一个圈外人看安全行业的后续变革
安全行业,一个永不落幕的舞台
2016年是资本的冬天,无论是中国还是美国,无论是一级市场还是二级市场,无论是投资人还是创业者,相信每一个身处其中的人都能够感觉到其中的寒意。中国经济面临拐点,新常态和L型着陆成为很多人的口头禅,无论是人口红利的消失,还是流量增长的枯竭,都让中国的移动互联网及其从业者感觉到,乱枪打鸟的时代已经过去了。今天需要好好想想用户需求了,今天不再是猪都能飞起来的时代了,今天不仅要看商业模式创新还要看技术创新了,今天不仅要看用户数还要看收入的时代了,甚至精明的投资人今天还要看增长的效率了。
企业服务市场虽然比2C好一点,但是好得有限,15年初盛行的“小用户、免费、Low Touch”早已经被证明是失败的,然而那些正经做大客户好好做产品的公司也并没有能够一飞冲天,因为毕竟企业服务天生就是慢的,一年一千万,中国是一年一千万人民币,美国是一年一千万美元,七年才能熬成婆。美国的二级市场也好不到哪里去,软件公司的IPO数量从2014年的13家,到2015年的个位数,到2016年至今只有一家。大型并购的价格和数量一降再降,纳斯达克上科技公司的股价在2月5号甚至出现大规模断崖式的下跌,LinkedIn、Tableau等公司股价被腰斩,Marketo公司,一个年收入2亿美元的Marketing Automation SaaS公司,一度市值只有5亿美元(虽然现在又涨回到15亿美元),而MobileIron,这家MDM领域的领导者公司,股价跌至2.7亿美元后再也没有起来过。
就在这样的资本冬天里,依然有一个春意盎然的所在,这就是安全行业。2016年美国科技企业的第一个IPO,就是一家安全软件公司的IPO,5月初,计算机巨头戴尔分拆其旗下网络安全服务 SecureWorks,并让其上市,代号「SCWX」,这是今年在美国证券市场挂牌交易的首家科技公司,根据 SecureWorks 的最高发行价计算,SecureWorks 的市值将达到约 14.2 亿美元,而戴尔在2011 年收购这家公司的时候只用了 6.12 亿美元。另外,并购领域也发生了一件大事,北京时间6月13日,据彭博社报道,赛门铁克计划以46.5亿美元的价格收购网络安全公司Blue Coat Systems。作为交易的一部分,Blue Coat控股股东贝恩资本将从出售交易收入中拿出7.5亿美元注入到合并后的公司中,私募股权公司银湖资本将其投资额增加一倍至10亿美元。这个交易固然是因为赛门铁克正在进行转型,从自身战略需求出发进行的收购,但同时也说明安全市场所存在的巨大机会。
我之所以这么看,是因为我正好关注过科技公司的私有化和LBO,ITOM软件和安全软件领域是美国PE和激进投资者最喜欢的并购领域之一,Blue Coat这家公司和ITOM的公司Compuware私有化操作方式和路径也都很像,价格也很相近,都是24亿美元左右。Blue Coat和Compuware都是各自领域的领导者,都是现金流强劲而增长乏力,都是被PE机构给私有化,现如今Compuware深陷泥潭裁员不断,而Blue Coat则以两倍价格成功脱手,不得不说,安全领域还是更加火热一些。
在VC投资领域,安全行业也是不断刷新纪录,去年年底,安全公司 Tenable Network Security 近日宣布获得 2.5 亿美元 B 轮融资,创下业界融资最高纪录,领投方是 Insight Venture Partners和原有投资人Accel Partners。新兴公司CrowdStrike 获得了来自谷歌基金和Rackspace领投的C轮一亿美元融资。除此之外,CrowdStrike 公司之前的投资者Accel和Warburg Pincus 再次进行了增资。CrowdStrike 公司的上一轮融资是2013年9月的3000万美元。截止目前,CrowdStrike 已经获得了高达1.56亿美元的融资总额。另外,Tanium在2015年陆续融资两亿美元,估值25亿美元。
在安全行业,新兴的创业公司如雨后春笋一般涌现,比如应用安全领域的Prevoty、Waratek;终端安全公司Carbon black、CounterTack、SentinalOne、Cylance;移动App加固领域的Seworks、whiteCryption;DevSecOps领域的ObjectSecurity、Quotium、Veracode;CASB领域的Adallom、Armor5、Bitglass、CipherCloud、Elastica、FireLayers、Imperva、Ionic Security、Netskope、Perspecsys、Skyhigh Networks;沙盒安全公司Phantom,移动安全公司Appthority、Zimperium;威胁情报平台ThreadQ、安全智能公司Attivo Networks、Cambridge Intelligence、Morphisec、Secdo;UEBA公司Dtex Systems,Bay Dynamics;威胁防御公司Forter,云安全公司Zscaler(SWG方向)、Illumio等等,不一而足,总有几百上千家。
