Güvenlik İşlemleri , Web Uygulama Güvenlik Duvarları (WAF)
Noname Security’nin Satışa Çıktığı Bildirildi, Ancak Tek Boynuzlu Durumunu Atması Gerekecek
Micheal Novinson (Michael Novinson) •
3 Mart 2023
2021, Çin takviminde Öküz Yılı olabilirdi, ancak siber güvenlik dünyasında tek boynuzlu atın yılıydı.
Ayrıca bakınız: MITRE ATT&CK 4. Tur için Temel Kılavuz
CB Insights’a göre, Ekim 2020’den önce yalnızca 10 güvenlik girişimi 1 milyar doları aşan bir değerlemeye veya tek boynuzlu at statüsüne ulaştı ve bugün özel olarak kalmaya devam ediyor. Ve ekonomik gerileme yoğunlaşırken, son sekiz ayda tek bir siber satıcı bile milyar dolarlık bir değerleme yapmadı.
Ancak CB Insights, Ekim 2020’den Haziran 2022’ye kadar olan 21 aylık süreçte, 48 siber güvenlik girişiminin tek boynuzlu at boynuzlarını aldığını buldu. Yatırımcılar beklentileri performanstan çok potansiyele göre değerlendirdiğinden, bu şirketlerin çoğu sınırlı gelire ve büyük kayıplara sahip olmasına rağmen 10 haneli değerlemeler aldı.
Artık mali patlama patlak verdiğine göre, farklı bir ekonomik çağdan gelen tüm bu tek boynuzlu atlara ne olacak?
Yeni Basılan Tekboynuzlar İçin Ekonomik Gerilemenin Anlamı Nedir?
Bu patlama zamanı tek boynuzlu atlardan ikisi, hızla artan gelir ve müşteri kazanımları kaçış hızı sağladığından, ekonomik yerçekimi yasalarına meydan okudu. Siber sigorta girişimi Coalition, Allianz ile ortaklık yaptıktan sonra değerini 2021’de 3,5 milyar dolardan 2022’de 5 milyar dolara çıkarırken, bulut güvenlik girişimi Wiz, ARR’de 100 milyon doları çentikledikten sonra bu Şubat ayında değerini 2021’de 6 milyar dolardan 10 milyar dolara çıkardı (bkz:: Wiz, Bulut Verilerini Korumak İçin 10 Milyar Dolarlık Değerlemeden 300 Milyon Dolar Artırdı).
İki tek boynuzlu at, başka bir hisse senedi turu yapmak yerine borç ihraç ederek değerleme kutusunu tekmeledi. Güvenlik operasyonları satıcısı Arctic Wolf ve bulut güvenliği satıcısı Netskope, Temmuz 2021’de sırasıyla 4,3 milyar dolar ve 7,5 milyar dolarlık değerleme elde ettikten sonra Ekim 2022 ve Ocak 2023’te 401 milyon dolarlık dönüştürülebilir tahvil ihraç etti. Senetler, bir fonlama turu veya halka arzdan sonra öz sermayeye dönüştürülecek. meydana gelmek.
Şimdiye kadar, yalnızca bir güvenlik tek boynuzlu atı alenen mermiyi ısırdı ve finansal talipleri çekmek için değerini düşürdü. Bu, Aralık 2022’de, uygulama güvenliği sağlayıcısı Snyk’in, Katar Yatırım Otoritesi’nden 196,5 milyon $’lık G Serisi finansman almak için Eylül 2021’deki piyasa değerini 8,5 milyar $’dan 7,4 milyar $’a düşürdüğünde gerçekleşti (bkz:: Snyk, İşgücünün %14’ünü İşten Çıkardıktan Sonra Haftada 196,5 Milyon Dolar Artırdı).
Ancak bugün siber güvenlik endüstrisindeki 58 tek boynuzlu attan hiçbiri, şimdiye kadar finansal bir geleceği güvence altına almak için 10 haneli değerlemesini feda etmedi.
Noname Security’nin Değerlemesi 1 Milyar Doların Altına Düşecek mi?
