如果你的公司創業十年,成功被大公司收購,然後呢?
長亭科技的選擇是:重新從大公司跳出來。
今年 5 月,長亭科技獲超 10 億元分拆輪融資,由上海國際資管及旗下基金主導領投,多家國有資本和産業資本跟投。
而這則交易的特殊一面是:這是一筆分拆輪融資。繼 2019 年被阿裏雲全資收購後,長亭科技在本次融資後再度獨立,并将開啓 IPO 計劃。
在網絡安全所屬的企業服務賽道,這兩年的市場情緒已降至冰點。對這樣一筆融資,以及在這一時點喊出的 IPO,很多人有着不同的解讀。
" 好多人說,我們都在尋求公司怎麽脫手、怎麽被賣,你們怎麽反過來了?是不是哪裏沒想清楚?" 宣布消息後,長亭科技 CEO 朱文雷收到不少疑問。
長亭科技的發展曆程,是那個 " 萬衆創新 " 的時代裏的模範創業故事:四位畢業于清華大學和浙江大學的高材生,出于對信息安全技術的興趣組成戰隊,成爲第一支成功闖入全球網絡安全行業頂級賽事 CTF 總決賽的華人隊伍。而後,他們創業,遇到過 " 和投資人聊 20 分鍾就拿到了融資 " 的電視劇式情節,一輪輪融資,最後被大廠收購。
一個成功的創業故事,如今又展開了新一頁。長亭成爲阿裏體系内第一家被并購後再度獨立的公司,這在中國創投圈内也十分罕見。
從很多細節中,你可以察覺到這家公司的身段靈活和意志堅定,這是故事 " 延續 " 的必要條件。
2019 年,長亭科技被阿裏雲全資收購,但堅持 " 保持公司的獨立發展與運營 "。進入阿裏雲體系後,長亭借助其資源,推出了一系列雲安全産品,成功趕上雲計算快速普及後的一波安全紅利。公司業務規模,也在短短四年裏面翻了六七倍。
長亭創始團隊的分工,也一直在 " 因地制宜 " ——公司剛成立的時候,還在校的朱文雷就擔任 CEO。後來,公司需要技術創新和突破,他又去擔任 CTO,現在又回到了 CEO 一職。創業的十年裏,他寫過代碼,做過交付,從不善言辭的理科生,到學習管理,成爲公司的一号位,在這個過程中 " 把公司的各個崗位都經曆了一遍 "。
現在選擇讓公司再度獨立、走向 IPO,也源于長亭團隊感受到網絡安全市場的希望和機遇。
朱文雷看到,盡管受大環境影響,客戶整體預算吃緊,但安全預算在 IT 支出的占比不斷提升,同時安全現在已經成爲 " 一把手 " 工程,随着市場從雲計算時代走到 AI 時代,安全的價值越來越高,市場隻會越來越大。比起市場不确定性,他更願意帶着團隊從大公司體系跳出來,适應新時代的水溫。
在本輪融資後,36 氪與長亭科技 CEO 朱文雷有過一次對話。他和我們複盤了長亭科技創業的十年曆程,以及作爲一位年輕的創業者,如何在創業中走向成熟。
長亭科技 CEO 朱文雷
以下爲 36 氪與朱文雷的對話,經整理編輯:
重新出發
36 氪:2019 年長亭被阿裏雲并購,而前不久,你們正式宣布一輪分拆輪融資,以及上市。爲什麽會做這樣一個選擇?
朱文雷:2019 年開始和阿裏雲主要談的是投資,後來發現雙方的發展思路非常契合,就變成了并購。但我們保持了獨立發展,包括辦公地點、業務策略、發展方向等都有很強的獨立自主權。被阿裏收購後,一方面能更好地擁抱雲場景,一方面也幫前期的資本實現了很好的退出。
在阿裏的這些年,集團對我們支持力度非常大,我們得到的是阿裏體系在場景、技術、産品、資金等多方面的大力加持。借助阿裏雲的資源,我們可以心無旁骛地研究怎樣去做産品和鑽研業務,同時避開近幾年資本市場和外部環境的動蕩,又保持了自身優勢業務的獨立發展。所以是個共赢的局面。
經過幾年的發展,當長亭的體量規模已經到達超過上市标準體量規模的時候,我們開始有了謀求獨立上市的想法。所以,長亭才選擇進行獨立融資,到達一個重新出發的狀态。
36 氪:這次獨立出來的目标是什麽?
