安全行业,一个永不落幕的舞台
2016 年是资本的冬天,无论是中国还是美国,无论是一级市场还是二级市场,无论是投资人还是创业者,相信每一个身处其中的人都能够感觉到其中的寒意。中国经济面临拐点,新常态和 L 型着陆成为很多人的口头禅,无论是人口红利的消失,还是流量增长的枯竭,都让中国的移动互联网及其从业者感觉到,乱枪打鸟的时代已经过去了。今天需要好好想想用户需求了,今天不再是猪都能飞起来的时代了,今天不仅要看商业模式创新还要看技术创新了,今天不仅要看用户数还要看收入的时代了,甚至精明的投资人今天还要看增长的效率了。企业服务市场虽然比 2C 好一点,但是好得有限,15 年初盛行的 “小用户、免费、Low Touch” 早已经被证明是失败的,然而那些正经做大客户好好做产品的公司也并没有能够一飞冲天,因为毕竟企业服务天生就是慢的,一年一千万,中国是一年一千万人民币,美国是一年一千万美元,七年才能熬成婆。
就在这样的资本冬天里,依然有一个春意盎然的所在,这就是安全行业。2016 年美国科技企业的第一个 IPO,就是一家安全软件公司的 IPO,5 月初,计算机巨头戴尔分拆其旗下网络安全服务 SecureWorks,并让其上市,代号「SCWX」,这是今年在美国证券市场挂牌交易的首家科技公司,根据 SecureWorks 的最高发行价计算,SecureWorks 的市值将达到约 14.2 亿美元,而戴尔在 2011 年收购这家公司的时候只用了 6.12 亿美元。另外,并购领域也发生了一件大事,北京时间 6 月 13 日,据彭博社报道,赛门铁克计划以 46.5 亿美元的价格收购网络安全公司 Blue Coat Systems。作为交易的一部分,Blue Coat 控股股东贝恩资本将从出售交易收入中拿出 7.5 亿美元注入到合并后的公司中,私募股权公司银湖资本将其投资额增加一倍至 10 亿美元。这个交易固然是因为赛门铁克正在进行转型,从自身战略需求出发进行的收购,但同时也说明安全市场所存在的巨大机会。我之所以这么看,是因为我正好关注过科技公司的私有化和 LBO,ITOM 软件和安全软件领域是美国 PE 和激进投资者最喜欢的并购领域之一,Blue Coat 这家公司和 ITOM 的公司 Compuware 私有化操作方式和路径也都很像,价格也很相近,都是 24 亿美元左右。Blue Coat 和 Compuware 都是各自领域的领导者,都是现金流强劲而增长乏力,都是被 PE 机构给私有化,现如今 Compuware 深陷泥潭裁员不断,而 Blue Coat 则以两倍价格成功脱手,不得不说,安全领域还是更加火热一些。
在 VC 投资领域,安全行业也是不断刷新纪录,去年年底,安全公司 Tenable Network Security 近日宣布获得 2.5 亿美元 B 轮融资,创下业界融资最高纪录,领投方是 Insight Venture Partners 和原有投资人 Accel Partners。新兴公司 CrowdStrike 获得了来自谷歌基金和 Rackspace 领投的 C 轮一亿美元融资。除此之外,CrowdStrike 公司之前的投资者 Accel 和 Warburg Pincus 再次进行了增资。CrowdStrike 公司的上一轮融资是 2013 年 9 月的 3000 万美元。截止目前,CrowdStrike 已经获得了高达 1.56 亿美元的融资总额。另外,Tanium 在 2015 年陆续融资两亿美元,估值 25 亿美元。