Calcalist’e göre Noname Security, 2021’de 1 milyar ABD Doları veya üzerinde bir değerleme alan 27. ve son siber güvenlik satıcısı oldu. Aralık 2021’de Noname, Georgian ve Lightspeed liderliğindeki 135 milyon dolarlık bir C Serisi finansman turunu kapattı ve 1 milyar dolarlık bir değerleme kaydetti.
15 aydan kısa bir süre sonra, Noname’nin satış bloğunda olduğu bildiriliyor. Calcalist’in Salı günü bildirdiğine göre, şirket satın alınmak üzere müzakerelerde bulunuyor ve aralarında Akamai’nin de bulunduğu birçok şirketin ilgilendiğini bildirdi. Hem Noname hem de Akamai, Information Security Media Group’un yorum talebini reddetti.
Ama bir sorun var.
Calcalist, Noname için beklenen satın alma fiyatının yalnızca “yüz milyonlarca dolar” olduğunu söylüyor, Georgian ve Lightspeed şirketin değerinin çok uzun zaman önce olmadığını söyledi. Bu, bir işlemi tamamlamak için tek boynuzlu at statüsünü kaybeden bir güvenlik girişiminin bilinen ilk örneği olacaktır. Ancak aşırı ısınan bir ekonomide kaç tane siber tek boynuzlu at basıldığı göz önüne alındığında, bunun son olması pek olası değil.
Kaç siber güvenlik tek boynuzlu atının boynuzlarını kaybetmesini beklemeliyiz? Ve halka arz pazarı belirsiz bir gelecekte kapalıyken, daha kaç milyar dolarlık girişim satın alma yoluyla uzaydan çıkacak?
Noname’nin API’leri Koruma Yaklaşımının Benzersiz Olanı
2020’de kurulan Noname Security, LinkedIn’e göre Mart 2022’de 300 çalışandan %26 artışla 220 milyon dolar dış finansman sağladı ve 379 kişiyi istihdam etti. Kurucu ortak ve CEO Oz Golan, Haziran ayında ISMG’ye verdiği demeçte, şirketin başlangıçta çalışma zamanı ortamlarında API’lerin güvenliğini sağlamaya, API’lerdeki güvenlik açıklarını üretime aktarılmadan önce belirlemeye ve tüm API’lerin doğru şekilde yönlendirilmesini sağlamaya odaklandığını söyledi (bkz:: Düşmanlar Neden API’lerin Peşinden Gitmekten Hoşlanır – ve Onları Nasıl Durdurursunuz?).
Golan, şirketin son zamanlarda kuruluşların bulut ve SaaS sağlayıcıları gibi dış kaynaklardan tükettikleri API’leri güvence altına almalarına yardımcı olmaya daha fazla zaman ayırdığını ve yatırım yaptığını söyledi. Kuruluşlar, kendi geliştirdikleri API’lere göre dış API’lere ilişkin çok daha az görünürlüğe sahiptir ve trafiğin şifrelenmesi, şirketlerin bir API’nin hangi üçüncü taraf uygulamalarını tükettiğini bilmemesi anlamına gelen zorlukla birleşir.
Golan, Noname’nin her koşulda her ortamda konuşlandırılabileceğini ve tamamen C bandının dışında olduğunu, yani teknolojinin çok hafif olduğunu ve diğer trafiği etkilemediğini söyledi. Noname’nin platformu, Golan’ın şirketin rakiplerinden daha geniş bir yelpaze olduğunu söylediği tasarım, ön üretim ve testten duruş yönetimine ve çalışma zamanı güvenliğine kadar her şeyi kapsar.
İleriye dönük olarak, Noname ve diğer niş startup’lar için temel soru, müşterilerin gelişmekte olan teknolojileri tek bir satıcıdan mı yoksa geniş bir güvenlik platformunun parçası olarak mı satın almaktan hoşlandıkları olacaktır. İkincisi doğruysa, API koruma pazarı hızlı bir konsolidasyonla karşılaşabilir.
Web Uygulaması ve API Koruma Alanları Neden Birleşiyor?
