红沙漠>论坛 红沙漠法律问答 网络纠纷
发新帖 返回列表
查看: 84|回复: 1

深度解析美国网络安全行业的前世今生

[复制链接]
清茶清肠胃

5

主题

5

帖子

15

积分

新手上路

Rank: 1

积分
15
发表于 2022-9-23 14:00:53 | 显示全部楼层 |阅读模式
全文约1.4万字,主要围绕以下问题

网络安全产品和赛道多而繁杂,什么是主流产品和赛道,什么是新兴赛道和方向,是如何发展起来的
如何把握网络安全趋势和架构演进的脉络,如何建立网络安全的研究框架
美国的网络安全传统大厂有哪些,各自又有什么特点,哪些在失去原有的光芒,哪些仍然如日中天
新兴网络安全大厂有哪些,他们为什么得以高速发展,并不断侵蚀传统巨头份额
新兴的安全独角兽都在哪些方向,通过什么样的路径得以崛起
现今全球安全领域的趋势有哪些,有哪些方向值得重点关注
网络安全的投融资市场情况怎样,主流的形态和参与者是哪些,有何特点和逻辑
目录


1. 网络安全行业的规模、格局和趋势和框架
1.1 规模与增长
1.2 格局
1.3 趋势和发展
1.4 分类和框架
2. 核心市场
2.1 以终端为中心
2.2 以网络为中心
2.3 以身份为中心
2.4 安全分析/智能
3. 新兴市场
3.1 云安全
3.2 应用安全
3.3 数据安全
3.4 安全服务
3.5 IOT/OT安全
4. 安全市场投资并购情况
4.1 美国安全资本市场情况
4.2 美国安全领域的风险和成长投资情况
4.3 安全市场的并购情况
网络安全(Cyber Security)可以为定义保护计算资源和在线信息的一系列规则和实践。网络(Cyber)包括了与系统、网络基础设施(network)、程序和数据相关的技术。安全包括了系统安全、网络安全、应用和数据安全。
注意这里有两个网络安全,在英文中比较容易区分,Cyber Security是比Network Security更大的概念。如果简单以保护的对象作为安全的分类和定义,网络安全产品(Network Security)保护的就是网络相关的基础设施,例如防火墙、入侵检测和防御(IDPS);终端安全保护的就是各种终端,更为细致的分类在下文展开。



01、网络安全行业的规模格局和趋势和框架

1.1 规模与增长


在2014-2020年,网络安全软件市场在所有软件市场中增速排第二,市场规模排第三,仅次于CRM和数据库。

全球软件市场细分规模



数据来源:Gartner

当然网络安全本身其实是结合了硬件、软件和服务的市场,根据Gartner的预测2020年整体网络安全市场规模为1224亿美元,预期到2025年可达到近2000亿美元。
1.2 格局


  • 市场地域格局
从全球网络支出安全来看,北美市场稳定占据全球市场一半左右,可以说美国网络安全市场代表了全球网络安全市场,规模最大的网络安全公司基本都在美国市场完成规模化和资本化。所以笔者把全球网络安全的分析略等于美国网络安全市场的研究。


  • 市场分类格局:软件、硬件和服务
网络安全市场包括了硬件、软件和服务,整体看,软件市场的占比在不断提升,增速最高,安全硬件市场主要是防火墙和IDPS(入侵检测和防御),随着IT基础架构的演进,其占比在逐步降低。

网络安全细分市场增长情况



数据来源:根据gartner数据整理


  • 市场集中度
无论从产品和玩家角度,网络安全都是一个较为分散的市场,作为一个超过千亿美金级别的市场,没有一个玩家超过10%的市场份额。
在安全软件领域,思科、Palo Alto Networks和微软名列前三位,市场份额分别为8%、6%、5%。从安全软件市场份额来看,排名前十五的公司里,除了CK和TrendMicro外皆为美国公司,除TrendMircro在日本上市外,其他14家皆在美国上市。
目前网络安全市场仍以传统的厂商为主,90%的市场份额仍在传统厂商手中,网络安全可能是美国软件领域云化最为滞后的赛道之一,但可以清晰看到下一代厂商/云原生厂商如CrowdStrike、Zsaler、OKTA等在逐步提升其市场份额。
网络安全行业碎片化由客户的需求的多样化决定,被攻击和需要保护的主体都在不断变化,攻击和防御的方式和技术也是此消彼长,不断演进,绝对的安全并不存在,威胁的检测、防御和响应的产品和服务需要不断演进,甲方也需要长期在新的安全技术上进行投入。
作为非网络安全技术人员,不太好把握住攻防技术本身的演进和发展,同时研究美国的政策可能对于国内参考意义不大,但什么是我们可以把握的主线和脉络,以便我们更为清晰的理解和分类这个市场呢?本文将以IT架构的演进作为主线理解和分析网络安全市场的前世今生。
1.3 趋势和发展


网络安全市场大家频频提到的驱动力和趋势都是云、远程办公和疫情。但更为直接的来看,云、远程办公、疫情对于网络安全的影响都是通过影响IT架构的演进而产生的,可以说IT架构的演进驱动了安全架构的发展。我们也可以通过这一脉络来理解网络安全产品和市场的发展和演进。
网络安全架构演进情况