在安全行业,新兴的创业公司如雨后春笋一般涌现,比如应用安全领域的 Prevoty、Waratek;终端安全公司 Carbon black、CounterTack、SentinalOne、Cylance;移动 App 加固领域的 Seworks、whiteCryption;DevSecOps 领域的 ObjectSecurity、Quotium、Veracode;CASB 领域的 Adallom、Armor5、Bitglass、CipherCloud、Elastica、FireLayers、Imperva、Ionic Security、Netskope、Perspecsys、Skyhigh Networks; 沙盒安全公司 Phantom,移动安全公司 Appthority、Zimperium; 威胁情报平台 ThreadQ、安全智能公司 Attivo Networks、Cambridge Intelligence、Morphisec、Secdo;UEBA 公司 Dtex Systems,Bay Dynamics;威胁防御公司 Forter,云安全公司 Zscaler(SWG 方向)、Illumio 等等,不一而足,总有几百上千家。
为什么安全领域会涌现这么多新兴科技公司?原因很简单,因为 IT 技术的发展让这个行业再次得到了快速发展和迅速洗牌的机会。这就像是在机场安检通道排队,突然新开了一个口,后面的人就有了快速排在第一的机会。
安全行业大洗牌
安全行业百花齐放百家争鸣的态势,在 2016 年的 RSAC 大会上也有所体现,在为期一周的会议和展示中,RSA 继续以深刻的产业思考和前瞻性的趋势和方向把握,启迪并引领安全行业变革、创新和前行。2016 的 RSAC 和往年有很大不同,第一是终端安全(Endpoint Security) 的强势回归,以致于有安全界人士说 2016 是端点年,第二是数据分析能力开始落地,在整体安全概念的理解上,主流的意见更为趋于一致,即需要形成 “Protect-Detect-Response” 的链条,而之前更多的注意力被放在防护上,而随着安全形势的变化,检测与响应会有占有越来越多的比重。所以,在本年度大会上,Phantom 等新兴公司大放异彩。
在中国的安全行业,有很多根深蒂固的观点和行业规矩存在,使得中国的安全行业和美国很不相同。第一,中国的安全行业向来被称为 “网络安全行业”,这也使得在这个领域的所有技术创新都主要通过网络包捕获(DPI) 等技术去实现,这里的原因一方面是因为客户的保守,另外一方面也因为厂商的不作为,同样的盒子换了无数种名词卖给同样的客户。第二,中国的安全行业和软件行业有较深的鸿沟,这主要是因为中国的 IT 行业长久被国外厂商占据,本土独立软件公司缺乏,这使得很多并不具备软件和产品开发能力的人在安全行业具备较大的话语权。这点在美国人看来应该是不可思议的。这点也导致了很多后果,第一是安全领域的创新严重不足,很多新兴的安全团队依然把眼光放在他们熟悉的地方,比如说 WAF,比如说扫描器。而其他很多领域则没有任何人涉足。
其实安全软件,首先是一种软件产品,不应该长期被贴上各种神秘的标签。其次,网络包捕获技术只是获取攻击行为的一种手段和方式,其他的方式也应该被放到同样重要的位置上。互联网上的用户请求和响应过程,是一个非常复杂的过程,其中每一个环节都有可能出现问题。所以从这个角度看,安全软件和性能监控软件有着一样的模型。
安全软件的本质模型和监控软件是一样的,都是一个 “Collect-Store-Analytics” 的过程,信息可以从网络中获取,可以从应用软件的运行时环境中得到,也可以从日志当中直接分析。APM 行业十年前也是以网络包捕获技术为主,这主要是因为当年的计算机软硬件不足以分析动辄几百 GB 的日志文件,也没有足够的技术创新从应用软件的运行时环境中获取信息。但是随着技术的发展,简单的三层模型让位于复杂的 SOA 架构,以应用服务器和数据库软件运行在小型机上面的垂直扩展模型被 X86 的水平扩展模型取代,网络包捕获技术就不再能够满足性能分析的需求。所以,新一代的以应用层探针技术为代表的 APM 公司就取代了原来的网络包捕获技术的 APM 公司。