Eylül ayında Gartner, API güvenliğinin web uygulaması güvenlik duvarı değerlendirmelerinin önemli bir parçası haline geldiğini ve WAF şirketlerinin Noname ve Salt Security gibi özel API tehdit koruması sağlayıcılarına karşı rekabet ettiğini söyledi (bkz:: Akamai, Cloudflare, Imperva En İyi Uygulama ve API Savunması Gartner MQ).
Olgun, daha yavaş büyüyen bir sektör olan geleneksel web uygulaması güvenlik duvarı pazarının aksine Gartner, bot yönetimi ve API tehdit koruması pazarlarının oldukça dinamik olmaya devam ettiğini gördü. Birçok web uygulaması güvenlik duvarı satıcısı, 2021 sonbaharından bu yana iyi API keşif yetenekleri sunuyor. Akamai’nin WAF pazarındaki en büyük iki rakibi olan Cloudflare ve Imperva, API’leri savunma konusunda ikiye katlandı.
Ürün Başkan Yardımcısı Patrick Donahue, ISMG’ye verdiği demeçte, Cloudflare’in API trafiği için anormallik tespitini iyileştirmek, tehdit istihbaratı yeteneklerini güçlendirmek ve istemci tarafı güvenlik genelinde işlevsellik oluşturmak için çalıştığını söyledi. Şirket, API’lerin nerede olduğunu ve internete nelerin maruz kaldığını belirlemek ve birisinin bir API aracılığıyla alışılmadık bir yol izleyip izlemediğini belirlemek için denetimsiz makine öğrenimi kullanıyor.
Bu arada, Uygulama Güvenliği Başkan Yardımcısı Ryan Windham, ISMG’ye verdiği demeçte, Imperva’nın bulut tabanlı uygulama geliştirmenin web uygulaması güvenlik duvarı pazarını gelişmeye zorlayacağını yıllar önce fark ettiğini söyledi. Imperva API Security, geliştiricilere API’lerin temel yüküne ilişkin görünürlük sağlamak ve kritik uygulamaları ve altyapıyı otomatik saldırılardan ve API suistimallerinden korumak için geçen yıl piyasaya sürüldü.
API Defence, Uygulama Güvenliği Test Firmalarına Neden İtiraz Eder?
Uygulamalara gelince, Checkmarx Baş Gelir Sorumlusu Roman Tuma, API korumasının uzun vadede hem dinamik hem de etkileşimli uygulama güvenlik testlerinden daha yaygın hale geleceğine inanıyor. Sonuç olarak, dedi Tuma, Checkmarx ticari ve stratejik olarak Imperva ile DAST çevresinde ortaklık kurmanın ve önümüzdeki yıllarda API güvenliği konusunda müşterilere daha modern bir şey sunmanın daha iyi olduğuna karar verdi (bkz.: Synopsys, Uygulama Güvenliği Testi için Checkmarx En İyi Gartner MQ).
Uygulama güvenliği testi pazarında da Micro Focus, ilgili dosyaları çeken, otomasyonu geliştiren ve API test süreciyle tamamen entegre olan bir API keşif yeteneği sundu. Synack CEO’su Jay Kaplan, ISMG’ye verdiği demeçte, birçok API uç noktasının başsız olması ve uygulama ortamıyla bir ön uçtan veya arayüzden yoksun olması nedeniyle API’lerin etkinliğini ve güvenliğini test etmenin zor olmaya devam ettiğini söyledi.
Kaplan’a göre Synack, saldırgan API penetrasyon testleri yapmak için kitle kaynaklı test modelinden yararlandı ve yalnızca geçici bir şekilde güvenlik açıklarını aramakla kalmadı, aynı zamanda ortak saldırı vektörlerinin kapsandığından emin olmak için kontrol listesi odaklı bir yaklaşım kullandı.
Cloudflare, Checkmarx, Imperva veya Micro Focus gibi bir şirket, Noname Security gibi saf oyun lideri satın alarak rekabette bir adım öne geçmek ister mi? Yoksa Noname, pazara doğrudan dalmak isteyen, çok az veya hiç API koruma yeteneği olmayan bir WAF veya uygulama güvenliği şirketi için daha mı çekici olur?
Sadece zaman gösterecek.