据Gartner所称,全球用于信息安全的支出在2015年达到了769亿美元。
随着黑客攻击的频率和严重程度都在不断加深,网络安全支出在2020预计将达到1700亿美元,5年内增加了一倍多的支出。
对网络安全创业公司的风险投资也在持续增长(在过去的5年内每年都增长了40%),2015年将达到迄今为止的最高,大概有35亿美元之多。
但当我们将网络安全投资放进所有投资组合来看时,却发现这一数字则显得投资人对于这一领域要冷静得多,因为它还不到所有风险投资的7%。
考虑到不断发生的黑客事件和媒体的关注度,网络安全领域的投资是不是少了一点?今天就让金牌顾问和大家一起,来探讨一下网络领域的现状与未来预测。
一、保守投资人的观点
1.网络安全的三个退出价格区间
毋庸置疑的是,更多的投资人最关心的还是退出和回报。
网络安全领域的独角兽很少,退出倾向于落在三个价格区间:5000万美元、2亿美元和5亿美元。和其他垂直领域相比,网络安全的资本效率很高,但退出时间也要更长。
跨平台的二次验证安全公司Authy融了380万美元,最后被Twilio收购;另一个二次验证安全公司Toopher在融了不到300万美元后,2015年4月被Salesforce收购;得到Accel投资的以色列数字安全公司Aorato被微软以2亿美元收购,这家公司早先得到了不到1500万美元的投资。
而更小规模的退出大多出现在3年内。
第3个退出段出现在高于5亿美元的区间,OpenDNS在2015年以6.35亿美元被思科收购。据知情人员透露,这项投资的平均报酬率(ARR)超过了6000万美元,但算一算从开始到最后却用了10年多的时间,又让人觉得有些沮丧。
成立于2000年的安全供应商Lancope同样在2015年被思科以4.35亿美元收购,用了14年的时间来获得退出。
而像FireEye(2014)或Palo Alto Networks(2012)这样偶然的IPO或许会让人激动,但它们只不过是例外而已。
2.它们不是独角兽,更像是不死的小强
很多网络安全创业公司不是独角兽,而更像是蟑螂,它们很少会出现死亡。
遇到艰难的时刻,它们能调换到一个简朴/顾问模式。就像蟑螂一样,他们能熬过漫长的寒冬,而且安全公司的资本效率都很高,4000万美元就能达到收支平衡是这个领域的典型规律,这也为他们提供了生存优势。
但是,“贪婪”的投资者们寻找的却是“增长优势”。
3.它们增长的速度太慢了
网络安全公司的增长速度很慢,FireEye(市值65亿美元)从创立到IPO花了超过10年的时间,Palo Alto Networks(市值116亿美元)速度略快一些,也是7年。
所以,在增长速度和快速创造价值方面,网络安全世界里没有Uber。
最近几年,我们看到很多风险投资人青睐的企业在不到3年时间,市值就能达到10亿美元的独角兽地位,所以,人们开始把创业公司的标准越订越高,希望能再快更快地成长!如果网络安全创业者不能以这样的增速发展,投资人就不会对他们多瞟两眼,同时,相应的投资就会停滞,至少不到投资组合的10%。
一个硅谷的顶级投资人(该基金最近一轮融到5亿多美元的资金)曾公开表示,网络安全很酷,但回报过于分散而且低于平均水平,低回报率和长退出周期的结合大大消退了投资人的热情。
二、网络安全的预算在增加,退出机制在改变
很多企业家的网络安全预算依然陷于老一套的思维,这让人感到疑惑。
就常识来看,安全支出应该占整个IT支出的近10%。从宏观层面来说,麦肯锡的专家在他们一本关于网络安全的书中表示,全球总的IT支出正接近2万亿美元。
但现实却是残酷的,我们看到的实际安全支出仍然不到1000亿美元。
当然,这个支出也可以轻松突破,比如:它所需要的只是一次黑客攻击,立竿见影!一些公司的预算就会上涨300%,而这已经被网络安全专家证实过了。
Greylock Partners合伙人Asheem Chandna(他同时也是Palo Alto Networks、Skyhigh Networks和其他业界领先网络安全公司的董事会成员)指出,企业界的安全预算在增加,这对网络安全创业公司而言是件好事。
一些买家也意识到了这一点,Battery Ventures(主导了对Cloudera和Mango DB投资)的Dharmesh Thakker表示,很多上一代的安全公司不能很快对技术变化做出反应,比如:Symantec和HP正在经历着痛苦的结构性改革,他们内部的创新能力和制造新产品的能力都大大受限,所以,这给了创业公司们很多机会。
