图片来源@pixabay
5月宣布完成新一轮10亿美元融资,估值达120亿美元; 6月,拒绝了谷歌230亿美元的收购邀请……Wiz一时间风头正劲。这家公司被誉为史上增长最快的SaaS软件公司。近日,其创始人出面解释拒绝收购邀请的原因,称公司有更大的成长空间。但人们对其背后的原因仍存在诸多疑问。
然而,积极的融资和高价值并购信号并不代表一切。行业释放出各种截然相反的信号:裁员、并购受阻、网络风险不断……Palo Alto Networks创始人发出“消费疲软”预警,安全行业巨头Lacework却持续加码此前,其也曾陷入低价收购传闻。创投机构也在放缓,部分公司估值不及预期……
与此同时,安全厂商也在探索如何应对日益爆发的AI安全威胁。
复杂环境下,云安全市场命运如何?
估值过高,市场下行压力加大
Wiz 是一家云安全领域的初创公司。尽管成立仅四年,但它已筹集了 19 亿美元风险投资,其中今年由 Andreessen Horowitz、Lightspeed Venture Partners 和 Thrive Capital 等顶级风险投资投资者领投的 10 亿美元。
高资金和高估值是有原因的。根据Wiz的年报,其年收入超过3.5亿美元,ARR(年度经常性收入)达到5亿美元。成立仅18个月,ARR就达到1亿美元,成为史上增长最快的SaaS。软件公司。其投资方之一Index Ventures的一位投资人曾表示,初创公司通常需要35至40个月的时间才能实现年收入200万美元。
此外,Wiz的四位创始人也是连续创业者。他们都是前以色列国防总参谋部所属精英军事学院塔尔皮奥特军事学院的学员,后来一起在以色列军队的精英情报部门8200部队工作。随后,他们共同创立了云安全公司 Adallom,该公司于 2015 年被微软以 3.2 亿美元收购。同一团队还领导着微软的 Azure 云安全部门。
“可是,这也太奇怪了。”一位业内人士在谈及Wiz今年的融资交易时感慨道。
在他看来,“奇怪”源于融资的时机。首先是与当前创投融资能力差、估值低的宏观趋势背道而驰。其次,很多初创公司都在裁员或者削减开支,这与Wiz宣扬的市场前景不符。此外,环顾竞争对手,除了Lacework融资不利外,Wiz还与Orca Security陷入法律战,Orca Security起诉Wiz窃取其知识产权。这些问题短期内可能无法得到解决。
今年6月,维兹拒绝了谷歌230亿美元的收购要约,这也让外界充满好奇。
Wiz首席执行官Assaf Rappaport近日解释了拒绝收购邀请的原因。他表示,公司实际上可以继续增长并达到1000亿美元的市值,因为云安全代表着未来。
他还承认,Wiz当时也收到了其他公司的收购要约,但金额没有谷歌高。 “作为一家初创企业,我们已经打破了一些记录,我们相信独立上市后可以打破更多记录。”该公司希望在2025年实现年度经常性收入10亿美元,这是IPO前的预期。关键要素。
事实上,在收购邀请失败被曝光之前,消息人士称,收购失败的可能性为50%,因为从一开始就存在诸多障碍。
Constellation Research分析师认为有三点:首先,正如上面提到的,Wiz希望在IPO前货比三家,并且认为自己值得更多。第二是谷歌在尽职调查中发现了一些不符合预期的事情。第三,实际收购价格有可能不是230亿美元。
从长远来看,当一家初创公司在风险投资环境低迷的情况下以如此高的估值筹集到如此多的资金时,成功退出的门槛自然会提高。为此,Wiz 必须以 120 亿美元或更高的估值出售或上市,才能证明交易成功。
过去十几年,在全球长期低利率的刺激下,风险投资行业经历了大规模资金流动和高估值的神话时代。如今,利率已回到长期平均水平,这对私募股权投资产生了直接影响。这导致资金成本增加,使得风险投资和长期投资的吸引力下降,投资规模实际上在减少。
贝恩报告指出,2023年第四季度风险投资基金较去年同期下降15%,为2020年以来的最低水平。此外,PitchBook数据显示,依赖早期投资的公司估值阶段风险投资一直在下降。降价融资(即一家公司的估值低于上一轮融资时的估值)最近已攀升至十年来的最高水平。