第一阶段:私有部署架构下边界定义的安全

  • 企业数据基本都存储在私有部署的数据中心中
  • 分支公司通过中枢辐射式(Hub-and-spoke)架构接入总部
  • 员工基本在公司内部、物理场所进行办公
  • 几乎所有的公司资产在公司防火墙的保护下
  • 边界为中心、硬件为中心的安全架构构建一个walled garden
第二阶段:混合云架构下多点安全解决方案


  • 企业数据存储在云端和本地
  • 分支机构通过安全的、集中化的网络接入云
  • 移动化办公开始发展
  • 网络的边界变得模糊
  • 通过单点产品和方案解决云端和移动端的边界入侵问题
  • 安全架构由硬件和软件共同定义
第三阶段:多云和云原生架构下云定义的安全


  • 大部分数据放到了云上
  • 分支机构在云上直接获取数据
  • 办公移动化、分布式、Work Form Anywhere;设备和终端多样化
  • 以软件及云服务定义的安全架构为主
  • SASE架构构建安全网络边缘
  • 零信任原则(从不信任,总是验证)
  • 安全左移到软件开发阶段
这一阶段体现了三个方面的复杂性:


  • 用户的复杂性:外包员工、内部员工、生态伙伴
  • 位置的复杂性:总部、分支、差旅途中、家中办公
  • 设备的复杂性:公司设备、自有设备、终端设备多元化

IT架构经历和正在经历着以上三个阶段,同时网络安全市场也处在从第二阶段向第三阶段发展的过程中。
1.4 分类和框架

结合以上的大趋势,再来看一下网络安全的赛道划分。笔者总结了四大核心赛道和五大新兴赛道以形成网络安全的系统和框架认知。
核心赛道代表了历史上也是现今最主流的安全的产品和赛道,目前最大的安全公司也以这些产品和赛道为主要方向。同时这些赛道自身也在演进和变革,发展新的方向和延展边界。核心赛道中的领先公司可能以某一个赛道为中心,但现已发展为多品类、多赛道的安全巨头。
新兴赛道过往未产生Top的网络安全公司,或未成为主流的赛道,或者是完全新出现的赛道,但正在IT基础架构变革的趋势下高速发展,已经出现众多数十亿美金估值企业,可见的将来,会产生多家数百亿美金的安全企业。

网络安全市场框架



数据来源:根据行业数据整理

核心市场基本都在100亿美金以上,其传统的产品的增速放缓,但在不断演进和迭代,新兴的产品和方向享受高增速,比如零信任、SASE、XDR等。
新兴的市场(除安全服务外)本身的体量还比较小,但是增速很高,主要受益于IT架构演进趋势的大变革。这里安服定义为新兴市场部分,主要指其产品化部分的高增长。
02、核心市场



为什么说这四个市场是美国网络安全的四大市场呢,我们简单看一下市值的排名也比较容易理解。

美国网络安全公司市值排名



数据来源:2022年5月13日公开数据整理

终端安全市场:顾名思义,主要指用于保护IT系统中的各种终端的安全产品。
网络安全市场:如果终端代表了各种节点,那么网络安全主要是指用于监控和保护IT系统和网络中节点连接安全性的产品;或者说保护IT网络及其数据免受不同层级的攻击和入侵的产品。一直以来,这个市场也是安全中最大的产品市场。
身份安全市场:身份安全产品主要解决一个企业和组织中员工和客户对于IT系统和资源的权限和准入框架问题。
安全分析/智能:这是一个混合的市场,主要解决数据收集、分析、自动化、威胁发现、检测和响应问题,这里的定义集中于产品层面。包括了安全运营的框架性产品SIEM和SOAR;还有重要外部数据威胁情报,以及其他安全分析工具。
2.1 终端安全市场

终端市场可以说是网络安全领域最早的市场,最早的终端安全产品即杀毒软件,早在互联网诞生之前,病毒就可以通过硬件介质进行传播,所以终端安全拥有比网络(安全)更悠久的历史。


终端安全也向来是兵家必争之地,因为终端是一个企业和一个组织的网络重要组成部分和节点,具有很强的普遍性。
接入网络的设备都可以叫终端,过去通常是指个人电脑或者数据中心的物理服务器,由于云计算和移动互联网的发展,终端变得越来越多元化,包括了虚拟机、移动设备比如智能手机、平板电脑,以及IOT设备等等。
1987年是网络安全诞生的元年,行业内有一种较普及的说法是John Mcafee创立Mcafee并发布第一款防病毒产品VirusScan,1988年更多的防病毒产品进入这个市场,包括Avast等,最初的防病毒产品在C端市场有较大的应用。但C端市场现已是非常成熟的市场,很少增长。
从技术路径来看终端的保护经历了以下的技术变革和发展。

终端防护的技术路径发展



数据来源:根据官网数据整理

从技术的演进来看,过去是基于签名的规则进行异常行为的监测和阻断,同时通过扫描的形式发现漏洞,这种方式对于资源的占用也颇受诟病。
逐步发展为基于行为分析和AI的能力进行威胁的检测和防御。即从防病毒向EDR(终端检测和响应)发展。其核心的能力不再是基于签名、白名单、黑名单等传统方式,而是数据分析、AI能力、未知威胁的检测能力(威胁情报)、实时、自动化响应能力等。
这里面有代表了两个时代的公司和阵营,即传统的终端安全和云时代的终端安全。
从市场份额的变化看,新兴的云安全厂商如CrowdStrike、SentinalOne、CyberEason、Tanium的市场份额正在逐步提升,替代传统安全厂商的市场。
CrowdStrike于2013年由前Mcafee的CTO创立,2019年作为首家登陆资本市场的云终端安全厂商,享受了行业趋势和资本的红利,过去几年保持了业绩的高增速,也是美股过去几年复合增速最快的公司之一,市场份额也从2016年的1%提升到2020年的9%。为以华平、CapitalG为代表的投资人带来了各自数十亿美金的回报,上市时约180亿美金估值,巅峰涨到500亿美金。紧接着SentinalOne这家以AI和机器学习为技术亮点的终端安全厂商也于2021年上市,CyberEason和Tanium等终端安全的超级独角兽也即将登陆资本市场,整体看,这些云原生的厂商都在和将从转型缓慢的传统厂商攫取市场份额。

