2022年12月7日,合规自动化赛道的独角兽Drata宣布完成2亿美金的C轮融资,估值高达20亿美金。Drata成立于2020年7月,迄今只有2年多,加上前几轮总共融了3.3亿美金。继去年11月B轮1亿美金融资后,Drata就已越过独角兽门槛,成为硅谷有史以来成长最快的公司之一。

Drata 提供的是一个安全合规自动化平台,通过持续监控和收集企业进行安全控制的证据,同时简化端到端的合规工作流,以确保随时审计就绪。Drata在过去一年中推出了超过14个合规框架——从SOC 2、PCI DSS到GDPR和NIST 800-153。

首席执行官Adam Markowitz表示:我们在疫情这个不确定性越来越大的时期创立了Drata,立即看到对我们产品的需求增加,包括Fivetran、Lemonade、Airbase、Notion和Bamboo HR在内的数千家公司信任Drata能满足他们的持续合规需求,数百家公司也从传统的供应商转向Drata。

为什么合规自动化会火?

把一切都自动化是信息时代的执念,理论上所有流程可清晰定义/结果可量化的业务都可以自动化,近年来一直在高速发展,从RPA的火热就可见一斑。另一个相近的领域是MSSP/安全运营,仅2022年全球相关并购就超过60起。

GRC并不是一个新概念,国际上早有成熟的行业规范和应用场景。但随着疫情和业务远程化、国际化的发展,以及不断更新的合规规范要求,如何将合规领域的流程自动化实现,以提升效率降低成本,成为企业(尤其是中小企业)的迫切需求。安全与合规的自动化,是通过持续监控企业的人员、系统和工具来改善企业的安全状况,从而帮助企业获得并保持合规,核心是帮助企业规模化安全实践,并自动遵守业界最通用的一些标准——SOC 2、ISO 27001、HIPAA、PCI DSS、GDPR和CCPA等十多种。

在此之前,由于合规流程涉及的类目很多,企业一般都是通过咨询机构并辅助以部分工具来完成,需要耗费大量的人力物力。据 The Generalist 此前对 Vanta(另一个GRC明星厂商)的报道介绍:完成一个复杂的SOC 2合规流程可能需要八个月的时间,成本超过50,000 美元。小型企业发现自己陷入了一个称之为“SOC 22”的难题。高昂的审计费用可能会使企业陷入财务困境,但未能支付审计费用意味着没有新客户、没有收入和财务风险,都一样。对于幸运的人来说,合规是一种繁琐的成本消耗;对于运气不好的人来说,这可能是一种生存压力。而通过Vanta的解决方案,可以将审计的整个成本最高降低 90%,之前一个需要5万美金的审计流程,现在只需要5,000 美金。

Drata的CEO Adam Markowitz在与INTERCOM的一次访谈中也说到:只有证明自己是安全并且合规的,别人才会与你做生意。如果没有自动化,通常公司每年会花费数百小时来实现合规性,很多人生活在电子表格、共享文件夹和屏幕截图中。因此,这种SaaS化的全新安全与合规自动化方案,逐渐成为企业之间建立信任的基础设施,为众多用户迅速接受。

在国内,许多外贸、电商、大型云厂商以及其他有跨境业务的企业,为了满足当地合规要求,也都开始采用此类平台完成合规。

Drata非同寻常的投资人天团

在Drata的投资人天团中,除了ICONIQ Growth和GGV Capital这类明星机构,还有两个与众不同之处。

其一,Drata引入了很多CVC(OKTA、Salesforce、SentinelOne等)和个人战略投资者(微软的CEO Satya Nadella、Snowflake的CEO Frank Slootman、Datadog的Olivier Pomel和Amit Agarwal、亚马逊的Jonathan Rubinstein、PagerDuty的Jennifer Tejada和LinkedIn的Jeff Weiner)。硅谷一直是个圈子文化互相支持的地方,种子客户有时就来自其他科技公司,SaaS服务也是企业之间互相采购使用,都不喜欢自己重复造轮子,所以很多科技企业成长迅速,因为有时不用出硅谷就能达成数千万美元的ARR。有了这些CVC和个人战略投资人,加上ICONIQ Growth和GGV Capital之前投过的其他科技明星,无论是对当前的业务拓展还是未来的圈子影响力,都是其他公司难以企及的。

其二,Drata引入了Silicon Valley CISO Investors(SVCI),这是一个由美国CSO组成的天使投资机构,成立于2019年,在硅谷安全圈有很特殊的影响力。SVCI会寻找有前途的早期创业公司并对其进行投资,然后利用其行业专业知识帮助其成长,推动下一代网络安全创新。SVCI投资十分挑剔,迄今出手的项目只有10多个,其中包括云原生的Orca、安全浏览器的Island等明星。

