עם מאות סטארטאפים בסייבר, לא פשוט להתבלט ועוד יותר לא פשוט, להצליח במכירה לארגון גדול. בכנס הג'רני של EY בשיתוף tech12 שנערך אתמול, התמודדו עם הסוגיה הזו משקיעי סייבר, יזמי סייבר ו-CISO's - מנהלי אבטחת מידע בחברות ענק כמו Unity, נטפליקס ורובלוקס. את המושב הנחה יואב לייטרסדורף, שותף מייסד בקרן הון הסיכון YL ונצ'רס, קרן מתמחה בסייבר שגייסה לאחרונה עוד 400 מיליון דולר. השתתפו בו ליאת חיון, מייסדת משותפת ומנכ"לית Eureka security; ג'סטין סומייני, CiSo ב-Unity; רועי בן יוסף, מנהל השקעות בסמסונג נקסט; סרינאת' קורובאדי, מנהל אבטחת ענן בנטפליקס; גיל דבח, מייסד משותף ומנכ"ל Piiano וברוק אוונס, סמנכ"ל להנדסת אבטחה ב- Roblox.
סוגיה ראשונה הייתה כמובן המשבר הפיננסי, האם תקציבי הסייבר פוחתים, מה שעלול לפגוע בסטארטאפים הישראלים. ג'סטין סומייני, מנהל אבטחת המידע של יוניטי השיב ואמר: "אין ויכוח על זה שדורשים מאיתנו לעשות יותר עם פחות, וזה אומר להתרכז ב-Top-5 או ב-Top-3 של האיומים". ברוק, ה-CISO של רובולוקס הוסיף ואומר: "אולי תהיה העדפה לקחת מוצר אחד שעושה שני דברים". זה יכול טיפ חשוב לחברות שניגשות בתקופה זו למכירות בארה"ב - לנסות לבנות מוצר מקיף יותר.
רועי בן יוסף, דירקטור השקעות בסמסונג נקסט התייחס לשאלה ואמר: "אנחנו רואים אצל חברות פורטפוליו שהצורך עדיין קיים אבל יכול לקחת יותר זמן בין POC (הוכחת התכנות, א"ז) למכירה". גם זה טיפ חשוב שסטארטפים צריכים לקחת בחשבון - ההמרה של לקוח עשויה לקחת יותר זמן. "איפה שלא רואים את זה", הוא הוסיף, "זה בפתרונות סייבר ל- DevOps, תחום שהוא יקר לארגון ואם חברה מצליחה להכניס לשם אוטומציה, זה חוסך הרבה כסף".
סוגיה שניה שלייטרסדורף הציף היא האם תאגיד גדול יעדיף לקנות פתרון סייבר מחברה מבוססת כמו צ'ק פוינט, קראוד סטרייק או פאלו אלטו - או מסטארטאפ. ברוקס אמר: "אני אוהב לעבוד עם סטארטאפים אבל האתגר הוא ליצור אינטגרציה (עם שאר מערכות האבטחה, א"ז) וגם יכולות להיות בעיות של מיהמנות". הוא ציין שלכן הוא עשוי לשקול להכניס פתרון צעיר למערכות הכי רגישות שלו.
סומייני הבחין בין סוגי האתגרים. עבור רוב השימושים הוא טען, "עדיפה חברה שראתה הכל ועשתה הכל. אבל ברגע שיש ייחודיות בארכיטקטורה, אז יתכן ויהיה סטארטאפ שהוא מפוקס כמו לייזר על הבעיה הספציפית. הבעיה עם סטארטארפים שלפעמים צריך להחזיק להם את היד ויש מחסור בעומק או בעושר של המוצר".
נציגת הסטארטאפים במושב, ליאת חיון מייסדת Eureka Security הגיבה ואמרה: "סטארטאפים מגיבים מהר יותר לטרנדים חדשים או איומים חדשים ולכן היכולת שלהם לפתור בעיות מהירה יותר, בזכות הגמישות. גם סביבת הסטארטאפים התבגרה בשנים האחרונות", ציינה, מכוונת לכך שהיום סטארטאפים מבינים טוב יותר כיצד ארגונים חושבים ומה הצרכים שלהם. היא עצמה אגב, הגיע מהענקית פאלו אלטו נטוורקס קודם לקריירה היזמית.
עוד טרנד אותו ניסה לייטרסדורף לבחון הוא PLG - שיטת מכירה לארגון שמגיעה "מלמטה" דרך המפתחים. רוב הדוברים היו סקפטיים. "PLG הוא הילד החדש בשכונה אבל אני לא חושב שזו אסטרטגיה נכונה למוצרי סקיורטי ולצ'קים גדולים", אמר היזם גיל דבח, מחברת Piiano. בן יוסף הוסיף הסכים: "יש סטארטאפים שאומרים את זה, שהם לא מוכרים ל-CISO אלא הולכים למפתחים, אבל למפתחים לא אכפת מסקיוריטי, הם רוצים עצמאות. הפתרון סייבר היחידי שהגיוני עבורם הוא כזה שנותן להם יותר חופש, כל השאר זה רוח וצלצולים". קורובאדי הסכים: "אם אתה רוכש פתרון שיש לו ביקוש מהמפתחים, PLG יכול להצליח, אבל לחלקים אחרים בארגון זה לא מתאים".
לייטרסדורף התעניין לגבי סוגי מתקפות חדשים והזכיר את המתקפה האחרונה על אובר בה התוקף הצליח להתגבר על מנגנון האימות הכפול (MFA) של החברה באמצעות הנדסה חברתית. ברוקס אמר: "אנחנו רואים שיפור במתקפות הפישינג ואכן גם בהנדסה החברתית". חיון סיכמה: "גם היום, נקודת הכשל המרכזית היא הגורם האנושי ורוב החדירות לארגון זה משם ולא מאיזה ניצול חולשת Zero Day (היינו לא מוכרת, א"ז).
סומייני דיבר על גל חדש של מתקפות שנעשות על ספריות קוד פתוח, שדרכן יוצרים התוקפים דלתות אחוריות בשורה ארוכה של ארגונים.