Кибербез-индустрия в мире, где код не стоит ничего*
Ещё одинагентсегодня.
Это по всему реддиту, в каждой телеграмме. "Я собрал за выходные". "Он нашёл 0-day". "Он пишет код лучше". Скрины, демки, восторг, паника.
Когда в конце 80-х мы гоняли ASCII-человечков по бескрайним полям зелёных терминалов, на асме и фокале, никто не думал, что из этого получится индустрия на триллионы. Мы просто хотели, чтобы машина слушалась нас, а не наоборот.
Сейчас она слушается сама себя. И не мы устанавливаем правила. Правила устанавливают нас.
Давайте разберёмcя.
Базовая диагностика
Код перестал быть ценностью. Он стал материалом. Как ракушки каури когда-то были валютой трёх континентов, потом стали песком на пляжах, а песок стал кремнием из которого мы теперь делаем чипы. Только с кодом весь цикл занял не тысячелетия, а десяток ли.
Все делают это. Кто-то ярко и показательно, снимая себя на видео. Кто-то ещё стесняясь слова "вайбкодинг". Кто-то аккуратно пробуя на побочных проектах. Кто не делает — уже не в индустрии. Одиночка с агентами за месяц и пару сотен баков собирает то, на что раньше уходила команда из 25 человек и два года. Это не прогноз. Это производственная реальность, в которой мы уже живём.
Из этого следует один неприятный вывод. Ценность вендора больше не в том, что он "умеет писать продукт". Писать умеют все. Ценность теперь в другом: данные, доверие, дистрибуция, узловые точки, скорость упаковки чужих идей, способность превращать зоопарк возможностей в один рабочий продукт.
Один в поле — снова воин. Каждый человек с мозгами и руками теперь CEO, R&D, QA и маркетинг в одном лице. Индустрия, которая этого не заметила, уже труп. Просто ещё не сильно пахнет.
Коротко о жертвах
Пентест станет кнопкой, с редкими всплесками экспертов на бизнес-логике и физике.
Bug bounty станет либо конвейером автотриажа, либо премиум-ложей для нуликов. Середины не будет. 1-day пылесос будет сдут роботами.
Аналитик SOC, сигнатурописец — последнее поколение профессии. Не автоматизируется. Исчезает.
Корпоративный ИТ/ИБ перестанет быть департаментом, который покупает дорогие игрушки чтобы говорить "НЕТ". Станет платформой, на которой сотрудники сами собирают решения своих задач. Shadow IT легализуется как продакшен.
Средний менеджмент, чья работа — маршрутизировать статус между слоями, уже не нужен. HR ещё не оформил. Да и сам HR тоже в очереди на оформление.
Плати за объем (pay-by-volume) как бизнес-модель — всё. От SIEM до DLP, от CASB до PAM. Платить за гигабайты в мире, где агент на лету отбрасывает 80% шума — это самоубийство с отсрочкой.
Кто выживает
Выживают три архетипа. Всё остальное сжимается в ноль или консолидируется в один из этих трёх.
Дорогая инфра.Облако, DDoS-защита на магистральном уровне, инфра телекома, сертифицированное железо. И да, и лоуфул интерсепшен. Пошутил он, и заплакал. Логика простая: агенты удешевляют софт, но не удешевляют дата-центры, пиринг, scrubbing в десятки терабит и отношения с регулятором. Чем выше барьер по капитальным затратам и плотнее регуляторная обвязка, тем безопаснее ниша. Крупные игроки живут, просто консолидируются жёстче. Мелкие — сдаются или покупаются.
Узловая точка,ЦУП,через которую идёт трафик, identity, политики, исполнение решений. В мире дешёвого кода сама логика копируется за неделю. Дольше живёт тот, кто сидит в узле — в точке, где решение не только принимается, но и применяется. Если ты не в узле — ты фича чужого ЦУПа, просто пока этого не знаешь.
"Мозги в коробке" для B2B/B2G.Доверенная платформа, в которой агенты уже обвязаны identity, compliance, аудитом, страховкой и сертификацией. Enterprise и госсектор не купят агентов россыпью. Они не примут "принесите свой API-ключ к облаку" — ни регулятор, ни совет директоров, ни страховщик. Они купят коробку, за которую можно засудить.