朱文雷:首先希望能夠達到上市的規模體量和規範标準。上市是個階段性的目标,不是終點,但它是個裏程碑。
但現在上市無法有一個明确的預期,還取決于政策和大環境的變化。對此,我們的想法很簡單,心态也很平和,就是朝着上市的方向去充分準備,嚴格要求公司的業務發展更加合規,當機會窗口來臨的時候不會錯失。
36 氪:身邊的人,聽到這個消息之後都有什麽反應?
朱文雷:的确有很多人說,我們都在尋求公司怎麽脫手、怎麽被賣,你們怎麽反過來了?是不是哪裏沒想清楚?
我說不是的,我們就是希望把一件事情長期堅持下去做好。我們認爲在把一件事情認真做到極緻時,在這個過程中自然而然就會收獲價值、名譽等附帶的東西。如果一心去追求财富、追求名譽,反而會适得其反。
36 氪:現在的安全市場有新機會嗎?
朱文雷:從資本市場的角度來說,目前暫時肯定是趨冷的,市場存在很大的挑戰和不确定性。安全行業的投融資在 2021 年是個頂點,後來連續兩年都幾乎砍半,2023 年安全行業投融資總金額僅僅是最高峰的 1/4。
但同時,其中也蘊含着曆史性的機遇。從我們實際看到的情況,客戶的整體 IT 預算可能吃緊,但安全預算并沒有減少,需求反而不斷提升。從十幾年前的政策合規類需求,到前幾年的實戰攻防類需求,今天的客戶已經不再是需求某一款産品,而是需要完整的、體系化的解決方案。
如果在這個時候,我們能把競争優勢累積,随着時間增長,就會形成壁壘,就有很大機會在未來的競争中勝出。
36 氪:在阿裏體系幾年,長亭科技得到最重要的東西,是什麽?
朱文雷:阿裏雲給了當時的我們很好的發展契機和技術賦能。雲上的産品和以前的硬件産品形态不同,我們也得以開始做産品的雲化改造,發展雲的場景和業務。
比如,長亭的 WAF 應該是國内支持應用場景最豐富的 WAF 類産品。由于架構設計先進,這款産品的性能非常強,對于一些大流量的互聯網客戶如視頻網站,每天可支撐幾千億次請求的流量,這種強度的流量在全國安全廠商中隻有長亭一家能夠用私有雲架構支撐。這裏涉及到大流量的處理技術,和阿裏的合作密切相關。
36 氪:前幾年也是互聯網趨于成熟,大量企業上雲,雲計算市場蓬勃發展的時期。
朱文雷:我們當時就認爲,雲是未來的 IT 基礎設施,是重要的安全場景。後來,包括阿裏雲在内的全國雲市場的高速發展驗證了我們的判斷。安全是 IT 基礎設施之上的需求,不去主動擁抱雲,就會被抛棄在這個市場之外。
創業最好做 " 邁半步 " 的精準創新
36 氪:長亭是你和創始團隊的第一次創業,爲什麽當時會選網絡安全行業?
朱文雷:長亭的成立其實恰好是趕上了國家網絡安全行業的爆發期。
國内網絡安全行業大約從 2000 年左右開始起步,伴随着互聯網的高速發展,影響面極廣的安全事件頻發,國家層面也開始加強對網絡安全的管理。
2012 年,我還在清華念書,清華大學網絡與信息安全實驗室的段海新教授,組織了一個網絡安全戰隊 " 藍蓮花 ",去參加美國的 DEF CON CTF,俗稱網絡安全競賽世界杯。
我是 " 藍蓮花 " 戰隊的第一批核心隊員。我們不斷去參加各種大大小小的比賽,通過以賽代練的形式,幾乎把所有的時間都用來打磨網絡安全技術,漸漸的水平越來越高,成績也越來越好,之後就選擇了創業。
36 氪:一開始想做的事,和現在一樣嗎?
朱文雷:作爲學生創業團隊,比如行業趨勢、國家政策之類,當時很難預料。我們是技術出身,最核心的是網絡攻防技術,那時我們有個樸素的想法,就是基于攻防技術,給客戶做 " 真 " 的網絡安全。
36 氪:什麽是 " 真 "?
朱文雷:2000 年到 2012 年,網絡安全行業主要是合規政策驅動。例如金融機構往往必須持有等保三級資質,才能去開展相應業務。怎麽達到等保合規?首先要具備防火牆、日志審計之類的安全設備,用戶有了這些必要的設備以後,國家才會認定用戶達到了相應的合規标準。
我們認爲 " 真 " 的意思是,不能隻機械照搬政策合規要求,僅僅買來各種安全防護設備就認爲是安全,不然就不會發生這麽多的安全事故,在滿足政策合規的基礎上,還要真正面向攻防場景、基于技術來解決安全問題。
36 氪:怎麽概括你們的技術和産品路線?