终端安全市场份额情况变化



数据来源:根据行业数据整理

传统的终端安全厂商如Symantec、Mcafee、TrendMicro、Sophos正在面临巨大的挑战,当然他们本身也在资本的助力下试图完成升级与转型,但整体的效果不是太理想。
另外这里值得一提的是微软,微软在云时代到来前,就在终端安全领域处于行业领先地位,这主要得益于其在办公领域的客户和市场广覆盖,其网络安全的收入更是自称突破了百亿美金,但如何更好地协同Azure和传统办公领域的网络安全产品是其重要的命题。
除了企业级市场外,消费级终端市场也存在较大的市场,不过相对比较成熟,缓慢增长,Symantec是市场领导者,其他领先的企业包括Mcafee、Avast、Trend Micro和卡巴斯基,除了卡巴斯基和Avast外,都是企业级市场的重要供应商。其中Mcafee的消费级业务于2021年被Advent、GIC、CPP等财团私有化,企业级业务与Fireeye合并成为了Trellix,NortonlifeRock收购了Avast成为消费级终端领域最大的公司。
2.2 网络安全市场

20世纪90年代,世界走向了网络,新兴的病毒和木马开始井喷,NASA的研究员发明了世上第一个防火墙。狭义的网络安全(Network Security)也称做边界安全是网络安全(Cyber Security)产品领域最大的赛道,其保护的对象即是网络相关的基础设施,从攻击的通路来讲,以流量作为载体。过往这个市场以边界防护的理念为核心,核心的逻辑是说公司资产在公司防火墙的保护下,通过网络安全设备构建了一个walled garden,主要的产品比如防火墙、IDPS入侵检测和防御、NAC网络访问控制、VPN虚拟专用网络、SWG安全访问网关、抗DDos等。防火墙就是架在内网和Internet之间的墙,用以监控和过滤出入的流量。IPS 即入侵防御系统与防火墙串联,能够监视网络或网络设备的网络资料传输行为,相较于防火墙的被动特征,可以对攻击进行识别和主动防御。IDS入侵检测系统,在发现异常行为时发出警告,而不采取措施,和防火墙并联。
我们先来看一下边界安全中最重要的产品防火墙,这里有三家重要的公司,CheckPoint、Fortinet和Palo Alto Networks,世界上第一台商业化的防火墙由Check Point发明,CheckPoint成立于1993年,是一家以色列的网安公司,其核心的技术特点是状态监测防火墙,主要的贡献者包括以色列裔美国人Nir Zuk,这个人也是Palo Alto Networks的创始人和现CTO,另外Zir Zuk离开CheckPoint还担任过Net Screen的CTO。而Fortinet的创始人也是Net Screen的创始人,在将Net Screen卖给Juniper后创立了Forinet。

防火墙发展历史



根据公开资料整理

过去的十年防火墙的领导者也从CheckPoint变成了Palo Alto,同时Forinet也在这个市场处于领先地位。
Fortinet是一家从SMB市场起家的网络安全公司,其初始核心产品以防火墙为主,在芯片设计、网络通信速度方面具有优势。值得一提的是Fortinet的创始人谢青毕业于清华大学,1993年在美国创立网络安全公司NetScreen,后被Juniper收购,又于2000年创立了Fortinet。
虽然网络安全(边界安全)领域还有诸如IDPS、准入控制(NAC)、VPN等产品,但防火墙是这里面最大的产品,同时现在的防火墙也将网络侧的其他能力放进了墙中变成了UTM(统一威胁管理产品)。
但UTM有个劣势是由于兼具的功能太多,使得性能比较低,Palo Alto Networks提出的下一代防火墙,主要特点是采用一体化引擎,不仅兼具了IDPS、防病毒、威胁情报等安全能力,同时将性能提升7-8x以上(相较于UTM)。
如同终端安全产品演进一样,流量侧的产品也在发生演进和变革,从传统的检测和防御的IDS和IPS向能够利用新兴技术检测新兴和未知威胁并响应的NDR(网络检测与响应)演进。从防火墙、VPN、NAC向零信任和SASE演进。
随着云计算的渗透,分布式办公的发展,企业和组织开始发现所谓的边界不复存在,这就相应要求网络安全架构做出改变,整个网络安全的架构在往零信任和SASE演进,SASE即安全服务边缘,整体的逻辑是之前硬件承载的能力放到了云端,硬件定义的边界由软件替代,之前放在数据中心出口的防火墙虚拟化放到了云端。
其核心部分由零信任网络接入(ZTNA)、安全web网关(SWG)、云端防火墙(FWaaS)、云访问安全代理(CASB)和软件定义广域网(SD-WAN)构成。
零信任网络接入可以理解为包括了VPN、NAC和身份认证体系的功能,解决越来越普遍的云端远程登陆和访问问题。SWG解决在企业内部的网络连接和浏览问题,再加上防火墙能力和云访问代理(CASB),从而构建一个软件定义的边界(SDP),流量通过SDR出入。