现在安全行业正在发生什么样的变化呢?我觉得其实变化非常明显,第一,云的广泛使用的第一个直接后果,就是企业网络边界的逐渐消失。对于一个主要使用公有云的新兴企业来说,不可能有任何机会去使用基于网络抓包技术的硬件形态的安全产品。第二,越来越多的攻击是针对数据层和应用层,而且随着 HTTPS、HTTP2.0 等技术的普及,网络抓包技术越来越表现出在 Performance 领域的那种力不从心的态势。根据 Gartner 统计,目前 80% 以上的攻击发生在应用层,而如果没有应用上下文,这些攻击不可能在网络层被拦截;同时,越来越多的 0Day 和 APT 攻击也让传统的基于规则和特征的防御措施形同虚设。
从这个角度来说,中国安全行业的技术实现,应该是从现在网络安全的一家独大,到应用安全、终端安全和网络安全的三足鼎立,辅助以数据分析技术 (SIEM) 和人工智能技术。在美国,这个趋势已经逐渐成型,无论是终端安全的代表 Tanium、Crowdstrike,还是应用安全领域的 ArcSight、SIEM 领域的 Splunk 等公司,在安全行业的地位都可以和传统的网络安全公司如 Synmantec 等互相竞争和协同,在中国,这一趋势尚未到来,然而我们都知道,中国企业的创新速度在 2C 领域已经证明了可以超越硅谷,在 2B 也一定会如此。
AI 技术在安全行业将会得到全方位应用
在未来的安全领域中,人工分析将被机器分析所取代,Security Artifical Intelligence 将会成为新的“守护者”。虽然网络安全方面的投入巨大,但网络攻击的数量和安全漏洞的量级却在不断提高。安全供应商在很多领域都可以利用AI的预测性能力来强化安全。以下就是AI网络防御创新的几个关键领域的总结。
侦测与阻止被黑的物联网设备
思科预测2020年全球的联网设备数量将从今天的150亿增加到500亿。由于应将和软件资源有限,这些设备中很大一部分比例者都没有基本的安全措施。黑掉物联网设备的威力有多大呢?从KerbsOnSecurity最近遭遇的一次分布式拒绝服务攻击可以得到生动展示。
更令人恐怖的是,被用来发起这次攻击的恶意软件的源码,很快也被公布出来,现在可以被用来针对任何企业或个人进行攻击。物联网安全是AI技术最突出的应用领域之一。轻量级基于AI的预测模型哪怕是在低计算功耗的设备上也可以自动驻留和操作,这使得在设备或者网络上实时检测和阻止可疑活动成为可能。
有几家初创企业目前正在做物联网安全方面的AI技术,其中包括了CyberX、PFP Cybersecurity以及Dojo-Labs等。
防止恶意软件和文件的执行
文件型的攻击仍然是主要的网络攻击手段。文件型网络攻击最常见的文件类型包括可执行文件(.exe),Acrobat Reader(.pdf)以及微软Office文件。
少至一行代码就可以生成带有相同恶意用途,只是签名不一样的新恶意文件。其行为的一点小变化就可以骗过传统基于签名的反病毒程序,以及更多先进的启发式端点检测与响应(EDR)解决方案,甚至连沙盒这样的网络级解决方案都发现不了。
不过也有一些初创企业正在利用AI来应对这个问题。它们利用了AI的极强的查找能力,可以从每个可疑文件的数百万特征中检测出最轻微的代码改变。文件型AI安全的领导者包括Cylance、Deep Instinct以及 Invincea等。
改善安全运营中心的运营效率
安全团队的关键问题之一是每天接收到的大量安全告警所引发的告警疲劳。北美企业平均每天要处理的安全告警高达10000个!很多情况下,这会导致某个恶意指标虽然已经被标记为可疑也会被错过。所以,我们需要利用先进技术对多来源信息进关联,将内部日志、监控系统与外部威胁智能服务进行集成,从而完成对事件的自动分类。这个网络防御领域目前非常热门,因为它解决的是自己设有安全运营中心(SOC)的大型企业的问题。利用了AI技术来解决这一问题的初创企业包括Phantom、Jask、StatusToday以及 CyberLytic等。
