圖片來源 @pixabay
5 月,宣布完成新一輪 10 億美元融資,估值達到 120 億美元;6 月,拒絕谷歌 230 億美金的收購邀約…… Wiz 一時風頭無兩。這家公司被稱爲曆史上增長最快的 SaaS 軟件公司,近期,其創始人出面解釋了拒絕這筆收購邀約的原因,表示公司有更大成長空間。但人們對背後原因仍有諸多猜忌。
但積極的融資、高額并購信号并不代表全部,行業釋放了各種截然相反的信号:裁員、并購受阻、網絡風險不斷…… Palo Alto Networks 創始人給出了 " 消費疲軟 " 的預警,安全行業巨頭 Lacework 盡管在此前融資不斷,卻也陷入低價收購的傳聞,風投機構腳步也在放緩,一些公司估值并不如預期……
同時,如何應對日益爆發的 AI 安全威脅,安全廠商們也都在探索階段。
複雜的環境下,雲安全市場命運幾何?
估值過高,市場下行壓力增大
Wiz 是雲安全細分領域的初創公司,盡管成立隻有四年,但已經籌集了 19 億美元風險投資,包括今年來自 Andreessen Horowitz、Lightspeed Venture Partners 和 Thrive Capital 等頂級風投領投的 10 億美元。
如此高的融資和估值是有原因的。據 Wiz 年報,其年收入超過 3.5 億美金,ARR(年經常性收入)達到 5 億美金,并且早在成立之初的 18 個月就實現了 1 億美元 ARR,成爲曆史上增長最快的 SaaS 軟件公司。其投資方之一的指數風險投資(Index Ventures)曾有投資人表示,通常而言,初創公司都需要經過 35 至 40 個月才能實現 200 萬美元年收入。
另外,Wiz 的四位創始人也是連續創業者,最早他們都是前 Talpiot 軍校學員,一所隸屬于以色列國防總參謀部的精英軍校,後又相繼在以色列軍隊精英情報部門 8200 部隊共事。随後他們共同創立雲安全公司 Adallom,在 2015 年以 3.2 億美元被微軟收購,同一團隊還領導了微軟 Azure 雲安全部門。
" 但是,這也太奇怪了。" 一位行業人士談起今年 Wiz 的此筆融資交易發出感慨。
在他看來," 奇怪 " 源自此次融資的時機。首先是與當下風投融資能力差及估值不高的宏觀趨勢背道而馳。其次,許多初創公司在裁員或縮減開支,與 Wiz 對外宣傳的市場前景不符。此外,環顧周圍競争對手,除了 Lacework 融資不利外,Wiz 還與 Orca Security 打官司,後者起訴 Wiz 竊取了其知識産權。這些問題都不見得會短期内解決。
而到今年 6 月,Wiz 拒絕了谷歌 230 億美金的收購邀約,也讓外界充滿好奇。
Wiz 公司 CEO Assaf Rappaport 不久前解釋拒絕這筆收購邀約的原因。他表示,公司其實可以繼續發展壯大,達到 1000 億美元市值,因爲雲安全代表着未來。
他還承認,Wiz 當時還收到了其他公司的收購報價,但金額都沒有谷歌的高。" 作爲一家創企,我們已經打破一些記錄,我們相信,獨立上市後,我們也能打破更多記錄。" 該公司希望在 2025 年實現 10 億美金年經常性收入,這是預期上市前的一個關鍵要素。
事實上,在該收購邀約失敗曝光前,就消息人士稱,這次收購失敗的概率有 50%,因爲從一開始就存在諸多障礙。
Constellation Research 分析師認爲有三點:一是如上所述的 Wiz 希望在 IPO 之前希望貨比三家,它相信自己值得更多。二是谷歌在盡職調查中發現了一些不符合預期的事情。三是有可能實際收購價格并沒有 230 億美元。
從長遠來看,當風險投資環境處于低迷狀态時,一家初創公司以如此高的估值籌集到這麽多資金,成功退出的門檻自然就提高了。爲此,Wiz 必須以 120 億美元或更高的估值出售或上市,才能證明這筆交易是成功的。
過去十多年,由于全球長期低利率刺激手段,風投行業經曆了大規模的資金流動和高估值的神話時代。而今,利率現已回到長期平均水平,這對私募股權投資産生了直接影響。這導緻随着資本成本的上升,風險投資、長期投資的吸引力下降,投資規模其實是在變少的。
貝恩報告指出,2023 年四季度風險投資基金與上一年同期下降了 15%,這是自 2020 年以來的最低水平。另外,PitchBook 數據顯示,依靠早期風險投資的公司估值一直在下降。降價融資,即公司估值低于上一輪融資時的估值,這種情況在近來攀升至 10 年來的最高水平。
