安全行業(yè)���,一個(gè)永不落幕的舞臺(tái)
2016年是資本的冬天�,無(wú)論是中國(guó)還是美國(guó)���,無(wú)論是一級(jí)市場(chǎng)還是二級(jí)市場(chǎng)�,無(wú)論是投資人還是創(chuàng)業(yè)者�����,相信每一個(gè)身處其中的人都能夠感覺(jué)到其中的寒意���。中國(guó)經(jīng)濟(jì)面臨拐點(diǎn)�����,新常態(tài)和L型著陸成為很多人的口頭禪,無(wú)論是人口紅利的消失�����,還是流量增長(zhǎng)的枯竭,都讓中國(guó)的移動(dòng)互聯(lián)網(wǎng)及其從業(yè)者感覺(jué)到�,亂槍打鳥的時(shí)代已經(jīng)過(guò)去了。今天需要好好想想用戶需求了��,今天不再是豬都能飛起來(lái)的時(shí)代了�,今天不僅要看商業(yè)模式創(chuàng)新還要看技術(shù)創(chuàng)新了,今天不僅要看用戶數(shù)還要看收入的時(shí)代了�,甚至精明的投資人今天還要看增長(zhǎng)的效率了。
企業(yè)服務(wù)市場(chǎng)雖然比2C好一點(diǎn)�����,但是好得有限�,15年初盛行的“小用戶、免費(fèi)�����、Low Touch”早已經(jīng)被證明是失敗的�,然而那些正經(jīng)做大客戶好好做產(chǎn)品的公司也并沒(méi)有能夠一飛沖天,因?yàn)楫吘蛊髽I(yè)服務(wù)天生就是慢的���,一年一千萬(wàn)����,中國(guó)是一年一千萬(wàn)人民幣,美國(guó)是一年一千萬(wàn)美元��,七年才能熬成婆��。美國(guó)的二級(jí)市場(chǎng)也好不到哪里去����,軟件公司的IPO數(shù)量從2014年的13家,到2015年的個(gè)位數(shù)��,到2016年至今只有一家�。大型并購(gòu)的價(jià)格和數(shù)量一降再降,納斯達(dá)克上科技公司的股價(jià)在2月5號(hào)甚至出現(xiàn)大規(guī)模斷崖式的下跌���,LinkedIn����、Tableau等公司股價(jià)被腰斬���,Marketo公司�,一個(gè)年收入2億美元的Marketing Automation SaaS公司���,一度市值只有5億美元(雖然現(xiàn)在又漲回到15億美元)��,而MobileIron,這家MDM領(lǐng)域的領(lǐng)導(dǎo)者公司���,股價(jià)跌至2.7億美元后再也沒(méi)有起來(lái)過(guò)。
就在這樣的資本冬天里�����,依然有一個(gè)春意盎然的所在�,這就是安全行業(yè)。2016年美國(guó)科技企業(yè)的第一個(gè)IPO�����,就是一家安全軟件公司的IPO���,5月初�,計(jì)算機(jī)巨頭戴爾分拆其旗下網(wǎng)絡(luò)安全服務(wù) SecureWorks�,并讓其上市,代號(hào)「SCWX」����,這是今年在美國(guó)證券市場(chǎng)掛牌交易的首家科技公司,根據(jù) SecureWorks 的最高發(fā)行價(jià)計(jì)算��,SecureWorks 的市值將達(dá)到約 14.2 億美元,而戴爾在2011 年收購(gòu)這家公司的時(shí)候只用了 6.12 億美元�。另外,并購(gòu)領(lǐng)域也發(fā)生了一件大事�����,北京時(shí)間6月13日���,據(jù)彭博社報(bào)道���,賽門鐵克計(jì)劃以46.5億美元的價(jià)格收購(gòu)網(wǎng)絡(luò)安全公司Blue Coat Systems。作為交易的一部分���,Blue Coat控股股東貝恩資本將從出售交易收入中拿出7.5億美元注入到合并后的公司中�����,私募股權(quán)公司銀湖資本將其投資額增加一倍至10億美元����。這個(gè)交易固然是因?yàn)橘愰T鐵克正在進(jìn)行轉(zhuǎn)型����,從自身戰(zhàn)略需求出發(fā)進(jìn)行的收購(gòu)��,但同時(shí)也說(shuō)明安全市場(chǎng)所存在的巨大機(jī)會(huì)。
