近日,以色列云原生安全公司Wiz宣布,它仅用18个月就将ARR从100万美元提升到1亿美元,创造了最快纪录,再一次证明了自己超快的成长速度。成立不到3年,Wiz的估值已经达到60亿美元,吸引了Sequoia Capital、Insight Partners、Advent International、Blackstone Group、Salesforce等知名投资机构,以及LVMH集团主席Bernard Arnault、星巴克创始人Howard Schultz等个人投资者,是安全领域从建立到成为独角兽用时最短的企业。目前,Wiz已经服务了世界500强中的100家企业,保护着500万个云工作负载,每天扫描2300亿个文件。下面小编就带大家对屡创纪录的Wiz一探究竟。
公司简况
Wiz是2020年1月成立于以色列的云安全公司,工作地点包括加利福尼亚州的帕洛阿尔托、以色列的特拉维夫等。Wiz员工数量超过400人,大部分工程师在以色列,大部分销售和营销人员在北美和欧洲。
Wiz以CSPM(云安全态势管理)见长,能够为企业安全团队提供识别和消除各类云环境(跨云,跨容器、跨工作负载)安全风险的解决方案。Wiz的平台能够扫描客户跨云环境的漏洞、配置、网络和安全问题,根据漏洞和错误配置的严重程度,为客户提供有针对性的风险视图,帮助客户更好进行风险评估。
创始团队
四人创始团队Assaf Rappaport(CEO)、Ami Luttwak(CTO)、Yinon Costica(VP of Product)、Roy Reznik(VP R&D)长期密切合作。
团队成员早年在以色列情报部门8200部门工作。2011年,该团队共同创立了云安全初创公司Adallom,该公司提供SaaS安全解决方案,2015年被微软以3.2亿美元的价格收购,Adallom软件后来成为微软的一系列安全工具的一部分。2015年起,该团队领导微软Azure云安全团队及微软的以色列研发部门,带领微软Azure云安全团队实现15亿美元营业收入,服务了超过4万家开发者。
Assaf Rappaport(Wiz CEO)认为,Wiz团队具备三大优势:一是具备创业DNA,二是有建设Azure云安全的丰富经验,三是非常了解客户CISO面临的痛点。
云安全市场痛点
Assaf Rappaport表示:孤立的安全和扫描工具,即使非常先进,也已经无法提供安全团队所需要的视角。保护云上资源需要一种全新的方式,而Wiz为安全团队提供了这样的消除风险和业务创新的洞察力。
当Wiz的创始团队还在领导微软云安全小组时,他们就意识并体会到了现有云安全方案的不足。如今的云安全工具非常复杂和分散,并且生成了太多警报,导致安全团队无法及时高效处理。为了解决这些问题,Wiz在向数百名客户求证需求后,设计构建了一个全栈多云安全平台,使客户的安全团队可以在不使用代理的情况下跨计算类型和云服务扫描其环境,以查找漏洞和配置,网络和身份问题。
错误配置频发
Gartner认为,针对云服务的成功攻击绝大多都与客户错误配置、管理不善或错误操作关系密切。客户的业务环境处于混合、多云架构下是常态,76%的企业正在使用多个公有云平台(IaaS),并同时有本地部署的工作负载需要保护。高度自动化和用户自助的公有云服务突出了正确的云配置和合规性的重要性。
云可见性不足
云计算架构在任何时候都有数百个资源在运行,身份验证及权限管理变得越加复杂,而云计算的短暂性使得以完全可见的方式持续监控资源变得困难。数据可以在多云环境中驻留和移动,负载计算工作可能在几分钟甚至几秒钟内加速和减速。
侵入式部署方式
Gartner在2021年指出,使用基于代理的工具无法再有效地管理庞大的IaaS+PaaS工作负载。传统的安全设备/产品需要侵入式部署,这会导致交付周期拉长。业务、IT部门要评估方案影响;agent要灰度覆盖;为了适配各种老旧系统和甲方自己都理不清的架构,会有大量的定制开发和适配工作。
数据和报警过多
云上用户使用的安全服务可能有很多种,如果每一种安全服务都单独运维管理,将要求安全运维团队手工关联和追踪各类数据和报警,给日常安全运维带来极大的挑战。
Gartner关于CSPM的建议
投资创新的CSPM工具
通过针对已知用例持续评估当前功能,并评估保护无服务器和基于容器的工作负载免受不断演变的威胁的能力,来弥补战略工具方面的差距。
部署轻量级CSPM
通过部署轻量级CSPM技术来预防威胁,这些技术从工作负载外部提供只读、最低权限的自动化(使用无代理技术,例如API集成和日志监控)。
