Wiz,一家安全厂商,18 个月前发布产品,一年半时间完成了0到1亿美金的确认收入。据Bessemer Ventures State of the Cloud报告显示,Wiz已经刷新了SaaS圈最快收入增长纪录。
上一位选手deel(全球化招聘)今年刚刚打破纪录还没捂热乎,就被Wiz再次刷新。我相信很多安全圈的兄弟们都不一定听说过这家公司,不过后面的slack、twilio、shopify应该有所耳闻。
作为安全行业一线创业者,看到此条消息多少有点感慨。
Wiz做什么
笔者第一次看到Wiz是2021年的RSAC Innovation Sandbox(全球网络安全行业创新风向标)。这家2020年成立于以色列的安全startup,在21年成功进入RSAC十强。其赛道可以划分为 网络安全-云安全-云基础设施安全-CSPM
CSPM由Gartner从众多安全方向中划分出独立的赛道。简单来讲,即解决跨云、多云基础设施的安全检查和统一管理问题。
常规CSPM类产品主要功能包括:
检测并自动修复不安全的云资源配置,如:监控存储桶、加密和帐户权限是否存在错误配置导致数据泄露。
跨云、多云配置和服务的安全统一管控。
基于既定的安全控制框架或监管标准,下发安全管理手段,解决合规问题。
安全与SaaS模式的结合
并非所有的安全品类都可以SaaS: PLG/SaaS相比传统SLG的大客户交付要求更快的价值转化链路:开箱即用、用了就有效。这是传统入侵检测(要等着黑客攻击才能体现价值)类产品所做不到的。
笔者在之前文章中提到「两种适合SaaS商业化的安全产品定位」如下:
效率工具
能为安全日常性工作提升效率的工具,用户画像明确,靠功能和用户体验获胜,高频使用能够让产品价值快速被感知。随着国内老龄化问题严峻,人力成本越来越高,且安全部门leader逐渐具有技术背景,「堆人干活」的模式长期来讲有望得到改观。
限制工具
如果把安全产品分为两类,一种是边界不清晰的「用了更安全」的产品,比如IDS、EDR,核心能力是对攻防经验的积累,而攻防是动态演进的;另外一种则是边界清晰的「我允许你干什么、不允许你干什么」的限制工具,用了就能在逻辑上解决某些问题,例如以黑白名单进行防御的安全工具,云服务器的安全组。
其中CSPM在 获取合规要求-形成安全检查项-自动验证-自动修复(部分) 这个链路上,是可以闭环的,用户的预期收益也是明确的。
此外,在架构方面,Wiz选择了AgentLess的轻量级解决方案,交付更快,放大了SaaS的优势。
传统的安全设备/产品 需要侵入式部署,即进机房上架服务器、或者在业务运行的服务器或网络节点上,这样一来会导致交付周期拉长:业务、IT部门要评估上安全方案的影响;agent要灰度覆盖;乙方为了适配各种老旧系统和甲方自己都理不清的架构,会有大量的定制开发和适配工作,导致PLG的用户价值反馈链路不能形成。而AgentLess方式通过调用各云平台、云产品的API,完成基础安全建设工作,开箱即用,可以快速帮助企业完成0-60分安全建设,同时解决卡脖子的合规需求,安全效果天花板虽不及侵入式方案,但ROI较高。
云安全企业的土壤
安全行业发展的推动力有很多种,如基础设施的演进(云)、政府/国际形势下的安全合规(hw、等保)、行业性大事件(永恒之蓝)的爆发等等。其中最长期的基本逻辑还是IT基础设施的演进。企业数字化云化带来的安全问题以及成为热点多年。这里放一个云安全相关分享的图:
在混合云问题中,概括性写了一个词「分布式安全协同」,其实这个问题不仅存在于云环境,而是一个行业普遍现象:大规模分布式、数字化带来的业务复杂性与IT基础设施架构的复杂性飙升,背后安全问题越来越多,安全设备越来越多,企业像是一个绑满了绷带往前走的巨人。
如何让安全变得高效,如何联动海量分布式的设备,如何在不同的基础架构中,统一维护security posture,降低安全运营的成本——原来有SIEM/SOC,现在云来了,讲CSPM、零信任。
国内呢?
云安全企业的成长土壤,国内外一个明显的差异点是:国内云厂商借助基础设施护城河下手做安全,强调原生。换句话说:你买了我的服务器,我的安全解决方案效果更好,因为我掌握了服务器底层的操作权限,你外采的安全设备只能在用户态部署,「戴口罩」的防护方式当然没有「打疫苗」的原生方案有效,一定程度上挤压了第三方厂商的发展空间。相对而言,国外的云厂商虽然也有安全相关能力,但留出了更大的空间让安全厂商介入发展。
在当前云和数据强监管和国有化的趋势,也影响了以云为生的安全企业的商业模式,安全到底看效果还是合规?好像效果市场短暂的回来了一下,就又要走了。
此外,国内暂未出现成功的SaaS模式安全厂商(这一点可能有人要挑战),原因一是合规要求安全产品所需的相关数据很难出网;二是行业成熟度不同:企业-政府-厂商的三方利益结构、商务流程存在差异,同样的企业安全部门的人才及预算占比也存在较大差异。但笔者相信,在一些细分领域,安全SaaS已经初见成效,一定有可以发展的路,更高效率的商业模式,总会到来。
结语
引用一段曾鸣在《智能商业》中提到的三浪叠加理论:
一个企业从创业开始历经好点子、好产品、好团队、好组织、好文化等等阶段,千锤百炼终于成为行业的领导者。但这个时候往往3.0的挑战者已经悄然兴起,而行业的领导者经历看不见、看不起、看不懂、学不会、挡不住的阶段,最终被新兴者淘汰。今天我们面临的更大挑战是,原来这样的周期可能需要二十年,而今天这样的周期可能在八到十年内就走完了,波澜壮阔的商业史就是这样在一浪一浪的商业变革中展开。
曾鸣《智能商业》