我之所以這么看�����,是因?yàn)槲艺藐P(guān)注過(guò)科技公司的私有化和LBO���,ITOM軟件和安全軟件領(lǐng)域是美國(guó)PE和激進(jìn)投資者最喜歡的并購(gòu)領(lǐng)域之一�,Blue Coat這家公司和ITOM的公司Compuware私有化操作方式和路徑也都很像�,價(jià)格也很相近,都是24億美元左右�。Blue Coat和Compuware都是各自領(lǐng)域的領(lǐng)導(dǎo)者,都是現(xiàn)金流強(qiáng)勁而增長(zhǎng)乏力����,都是被PE機(jī)構(gòu)給私有化,現(xiàn)如今Compuware深陷泥潭裁員不斷����,而Blue Coat則以兩倍價(jià)格成功脫手,不得不說(shuō)���,安全領(lǐng)域還是更加火熱一些��。
在VC投資領(lǐng)域��,安全行業(yè)也是不斷刷新紀(jì)錄���,去年年底�����,安全公司 Tenable Network Security 近日宣布獲得 2.5 億美元 B 輪融資�,創(chuàng)下業(yè)界融資最高紀(jì)錄����,領(lǐng)投方是 Insight Venture Partners和原有投資人Accel Partners。新興公司CrowdStrike 獲得了來(lái)自谷歌基金和Rackspace領(lǐng)投的C輪一億美元融資���。除此之外�����,CrowdStrike 公司之前的投資者Accel和Warburg Pincus 再次進(jìn)行了增資��。CrowdStrike 公司的上一輪融資是2013年9月的3000萬(wàn)美元���。截止目前���,CrowdStrike 已經(jīng)獲得了高達(dá)1.56億美元的融資總額。另外���,Tanium在2015年陸續(xù)融資兩億美元,估值25億美元���。
在安全行業(yè)�����,新興的創(chuàng)業(yè)公司如雨后春筍一般涌現(xiàn)���,比如應(yīng)用安全領(lǐng)域的Prevoty、Waratek;終端安全公司Carbon black��、CounterTack��、SentinalOne�、Cylance;移動(dòng)App加固領(lǐng)域的Seworks、whiteCryption;DevSecOps領(lǐng)域的ObjectSecurity��、Quotium、Veracode;CASB領(lǐng)域的Adallom����、Armor5、Bitglass��、CipherCloud���、Elastica����、FireLayers��、Imperva��、Ionic Security����、Netskope、Perspecsys���、Skyhigh Networks;沙盒安全公司Phantom��,移動(dòng)安全公司Appthority��、Zimperium;威脅情報(bào)平臺(tái)ThreadQ�、安全智能公司Attivo Networks、Cambridge Intelligence�����、Morphisec����、Secdo;UEBA公司Dtex Systems,Bay Dynamics;威脅防御公司Forter����,云安全公司Zscaler(SWG方向)���、Illumio等等��,不一而足���,總有幾百上千家。
為什么安全領(lǐng)域會(huì)涌現(xiàn)這么多新興科技公司?原因很簡(jiǎn)單����,因?yàn)镮T技術(shù)的發(fā)展讓這個(gè)行業(yè)再次得到了快速發(fā)展和迅速洗牌的機(jī)會(huì)���。這就像是在機(jī)場(chǎng)安檢通道排隊(duì),突然新開(kāi)了一個(gè)口����,后面的人就有了快速排在第一的機(jī)會(huì)。