朱文雷:長亭最擅長的是攻和防,我們當時的想法是圍繞着攻防主戰場去布局。什麽地方攻防對抗最激烈,就在什麽地方去布局産品。我們主要保護客戶數據中心的安全,流量、主機這些安全入口點就是主戰場,需要在這些領域力争取得行業領導地位。
36 氪:在主戰場難度也更高。能不能舉個例子,解釋下你們怎麽在技術上做創新?
朱文雷:長亭的第一款産品是 Web 應用防火牆(Web Application Firewall,簡稱 WAF),給網站做防護。
當時我們先研究了市面上主要的 WAF 産品,發現幾乎都在用過時的規則匹配技術。這是一種粗粒度的方法,通過特征比對的方式去檢測威脅,類似一個大樓的保安判斷進來的人是好是壞,靠的是這個人的的外貌特征,是不是穿着奇裝異服,帶個大金鏈子,有個紋身之類。這種特征其實不能證明這個人的好壞,所以,要麽産生漏報,要麽産生誤報。
我們當時要研究的,是希望用智能的算法,去代替原來機械式的規則匹配,去發現真正的安全風險。
我們把這個領域的論文、技術創新點全都研究了一遍,最後選擇了一條前人沒有走過的路。爲了精準的識别請求中内在的入侵行爲,我們一層一層把攻擊行爲撥開,對網絡請求先做層層解碼,然後再去做詞法語法分析,構建語法樹,最後再做語義上的識别,識别它到底有沒有威脅,如果有威脅,大概是什麽行爲。
36 氪:整個過程花了多長時間?
朱文雷:從 2014 年創立,到 2017 年推出正式産品,用了兩三年,一直在打磨最核心的檢測引擎技術,技術路線上是完全突破和創新的。
36 氪:用這麽長時間打磨,當時不擔心有别人也做同樣的事情嗎?
朱文雷:當時實戰攻防型安全技術還屬于發展的初期,有充分的時間留給我們認真打磨技術,如果是今天就很難了。那時公司也不像現在業務節奏這樣緊密,而且客戶也願意和我們這樣的創業公司一起嘗試新技術。
今天用戶的水平和要求都已經到了一個很高的水位,如果産品一開始不能滿足用戶的要求,就意味着失敗概率很高。
36 氪:創新也需要匹配行業發展的階段,随着行業成熟度不斷提升,你們怎麽調整創新的節奏?
朱文雷:推出了 WAF 之後,2016 年我們就緊接着推出了第二款産品蜜罐。蜜罐是虛拟出一些有真實業務和數據的場景,引誘黑客入侵的誘捕欺騙系統。這同樣也是一個創新産品。新到什麽程度?這款産品做出來後,去申請銷售許可證,當時國内都沒有這個品類。客戶會覺得連銷售許可證都沒有,不夠正規。并且, 客戶對産品能實現的功能,能解決的問題,當時也沒有太多的認知。
因此,蜜罐産品太創新太超前,導緻前兩年都沒有商業化收入。一直到第三年,因爲行業政策變化,才讓這個産品爆發了。
36 氪:快三年沒有收入,當時有打算砍掉這個業務嗎?
朱文雷:我們差不多堅持了三年,如果再往後一年還沒有收入,可能就砍掉了。
所以我後來也總結,産品和技術創新的步子既不能邁太大,也不能太小,在國内要做精準務實的創新。這個創新甚至隻能邁半步,再精準點,可能要邁 0.65 步這種感覺。
步子邁太大,容易成爲先烈,因爲市場不認可或者不懂;步子邁太小,沒有差異化。
從單品到體系,做攻防主戰場
36 氪:我比較好奇你們的商業化節奏。産品推出後,商業化情況怎麽樣?
朱文雷:2016 年推出第一款産品 WAF 後,增長就很快。公司成立之後,我們保持了高速增長,連續 7 年保持了翻倍的增長速度。
我們剛創業的時候,投資人告訴我們,美國的很多軟件公司的成長節奏叫做 "triple-triple-triple-double-double",就是以開始三倍、三倍、三倍,到後期兩倍的增長速度,增長到一個億收入的體量。後來我們複盤長亭的發展,和這個增長節奏很匹配,甚至翻倍持續的時間更長。
36 氪:增長更多來自什麽地方?
朱文雷:早期靠單品,後期靠體系。
早期靠單品,是因爲那時隻有一兩款産品。到後期,我們發現單品有市場瓶頸。比如 WAF 産品,到 2020 年市場份額就到了市場前四名,但這個品類國内總的市場空間隻有 10 多個億,裏面還有好幾個玩家。
基于這種情況,我們的産品從一開始的單點變成了後來的體系化,圍繞實戰攻防領域進行産品體系布局。
36 氪:安全市場的大玩家基本都是走産品矩陣路線,長亭的産品特點有哪些?