一些知名风险投资公司已经强调了这一变化趋势。 Benchmark的Bill Gurley、Altimeter的Brad Gerstner和Lux Capital的Josh Wolfe多次在公开场合强调:“风险投资的速度已经放缓。”
为云安全而战
从供需发展的角度来看这件事,可以发现更多线索。
麦肯锡最新报告指出,全球组织在网络安全上花费了高达 200 亿美元,但收效甚微。随着威胁事件不断增加,麦肯锡预测,到2025年网络安全损失将达到20万亿美元。
为什么威胁不断增加?一个关键因素是互联设备和云服务的指数级增长。 runZero的最新研究报告《网络资产攻击面管理(CAASM)》揭示,由于IT和OT的融合,攻击面正在扩大,推动高价值技术资产的目标扩大。
从另一个角度来看,面对日益复杂的IT资产管理,全球企业也需要更多的集成平台和集成应用,因为太多的网络安全工具也给他们带来了认知成本。企业客户需要一种更具成本效益的方式来应对安全威胁。
分析Wiz自身的发展历程,我们也可以发现一些问题。
虽然Wiz的创始团队和核心层都比较稳定,但其他高层的流动性仍然很大。比如,作为首席营销官和产品战略副总裁的Raaz Herzberg实际上并没有任何营销经验,但在此之前他已经连续三年调动3次。前任首席营销官是 Okta 的行业资深人士,只任职了九个月。另一位首席客户官上任仅两周后就辞职了。此外,维兹还缺少一位关键的财务人员。
在招聘网站 Glassdoor 上,几名匿名员工发帖表示,他们只想呆一整年,这是大多数初创公司兑现期权的要求。
Wiz面临的市场竞争压力同样不小。业内人士此前曾声称,Wiz的销售人员为了实现业绩目标,不惜抹黑竞争对手Orca。 Orca 随后将 Wiz 告上法庭,声称侵犯了其专利权。
此外,还被曝Wiz将Cyberstarts等风投公司与一些大客户的首席安全官捆绑在一起,并声称享受了内部折扣,给Wiz提供了抬高价格的借口。为此,就连同为8200部队退役成员、自己创业的Team8也承认Wiz的竞技文化非常浓厚。 “他们的行为往往非常激进,渴望成功,但并不是每个人都喜欢这种做法。”
另一方面,仔细观察Wiz所在的云原生应用保护平台(CNAPP)赛道,很多同行也遇到了发展瓶颈。
2月,帕洛阿尔托宣布向“平台化”转型,即整合产品组合,采取更多产品捆绑和折扣策略。帕洛阿尔托随后下调了年度收入预期。此举一出,公司股价暴跌。
最初,Palo Alto专注于“下一代防火墙(NGFW)”,为企业提供基础网络安全网关,抢占了大量市场份额,与Check Point、Fortinet、Cisco、Juniper Networks等领先公司竞争。随后,Palo Alto推出了零信任网络访问(ZTNA)、云原生应用保护(CNAP)、云安全态势管理(CSPM)等众多网络安全产品组合。帕洛阿尔托的问题是网络安全市场正在快速变化,防火墙更适合传统IT基础设施而不是云。 Fortinet 此前的表现一直疲弱。
值得注意的是,估值83亿美元的独角兽公司Lacework在2021年获得单轮13亿美元融资,但如今估值已缩水98%。追溯其失败的根本原因,还在于其为了优化公司资产负债表而采取的激进的大规模裁员策略,仅在2022年6月就裁掉了20%的员工。此举随后引发严重人事风波,管理人员频繁离职。 4月,有消息称Lacework正在与Wiz洽谈收购事宜,传闻收购价格仅为1.5亿美元至2亿美元。前述Fortinet于6月同意收购陷入困境的Lacework,以强化其业务布局。
Aqua SecurityAqua完成6000万美元E轮融资、估值超过10亿美元六个月后,今年也开始了自2022年以来的第二轮裁员。
Orca 一月份解雇了 15% 的员工。
7月份,CrowdStrike发布异常更新导致微软发生蓝屏事件,未来将面临巨额赔偿。