评估AI/ML的有效性
运行短期POC项目来衡量这些新工具功能的有效性,例如优先级、可操作的警报对开发周期时间和事件响应的影响。
安全左移
通过将智能安全工具与交付管道(例如IaC的扫描)相集成,以尽早识别风险并在部署前对不安全的工作负载发出警报,从而创建故障保险环境以促进开发人员创新。
Wiz云基础设施安全平台
Wiz的产品形态可以说完全切中了Gartner对CSPM产品的期待:
(1)Wiz使用多个API和日志数据源来解决庞大的多云资产问题,并通过分析传统的CSPM配置和工作负载数据(VM映像、容器映像和功能代码),识别整个公有云或非云部署中的潜在攻击维度。
(2)Wiz使用图形技术在云工作负载中创建多个场景关系,包括网络暴露、漏洞、密码、用户和机器身份及衍生物,从而能对IaaS+PaaS部署提供优化建议的预测性安全评估。
(3)Wiz还提供了一个预先构建的图形查询数据库,用于持续监控并快速生成安全洞察和证据,旨在缩短安全调查周期并减少修复时间。
(4)Wiz可以只读权限运行,从而限制攻击面和工具泄露的影响。
(5)Wiz有超过1400条云配置评估规则,在云环境(GCP、Azure、AWS、OCI、Alibaba、VMware)和IaC代码 (Terraform、CloudFormation、Azure ARM templates)实现了统一的策略配置。
全栈多云安全平台
当Wiz查找安全问题时,它将扫描“整个堆栈”,包括基础架构层(网络、身份、云配置),工作负载层(补丁程序级别、漏洞、秘密)和应用程序层(软件堆栈、数据库Web服务器等)。多层扫描使Wiz能够检测和分析复杂的场景,否则这些场景可能需要跨大量工具进行集成。
识别高风险攻击向量
Wiz平台会整合警报的上下文信息,并将此信息合并在一个可视性较强的图表(Wiz Security Graph),以便将相关问题关联在一起,从而识别出可能存在的渗透向量,帮助安全团队根据图表中的风险级别来进行高效合理修复,减少报警的噪音。
无代理覆盖所有资源
Wiz使用独特的Snapshot技术(100%API,API连接每个云),企业无需agent或sidecar代理即可在VM和容器中进行深入扫描,即使资源不在线,也可以分析所有工作负载,也因此有更快的实施周期,实现了“开箱即用”的可见性。
跨多云服务能力
Wiz可以连接到所有云环境,无论是AWS、Azure、GCP、阿里云之类的公有云,OpenShift之类的环境,还是托管容器服务和自己的Kubernetes集群。
便捷的修复流程
内置修复指南帮助确定性地定位安全问题,可以选择自动修复错误配置。Wiz还集成了工作流和服务票据解决方案,比如Jira和ServiceNow,可以直接从Wiz创建票据,也可以创建自动化程序,将关键通知警报发送到Slack等消息应用程序或电子邮箱。
市场规模
疫情期间的远程办公需求加速了云服务的使用,激发了云安全需求。Gartner的2022年CIO技术执行官问卷调查结果显示:2022年有52%的企业会增加云投入,相对来说有32%的企业会减少传统基础架构和数据中心的投入。
整体云安全市场规模
根据Gartner的预测,云管理和安全市场2021年的市场规模为180亿美元。根据Statista的预测,云安全市场2021年的市场规模为104亿美元。而根据MRA的预测,云安全市场规模将以24.4%的年复合增长率,从2022年的139亿美元增长至2032年的1233亿美元。
CSPM市场规模
根据Markets and Markets的预测,CSPM市场规模将从2022年的42亿美元增长到2027年的86亿美元,年复合增长率达到15.3%。
CWPP市场规模
Gartner报告指出,美国CWPP市场规模将从16.99亿美元增长至2023年的24.4亿美元,年复合增长率达18.8%。
市场竞争
主要竞争对手
Wiz在云安全市场的竞争对手包括:
(1)Palo Alto Networks(Prisma Cloud)、Check Point(CloudGuard Network Security)等综合型安全公司;
(2)Orca Security(Orca Security,估值18亿美元,2019年成立)、Lacework(Polygraph Data Platform,估值83亿美元,2015年成立)、Aqua(Aqua Platform,估值10亿美元以上,2015年成立)等同为独角兽的云安全创新公司;