Окно для перехвата этой ниши открыто ещё 2–3 года. Дальше рынок закроется несколькими победителями на страну. В России, Китае, Индии, Бразилии, на Ближнем Востоке — каждый крупный рынок получит своих 10–15 региональных чемпионов. Это прямое экзистенциальное окно для всех, кто сейчас способен его занять.
Погибает середина.Классический продуктовый вендор на 200–2000 человек с трёхлетним планом развития продающий коробки через дистри вымирает первым. Он не так гибок как одиночка и не капиталоёмкий как инфра. У него нет ни регуляторной защиты, ни собственных данных. У него есть только продукт, который теперь собирается за квартал.
Это некролог в рассрочку.
Steam для ИБ
В мире, где пентест делается за вечер, а compliance-чекер — за два, появляется новая категория дефицита.Стоимость внедрения.
Код агент напишет. Анализатор соберёт. Детектор натренирует. А впихнуть это в корпоративный контур — три месяца минимум. Закупка. Интеграция. SLA и договор. Приёмка по регламенту. Обучение операторов. Адаптация под конкретный стек. И это если повезло и у заказчика не аттестованный контур.
Эта дельта — от работающего продукта до работающего в бою продукта — и есть главный оставшийся барьер. Не код. Совместимость с чьей-то организацией.
Отсюда новая форма узловой точки. Не "ещё одна платформа". АSteam для ИБ— среда, в которой внедрение нового модуля — две кнопки, а не квартальный проект. Identity унаследован у платформы. SLA унаследован. Поток данных унаследован. Аттестация унаследована. Оператор не учится новому интерфейсу. Закупка — один раз, за платформу, дальше платежи за использование.
Кто построит такой слой первым в регулируемом контуре — забирает не рынок одного продукта. Забирает право быть точкой входа для всех остальных. Это и есть ЦУП в зрелой форме: снаружи — витрина для клиента, внутри — среда для созидателей которые приносят "скилы", "думалки", "решалки". Стыкуются через единую шину, политики и аудит.
Вендор будущего — не фабрика фич. Это редакция коллективного блога, которая решает ту задачу, которую ни один агент за выходные не соберёт:задачу быть услышанным.
Возвращение живых мертвецов
Три архетипа выживают. Три других — зомби. Экономически мертвы, клинически ещё дышат, финансово приносят дивиденды. AV/EDR, NGFW, SIEM — три золотые коровы ИБ-бюджета. Они выживут как инфраструктура. Они умрут как продукты. Разница принципиальная.
Классический сигнатурный AV технически мёртв десять лет, но живёт, потому что регулятор требует, страховка требует, регламент требует. Уберите регулятора — 30% рынка испарится за год. EDR без агента — свалка алертов. EDR с агентом — платформа, которая сама закрывает 80% инцидентов.
Пока вендоры AV/EDR меряются, кто лучше разбирает бинари на устройстве, на тех же устройствах поселяются сущности, которые сделают что угодно — их достаточно попросить.Это отдельная большая проблема. И такая же большая возможность.
NGFW выживает как инфраструктура — физику никто не отменил, пакетики надо перекладывать на скорости канала. Но индустрия вокруг него — все эти надстройки управления политиками, wireshark-консалтинг, которые годами продавали "управление тем, что человек уже не понимает" — мертва. Агент за час делает то, что продавалось как годовой проект. Пишет правила на лету, человек утверждает диф. Если не лень.
SIEM — самая больная корова. Технически — свалка логов с регэкспами продаваемыми как "экспертная экспертиза". Экономически — один из самых жирных сегментов ИБ-бюджета. Все, кто его эксплуатирует, ненавидят искренне. Модель pay-by-volume фундаментально конфликтует с агентами: вендор зарабатывает на том, чтобы лили больше, агент делает так, чтобы лили ровно сколько нужно. Эти модели несовместимы. Либо SIEM переизобретается какoutcome-based"плачу за пойманный инцидент" , либо становится мейнфреймом 2005 года — ещё живёт, ещё нужен банкам и госам, но это инерция, а не будущее.