Allegis Capital的创始人Bob Ackerman对网络安全领域的投资已超过15年。他指出,对网络安全创业者而言,再也没有比现在更好的时机了。尽管基本面没有改变,但退出机制可能已经在改变。
三、新买家正在浮现——操作系统层和运营商
1.老玩家正在饱受盈利减少之苦
当谈及网络安全领域的退出时,大多数投资人都会为此发愁。
传统路径的IPO或兼并收购通常是狭窄而受限的,IPO窗口受很多市场形势影响。
像Symantec和HP这样的成功企业正在踌躇不前,他们无法适应新的市场环境,而新进入者就会受益。
在过去三年,Symantec失去了两位CEO,其盈利回报也在不断减少。
Symantec每年9亿美元的安全业务很快就会从其存储部门分离开来,HP每年会销售价值10亿美元的安全软件和服务,但它的盈利正在快速减少。懂行的投资人看到了发展前景,于是市场上出现了很多新进入者。
2.操作系统层和运营商成为新玩家
安全的责任正在向新玩家那边转移:操作系统层(OS Layer)和运营商(carriers)。
在操作系统层上,像微软、英特尔和谷歌这样的公司继续向安全领域倾注资本。谷歌是网络安全创业公司最大的兼并与收购者之一。随着数据中心和云服务商的增加,新的买家正在浮现。
运营商已经对商品交易感到厌倦,而将安全业务视为争取用户信任,加售云计算服务的机会。
今年早些时候,SingTel宣布了对网络安全公司Trustwave(主要覆盖三大领域——威胁管理、漏洞管理和合规管理)8.1亿美元的收购。Trustwave所聚焦的管理安全服务(MSS)是一个价值150亿美元的市场,并正在以2位数的速度增长。
Gartner预计企业安全服务信息技术外包和咨询服务的市场合起来会在2019年达到470亿美元。像IBM、Dell和AT&T这样的大型安全服务提供商正看到每年超过10%的复合平均增长率(CAGR),而中小型服务提供商每年增长率超过100%。
这对运营商而言是好事,他们渴望远离商品数据的竞争。
Verizon、AT&T(美国)、British Telecom(英国)、Orange(法国)和NTT(日本)正加大力度投资网络安全服务。随着企业迁移到云端,他们计划将自己的安全负担转移到安全服务提供商身上。当被问及如何进行云安全管理,34%的企业表示他们会寻求安全管理服务提供商(MSSP)的帮助。
创业公司应该抓住时机,在他们提供的服务中强调安全管理服务策略,与安全管理服务的结合证明是有价值的退出途径。
四、2016年的挑战
1.来自采购决策者CISO们的声音
这是首席信息安全官(CISO)头疼的时代。
随着不断增加的黑客攻击,首席信息安全官的生活开始变得更混乱了,而且越来越多的安全公司也令他们不堪骚扰。
一位CISO表示,“我处在董事会与供应商之间挣扎,每天我的LinkedIn都会收到来自供应商的数百条请求,他们对自己公司安全产品的FUD行销手法让我很头大。”
小知识
FUD 最早意指IBM销售人员对客户灌输关于Amdahl和其他竞争公司产品的负面观念,也就是在顾客的头脑中注入疑惑与惧怕,然后,你说什么他们就可能信什么。
FUD现时已在电脑界以外,特别是政界的一个常用技巧。例如:政治上的竞争对手可以利用在某一题目上利用FUD来牵引舆论,从而为自己制造有利条件,或把对方推入困境内。另一方面,对手亦会指另一方意图利用FUD来混淆视听,从而获取渔利。
FUD就是恐惧(Fear)、不确定(Uncertainty)、怀疑(Doubt)的缩写,是行业垄断巨头对付比弱小竞争对手时使用的竞争手段之一。通过直接吓唬对手及胆敢与对手合作的公司,同时利用各种手段动摇竞争对手客户的信心,使其产生先动摇,进而怀疑的心理,从而挤掉质量和技术优于自己的产品,难以有效形成市场力量,确保独家垄断。
现在市场上有超过50家大型安全服务供应商,而且这一数字还在不断增加。每年都会有超过200家新网络安全创业公司成立,相互竞争争取CISO的注意力和预算,而他们的销售通常采用FUD策略。
但事实上很多CISO期待的是用数据和概率树说话,用真诚和智慧赢得用户长期的信任,而不是只追求短期销量的增加。