(3)Amazon(AWS Cloud Security)、Microsoft(Microsoft Defender for Cloud)等云服务提供商。
Wiz的CEO称,Wiz赢下了90%的竞争性投标。例如,Wiz赢得了某家全球最大公司(Fortune 5)的订单,该客户原来在使用Palo Alto Networks的Prisma Cloud,但2年内只完成了10%-15%代理的部署,而Wiz仅花了4周时间就达到了100%覆盖。
产品评价
在Gartner Peer Insights、G2、SourceForge等网站上,Wiz均获得了最高的评分,但评价数较少。除Wiz外,Orca评分较高,Lacework评分近期有所降低;而Palo Alto和Check Point收到较多负面评价,包括一些权威人士的负面评价。
不少客户认为,Wiz是目前市面上最好的CSPM产品,被普遍提到的优点包括:更准确和细节的云可视化,极快的部署速度,以及对Severless的支持。被普遍提到的不足包括:Wiz Security Graph的使用需要时间适应,配置不方便复制,以及存在误报。
运营情况
营业收入
根据消息源,Wiz在2020年、2021年的营业收入分别为200万美元和2500万美元,2022年的营业收入预计2亿美元左右。2022年8月,Wiz宣布ARR超过1亿美元,Assaf Rappaport当时表示,公司的营业收入仍在以三位数的速度增长。
标杆客户
Wiz已服务了20%的财富500强公司、30%的财富100强公司。
官网提到的客户包括:Bridgewater,Mars,Fox,Yotpo,Blackstone,Aon,Salesforce,Slack,UiPath,DocuSign,PerkinElmer,The Home Depot,Morgan Stanley,Priceline,BMW,LVMH等。
销售模式
Wiz不提供免费试用和免费版,采用SaaS订阅制收费模式。前期信息显示,Wiz对1000个以内同时发生的工作负载,收费为30000美元/月。为了更好地了解客户,Wiz前期主要采用直销模式。安全服务提供商或者咨询师已开始使用Wiz的技术,经销商也开始将Wiz集成到产品中。
融资历程
Wiz已累计融资6亿美元,最新估值60亿美元(2021年10月)。具体融资历程如下:
种子轮
2020年2月,融资金额2100万美元,投资人为Sequoia Capital和CyberStarts。
A轮
2020年12月,融资金额1亿美元,领投方为Sequoia Capital, Insight Partners和Cyberstarts,跟投方包括Index Ventures、Nadir Izrael(Armis创始人、CTO)和Yevgeny Dibrov(Armis创始人、CEO),投后估值5亿美元。
B1轮
2021年3月,融资金额1.3亿美元,领投方为Advent International,跟投方为Insight Partners、Greenoaks Capital Partners、Sequoia Capital、CyberStarts和Index Ventures,投后估值17亿美元;
B2轮
2021年5月,融资金额1.2亿美元,领投方为Salesforce Ventures、The Blackstone Group和Cerca Partners,跟投方包括Advent International、Aglaé Ventures、Howard Schultz(星巴克创始人)和Bernard Arnault(LVMH集团主席)。
C轮
2021年10月,融资金额2.5亿美元,领投方为Greenoaks Capital和Insight Partners,跟投方包括Toba Capital以及6家现有股东,估值60亿美元。
对外投资
2022年4月,Wiz参与了对以色列数据安全厂商Sentra的种子轮投资(合计2300万美元),投资人还包括Snyk、Axonius、Torq、Talon等安全厂商和Bessemer Venture Partners等投资机构。Sentra能够实时、全面地向企业提供公有云环境上的敏感业务数据可见性。
未来发展
技术方面,公司下一步将加强安全左移(如IaC扫描)和漏洞修复的能力,并会考虑并购具备优秀团队、先进和技术市场吸引力的标的。