市场上有很多主流的 CNAPP(云原生应用保护平台)解决方案,例如 Palo Alto Networks Prisma Cloud、Check Point CloudGuard、Lacework、CrowdStrike Falcon Cloud Security、Cyscale 和 Microsoft Cloud 等。这些解决方案都有自己的特色特点,可以为用户提供全面的云安全态势管理能力。
Forrester曾在一份报告中评估了Lacework和Wiz的差异:技术上,Wiz使用无代理; Lacework采用基于代理的安全防护,导致客户使用率较低。从客户规模来看,Wiz主要服务于大型客户群体,而Lacework目前600多家客户多为中小企业。
一月份,Wiz 获得了 Forrester 在云工作负载防御方面最高的“当前产品”排名,Forrester 称赞该公司的无代理云工作负载保护、合规性模板映射、CIEM 和容器编排器保护。
但薄弱的云工作负载安全策略意味着 Wiz 的总体得分排名第四,落后于 CrowdStrike、Palo Alto 和 Microsoft。 Forrester 指责 Wiz 在采用基于代理的云工作负载保护以及管理员用户身份和访问管理方面失败。报告和审计工作滞后。
目前,除了Wiz之外,市场上还有三个独立的云安全厂商:Sysdig、Orca Security和Aqua Security,市值分别仅为25亿美元、18亿美元和10亿美元。
这一赛道一度吸引了大量热钱涌入,但近年来,一些估值虚高的公司因增长乏力而难以证明这些数字的合理性。云安全公司最有可能的退出方式是出售给财务或战略买家。
AI网络安全威胁全面爆发
近日,有报道称,国内某大厂一名实习生对大型模型投毒,引起轩然大波。模型中毒是指攻击者获得训练数据的访问权限后,用恶意数据对其进行投毒,以改变模型的输出。虽然本案在法律层面还有很多问题需要解答,但从人工智能安全的角度来看,也给企业敲响了警钟。
“这并不是一起极端事件,近期发生的安全事件暴露出的是国内企业普遍存在的安全管理风险。一是技能培训不足,导致企业无法跟上不断变化的安全威胁,没有足够的补救措施;第二,云资产的可见性,包括API安全漏洞以及访问管理和工具部署的配置错误;第三,云安全项目的预算资金往往不足。”一位企业云安全从业者告诉钛媒体。
微软人工智能研究人员意外通过 GitHub 泄露了 38TB 数据,其中包括机密、私钥和密码等敏感数据。而且,这种大规模的数据泄露早在2020年7月就已经存在,但直到今年9月,AI模型的数据泄露案例才被披露。
Wiz研究团队指出,目前超过70%的云环境都在使用AI,AI的引入无疑会增加云安全风险。问题在于,许多企业在拥抱新技术时却没有为其使用制定适当的保障措施。
Wiz提出了“影子AI”的概念。据解释,这个问题经常发生在团队应用人工智能的早期阶段,人工智能在未经授权的情况下使用或实施,且不受组织IT部门控制或了解。这意味着,很多企业虽然宣称AI应用的渗透率很高,但并没有关注这些应用是否受到安全机制的保护。那么,可见性也是安全使用人工智能的关键因素。它不依赖算法人员和数据科学家所做的标记,而是可以实时监控端到端的AI技术栈。
随着云应用和迁移数量的增加,企业目前正在逐步形成在云上管理人工智能的安全开发和部署策略,包括加强数据治理和验证、模型的加密和访问控制,或者运行在可信计算中环境人工智能模型和其他方法。
奇安信集团产品综合部专家注意到,在今年的RSAC大会上,大部分安全产品都搭载了AI技术,从代码检测、数据分类、威胁检测、行为分析等检测技术到威胁报警分析,判断和自动化处理。都体现了AI+的融合。在他看来,人工智能具有改变网络安全的巨大潜力,这些能力将推动平台化、自动化、云原生等需求的落地。
例如,帕洛阿尔托宣布推出 Precision AI,这是一种结合了机器学习、深度学习和生成人工智能的网络安全系统。它建立在网络、云和端点安全产品组合的基础上,并利用数据为企业提供自动化威胁防御。并简化安全操作。
云安全市场预期下降、竞争日趋激烈的另一面是网络安全风险日益增大。 (本文首发于钛媒体APP,作者|杨力,编辑|盖宏达)