朱文雷:長亭最擅長的是攻和防,基于這些能力,我們自然而然圍繞着攻防主戰場去布局,也就是攻防對抗最激烈的地方,比如客戶的數據中心,流量、主機,是網絡安全的兵家必争之地。
我們在安全攻防的關鍵領域都有布局。一開始的産品是 " 攻防抓 ",後來是 " 攻防查抓 "、" 攻防知查抓 ",每一個字代表一款産品,現在字已經不夠用,産品布局形成了體系化。
同時,長亭有一個區别于其他廠商的特點,是産品和服務并重。很多安全公司隻有産品,沒有服務。但要想做好安全,服務是必須的。長亭有接近一半的人員是安全服務人員,他們會到客戶現場,了解客戶的問題,根據客戶的實際需求,幫助客戶解決問題。
36 氪:站在現在這個時間節點,市場裏的核心變量是 AI。AI 會怎麽影響你們産品體系的發展?
朱文雷:現在有不少安全創業公司出來隻做一款産品,沒有形成任何的體系。但我們認爲,體系化是安全行業的門檻性要求,我們現在已經躍過了這個階段。
下一個階段是智能化。就像以前雲化時,我們把所有産品在雲上重新做一遍,智能化需要我們把所有産品用 AI 能力重新做一遍,而且是攻防兩端的。
類似智能汽車自動駕駛有 L1 到 L5 的發展階段,L5 是全自動駕駛。我們的目标定得很明确,達到 L4 級别的安全運營,即面向未來的智能安全攻防和運營體系。
36 氪:未來的網絡安全防護場景,會變成怎麽樣?有更具體的場景嗎?
朱文雷:比如,客戶給一個攻防演練場景的需求,其中很多攻防工作,都可以通過 AI 全自動完成。當然,現在還是半自動爲主,但等未來達到 L4 級别的自動化時,99.9% 的工作都可以自動化,隻有 0.1% 需要人工完成,安全運營的效率将大幅提升,對應的安全防護水平也會大幅提升。
從沖在一線,到 " 拿放大鏡觀察 "
36 氪:長亭的發展過程,從創業、并購、再獨立,看似很順風順水。一路走來,有不被理解的時候嗎?
朱文雷:長亭發展的每個過程都會免不了被質疑。比如,我們 2014 年剛出來創業時,市場對我們的看法是 " 一個打比賽的團隊能有什麽商業能力?" 到 2016 年我們推出 WAF 産品,剛開始隻有個引擎,有人會說,引擎不是一個完整的産品,怎麽賣得動。到後來我們擁抱阿裏雲,又有人說長亭不行了,業務無法獨立。
這些事情都是 " 後視鏡 "。當有了事實和結果,再去回顧,人們才會從不理解到理解,認爲你當時做的是對的。
36 氪:怎麽保證決策能夠足夠準确?
朱文雷:我個人的特點是心态比較開放。2017 年到 2019 年,當時長亭的核心技術研發已經基本完成,我發現,如果我還是隻做技術的話,對公司的價值比較有限。後來,我就開始向更多的崗位去發展,長亭的每一個崗位我幾乎都做過,包括管理、研發、解決方案、實施、甚至是财務行政也參與過不少工作,所以每個地方都會懂一點。
36 氪:作爲公司一号位,你覺得最重要的能力是什麽?
朱文雷:我覺得有兩點最重要,一個是堅韌不拔的意志力和耐心,決定你能走多遠。第二是剛才講的認知和判斷能力,決定你能走多高。有些人可能堅持不下去,走得不夠遠,也有人堅持了很久,但認知上無法突破,走得不夠高。我覺得同時具備堅韌不拔的意志力耐心和非常強的認知判斷能力,就會走得又高又遠。
36 氪:你在長亭也先是做 CEO、後來是 CTO,現在又回到 CEO 的位置中。現在每天忙得最多的事情是什麽?
朱文雷:傳統來說,CEO 的主要職能還是找人找錢找方向。現在我最核心的工作是提升認知和判斷,做好重要的方向性的決策。以前我是親力親爲,和大家一起沖在第一線,現在我在旁邊拿着放大鏡認真觀察,觀察一些會導緻公司運轉出現減速和卡殼的問題,該如何調整每個單元的運轉方式,及時做調優,促使公司這個複雜龐大的機器運轉的更爲流暢、更爲高效。