Общая логика зомби.Все три коровы держатся на инерции регуляторики, организационной инерции и бюджетной инерции. Каждая из этих опор истончается в реальном времени. В обозримом будущем регулятор разрешит непрерывный автономный комплайнс, и вся накопленная сертификационная ценность обнулится за пару лет. Вендоры, уверенные что "нас спасёт сертификат" — правы тактически и мертвы стратегически.
Зомби — это не приговор, это стартовая позиция.У коров есть всё, чего нет у новых игроков: клиенты, дистрибуция, сертификация, привычка к покупке, ламинария. Не хватает одного — мозгов. Мозги докупаются за квартал через маркетплейс-модель, если корова достаточно жива, чтобы осознать свой диагноз. Кто первым переупакует свое многолетнее "наследие" в "коробку с подключаемыми мозгами" — забирает платформу, которую новые не построят за десять лет. Кто добавит "AI-ассистента" косметически — через пять лет упокоится в учебниках "как упустить рынок, имея всё для победы".
Выбор простой: переизобрести себя за 2–3 года или стать следующим BlackBerry. BlackBerry, кстати, тоже приносил деньги до самого конца. Потом перестал.
Identity: растёт, но перестаёт понимать, кого защищает
Identity — единственный из "старых" сегментов, который точно выживает и растёт. Это ЦУП в чистом виде: всё проходит через identity, всё атрибутируется identity, всё управляется через identity. Рынок удваивается и продолжит расти в ближайшие годы без какого-либо героизма со стороны вендоров.
Но внутри этого растущего рынка происходит тихая катастрофа, о которой никто вслух пока не говорит.
Ваша CAPTCHA за $20K в месяц обходится любым ботом с пачкой бесплатных проксей.Bot detection — проигранная гонка вооружений. Device fingerprinting обходится. Поведенческая биометрия будет сломана агентами в следующем цикле — не потому что защита плохая, а потому что агенты научились имитировать человека лучше, чем средний человек умеет доказывать, что он человек. Это шринкфляция пользы на автопилоте.
Это симптом, а не болезнь. Болезнь глубже. Identity исторически построена вокруг одного допущения: за действием стоит человек. Плохой или хороший, авторизованный или нет, но человек. Вся модель угроз, весь комплайнс, весь аудит — про человеческого человека. Теперь за половиной действий стоит не человек, а агент, который действует от имени человека, от имени другого агента, от имени сервиса, или сам по себе.
Service account — слишком статичный, слишком привелигированный. OAuth-токен не дает понимания , действие выполнил сам пользователь или агент от его имени. API-ключ — не поддерживает цепочки делегирования от агент к агенту для агенту. Ни один из существующих примитивов не закрывает задачу "агент X действует от имени человека Y в scope Z на TTL T минут, с возможностью субделегирования и полным аудитом каждого шага в цепочке". Кто-то сказал блокчейн?
Это разрыв на отдельную категорию, которой пока нет —Agent Identity & Access Management.Она стоит между IAM и PAM. Явного лидера нет. В России никто не шевелится. Окно открыто — год-полтора, потом закроется, как любая identity-категория, двумя-тремя победителями. Тот, кто первым выпустит сертифицированный Agent IAM для корпоративного контура, с моделью, которую примет ФСТЭК — получит позицию, которую за десять лет никто не отъест.
А что думают регуляторы
Современные регуляции все, до единой, написаны в парадигме "один деятель = один человек". Это не ограничение, это базовое допущение, зашитое в термины.
PCI DSSтребует уникальной идентификации каждого человека с доступом к платежным данным. А не человека?
NIST SP 800-63— отличный стандарт но полностью построен на модели "абонент = человеческий человек".ФСТЭК, ЦБ РФработают с терминами "пользователь", "субъект доступа", где субъект предполагается человеком. ГОСТ 57580 требует MFA для критичной инфраструктуры — когда у вас 500 агентов, делающих платёжные операции, MFA теряет операционный смысл.