经营方面,虽然公司有足够的现金储备,也不会赔本赚吆喝 (花40块钱带来20块钱的合同),但仍需要努力降低销售和市场成本在整个SaaS营业收入中的占比。
过去3年的云原生安全之路,Wiz走得不可谓不精彩。未来的Wiz还会创造怎样的故事,让我们拭目以待。
编辑:范云辰
作者:张子扬
参考资料
https://www.wiz.io/
https://mp.weixin.qq.com/s/AnL3rXMV7n_PtsONV3NOxw
https://mp.weixin.qq.com/s/Mv1i6uJMjXW2Fyaifn8whg
https://mp.weixin.qq.com/s/cxC0Fd5VkgveQpvteteuLA
https://www.crn.com/news/security/wiz-raises-250m-on-6b-valuation-to-support-more-clouds
https://36kr.com/p/1982830003176457
https://www.cbinsights.com/company/wiz/financials
https://www.forbes.com/sites/petercohan/2021/10/30/outpacing-palo-alto-networks-wizs-valuation-soars-11000-in-10-months/?sh=25fa0ec763d2
https://www.crunchbase.com/organization/wiz-inc
https://sourceforge.net/software/compare/Lacework-vs-Orca-Security-vs-Prisma-Cloud-vs-Wiz/
https://www.g2.com/products/wiz-wiz/reviews#survey-response-6546408
https://www.gartner.com/reviews/market/cloud-workload-protection-platforms/vendor/wiz/product/wiz
https://www.gartner.com/reviews/market/cloud-workload-protection-platforms/vendor/wiz/product/wiz/alternatives
https://superior-solution.com/surpassing-palo-alto-networks-wiz-valuation-soars-11000-in-10-months/
https://www.nsfocus.com.cn/html/2021/21_0513/943.html
https://stor-age.zhiding.cn/stor-age/2022/0418/3139998.shtml
https://www.secrss.com/articles/33490
https://superior-solution.com/surpassing-palo-alto-networks-wiz-valuation-soars-11000-in-10-months/
https://www.statista.com/statistics/1266461/tam-cloud-security-spend-global/
https://www.youtube.com/watch?v=jNo07Kedce4
https://www.youtube.com/watch?v=HNRKY9NaqEI
免责声明
*本公众号仅作为学习和研究使用,不构成对任何人的投资和建议,您直接或间接基于本公众号内容做出的投资应自行承担风险,航行资本及作者不对此承担任何责任。
*以上信息均为航行资本基于网络公开信息渠道整理,航行资本不为以上信息的真实性、准确性做任何保证。
*本公众号上所转载或引用内容均标注来源及出处,仅代表原作者本人,不代表航行资本立场。转载或引用内容的版权归原作者所有。如涉嫌侵权,请及时联系我们,我们将及时更正或删除有关内容。
*如需转载本深度调研,或对以往调研内容感兴趣,请联系:zhihouchen@voyagers-partners.com。
声明:本文来自航行资本,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。