一些知名風投已經在強調這一趨勢變化。标杆資本 Benchmark 的 Bill Gurley、阿爾米特資本 Altimeter 的 Brad Gerstner,以及基金公司 Lux Capital 的 Josh Wolfe 反複在公開場合強調:" 風投投資速度已在放緩。"
鏖戰雲安全
從供需發展來看這件事情,還能發現更多端倪。
麥肯錫最新報告指出,全球組織在網絡安全領域的支出高達 200 億美元,但收效甚微。随着威脅事件的持續增加,麥肯錫預計到 2025 年的網絡安全造成的損失将達到 20 萬億美元。
爲何威脅事件會不斷增加?一個關鍵因素是聯網設備和雲服務的指數級增長。runZero 的最新研究報告《網絡資産攻擊面管理 ( CAASM ) 》揭示了由于 IT 和 OT 融合導緻受攻擊面不斷擴大,從而推動高價值技術資産目标的擴大。
從另一個角度講,面對日益複雜的 IT 資産管理,全球企業也需要更加整合的平台和集成應用,因爲過多的網絡安全工具也爲其帶來了認知成本。企業客戶需要一種更經濟的方式來對抗安全威脅。
分析 Wiz 自身的發展曆程,也可以發現一些問題。
盡管 Wiz 的創始團隊和核心層相對穩固,但除此之外的其他高管流動性仍非常高。比如現如今作爲首席營銷官兼産品戰略副總裁 Raaz Herzberg,其實并沒有任何營銷經驗,而在此之前已經連續三年調任三次。而前任首席營銷官是 Okta 的行業資深人士,隻幹了九個月。另一位首席客戶官任職兩周就辭職。此外,Wiz 還缺乏财務關鍵負責人。
在招聘網站 Glassdoor 上,幾名匿名員工發帖稱,他們隻希望能幹滿一年,因爲這是大多數初創公司兌現期權的必要條件。
Wiz 面臨的市場競争壓力也同樣不小。此前業内人士也聲稱 Wiz 的銷售人員爲達到業績目的,不惜诋毀競争對手 Orca。Orca 随後也将 Wiz 告上法庭,稱其專利侵權。
另外,Wiz 還被曝光通過将包括 Cyberstarts 等風投公司與一些大客戶的首席安全官綁定,并聲稱其享受了内部折扣價,從而借此 Wiz 有了擡高價格的借口。爲此,就連同樣是 8200 部隊退役人員出身創業的 Team8 也承認,Wiz 的競争文化非常濃烈," 他們往往表現得非常激進,急于求成,但不是每個人都喜歡這種方式。"
另一方面,細看 Wiz 所在雲原生應用保護平台(CNAPP)賽道中,不少同行也同樣遇到了發展瓶頸。
2 月,Palo Alto 宣布轉型 " 平台化 ",即整合産品組合,采取更多的産品捆綁和折扣策略,随後 Palo Alto 下調了年度收入預期。此舉一出,該公司股價應聲大跌。
起初 Palo Alto 專注于 " 下一代防火牆 ( NGFW ) ",爲企業提供基本網絡安全網關,搶占了不少市場份額,與 Check Point、Fortinet、思科和瞻博網絡等頭部企業競争。随後,Palo Alto 推出了零信任網絡訪問 ( ZTNA ) 、雲原生應用程序保護 ( CNAP ) 、雲安全态勢管理 ( CSPM ) 等不少網絡安全産品組合。Palo Alto 的問題在于,網絡安全市場正在迅速變化,防火牆其實更适用于傳統的 IT 基礎設施,在雲端則并不适用。而 Fortinet 此前業績已經出現疲軟。
值得注意的是,一家估值曾高達 83 億美元的獨角獸企業 Lacework,2021 年曾拿到 13 億美元單輪融資額,如今估值縮水 98%。追溯其失利的根源,還在于其爲了優化公司資産表,采取了激進的大規模裁員策略,僅在 2022 年 6 月就裁減了 20% 的員工。此舉随後引發了嚴重的人事動蕩,管理層人員頻繁離職。4 月,Lacework 被曝與 Wiz 洽談收購事宜,傳出的收購價格僅爲 1.5 億至 2 億美元。而上述提及的 Fortinet 爲了強化自身業務布局在 6 月同意收購陷入困境的 Lacework。
Aqua SecurityAqua 完成 6000 萬美元 E 輪融資、估值超過 10 億美元六個月之後,也在今年開啓了自 2022 年以來的第二輪裁員。
Orca 于 1 月裁掉了 15% 的員工。
7 月,CrowdStrike 分發異常更新導緻了微軟藍屏事件,後續還将面臨巨額賠償。