安全行業(yè)大洗牌
安全行業(yè)百花齊放百家爭(zhēng)鳴的態(tài)勢(shì)��,在2016年的RSAC大會(huì)上也有所體現(xiàn)����,在為期一周的會(huì)議和展示中,RSA繼續(xù)以深刻的產(chǎn)業(yè)思考和前瞻性的趨勢(shì)和方向把握����,啟迪并引領(lǐng)安全行業(yè)變革、創(chuàng)新和前行��。2016的RSAC和往年有很大不同����,第一是終端安全(Endpoint Security)的強(qiáng)勢(shì)回歸,以致于有安全界人士說(shuō)2016是端點(diǎn)年�,第二是數(shù)據(jù)分析能力開(kāi)始落地,在整體安全概念的理解上��,主流的意見(jiàn)更為趨于一致,即需要形成“Protect-Detect-Response”的鏈條����,而之前更多的注意力被放在防護(hù)上,而隨著安全形勢(shì)的變化���,檢測(cè)與響應(yīng)會(huì)有占有越來(lái)越多的比重�。所以��,在本年度大會(huì)上�����,Phantom等新興公司大放異彩���。
在中國(guó)的安全行業(yè),有很多根深蒂固的觀點(diǎn)和行業(yè)規(guī)矩存在���,使得中國(guó)的安全行業(yè)和美國(guó)很不相同��。第一�����,中國(guó)的安全行業(yè)向來(lái)被稱為“網(wǎng)絡(luò)安全行業(yè)”��,這也使得在這個(gè)領(lǐng)域的所有技術(shù)創(chuàng)新都主要通過(guò)網(wǎng)絡(luò)包捕獲(DPI)等技術(shù)去實(shí)現(xiàn)���,這里的原因一方面是因?yàn)榭蛻舻谋J?,另外一方面也因?yàn)閺S商的不作為�,同樣的盒子換了無(wú)數(shù)種名詞賣給同樣的客戶。第二����,中國(guó)的安全行業(yè)和軟件行業(yè)有較深的鴻溝,這主要是因?yàn)橹袊?guó)的IT行業(yè)長(zhǎng)久被國(guó)外廠商占據(jù)�����,本土獨(dú)立軟件公司缺乏�����,這使得很多并不具備軟件和產(chǎn)品開(kāi)發(fā)能力的人在安全行業(yè)具備較大的話語(yǔ)權(quán)�。這點(diǎn)在美國(guó)人看來(lái)應(yīng)該是不可思議的。這點(diǎn)也導(dǎo)致了很多后果����,第一是安全領(lǐng)域的創(chuàng)新嚴(yán)重不足���,很多新興的安全團(tuán)隊(duì)依然把眼光放在他們熟悉的地方,比如說(shuō)WAF��,比如說(shuō)掃描器����。而其他很多領(lǐng)域則沒(méi)有任何人涉足。
其實(shí)安全軟件����,首先是一種軟件產(chǎn)品,不應(yīng)該長(zhǎng)期被貼上各種神秘的標(biāo)簽��。其次����,網(wǎng)絡(luò)包捕獲技術(shù)只是獲取攻擊行為的一種手段和方式,其他的方式也應(yīng)該被放到同樣重要的位置上�����?;ヂ?lián)網(wǎng)上的用戶請(qǐng)求和響應(yīng)過(guò)程���,是一個(gè)非常復(fù)雜的過(guò)程��,其中每一個(gè)環(huán)節(jié)都有可能出現(xiàn)問(wèn)題���。所以從這個(gè)角度看�����,安全軟件和性能監(jiān)控軟件有著一樣的模型���。