SASE架构构成


以Zscaler为代表的云原生网络安全企业将网络能力和安全能力有机结合,企业的流量走其构建的专网,同时通过其放在云端的安全能力进行威胁发现和检测。
当然,在网络安全领域,也不是所有传统安全公司的市场份额都在萎缩,Palo AltoNetworks和Fortinet是云化转型相对成功的公司,其安全能力和数据方面的优势和积累使其拥有立于不败之地的根基。作为目前网络安全领域排名前二的巨头,他们也是SASE市场重要参与者,Fortinet是以中小市场为核心的特点,较早布局SD-WAN,虽然其不像Zscaler是一家纯粹云原生的安全公司,但在云化转型和SASE、零信任市场也获得了领先地位。而Cisco、SonicWall和CheckPonit、Juniper的传统安全厂商可能会在未来的竞争中进一步失去市场份额。
除了上市Zcaler、CloudFlare外,未上市的独角兽企业如NetScope(80亿美元估值)、iBoss和Cato Networks也是SASE领域的代表企业,SASE和零信任架构的颠覆才刚刚开始,未来可以预期还会有更多云原生的网络安全(NetworkSecurity)企业成长起来。
SASE不仅是安全能力和网络服务能力的汇聚,也体现了安全领域的Consolidation这一趋势,其核心组件包含了安全web网关、防火墙等各种能力,这就要求供应商具有整合这些产品,提供一体化、中心化的管理和编排解决方案的能力。
2.3 以身份为中心



身份安全产品旨在解决一个组织中,所有的用户和设备对于各种IT系统资源的准入和权限问题。主要的细分方向包括三个:
IAM身份权限管理:通过单因素验证及多因素验证解决获取一个准入权限的验证机制问题。这个领域领先者包括微软、OKTA、PingIdentity,可见的趋势是从传统产品向云转型,IBM、CA、Oracle被认为是这个市场的传统厂商。
治理:身份治理主要用于在公司的政策之下保护、监控和审计资源的权限和准入问题,确保正确的人获取了正确的资源。IGA是一个相对成熟的市场,领先者诸如SailPoint、IBM。
PAM:特权访问管理用于监控和管理、公司关键资产的特殊权限问题。特殊权限产品虽然受众相对小,但是潜在风险相对更大,这是一个相对新兴的市场,行业领导者包括CyberArk、BeyondTrust。
身份安全的演进:为什么身份在现代的安全架构具有不可或缺的重要性?随着虚拟办公、混合办公和云的发展,用户的身份和终端设备成为新的需要保护的边界。应用身份安全方案保护员工、客户以及API的身份变得越来越重要。
身份安全的演进方向是零信任,也是零信任框架的重要组成部分,零信任架构主要由两部分组成,一是前端用户对于网络资源的获取和准入即ZTNA,二是通过身份认证解决不同负载和应用的隔离(准入和权限)问题。身份安全产品构成了零信任中的第二部分。
身份安全领域还延展了一个新兴的领域是线上欺诈检测(Online FraudDetection),主要用于监控交易和支付的异常行为、保护账号、增强身份验证程序等,在电商、数字银行服务以及各种个人账号保护中使用。代表公司例如Riskfied、http://Aura.com。
2.4 安全分析/智能



数据对于网络安全至关重要,以上提到的三种重要的产品类型以及其他产品也会产生大量的数据,那么这些数据如何收集和分析。这就出现了SIEM、SOAR、安全分析等市场。IDC将这个市场定义为安全的分析、智能、响应和编排。
SIEM:当部署了众多的终端、网络和身份产品后,会产生大量的数据,而这些数据如何归集,安全信息和管理系统(SIEM)完成了这样可视化和数据分析的需求。SIEM是安全运营团队使用了20多年的产品标准化数据整合工具。日志监控厂商Splunk是SIEM领域的领先者,另外还有独角兽公司Securonix、Exabeam。
SOAR:SOAR的中文是安全编排、自动化和响应,其核心价值是在安全事件发生的情况下进行自动化的响应。一些安全从业人员会认为SOAR是SIEM的升级,整体来看,是一个相对新兴的市场,没有单独做SOAR做的比较大的公司。SOAR从SIEM获取数据,并根据剧本调动相关产品进行事件的自动化响应。
SIEM和SOAR最后价值都会体现到数据上,来做安全分析,例如英国的Darktrace、Securonix都是分析能力很强的厂商。
另一个新兴的概念和方向是XDR(Extended Detection and Response),它是所有的网络安全产品和市场试图合并的一个方向,网络安全领域一个普遍被大家认可的趋势是合并,因为单一的单点产品很难应对现代层出不穷的网络威胁和攻击。随着终端、网络、数据分析等产品的不断部署和发展,XDR这样一种综合性的平台产品应运而生,大型的企业已经使用了很多的单点产品,他们会考虑增加XDR的模板来进一步提升网络可视性和获得更好的数据分析能力和价值。SIEM仅解决了可视性的问题,XDR通过数据的分析完成检测和响应。
以终端为中心和以网络为中心的安全厂商都在往XDR发展,一方面通过数据的整合和分析能够提升其安全能力,同时也延申了其TAM的边界。例如Palo Alto旗下有Coxtex,CrowdStrike也从EDR延展至XDR。