EU AI Act, CISA, азиатские регуляторы— ровно то же самое, только с местными специями. Все знают, что проблема есть. Ни у кого нет операционных требований.
Ни один крупный регулятор не готов к миру, где половина идентичностей — не человеческие.Это создаёт два параллельных процесса, и оба опасны.
Первый —театр регуляторного абсурда. Организации подтягивают требования 2010 года к реальности 2026-го. Агенты оформляются как сервисные учетки, цепочки делегирования не логируются, аудитор не знает, что спрашивать, CISO не знает, что отвечать. Все делают вид. Так продолжится до первого громкого инцидента. После — паническое регулирование, написанное за неделю и плохо совместимое с реальностью.
Второй —битва за стандарт. Тот вендор, который первым придёт к регулятору с готовой моделью, словарём, процедурой адуита — напишет регулирование под свой вижен, продукт. Окно для этого хода — сейчас. В России оно особенно широкое: ФСТЭК и ЦБ любят конкретные методики, а не абстрактные принципы. Кто принесёт методичку — тот и станет стандартом.
Представим, что через пару лет регулятор принимает отчёт от сертифицированного автономного сканера как валидный для ежегодного анализа защищенности. Это уже не фантастика — это прямое следствие того, что регулятор любит методички. Кто принесёт первую методичку — выиграл категорию. Кто будет ждать "официальной позиции" — проиграл.
Через 3 года любой ИБ-аудит, который не задаёт вопрос "покажите мне инвентаризацию ваших агентских идентичностей, полномочий и логи" — это не аудит, а ритуал. Ещё через пару лет отсутствие Agent IAM в контуре критичной инфраструктуры — "палка на административку", как сейчас отсутствие MFA.
Новая физика M&A
Классический корпдев держится на одном допущении: у цели нет альтернатив, поэтому она будет ждать. Будет ждать, пока аналитик второй раз перечитает питч-дек. Пока юристы три месяца торгуются за гарантии. Пока Big4 за 400 часов биллинга напишут, что выручка действительно выручка и была выручена. Пока инвесткомитет соберётся в следующем квартале потому что отпуска. Пока вы торгуетесь за earn-out на три года при условии сохранения ключевых людей, которых сами же и выдавите через "culture fit" на третьем месяце.
Это допущение больше не работает.
У цели теперь есть альтернативы. Команда из трёх человек делает вполне себе продукт за 90 дней. Через 90 дней она либо имеет живой спрос, либо не имеет. Если имеет — её уже купил кто-то другой, пока вы согласовывали объём работ с аудитором. Если не имеет — вы заплатили шесть месяцев работы корп-дев за актив, который рынок уже похоронил.
Вы больше не определяете цену. Вы опаздывающий покупатель на ярмарке, которая закрывается через час.
Дьюдил как ритуал умирает. Не потому что он не нужен, а потому что он не может занимать шесть месяцев. Если ваша команда не принимает решение "покупаем / партенримся / встраиваем / убиваем" за три недели — вы будете покупать то, что уже никому не нужно. По цене, которую выставит продавец, потому что у него есть вторые и третьи покупатели с такой же скоростью решения и тоже не успели.
Оценка по DCF на пятилетний горизонт для стартапа, собранного за квартал — это цирк. Никто не знает, будет ли эта способность релевантна через год, не говоря о пяти. Вы платите премию за иллюзию, что ваш аналитик лучше рынка понимает будущее. Он не понимает. Рынок понимает быстрее, потому что рынок — это тысячи параллельных экспериментов, а не один Excel.
Earn-out на три года — это оскорбление основателя, который за полгода собрал больше, чем ваша продуктовая команда за год. Он не будет сидеть три года в вашей корпоративной клетке. Он уйдёт на девятом месяце, соберёт следующее, и продаст его вашему конкуренту. Non-compete на 24 месяца — ещё смешнее. Пока ваши юристы радуются, что защитили IP, основатель форкнул идею, сменил пять слов, переписал на другом языке и запустил под другим брендом через месяц после закрытия сделки.