比如:如果他们遭遇到难题时,是否足够信任你,可以在晚上给你打电话?他们希望能有一套完整的解决方案,也就是由安全专家建造并能整合进他们当下的系统。尽管所有产品都声称自己很强大并值得信赖,但CISO更需要的是像IBM那样的解决方案,会议室就能实施,毕竟他们的工作都是线上的。
这对寻求快速增长的创业公司而言是个不小挑战,谁会是你最初产品的采用者?一般而言,大部分成熟企业的CISO肯定不会采用,这不值得诟病,换成你也会把稳定当成最大诉求。
因此,BlueBox Security(A16Z投资)的联合创始人Adam Ely表示,“我们在创建公司时,我们与具有创新精神与企业家精神的CISO们工作紧密,我们知道这样的CISO是我们做安全型创业公司的关键客户。”
所以,网络安全创业者面临的更大问题不是技术创新,而是如何成为一个值得信任的伙伴。
2.试完再买成为主流
随着SaaS网络安全产品成为主流,企业的销售过程也在发生改变。在一个低接触服务的世界,“试完再买”已经成为安全服务销售的最主要模式。
中国的移动安全公司猎豹移动提供移动消费安全产品的免费下载,它自称拥有超过5亿月活跃用户。在一次旧金山的聚会上,猎豹CEO傅盛表示,如今的安全服务销售模式已经过时,“它没有跟上时代的发展,我们需要有不同的想法。”
3. 种子轮融资更难了
对种子轮的安全服务公司而言,2016年的融资并不容易。
据CB Insights指出,网络安全公司的种子轮融资大约占所有融资额的2%,在2014年达到了5年内的最低点。
A轮投资额也在逐步下降,从2013年占所有投资额的31%到2015年上半年的18%。成长期融资有所增加,B轮融资从23%增加到了30%,C轮融资从9%增加到了28%。安全服务公司现在需要证明他们已经迈过概念阶段,可以实现快速增长。
这在很大程度上是由安全服务创业公司的绝对体量决定的。一位风险投资人曾表示,有一半的创业公司不知道自己在做些什么,他们互相之间听起来都很像。
所以,为了获得融资,创业公司需要突破重重噪音与别人区分开来。
五、 创业者要注意什么
不要光体现创新,而是要有所区分。“我在过去的12个月已经看到了40多个FireEye杀手。”一位投资人说。
安全领域的创始人通常会卖弄自己的技术能力。但金牌顾问认为,创建自己的与众不同才是关键,这些不同点可以是某个垂直领域,或者是你的特点、渠道、价格和销售方法和其他人不一样等。
不要让创新拖后腿。相较于技术创新,安全服务创新通常处于落后位置。SAP的CISO Justin Somaini表示“技术创新需要平缓一点,这样安全创新才能跟得上。”安全服务一直处于事后追赶的位置,但这一现象也在改变。
Ponemon Institute在今年早些时候发布了一张反映科技机会的清单,其中关于安全的加密技术、自动化和数据分析处于前列,因为顾客越来越希望数据的保护和自动化。这样的趋势为安全服务企业创造了巨大机会。
垂直领域的安全工具也有很高需求。比如:Wurldtech关注技术设施和电气设施的安全,它已经被通用收购,尽管其融资尚未到1000万美元。一位投资人透露回报“确实不错”。
如果网络安全公司能够增长得更快,我们就将看到更多资本投入到这一领域,安全创新的第二波才刚刚开始,希望蟑螂也能在独角兽的时代生存下来。
六、案例:安全服务创业公司做什么
1.Darktrace——企业免疫系统
一家英国网络安全创业公司,在今年6月获得了KKR领投的6400万美元C轮融资。
这家公司提供了一套“企业免疫系统”,可以部署在公司网络之中,监听网络异常。一旦网络内部出现可疑行为,Darktrace就会发出提醒,而且如果有必要,Darktrace还会自动触发保护行为,减缓攻击袭击。
不仅如此,如今企业不得不与供应商和客户之间建立“接口”,这也导致了很多来自外部的网络威胁出现,而Darktrace能让每台设备、每位用户和每个网络元素构建功能强大的“常态”行为模式,无论这些威胁来自机构外部还是内部,都可让企业组织侦测到活跃或潜在的网络威胁。
传统网络安全公司都会构建规模庞大、性能要求更高的“防火墙”来抵御攻击威胁,而Darktrace则模拟了一套人类免疫系统,它会“吸收”一些网络攻击,再利用自身“高等数学和机器学习技术”增强自身防御能力,这样的结果就是,很多网络攻击能在追踪过程中就被阻止掉。