数据来源:The Rise of extended detectionand response, 451 Research

Capital IQ旗下的研究机构451 Research定义了三种形式的XDR:


  • 一种是以产品为中心,聚焦特定领域的XDR:比如目前在终端或网络方向有自己核心的产品的厂商,他们通过API形式将其他数据接入,形成自己的XDR方案。比较常见的是从EDR或者NDR往XDR方向发展,例如以终端为核心的厂商CrowdStrike,以网络为中心的厂商Palo Alto。这种方案适合于已经某个供应商为中心,或者拟以某个供应商为中心的客户。
  • 另一种是以产品为中心,聚焦分析的XDR,这类供应商通常没有广泛的用户群体,以API整合和数据的可视性作为切入点,通常以SIEM作为基础,叠加AI/ML能力。这种方案适合于已经进行了大量的点状产品建设和投入,追求最优的安全策略的甲方。这个领域的代表厂商比如Exabeam、Trellix(Fireeye)
  • 第三种与前两种有所差异,以服务为中心。部署了XDR产品后,也需要客户有的高级人才投入去进行24*7威胁监测、调查和响应。对于人才短缺的企业,尤其是偏中小企业,提供托管检测响应服务商MDR(这个会在后面安全服务部分讲到)会为其提供XDR能力。这个领域代表厂商比如Esentire。[ii]
  • 威胁情报(TI)
在安全分析领域,还有一个非常重要的赛道是威胁情报,除了内部的各种日志数据、安全设备数据外,还有一个重要而特别的数据源是威胁情报。威胁情报的重要性在于去解决未知的、外部的威胁问题,去研究网络上的各种攻击团队、事件、行为等。比如FireEye、Mandiant的安全能力的强大也是得益于其强大的威胁情报能力,同时对于CrowdStrike和Palo Alto这种综合型厂商,威胁情报也是非常重要的组成部分。对于主流的网安产品和机构,例如EDR、NDR、下一代防火墙等,威胁情报都成为不可或缺的能力和构成部分,当然像CrowdStrike的情报可能更倾向于终端,Palo Alto的情报可能更偏向网络侧,所以单纯的网络情报厂商也有重要的价值和生存空间。ZeroFox、Flashpoint、Recordfuture是纯威胁情报厂商的代表,ZeroFox于2021年通过借壳的方式上市。
03、新兴市场



云安全:这里聚焦于云本身(数据、应用、基础设施)的安全,暂无纯粹的云安全公司上市,但独角兽众多
应用安全:用于保护各种应用(桌面、web、移动等)生命周期的安全的产品
数据安全:保护数字信息生命周期的安全,暂未出现过百亿美金级别上市公司
IOT/OT安全:新型终端(IOT设备、OT系统)的安全
安全服务:包括教育培训、咨询、系统集成和托管安全服务(MSS),新兴市场主要指其产品化部分MDR(托管检测与响应)
3.1 云安全

现在每个公司都想上云,每个人也都开始意识到云是安全现代化的催化剂,正如之前的趋势所分析。
但云安全本身是一个模糊的概念,业界和研究领域也暂未给出明确的界定,但简单理解,狭义的云安全可以认为是保护云基础设施本身的安全,云负载包括虚拟机、容器、K8s、无服务等,广义来讲既包括了云本身的安全,也包括了用户基于云构建的应用和数据的安全。
另一种解释,这里面有两层含义,一个是云本身的安全,比如虚拟机、容器、K8s、无服务的安全,这些叫做CWPP,云工作负载安全;比如云原生应用的安全(CNAPP),CASB(云安全访问代理),有的机构也会把DevSecOps定义在云安全里,本文我放在应用安全部分讨论。


另一层含义是安全以云服务的形式来提供,比如防火墙、抗DDos、终端安全都可以以云服务的方式带来提供,也是前文提到的这些市场都在进行云化。

四大核心市场云化渗透率情况2020


我们这里讨论的云安全集中在CWPP、CNAPP、CSPM、CASB、微隔离等概念。不包括核心市场的网络、终端、身份市场本身也在进行云化的渗透。
云原生会带来复杂的、动态的基础设施和环境,攻击面高速增长,海量的事件和日志,传统的安全产品难发挥其效用。保护连续不断变化的云环境的唯一出路是同样不断变化和实时的方式,其特征包含了连续实时的异常检测、行为分析,自动化告警等。
云安全是近年独角兽最为集中的领域之一,出现了Wiz、Orca Security、Lacework等公司。
Orca Security研发了一种非侵入式的引擎,无需探针的检测技术SideScanning,在对于DevOps的效率没有影响的情况下,同时也能保障云工作负载的安全。
Wiz是一家发展神速的公司,成立于2020年初,目前已经融资6亿美元,其核心是利用图分析技术,分析不同的云负载、漏洞、用户和机器行为来对IaaS和PaaS的部署进行预测性的安全分析。
Lacework由因孵化Snowflake而声名大噪的Sutter Hill Ventures孵化,其核心的特点是应用机器学习和AI技术进行数据中心和云工作负载的保护。而不需要预设的政策、规则,这种完全自动化的能力也很好地适配于云原生的环境和敏捷开发的要求。
相较于其他几家,Aqua Security更偏重于容器层面的安全,也是这个市场领导者。值得注意的是Aqua、Wiz、Orca这三家公司都诞生于以色列。
这几家公司可能都即将登陆资本市场,拭目以待他们的表现。
3.2 应用安全