Если ваш копр-дев занимает больше 30 дней от первого контакта до term sheet — вы не в игре. Вы дорогая задница, которая любит слайды. Пока вы контрактуетесь с Big4 за $500K чтобы получить оценку, к которой всё равно не прислушаетесь, цель либо улетает to the moon через другого покупателя, либо сама доказывает свою несостоятельность — и вы узнаёте об этом из Twitter, а не из отчёта due diligence.
Если ваша интеграция занимает больше 90 дней — вы купили не актив, а его тень.
Если вы покупаете, чтобы "не дать купить конкуренту" — вы покупаете страх, а не ценность. Блокирующая покупка работает три месяца. Потом появляется клон, и ваши 50 миллионов превращаются в музейный экспонат.
Кибербез как стриминг
M&A без M&A и R&D без R&D
Решение этого парадокса — перенести на M&A логику bug bounty или, если угодно - музыкального стриминга.
В новом мире вендор сталкивается с проблемой пропускной способности. 500 питчей в квартал, корп-дев из трёх человек, инженеры не успевают интегрировать даже купленное. Классический конвейер ломается от объёма. Но эта проблема уже решена на offensive-стороне: ресёрчеров в сто раз больше, чем редтим-команда может нанять, и bounty-модель позволяет получать результат без найма.
Переносим логику. Внешние команды, одиночки с агентами, мелкие стартапы, форкеры open-source — это ресёрчеры. Они приносят готовый модуль или прототип. Платформа — это bounty-программа.
Tier 0 — submission.Минимальный пакет: манифест, тесты, демо в песке, лицензия. Автоматический security и compliance, ирония — агентами. Решение "пускать или нет" за 72 часа, не за шесть месяцев.
Tier 1 — маркетплейсе в песке.Модуль доступен клиентам в предпросмотре. Дениги за использование. Нулевой апфронт. Вся экономика на удержании и реальном использовании. Докажите себя пользователями, а не слайдами.
Tier 2 — курируем.По метрикам удержания и результатов модуль попадает в ранжированный слой. Расширенный контракт, маркетинг, встраивание в основной поток.
Tier 3 — поглощаем.Модуль, доказавший себя за 6–12 месяцев — кандидат на M&A. Но это уже не сделка на слайдах. Дьюдил сделан рынком. Цена определяется данными, а не историей в питч-деке.
Tier -1 — закат.Всё, что не набрало своих фанатов — автоматически архивируется. Не "мы приняли стратегическое решение", а "рынок не подтвердил".
Да, вас захлестнёт волна. Это фича, а не баг. Нужен быстрый триаж, конвеер чтобы топить провальное, всплывать полезное. Это не проще классического M&A, это по-другому. Где классический — медленный, дорогой и эксклюзивный, этот — быстрый, дешёвый и распределённый. Due diligence перекладывается на клиентов. Провал виден через три месяца, а не через три года. Бухучет встроен в модель, а не пришивается отчётами постфактум.
Подводные камни, о которых надо сказать честно. Проблема доверия — в песочницу пускают много кого, и для ИБ-продуктов это особенно опасно. Решается жёсткой изоляцией, проигрыванием старого и деперсонофицированного, криптографической атрибуцией и графом репутации. Утечки данных — провайдер модуля видит клиентскую телеметрию, без правильных контрактов это катастрофа. Битва за метрики — как только появляются метрики, появляются накрутчики, нужен устойчивый дизайн с нуля. Лигалы и IP — шаблонные контракты, иначе юридический ад. Но именно шаблонизация этих вещей и процессов - есть главная инвестиция платформы.
Что это значит
Пирамида переворачивается: вместо 20 джунов и 2 сеньоров — 2 сеньора и 20 агентов. Куда идти джунам — отдельный вопрос, на который ни у кого пока нет ответа. Люди, которые в 2024 решили войти в айти, попали в профессию. Пошутил он и заплакал.
Что делать прямо сейчас
Перестать строить трёхлетние планы развития. Перейти на 60–90 дней на гипотезу, 6 месяцев на доказательство спроса, потом либо масштабирование, либо убийство.
