firmach. Optymistyczne są także liczne prognozy, w tym Gartnera, określające wzrost wydatków na oprogramowanie w regionie EMEA na ponad 3 proc. w 2020 r. Ze spokojem patrzymy w przyszłość.

Bartosz Prauzner-Bechcicki, dyrektor ds. sprzedaży, Kaspersky Lab Polska

Cybergangi profesjonalizują się i tworzą coraz więcej autorskich rozwiązań – często stworzonych w celu ataków na określone branże, a nawet konkretne firmy. Do wykrywania takich zagrożeń nie wystarczą już tradycyjne antywirusy. Niezbędne jest stosowanie znacznie bardziej zaawansowanych technologii, takich jak sandbox, rozbudowana analiza heurystyczna, uczenie maszynowe, EDR czy ochrona przed atakami DDoS. Same produkty to jednak nie wszystko. Muszą być wsparte zaawansowanymi usługami, łącznie z ekspercką wiedzą o cyberzagrożeniach i szkoleniami podnoszącymi świadomość personelu firm w zakresie bezpieczeństwa. Ci dostawcy rozwiązań ochronnych, którzy nie mają jeszcze w ofercie takich produktów i usług, będą musieli bardzo szybko zaadaptować się do nowego krajobraz