应用安全领域较为普及和全面的发展的一个产品线是Web应用防火墙即WAF,WAF是一种较为成熟的产品,可以理解为是运行在HTTP层的IDS(入侵检测)设备,同时也具有防火墙的功能。其保护的对象是网站、app等web业务系统。
随着攻防技术的发展和云计算的渗透,web端的攻击方式也变得多元和复杂化,除了DDos外,自动化(机器人)攻击被用于攻击web和API应用,Bot管理就是用来应对这样的攻击并与WAF结合。
现如今应用安全领域主要有两个大的市场,其一是WAAP(Web Application and API protection),即WAF往WAF、Bot管理、API安全发展;其二是所谓的安全左移,在应用的开发阶段,即应用安全测试或DevSecOps领域。
在应用防护领域,除了应对自动化攻击的Bot管理外,还有一个新兴的重要的方向是API安全,API是现代微服务的基础,随着API经济的兴起,使得现代企业可以通过API接口共享数据、共享他人构建的软件的能力,当然随之而来的安全问题也变得至关重要。在这个领域产生了独角兽公司Salt Security。
在应用开发阶段,增速更快的领域是应用安全测试,也就是人们常说的安全左移。或者开发安全/DevSevOps,目前还没有专注这一领域的安全公司上市,但也有一些独角兽型企业涌现。
以软件组成分析(SCA)的起家的Snyk是这个领域发展最为迅速的企业,Snyk也是网安领域PLG模式的先锋,通过to D和社区模式完成了高速的用户和业绩增长,这也与SCA产品本身的特性相关,SCA主要就是用于检测开源的漏洞。
SAST(静态测试)俗称白盒也是应用安全测试领域最大的市场之一,主要用于检测软件现有的漏洞问题,其产品的技术含量较高,领先的玩家如Synopsis,拥有多年的技术和行业积累。
DAST(动态测试)俗称灰盒,主要用于软件开发环节中测试环节的漏洞检测,其动态的特性与DevSevOps的理念非常契合,在云原生的背景下得到很好的发展,代表型的企业如ContrastSecurity。
应用安全领域的趋势也是consolidation,传统的WAF厂商都在补充Bot管理和API安全能力,比如Imperva;从应用安全测试某一领域起家的厂商也在全面延展。

应用安全分类


3.3 数据安全




传统的数据安全领域主要涉及数据加密、数据库审计、数据防泄漏(DLP)等,以静态数据为主,以结构化数据为主,以MicroFocus和Varnonis等公司为代表。
随着企业数字化转型的推进,企业的数据量增加和异构化日益突出,数据安全从结构化数据的安全延展为结构化、半结构化和非结构化数据的安全问题。
另外,企业和组织越来越意识到数据的价值,但数据的价值通常要在流动和使用中才能实现,这也相应了带来了数据流动和使用中的安全问题,对于技术和产品也带来了新的挑战和机会。
数据安全相关的法律法规也带来了治理和合规等方面的刚性需求。
Onetrust致力于解决企业数字化转型过程中、数据流动中的所有数据隐私、安全、治理和合规问题,目前已经服务了7500家客户,其中包括超过一半的财富500强企业。在最新的一轮融资中达到51亿美金的估值。
另一家新兴的数据安全独角兽是BigID,BigID创建了一个企业数据隐私管理平台,通过SaaS工具为企业提供大数据解决方案和服务,主要关注个人隐私数据的管理,致力于在安全的环境下为企业提供个人信息的检索和归类。其核心技术是基于数据沙盒的数据分析技术,既支持各数据库的敏感数据发现、分析,又可以以分析引擎的模式,实现大数据中的个人隐私数据的分析与支持。
3.4 安全服务



为什么将安全服务定义为新兴的市场呢,单纯从市场体量看,安全服务超过了软件和硬件,但由于其服务的属性,非常传统,很难产生市场集中度,安全服务包括了教育与培训、IT咨询、系统集成和MSS(ManagedSecurity Services)。MSS也是安全服务中最大的市场,2021年大约250-300亿美元。
但随着云化的渗透,为安全服务带来了新的变化,MSS赛道正在往产品化、订阅化的方向发展,MSS供应商向客户提供一系列的安全技术和商业结果相关的管理和运营服务。相关的能力包括安全监控、检测与响应、暴露面评估和管理,安全咨询和技术集成。管理相关的服务可以通过多种形式提供给客户,比如云服务、咨询、人员培训和辅助、本地化服务等。这个市场和安全分析与智能市场及其他的市场也有挺多的交叉。
大型企业对于安全服务有刚性的需求,在数据的汇集和处理层面,有大量的告警和事件需要处理,单纯依靠甲方的人员投入,无法全面地进行分析、检测和响应,同时也无法对于外部的数据和威胁穷尽。
更为产品化和结果导向的服务形式是MDR(托管检测和响应),MDR通常以远程的形式提供安全运营中心能力,包括快速的检测、调查和降低事件的影响。
将威胁监测和响应部分或者全部外包给MDR厂商,这样自己不用去处理大量的事件和告警(可能自己也没法处理),可以解决客户自身在人力和能力方面的欠缺。这个领域的代表厂商包括SecureWorks、Arctic Wolf、Esentire、Rapid7、Mandiant等。当然安服作为网络安全领域超过硬件和软件的市场,也是综合型厂商的必争之地,以SMB起家的Fortinet也是MDR市场重要参与者,从2021年公司年报看,其安全服务收入占公司收入接近60%。
除了安全服务外,还有一个概念是安全运营。通常将安全运营理解为比安全服务更小的一个概念,属于安全服务,同时更加结果导向。
安全运营到底是指什么呢?美国国家标准技术研究院(NIST)指定的框架可以帮助我们很好地理解安全运营的目的,按照此标准可以归纳对于安全运营以下六个重要的部分[iii]:

  • 可视性:资产都在哪里,什么资产是重要的;攻击面有哪些
  • 威胁情报:比如知道在和谁对抗,攻击的技巧、技术和流程怎么样的
  • 漏洞管理:先把自己的漏洞找出来,排序和确定优先级;这是周期性的工作;比如哪些更危险,更需要马上打上补丁
  • 快速检测
  • 实时响应
  • 修复恢复:降低事件发生的影响


总结起来,就是结合人、技术(产品)和框架,完成安全管理的闭环,其中SIEM、SOAR和威胁情报都是管理框架中的重要产品。
Arctic Wolf是MDR领域的代表企业,也即将走向资本市场,目前的估值已接近50亿美元,主要致力于为中小企业提供一站式的托管检测和相应服务(MDR),订阅属性强,产品化程度高。
另一家非常优秀的安全服务公司是Mandiant,刚刚被Google以54亿美元价格收购。它通过一个名为Mandiant Advantage的SaaS平台为和客户提供威胁情报、自动化告警调查、威胁检测和事件响应。同时也为客户提供较重的安全分析、检测和响应服务。
绝大部分的安全服务公司都是私有公司,即便收入体量很大的PwC、Deloitte和EY这类,因为传统安全服务公司的窘境是持续性的收入很少,他们必须要为新的签单每年疲于奔命,品牌和规模很重要,但未来的增长和稳定性有一种本源的不确定性,同时也容易走向同质化竞争。
Mandiant的核心优势在于:在过去的10多年中,Mandiant在事件调查和威胁情报中都处于领先地位,拥有覆盖20个国家30种语言的情报;持续对于研发和技术高投入;应用 Productized Service的模式提升服务效率;Value-based的定价而不是人头定价。
Productized Service是科技领域的新术语,主要是说通过系统增强和自动化人的能力。同时也在对于安全服务领域产生积极的影响[iv]。
3.5 IOT/OT安全




IT设备和IOT/OT设备的对比
IT设备IOT/OT设备
台式计算机PC物理服务器移动设备(智能手机/平板)虚拟机容器医疗设备暖通设备DCSSCADA闭路电视系统重型运输车辆

以上列举了一些IOT/OT设备的形态,但实际上随着物联网的创新,海量的设备接入网络,这些非IT的设备也可能成为被攻击的对象。这些异构的设备五花八门,可能盘点和追踪都存在挑战,而且这些设备可能使用的不是标准的诸如windows、MacOS或者Linux的操作系统,或者即使使用,也是很陈旧的版本,这样传统的Agent或者终端安全产品实际无法保护这些设备。
这里有两个大的趋势驱动了制造型企业的数字化转型,从而驱动了IOT/OT安全的发展:一是无论是终端用户是B还是C,越来越多的生产型、制造型企业希望跳过中间商、服务商、代理商等与终端用户进行交互,那么就会投入大量的OT系统;二是制造商希望从产品销售往服务转型,即Product as a service,疫情的背景也助推了这一趋势,制造商需要大量投入数字化、安全保障连接、获取对于客户的理解和持续的产品监控。这里和国内的工控安全的核心驱动因素有所差异。


典型的代表公司如Clartory,最新一轮融资额已达4亿美元,其构建了一个数据收集和实时监测运营网络中设备异常的平台,以保护一些关键基础设施,比如水处理设备、电网等,公司还收购了医疗设备安全领域的Medigate。从而覆盖了能源、制造和医疗领域。
04、安全市场投资并购情况

4.1 美国安全资本市场情况

尽管美国市场的上市与退市屡见不鲜,不乏Proofpoint这种超过100亿美元市值的公司退市,但从过去的十年网安公司和市值金额也可以看出这个市场的高增长价值。
从过去五年看,网络市值前十的公司发生了如下的变化,Fortinet是增长倍数最高的企业,CheckPoint几乎没有增长,Palo Alto较为稳健,也体现了PA和FT在大的趋势下,仍保持较强的创新力,同时转型较为成功。云原生的CrowdStrike、Zscaler、OKTA高速发展,上市后成为排名前列的领导者。

网络安全领域市值排名前十公司变化情况



根据公开资料整理,2022年为5月17日数据

从市值和客户数来看,云原生的安全公司,如CrowdStrike、Zscaler仍有很大的成长空间。

主流网络安全上市公司规模情况对比



数据来源:根据公司年报整理

4.2 美国安全领域的风险和成长投资情况

2021年是美国网络安全一级市场创新高的一年,可以说是软件领域最活跃的细分领域之一。总融资金额达到293亿美元,总交易笔数293笔。
美国网络安全市场一级市场融资情况