市場上存在多種主流的 CNAPP(雲原生應用保護平台)解決方案,如 Palo Alto Networks Prisma Cloud、Check Point CloudGuard、Lacework、CrowdStrike Falcon Cloud Security、Cyscale 和微軟雲等。這些解決方案各具特色,能夠爲用戶提供全面的雲安全态勢管理功能。
Forrester 在一份報告中曾評價 Lacework 與 Wiz 的差異:在技術上,Wiz 采用無代理;Lacework 采用的基于代理的安全保護,導緻其客戶用量不高。客戶規模上,Wiz 主要服務大客戶群,而 Lacework 目前的 600 多家客戶多爲中小型企業。
1 月,Wiz 在雲工作負載防禦方面獲得了 Forrester 最高的 " 當前産品 " 排名,Forrester 稱贊了該公司的無代理雲工作負載保護、合規模闆映射、CIEM 和容器編排器保護。
但薄弱的雲工作負載安全策略意味着 Wiz 的總分排在 CrowdStrike、Palo Alto 和微軟之後,排在第四位,Forrester 指責 Wiz 在基于代理的雲工作負載保護采用以及管理員用戶身份和訪問管理報告和審計方面落後。
目前,市面上的獨立雲安全供應商除了 Wiz 之外,就還有 Sysdig、Orca Security 和 Aqua Security 三家了,其市值分别僅爲 25 億美元、18 億美元和 10 億美元。
這個賽道曾吸引大量熱錢湧入,但近年來一些估值虛高的公司卻因增長乏力難以證明這些數字的合理性。雲安全公司最有可能的退出方式變成了出售給金融或戰略買家。
AI 網絡安全威脅全面爆發
最近,有報道稱國内某大廠被實習生向大模型投毒,該事件引發軒然大波。模型投毒,即攻擊者在獲得訓練數據的訪問權限後,用惡意數據對其進行毒害,以更改模型的輸出結果。盡管針對此案,在法律層面仍有諸多疑問需要解答,但從 AI 安全的角度,也爲企業敲響了警鍾。
" 這不是一個極端事件。近來安全事件暴露出的是國内企業普遍存在的安全管理隐患。一是缺乏技能培訓,導緻企業無法跟上不斷變化的安全威脅,也沒有充分的補救措施;二是雲資産的可見性,包括從 API 安全漏洞和配置錯誤到訪問管理和工具部署;三是對于雲安全項目的預算資金往往不足。" 一位企業雲安全從業者告訴钛媒體。
微軟 AI 研究人員意外通過 GitHub 洩露了 38TB 的數據,其中包括敏感數據如機密、私鑰和密碼。并且,此次規模龐大的數據洩露早在 2020 年 7 月就存在了,但直至今年 9 月該 AI 模型的數據洩露案件才被披露出來。
Wiz 研究團隊指出,目前超過 70% 的雲環境已經在使用 AI,引入 AI 無疑會增加雲上安全風險。問題是許多企業并沒有在使用制定适當保護措施的情況下就接受了新技術。
Wiz 提出 " 影子 AI" 概念。據解釋,這一問題往往出現在團隊應用 AI 早期,未經授權使用或實施人工智能,不受組織 IT 部門控制或不爲組織 IT 部門所知。這意味着許多企業聲稱 AI 應用滲透率的同時,卻并未關注到這些應用是否受到安全機制的保護。那麽,可見性同樣是安全使用 AI 的關鍵因素,不依賴于算法人員和數據科學家所做的标記,而是能夠實時監測到端到端 AI 技術棧。
随着雲應用和遷移數量的增加,目前企業逐漸形成在雲上管理人工智能的安全開發和部署策略,包括加強數據治理和驗證,對模型進行加密和訪問控制,或者在可信計算環境中運行 AI 模型等方式。
奇安信集團産品總體部專家注意到,在今年的 RSAC 大會上,多數安全産品都加持了 AI 技術,從代碼檢測、數據分級分類、威脅檢測、行爲分析等檢測技術到威脅告警分析研判和自動化處置都體現了 AI+ 的融入。在他看來,AI 改變網絡安全巨大潛力,這些能力将推動平台化、自動化、雲原生等需求的落地。
例如,Palo Alto 宣布推出 Precision AI,這是一款結合了機器學習、深度學習和生成式人工智能的網絡安全系統,它基于網絡、雲和端點安全産品組合,并利用數據爲企業提供自動威脅預防和簡化的安全操作。
雲安全市場期望值下降、競争愈發激烈的另一面,則是日益擴大的網絡安全風險。(本文首發于钛媒體 APP,作者 | 楊麗,編輯 | 蓋虹達)