Перестать продавать фичи. Продавать пользу, детекты, файндинги, узловую точку или доверенную коробку. Если ты не в узле и не регуляторно-сертифицированный контейнер — ты фича чужого продукта.
Построить внутренний маркетплейс с bounty M&A. Не через год, а в следующем квартале. Потому что через год вашу нишу уже займут.
Нанимать кураторов платформ и созидателей, а не писателей кода. Вендор будущего — владелец платформы, тот кто приносит доказанную пользу, а не конвейер фич.
Инвестировать в данные, землянную правду-истину, телеметрию, размеченные инциденты. Это единственное, что агент не сгенерирует за выходные. Пока.
Готовиться к регионализации. В B2B/B2G рынок фрагментируется по национальным контурам. Кто первым соберёт региональную доверенную коробку — получает позицию, которую за десять лет никто не отъест. Кто опоздает — не войдёт никогда.
Перестать покупать и продавать страх. Блокирующие сделки теперь работают три месяца, а стоят десятки миллионов.
И теперь к вам, остальные ИТ-вендоры
Мы разобрали на примере ИБ не потому, что ИБ интереснее. А потому, что ИБ первой получает по голове: короче циклы боли, злее клиенты, по ту сторону баррикад не бухгалтер а подкованный злоумышленник, жёстче регуляторы. Что прилетит в ИБ в 2026, прилетит в остальной ИТ. Вот-вот прилетит.
Если вы читали всё это и думали "к счастью, у нас не кибер" — мне даже не смешно.
В observability, DevTools, DataOps, CRM, ERP, документообороте, BI, HR-tech — всё то же самое, просто с задержкой в 12–18 месяцев. Ваш трёхлетний план уже труп. Ваш корп-дев-процесс в шесть месяцев — уже труп. Ваша "уникальная кодовая база" — уже песок. Ваш сегмент между одиночками и гиперскейлерами — уже вымирает, просто вы этого ещё не видите в квартальной отчётности.
Маленькие команды собирают CRM за квартал. Пятеро собирают ERP для узкой вертикали или клиента за полгода. Они не "конкурируют" с вами — они забирают по одному клиенту в месяц в тех сегментах, которые вы считали слишком мелкими, чтобы на них смотреть. Через два года вы обнаружите, что ваш рынок сократился вдвое, и виновата будет не "экономическая конъюнктура".
Это не конец индустрии
Это её возвращение к истокам.
Когда в 95-м мы диалили мимо BBS и чувствовали себя преступниками, когда писали чеки под SATAN для Nimda, Code Red, Slammer — мы делали это не потому, что кто-то согласовал бюджет, не потому, что был план, не потому, что маркетинг провёл анализ рынка.
Мы делали это, потому что могли.
Потому что былолюбопытно.
Потому что видели проблему — и у нас были руки и мозги.
Индустрия ИБ — и вся ИТ за ней — выросла из этого "любопытно". Потом она обросла процессами, квартальными планами, инвесткомитетами, шестимесячными due diligence, архитектурными комитетами, ISO-сертификациями на процессы написания документации о процессах написания документации. Всё это нужно, пока оно помогает строить. Ровно до момента, когда оно начинает мешать.
Сейчас — тот самый момент.
У одного человека с идеей и парой сотен баков больше возможностей, чем у вашего R&D-отдела на 200 инженеров. Не потому что он умнее. Потому что он не тратит 80% времени на согласования, ревью и "синхронизацию с стейк холдерамим". У него нет согласующих. У него есть проблема, инструмент и вечер. Он сам холдит свой стейк.
Правила новой индустрии — это старые правила, которые вы забыли.
Стройте то, что решает реальную проблему . Не то, что попало в магический квадрант или трагический крунг. Не то, что прошло инвесткомитет. То что нужно клиенту.
Взращивайте, а не выращивайте.
Покупайте скорость.
Убивайте то, что не работает.
Убивайте быстро. Но будьте готовы, что оно вернётся.
Верните право последнего слова тем, кто строит, а не тем, кто сводит Excel для следующего заседания.
Я созидатель. И это мой манифест.
*кинот на phdays которого не будет