Darktrace正在开发一种技术,不仅能帮助企业客户响应黑客的网络袭击,还可以响应基于机器学习的网络攻击延时威胁。就像经典科幻电影成真一样,未来我们可能会看到人工智能大战,有好的人工智能,也有坏的人工智能,当然,这些都是未来可能会发生的场景。
目前,已经有超过1000家企业部署了Darktrace公司开发的“企业免疫系统”,业务覆盖范围包括全球金融机构、电信网络企业、法律公司、零售商、科技公司、政府机构以及一些重要国家基础设施项目。
相比于去年,Darktrace公司收入增长超过600%,每月收入超过百万美元。
2.Deep Instinct——深度学习防恶意软件
Deep Instinct是一家安全公司,由Guy Caspi和Eli David两名以色列国防网络安全部队“8200”退役老兵创立,他们运用人工智能学习算法检测软件结构及程序特征,发现恶意软件。
Deep Instinct能够同时检测并阻止所有资产中“首次出现”的恶意活动。
该公司大部分员工都拥有高等数学学位,以色列特拉维夫和美国硅谷都有他们的办公地点。
它汇集了数以亿计的恶意软件品种,包括Word文件、PDF文件以及可执行文件等等,但其中具体的文件类型并不重要——因为深层学习使它可以应对未知数据类型。
Deep Instinct的科学家们运行这些文件,并通过测试将其归类为恶意或者合法类别。在此之后,他们利用这套庞大的数据集进行引擎训练,而这套人造大脑最终能够建立起所谓预测模型。到这一阶段,该核心引擎将拥有与孩子类似的认知方式,也就是尽管从未见过某种恶意软件,但仍能够通过已有线索推断出其是否可能造成危害。
Deep Instinct公司将其预测模型打包为一套小型探针。该探针可被部署到运行任意操作系统的任何类型设备当中——PC、笔记本、平板电脑、智能手机乃至服务器。当设备上的某个文件被打开或者下载完成时,该探针就会将对应文件拆分成多个小片段,并针对其运行预测模型。
这种所谓“本能”机制会利用培训成果检测其中是否包含恶意成分。这一切都能够在五毫秒之内完成。设备上的整个处理流程能够实时完成,并做出决策对恶意软件进行删除、屏蔽或者企业需要执行的对应操作,不用担心,有了它的保护,恶意代码根本来不及造成任何破坏。更重要的是,其丝毫不会影响到用户体验。
由于该探针已经具备各项必要条件以实现未知文件分析,因此无需使用企业网络甚至是互联网连接。具体来讲,它能够以在线以及离线方式实现设备保护。举例来说,工作人员可以坐在飞机上以飞行模式实现安全保护。如果他插入一块受到感染的U盘,设备上的探针会对U盘内的文件进行分析,同时找到可能对设备造成进一步感染的恶意软件。
Deep Instinct公司还推出其解决方案的无探针版本,也就是单纯利用预测模型外加保护功能,但无需涉及设备自身。该公司同时表示,其能够通过API或者SDK接入任何类型的网关。举例来说,Deep Instinct的这套模型能和FireLayer的云访问安全中介进行集成,实现恶意软件检测并预防指向云文件及应用的威胁因素。
Deep Instinct公司仍在不断训练基础引擎,从而确保其能够识别出更多新型恶意软件。尽管其“本能”机制一直在不断更新,设备之上数月未更新的探针仍能提供非常出色的判断准确率。Deep Instinct公司指出,即使四个月未进行更新也只会令其探针的恶意软件检测准确率下降0.5%至1%。
由德雷宾大学与西门子CERT进行的基准测试结果显示,Deep Instinct公司的方案能够匹敌市场上的任何顶级安全解决方案。在尝试识别移动恶意软件方面,目前市场上的前10大安全厂商的平均准确率为61.5%,而Deep Instinct的准确率则高达99.86%。在另一项针对16000种APT进行的测试当中,Deep Instinct的恶意软件识别率亦高达98.8%。
3.Harvest.ai——防止数据丢失
harvest.ai是在前美国国家安全局工作人员的带领下创立的,通过应用人工智能防止数据丢失,旨在效仿顶级安全研究人员的方法:搜寻用户、关键业务系统和应用程序中针对性的网络攻击引起的行为变化。
该公司的MACIE分析平台通过部署在内部或云上来监视登录、远程网络访问以及文档访问过程中的异常行为模式。harvest.ai已运用基于人工智能的算法,了解整个企业组织重要文档的商业价值,并提供所谓的首开行业先河的功能:在数据被窃取之前,检测并阻止针对性攻击和内部威胁引起的数据泄密。