数据来源:Momentum Cyber

美国市场网络安全代表风险投资者


以上20家代表了在网络安全领域最为活跃的VC投资人,其中包括综合性的General Fund,专注于早期的红杉、Accel、BVP、A16Z等,专注于成长期的InsightPartners也包括专注于网安领域的行业基金Forgefoint、TenElevn、ClearSky和YLVentures等。
其中值得一提的是YL Ventures,这是一家专注于以色列市场的种子轮风险投资基金,以色列是网络安全创新的重要基地,诞生了很多优秀的网络安全公司,可谓群星璀璨,诸如CheckPoint、SentinelOne、CheckMarx、Fireblocks、Wiz、CyberArk、OrcaSecurity等,以色列的网络安全公司大多在本土完成技术创新,但却在美国市场完成了商业验证和规模化,YL Ventures也是基于这一逻辑构建了超过100名CISO/CTO组成了强大顾问团队,助力投资企业完成PMF和规模化。

网络安全一级市场独角兽融资情况(百万美元)



数据来源:Momentum Cyber

从目前为未上市的企业服务独角兽看,网络安全也是独角兽最为密集的领域之一,创新的方向在云安全、区块链安全、IOT安全等领域不断发生,网络、终端、身份等领域也在持续演进以应对新兴的风险和甲方需求。
其中Lacework(云)、Snyk(应用)、Tanium(终端)、Netscope(网络)都在接近100亿美金估值,融资最多的Lacework出自孵化Snowflake而名声大噪的Sutter Hill Ventures手笔,由Mike Speiser于2015年创立,与数仓相似,安全领域也是在经历大规模长期转变的市场,Sutter Hill再次全面押注云转型,6年时间Lacework获得了19亿美元的融资。
4.3 安全市场的并购情况

2021年也是安全市场并购前所未有的一年,总的并购金额达到775亿美元,其中上市公司私有化或资产剥离相关共计475亿美元,这其中包括了Mcafee(140亿美元被Advent、GIC、CPP、Permira、ADIA等)、ProofPoint(123亿美元被Thoma Bravo收购)这两个超过百亿美元的退市交易。私有化也在美国资本市场屡见不鲜,PE巨头和产业方都是重要推手。
作为防御性极强的需求,网络安全公司也成为PE并购投资人偏爱的资产。Morgan Stanley每个季度都会对于全球CIO进行抽样的问卷调研,从近年的调研显示,网络安全都是最具防御性的IT方向。
MS的问题是“如果2022年经济变得更加糟糕,哪方面的IT预算最不可能被减少,哪方面的IT预算最可能被减少?”安全相关的预算赫然是最不容削减的支出。

MorganStanleyCIO调研


用杠杆收购稳定现金流的网安公司,再通过增强收购提升公司业绩,或者促成公司产品演进或者迭代(例如云转型),然后再出售或IPO退出获得丰厚回报。诸如Thoma Bravo,TPG、Bain Capital、VistaEquity、Francisco Partners等都是网安Buyout市场的活跃投资者,整体他们以投资传统或者老牌网络公司为主,通过更换管理层、发展新产品和方向,以及补强收购将公司带入新的发展阶段而获得超额回报。
上市公司和产业巨头也是收购兼并的主要参与者,综合型的科技和IT企业如Cisco、Broadcom、IBM等,通过大笔的收购进入到核心的安全领域,但Cisco的并购整合不太为大家认可。领先的安全企业如Palo Alto Networks也通过收购延展其赛道领域,进一步往全栈的综合型安全公司迈进。比如网络为中心的公司补充终端能力、分析能力进军XDR领域,终端为中心的公司补充网络侧能力和数据分析能力进军XDR领域。
当然除了资本的充裕外,当然美国在网络安全的职业经理人、最佳实践方面也有深厚的积累,这也与美国的整体企业服务领域一致,所以网安公司的控制权变更屡见不鲜,创业者和投资人也将并购作为重要的退出渠道,并购后再开启下一个命题下一阶段,穷尽人生的可能。
接下来是挖坑时刻,欢迎大家找笔者探讨:

  • 类比美国市场,中国有哪些早期和新兴的创业和投资方向,在类比的方向上有何发展阶段、产品技术、市场方面的异同
  • 赛道选择和路径规划:选择什么样的方向和路径,可能有机会成为中国下一个100亿美金的网络安全公司
  • 谁能在IT基础设施变革的大背景下持续创新和抓住机会,成为中国的Palo Alto和Fortinet,谁又是应运(云)而生的中国版CrowdStrike、Zscaler、OKTA和Lacework,谁又有机会成为中国的Snyk、Onetrust和Mandiant
  • 中国网络安全的产品、发展历程和格局与美国网络安全发展的异同
  • 中国是否同样存在并购的投资和退出机会,有怎样一些现实的挑战

参考资料及延展阅读

Software is life, Credit Suisse
[ii]The Rise ofextended detection and response, 451 Research
[iii]Comprehensive Guideto Security Operations, Arctic Wolf
[iv]Mandiant and theFuture of Cybersecurity Professional Services, Security of Strategy
Navigating the Security Landscape, Optiv
A security blanket for the new era, RBC Capital Market
The Dark also rises by JMP Securities
CyberSecurity Industry Report 2021, Crispidea
Cloud Security Fundamentals, Lacework
2022-cybersecurity-startup-trends by Bessmer Venture Partners
文章来自:冥王星早餐,已获得作者授权
回复

使用道具 举报

疯墩

0

主题

1

帖子

0

积分

新手上路

Rank: 1

积分
0
发表于 2022-9-23 14:01:51 | 显示全部楼层
感谢分享
回复

使用道具 举报

发新帖 返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表