安全軟件的本質(zhì)模型和監(jiān)控軟件是一樣的,都是一個(gè)“Collect-Store-Analytics”的過(guò)程���,信息可以從網(wǎng)絡(luò)中獲取����,可以從應(yīng)用軟件的運(yùn)行時(shí)環(huán)境中得到���,也可以從日志當(dāng)中直接分析���。APM行業(yè)十年前也是以網(wǎng)絡(luò)包捕獲技術(shù)為主,這主要是因?yàn)楫?dāng)年的計(jì)算機(jī)軟硬件不足以分析動(dòng)輒幾百GB的日志文件,也沒(méi)有足夠的技術(shù)創(chuàng)新從應(yīng)用軟件的運(yùn)行時(shí)環(huán)境中獲取信息��。但是隨著技術(shù)的發(fā)展�����,簡(jiǎn)單的三層模型讓位于復(fù)雜的SOA架構(gòu)����,以應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)軟件運(yùn)行在小型機(jī)上面的垂直擴(kuò)展模型被X86的水平擴(kuò)展模型取代,網(wǎng)絡(luò)包捕獲技術(shù)就不再能夠滿足性能分析的需求�����。所以�,新一代的以應(yīng)用層探針技術(shù)為代表的APM公司就取代了原來(lái)的網(wǎng)絡(luò)包捕獲技術(shù)的APM公司。
現(xiàn)在安全行業(yè)正在發(fā)生什么樣的變化呢?我覺(jué)得其實(shí)變化非常明顯�����,第一�����,云的廣泛使用的第一個(gè)直接后果�����,就是企業(yè)網(wǎng)絡(luò)邊界的逐漸消失�����。對(duì)于一個(gè)主要使用公有云的新興企業(yè)來(lái)說(shuō)��,不可能有任何機(jī)會(huì)去使用基于網(wǎng)絡(luò)抓包技術(shù)的硬件形態(tài)的安全產(chǎn)品�����。第二����,越來(lái)越多的攻擊是針對(duì)數(shù)據(jù)層和應(yīng)用層,而且隨著HTTPS��、HTTP2.0等技術(shù)的普及�����,網(wǎng)絡(luò)抓包技術(shù)越來(lái)越表現(xiàn)出在Performance領(lǐng)域的那種力不從心的態(tài)勢(shì)����。根據(jù)Gartner統(tǒng)計(jì)���,目前80%以上的攻擊發(fā)生在應(yīng)用層,而如果沒(méi)有應(yīng)用上下文����,這些攻擊不可能在網(wǎng)絡(luò)層被攔截;同時(shí),越來(lái)越多的0Day和APT攻擊也讓傳統(tǒng)的基于規(guī)則和特征的防御措施形同虛設(shè)���。
從這個(gè)角度來(lái)說(shuō)���,中國(guó)安全行業(yè)的技術(shù)實(shí)現(xiàn),應(yīng)該是從現(xiàn)在網(wǎng)絡(luò)安全的一家獨(dú)大��,到應(yīng)用安全�����、終端安全和網(wǎng)絡(luò)安全的三足鼎立���,輔助以數(shù)據(jù)分析技術(shù)(SIEM)和人工智能技術(shù)�����。在美國(guó)��,這個(gè)趨勢(shì)已經(jīng)逐漸成型����,無(wú)論是終端安全的代表Tanium����、Crowdstrike,還是應(yīng)用安全領(lǐng)域的ArcSight����、SIEM領(lǐng)域的Splunk等公司,在安全行業(yè)的地位都可以和傳統(tǒng)的網(wǎng)絡(luò)安全公司如Synmantec等互相競(jìng)爭(zhēng)和協(xié)同�,在中國(guó),這一趨勢(shì)尚未到來(lái)���,然而我們都知道����,中國(guó)企業(yè)的創(chuàng)新速度在2C領(lǐng)域已經(jīng)證明了可以超越硅谷�����,在2B也一定會(huì)如此���。
另外����,AI的技術(shù)在安全行業(yè)將會(huì)得到全方位的應(yīng)用。在未來(lái)的安全領(lǐng)域中��,人工分析將被機(jī)器分析所取代����,Security Artifical Intelligence將會(huì)成為新的“守護(hù)者”。