为什么安全领域会涌现这么多新兴科技公司?原因很简单,因为IT技术的发展让这个行业再次得到了快速发展和迅速洗牌的机会。这就像是在机场安检通道排队,突然新开了一个口,后面的人就有了快速排在第一的机会。
安全行业大洗牌 安全行业百花齐放百家争鸣的态势,在2016年的RSAC大会上也有所体现,在为期一周的会议和展示中,RSA继续以深刻的产业思考和前瞻性的趋势和方向把握,启迪并引领安全行业变革、创新和前行。2016的RSAC和往年有很大不同,第一是终端安全(Endpoint Security)的强势回归,以致于有安全界人士说2016是端点年,第二是数据分析能力开始落地,在整体安全概念的理解上,主流的意见更为趋于一致,即需要形成“Protect-Detect-Response”的链条,而之前更多的注意力被放在防护上,而随着安全形势的变化,检测与响应会有占有越来越多的比重。所以,在本年度大会上,Phantom等新兴公司大放异彩。
在中国的安全行业,有很多根深蒂固的观点和行业规矩存在,使得中国的安全行业和美国很不相同。第一,中国的安全行业向来被称为“网络安全行业”,这也使得在这个领域的所有技术创新都主要通过网络包捕获(DPI)等技术去实现,这里的原因一方面是因为客户的保守,另外一方面也因为厂商的不作为,同样的盒子换了无数种名词卖给同样的客户。第二,中国的安全行业和软件行业有较深的鸿沟,这主要是因为中国的IT行业长久被国外厂商占据,本土独立软件公司缺乏,这使得很多并不具备软件和产品开发能力的人在安全行业具备较大的话语权。这点在美国人看来应该是不可思议的。这点也导致了很多后果,第一是安全领域的创新严重不足,很多新兴的安全团队依然把眼光放在他们熟悉的地方,比如说WAF,比如说扫描器。而其他很多领域则没有任何人涉足。
其实安全软件,首先是一种软件产品,不应该长期被贴上各种神秘的标签。其次,网络包捕获技术只是获取攻击行为的一种手段和方式,其他的方式也应该被放到同样重要的位置上。互联网上的用户请求和响应过程,是一个非常复杂的过程,其中每一个环节都有可能出现问题。所以从这个角度看,安全软件和性能监控软件有着一样的模型。
安全软件的本质模型和监控软件是一样的,都是一个“Collect-Store-Analytics”的过程,信息可以从网络中获取,可以从应用软件的运行时环境中得到,也可以从日志当中直接分析。APM行业十年前也是以网络包捕获技术为主,这主要是因为当年的计算机软硬件不足以分析动辄几百GB的日志文件,也没有足够的技术创新从应用软件的运行时环境中获取信息。但是随着技术的发展,简单的三层模型让位于复杂的SOA架构,以应用服务器和数据库软件运行在小型机上面的垂直扩展模型被X86的水平扩展模型取代,网络包捕获技术就不再能够满足性能分析的需求。所以,新一代的以应用层探针技术为代表的APM公司就取代了原来的网络包捕获技术的APM公司。
现在安全行业正在发生什么样的变化呢?我觉得其实变化非常明显,第一,云的广泛使用的第一个直接后果,就是企业网络边界的逐渐消失。对于一个主要使用公有云的新兴企业来说,不可能有任何机会去使用基于网络抓包技术的硬件形态的安全产品。第二,越来越多的攻击是针对数据层和应用层,而且随着HTTPS、HTTP2.0等技术的普及,网络抓包技术越来越表现出在Performance领域的那种力不从心的态势。根据Gartner统计,目前80%以上的攻击发生在应用层,而如果没有应用上下文,这些攻击不可能在网络层被拦截;同时,越来越多的0Day和APT攻击也让传统的基于规则和特征的防御措施形同虚设。
从这个角度来说,中国安全行业的技术实现,应该是从现在网络安全的一家独大,到应用安全、终端安全和网络安全的三足鼎立,辅助以数据分析技术(SIEM)和人工智能技术。在美国,这个趋势已经逐渐成型,无论是终端安全的代表Tanium、Crowdstrike,还是应用安全领域的ArcSight、SIEM领域的Splunk等公司,在安全行业的地位都可以和传统的网络安全公司如Synmantec等互相竞争和协同,在中国,这一趋势尚未到来,然而我们都知道,中国企业的创新速度在2C领域已经证明了可以超越硅谷,在2B也一定会如此。
另外,AI的技术在安全行业将会得到全方位的应用。在未来的安全领域中,人工分析将被机器分析所取代,Security Artifical Intelligence将会成为新的“守护者”。