火热的赛道中的其他厂商

不难看出,相较于其他技术概念,合规自动化是一个让硅谷VC们及其兴奋的赛道。除了Drata之外,其他厂商的发展也十分迅猛。

另一个赛道明星是成立于2017年的Vanta,早期由红杉和YC投资。2022年6月Vanta宣布完成1.1亿美金的B轮融资,估值达到16亿美金,紧接着9月底CrowdStrike便宣布通过旗下的Falcon Fund为Vanta追加投资4千万美元,并将Vanta纳入CrowdStrike的应用商店,双方产品深度集成,以帮助CrowdStrike的客户实现合规。

除了Vanta和Drata这两个独角兽之外,赛道中还有一些其他玩家也值得关注,比如Laika、Secureframe、Safebase 等等。就在最近的11月29日,定位为下一代GRC方案提供商的RegScale也宣布收购了开源合规即代码(compliance-as-code)平台GovReady,以实现他们的共同目标:使合规更容易。

国内市场为何清冷?

来源:斯元商业咨询「Emerging Technology Vendor Index · 网安新兴赛道厂商速查指南」

在国外热度持续不减的合规自动化赛道,在国内却十分清冷。根据斯元商业咨询的网安新兴赛道厂商速查指南显示,目前国内尚未观察到类似的明星厂商。反差巨大。

为何会出现这种情形?是监管环境的不同,业务形态的差异,亦或只是时机未到?为此我们走访了几位业内甲方CSO、行业专家和投资人,将他们的看法进行了摘录和整理。

甲方&专家观点

监管差异

  • 国外的合规是严格基于证据做检查的,证据数据还要上传监管,自动化合规主要是自动化的把安全措施数据和合规条款对应,自证措施有效,能省不少人力;

  • 国内要看监管机制的发展,还得看监管对合规证据链数据的重视度。合规证据链必定是在监管这里验证过的,也就是说监管认的。

需求现状

  • GRC平台其实最终都还是需要的,虽然不一定是给安全团队用;

  • 企业内部更大的动力来自于各种检查填报,还有就是领导要看总体的情况;

  • 数据交易公司的数据合规,基本上会安在业务风控来做。

当前做法

  • 钱不够做不好。钱够可以四大咨询+工具落地,没钱可以用Jira和Confluence之类的知识库来做风险跟踪;

  • 国外SIEM有合规模块,可以把安全措施的数据和合规条款对应的,但国内没人买;

  • 最终可能还是要自建。比如数据安全治理平台在金融,政府,国央企是要求的,但基本属于项目型,无标准化可能;

  • 方法是把合规条款对应到checklist,能自动化的就和数据对应,没法自动化的就分解成任务下发下去,手动执行后反馈;

  • 这种项目容易失败,因为一开始会增加大家的工作成本,习惯期要很久,熬不过就废了。

资本观点

  • 这个团队是二次创业了,之前他们合作创立了Portfolium,这是一个社交网络平台,用于给毕业生通过展示自己做的项目来找工作。所以事实上这个团队并非网安或合规审计领域出身。或许是他们在运营Portfolium的时候体验到了通过合规审计的痛苦,所以才创立了Drata。因此,某种程度算是甲方创业。这确实也非常合理,因为这个领域的技术并不复杂,主要是得了解甲方的真正痛点;

  • 这次的投资方也很有意思,SVCI是由甲方CSO组成的一个天使投资组织。参与人都是硅谷各公司的CSO。他们愿意参与投资,更是说明Drata肯定是抓住了甲方CSO们在合规审计上的痛点,甲方认可这样的方案;

  • 当前网络安全行业中聚焦数据隐私合规的厂商,或SIEM/SOAR安全运营的厂商,大都具备技术储备,有延展的可能;具备相关合规知识储备和经验的咨询机构,也有可能结合RPA/低代码之类的工具,来快速落地实现;未来如果要同时自动化适配多个合规规范,达到Drata这种SaaS平台能力,对技术架构的挑战会非常高,长期更看好技术出身的企业。

南橘北枳,并不是每一个硅谷的业务模式都适合中国,国内厂商必须扎根于本土的业务场景,才能够做出有商业价值的创业产品,公司才能够高速成长。

我们会持续跟踪,并尝试邀请行业专家共同分析解读一些最新的硅谷科技动态,希望能够给网安从业者提供一些不同的视角,对国内科技创新有所启发与借鉴。

欢迎留言评论,共同探讨。

致谢

本文的整理过程中,得到了许多甲方CSO、行业专家和资本机构的反馈与建议,在此对李维春(安信证券)、张涛(上交所)、Xundi(腾讯)、陈颢明、周智坚(深信服)、许俊(繁星创投)以及其他几位神秘低调的朋友们的帮助,表示真诚的感谢。

相关链接

https://drata.com/blog/announcing-series-c

https://www.generalist.com/briefing/vanta

https://www.intercom.com/blog/podcasts/drata-adam-markowitz-on-cyber-security

https://www.svci.io

https://www.vanta.com/resources/vanta-announces-series-b

https://www.vanta.com/resources/vanta-partners-with-crowdstrike-to-improve-customer-security-and-compliance

https://twitter.com/RegScale/status/1597597330060226560

声明:本文来自安全营销喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。