量化风险
对一个组织的网络风险进行量化是一项挑战,主要是因为缺乏历史数据,以及需要考虑大量的变量。目前,对量化自身风险感兴趣的组织(以及希望评估这些组织的第三方,如网络保险商)必须通过冗长的网络风险评估流程来对风险进行评估,这种过程一般都是靠问卷调查来进行,针对现有的网络安全规范来对合规性,以及组织的治理和风险文化进行定性衡量。这种办法对于真实体现网络风险态势来说是不够的。AI技术具备处理上百万数据点以及生成预测的能力,对于希望获得最准确的网络风险评估的组织和网络保险商来说,这是一条可行之路。有若干初创企业在采用这种方案,其中包括BitSight以及Security Scorecard。
网络流量异常检测
检测可能预示着恶意活动的异常流量的挑战是巨大的,因为每一个组织都有其独特的流量行为。想要在不依靠侵入式深度包检测的情况下找出不同协议之间的关联,一般都需要对网络流量内外所包含的无数元数据所存在的成千上万个关联进行分析。利用AI技术应对这一挑战的少数几个初创企业包括Vectra Networks、DarkTrace以及BluVector等。
恶意移动应用检测
根据爱立信的数据,全球现有智能手机已经超过25亿部,预计到2020年将达到60亿之巨。Arxan research发现,全球百大iOS app中有56%都曾被黑过,而排名前100的Android app更是100%被黑过。考虑到Google Play和苹果应用商店这两大领先的应用商店的现有app数均已突破200万大关,对这些应用进行高度精确、自动的分类已经迫在眉睫。这种分类方法必须对最轻微的伪装技术也高度敏感,能够区分恶意和良性应用。通过利用先进AI的尖端分类能力可以做到这一点。在这方面,Deep Instinct、 Lookout Mobile Security以及Checkpoint (Lacoon Mobile Security)是技术比较领先的公司。
耀途资本是国内领先的中国-以色列跨境投资机构,获得了高榕资本以及包括上市公司在内多家产业资本大力支持,致力于打造一级市场专业的生态圈层。投资方向专注于国内与以色列技术创新驱动的物联网、企业级服务(网络安全,金融科技)以及消费升级(文化娱乐)等垂直行业的风险投资。团队成员主导了洋码头,手机贷,艾漫动漫,MUV Interactive, 美玩易试,有序科技,Bondit,Lumus,亿觅,VS竞技台,米粒影业等数十项国内与以色列优质项目投资。
耀途之旅是耀途资本旗下专注于创新国度-以色列的高端企业家商业智慧与创新之旅的组织者,也是嫁接以色列高新技术与中国广袤市场的专业服务提供商,通过极具深度的产业,文化,历史与宗教行程安排,帮助中国具有转型需求的企业家拓展全球视野,洞悉全球创新风口以及资本运作趋势。耀途之旅专注于智能硬件与物联网(IOT),移动医疗,企业服务(包括互联网金融Fintech以及网络安全)等行业,每年超过300位包括上市公司董事长在内的企业家群体参与耀途之旅。
欢迎加入耀途之旅,一起玩转奇幻的旅程!
加入耀途之旅
关注方式:
【真实姓名-机构-职位-联系方式】关注微信号【275730094】,申请加入【耀途之旅】。
会员权利:
每年组织超过【200位】顶尖企业家会员前往【以色列】,深度考察数十家创新型企业,覆盖【物联网,智能硬件,企业级服务,移动医疗】等行业。
加入耀途之旅,成为核心会员,共享国内最顶级的企业家圈层。
定期举行线下活动分享,打造核心圈层终生学习交流平台。
有机会与耀途资本一起,联合投资,玩转优质项目众筹。
申请对象:
对成长期阶段优质项目股权投资感兴趣的企业家群体
对以色列高科技产业以及风险投资行业感兴趣,期待了解以色列的高科技以及创新生态,期待与国内最顶尖的企业家群体一起实地参访
想要建立以色列研发中心或者在以色列投资,并购的上市公司等产业资本个人/机构代表