因數據安全問題,Facebook 被愛爾蘭罰款 2.65 億歐元,法國對谷歌處以創紀錄的 1.5 億歐元罰款……以億為單位的罰款,正不斷砸在互聯網公司頭上。
巨大的罰款金額背後,是各國政府對于用戶數據安全和隐私保護問題,采取了越來越嚴肅的态度。
不過,一個矛盾的點是,以矽谷大廠為代表的科技巨頭,其實反而在數據保護方面有真正的投入和認知。相對來說,那些想要開拓新市場的中小型公司,對于數據合規非常陌生,而後者繁瑣的認證過程,比其真正需要的成本更令前者恐懼。
有需求就會有供給,近日,一家名為 Drata 的數據合規公司,使用自動化雲服務平台,将以往繁瑣的數據合規驗證,變成了一站式的 SaaS 服務,幫助企業完成 SoC2、GDPR 等目前歐美主流的數據合規标準。
不久前,Drata 完成了 C 輪 2 億美元融資,估值達到了 20 億美元。其背後的投資者既有 Salesforce 這樣的軟件巨頭,也有 GGV 這樣的大型投資機構,甚至微軟 CEO 薩提亞 · 納德拉,也是該公司的個人投資者。
Drata 這樣一個小公司,如何用僅僅 2 年時間,就做成了一家超級獨角獸?它成功的背後,數據合規行業未來的趨勢又是怎樣的?
01
将标準做成 SaaS
作為一家創業公司,Drata 選擇的領域非常垂直,主打 GRC(Governance, Risk and Compliance,治理、風險和合規)市場,核心的産品是幫助其他公司變得更「合規」。
在歐美市場,GRC 軟件合規是數據安全的重要組成部分,需要對軟件産品各個環節進行檢測以了解其對用戶是否足夠「安全」。對于企業來說,一款符合頂級合規安全标準(如 SoC2、GDPR)的産品不僅意味着自家的産品很安全,還可以證明自身技術很有實力,獲得用戶的信任。
以全球公認最具權威性、專業性的安全審計報告 SOC2 報告為例,它基于美國注冊會計師協會 ( AICPA ) 審計标準委員會的現有信托服務标準 ( TSC ) 制定。由一個獨立的第三方标準機構對企業進行審核。
Drata 目前支持的部分數據合規和安全标準|圖片來源:Drata
SOC2 會對企業中與安全性、可用性、處理完整性、機密性和隐私性相關的信息系統進行綜合評估,進而深入反映企業的内部控制及安全管理體系能力。全球目前隻有少量企業可以通過該标準認證,大如 Oracle、AWS 在服務客戶時也會強調自己獲得了該标準認證。
不過,企業要讓自己的産品系統符合這些「标準」,一般需要組建專門的團隊或聘請經驗豐富的第三方公司通過軟件和人力進行測試,查找數據安全合規漏洞。這也讓傳統的 GRC 成為最不性感、卻又最磨人的工作。
與之相比,Drata 則通過技術創新和流程整合将原來需要數十人,長達數月甚至以年計的工作解放出來,将軟件合規從一個手工活變成一項機器活,可以幫助企業節省大量合規審核準備時間。
Drata 和多家雲服務以及品台合作,将産品嵌套到平台中|圖片來源:Drata
作為一家安全和合規性自動化雲服務平台,Drata 的核心能力包括:
自研 54 個不同合規标準下的風險評估框架,通過這些框架,企業可以持續、自動化的控制監控産品運行,并收集漏洞證據,進而叠代産品滿足合規要求。在這些标準中,Drata 率先攻克了有合規标準之王的的 SoC2 标準框架,作為一家創業已經能監控、處理複雜程度極高的合規需求。
集成超過 75 個第三方行業軟件和合規工具,幫助企業簡化工作流程、選用合适的産品服務,提升自身産品合規水平,以提高合規審核效率。
作為一家創業公司,出色的産品打造能力讓 Drata 迅速獲得客戶的認可。Drata 在成立 45 天内就獲得了 100 個客戶。不到 20 個月的時間内,已經拿下了 2000 多個客戶,産品和市場需求匹配程度極高。
G2 grid 最新發布的 GRC 平台報告,Drata 屬于行業中屬于領先地位|圖片來源:G2
從 Drata 官方透露的信息來看,其主要的客戶類型包括 SaaS、保險、金融、咨詢。從其标杆客戶的反饋來看,「節省時間」、「高度自動化巡檢」、「節省成本」、「無需安全專家亦可操作」則是吸引他們使用 Drata 的重要原因。
美國知名互聯網保險公司 Lemonade 的合規業務負責人就表示,在使用 Drata 之前公司需要 500 到 600 小時在合規工作上,但使用之後時間下降到了不到 40 個小時。
用戶的認可也讓 Drata 受到資本市場的歡迎,成為史上最快成為獨角獸的公司之一。作為一家 2020 年成立的創業公司,2021 年完成 B 輪 1 億美元正式跻身獨角獸,并随即于近日完成 C 輪 2 億美元融資。
值得一提的是,市場策略上,Drata 沒有完全颠覆整個行業,反而會和審計師合作提升市場效率。Drata 隻是幫助企業監控評估,但評估仍由權威标準機構來确定。
創始人 Adam Markowitz 表示,Drata 的存在可以幫助專業第三方人士更高效的服務企業,「我們創建 Drata 是為了作為偉大公司與他們有業務往來的人(審計員、合作夥伴、他們的客戶等)之間的信任層。」
02
數據合規,
大熱的新賽道
Drata 受到資本和企業用戶的歡迎,離不開日益嚴格的數據安全要求和與日俱增的詐騙風險。
一方面,從史上最嚴數據保護法 GDPR 的出台落地,到紮克伯格被叫到美國國會「開會」,數據安全與合規已經成為互聯網企業頭上的一把利劍,倒逼企業更加重視自身企業系統搭建,滿足用戶使用需求。
另一方面,随着雲服務的廣泛普及,讓企業獲客變得簡單起來,SaaS 市場在歐美遍地開花。與之伴随的,由于軟件合規漏洞等造成的詐騙風險也越來越多、損失越來越大。
美國聯邦調查局(FBI)2022 年發布的《互聯網犯罪報告》顯示,2021 年網絡詐騙令全球受害者損失了至少 69 億美元,較 2020 年增加超過 20 億美元。而在這些詐騙中,涉及最多的領域是勒索軟件、商業電子郵件洩露 ( BEC ) 計劃和加密貨币犯罪。除了用戶自身原因外,軟件自身安全仍然至關重要。
數據安全引起的損失逐年增加|圖片來源:FBI
當企業服務的對象走向全球,不同區域的法規、不同用戶的合規需求,更讓合規問題變得棘手和複雜。
不過,複雜的問題也醞釀出廣闊的市場需求。據 IDC 預計,全球 GRC 收入将從 2020 年的 113 億美元增長到 2025 年的近 152 億美元。
而回到 Drata 身上,其創立就和創始人「搞不定」複雜的合規審查有關。
在創立 Drata 之前,創始人 Adam Markowitz 還曾在 2014 年創業做了一款類似 LinkedIn 的産品 Portfolium,主打畢業生聯系校友、求職。在向美國校園推廣産品的時候他發現,由于不同州對産品合規要求不一樣,導緻産品每當進入一個市場就要重新解決一遍合規問題,導緻産品在關鍵競争時刻進展緩慢。
2019 年,他最終決定把公司以 4300 萬美元的價格進行出售,自己再出來創業,并将方向就定在了合規方向。前一段創業中遇到的合規問題,也讓他更清楚的了解企業用戶的痛點。在經過不到一年時間的研發後,Drata 即正式誕生。
Drata 的三位創始人,從左至右為 CRO Troy Markowitz、CTO Daniel-Marashlian、CEO Adam Markowitz|圖片來源:Drata
有趣的是,在創業之前,Adam 還曾在 NASA 擔任航空航天工程師長達 6 年,為 NASA 的下一代太空運載火箭和航天飛機進行主發動機設計、分析和測試液體火箭發動機。
當然,不止 Drata 看到了 GRC 市場的機會。
在 Adam 創立 Drata 的時候,也有同類創業公司出現,比如其成立更早的競争對手 Vanta 也拿到了數 1.6 億美元計的融資成為獨角獸。此外包括 Wiz、Scrut Automation 等同類公司的迅速崛起,也讓合規自動化轉眼間變成了一個行業賽道。
快速增長的需求市場和在合規評估背後的豐富想象,也讓巨頭企業關注到了合規自動化行業。比如,微軟不僅自己在開發相關産品,其 CEO 納德拉 在 2021 年 Drata A 輪融資時就進行了投資,Salesforce Ventures、CGV 也相繼加入到 Drata 投資人行列中。
不過,相比成為巨頭公司的一部分,Drata 似乎更希望自己能從巨頭中左右逢源,并成長為一家獨立的公司。因此,盡管拿到了上述公司的投資,也同時向 AWS 伸出橄榄枝,積極參加 AWS 舉辦的 ISV 加速計劃活動,獲取良好關系的同時也收獲了不少客戶。
在互聯網行業一片哀鳴的今天,我們仍能看到像 Drata 這樣專注 GRC、UIpath 這樣專注 RPA 的公司在崛起。根據 Crunchbase 的數據,2021 年專注雲計算和網絡安全領域的初創公司,拿到了超過 230 億美元的融資,創下了該領域的紀錄,而 2022 年這一數字也有約 160 億美元。
這證明,當互聯網行業進入成熟期,或許會失去增長的海洋,但隻要往下挖,這個行業仍能找到充滿活力的溪泉。