安全意识赛道的领导者

在美国网络安全圈有这么一家另类的独角兽公司,十余年仅专注于安全意识赛道,2019年估值已超过10亿美金,累计服务全球57,000多家不同行业的客户,帮助企业有效地解决“人”的安全风险问题,赋能企业员工做出正确的安全决策。该公司于2021年在纳斯达克成功上市,并在一年多后被私募巨头高价收购,市值一度高达69亿美金(约合450亿元人民币,截至2023年3月31日,国内网络安全上市公司市值超过400亿的仅有三家),每年收入数亿美元,正向年度经常性收入(ARR)10亿美元的里程碑迈进。

这家不可思议的公司叫KnowBe4, 英文发音“Know Before”,字面意思可理解为“先知先觉”,Logo下方还带有一行小标语“Human Error, Conquered”,即“人为错误,已攻克”。KnowBe4将自己定义为一家领先的安全软件公司,而不是一家传统意义上的安全培训公司。从其官网介绍来看,KnowBe4号称全球最大的安全意识培训及钓鱼模拟演练平台提供商,将“安全意识一哥”的品牌形象牢牢植入了潜在客户的心智。KnowBe4究竟是如何在安全意识领域这一利基市场探索和领跑,发展成为全球唯一一家安全意识上市公司的呢?接下来,让我们一探究竟。

创始团队:传奇合伙人

KnowBe4成立于2010年,总部位于美国佛罗里达州坦帕湾,目前在全球11个国家和地区设有分支机构,员工人数最多时达1800人。公司创始人、董事长兼CEO叫Stu Sjouwerman,在IT行业有30多年的从业经验,为人一直比较低调,是一位连续创业者、数据安全专家、技术作家,同时担任《福布斯》杂志特约撰稿人及电子杂志Cyberheist News主编,拥有数十万读者粉丝。

2010年,在他的前一家创业公司被收购后,Stu拿出100万美元自有资金创立了一家安全意识培训公司KnowBe4。2011年一次偶然的机会,经一位共同的好友介绍认识了“世界头号黑客” Kevin Mitnick (他曾因高调的黑客行为,被美国当局判刑5年),Stu当即抛出橄榄枝,力邀Kevin加盟KnowBe4。考虑了一年多,Kevin于2012年正式成为公司平等合伙人,担任“首席黑客官(Chief Hacking Officer)”一职。作为一名安全技术传播者、社会工程学思想领袖、安全顾问与演说家,Kevin是Stu在安全意识创业成功之路上的一位不可或缺的超级事业伙伴,将其30多年的传奇黑客经验转化为面向普通人的经典安全意识培训课程,教育人们如何有效防范社会工程学攻击。Stu对Kevin的专业知识和业界地位赞赏有加,在财务方面也毫不吝惜。在一次公开演讲中,Stu曾说到:“我可以100%独享一块小松饼或拿一块大蛋糕的50%,我选择了后者,我将公司一半股份给了Kevin”。

Kevin Mitnick与Stu Sjouwerman

商业逻辑:以人为本

网络安全圈一直流传着关于“人的风险”的经典语句:“人是网络安全链条中最薄弱的一环”、 “网络安全中人的漏洞是最难修补的”、“人是组织最宝贵的资产,也是最不可控的安全风险”等等。另外,国外权威研究也支撑着这样的观点。“95%的网络安全事件追根溯源是人为因素造成的”(世界经济论坛),“90%的网络攻击始于一封钓鱼邮件”(波耐蒙研究所),“82%的数据泄露事件与人为错误有关”(Verizon《数据泄露调查报告》)。

据知名安全媒体CSO Online的一项调查,“企业平均部署了75款来自不同安全厂商的安全工具以期保障网络安全”。然而,任何企业,无论规模大小,无论买了多少安全产品,以”人“为目标的社会工程学攻击总是可以成功突破企业的安全防线。即便是当今全球市值最高的网络安全公司CrowdStrike,其安全解决方案在应对社工攻击方面也是束手无策。既然人是黑客攻击的最佳突破口,是最大的攻击面,反过来,人也可以成为黑客攻击最难啃的一块骨头。作为安全技术防御手段的有益补充,KnowBe4试图通过安全意识教育手段将最广大的员工群体的大脑武装起来,将“最薄弱的一环”打造为“最坚固的防线”,从而预防和阻止“以人为中心”的网络攻击,这是一种“尊重员工、赋能员工、依靠员工,将员工视为一道防线”的安全策略。从帮助企业提升员工安全意识,到改变员工风险行为,到打造组织网络安全文化,是KnowBe4赢得市场空间的底层逻辑。

商业模式:订阅模式( SaaS产品)

KnowBe4的主要营收来自于其SaaS网页版学习管理平台与钓鱼模拟平台的订阅费、续费与增购,根据银牌-金牌-白金-钻石套餐等级的不同与最终用户人数的不同,每年订阅的费用可能在200美元到6000美元之间,有较好的收入可预测性、盈利能力及更高的市场估值。KnowBe4实现了安全意识产品的标准化、上云化与订阅制,SaaS平台部署灵活,既可供缺少IT部门和学习平台与钓鱼平台的中小型企业使用,同时也可扩展到业务运营遍布世界各地、拥有数十万员工的大型集团企业。

自成立以来,KnowBe4一直聚焦于中小型企业客户群(定义为员工少于1000人的组织),因为中小企业越来越成为网络犯罪的攻击目标,它们比大企业更容易被渗透。安全意识产品SaaS化可以低成本地帮助中小企业和员工树立安全意识,这使得投资网络安全(购买安全意识服务)对于中小企业不再是一种奢侈品,而且很有效,直接针对解决80~90%的网络安全问题:人为错误。根据其公布的2022年Q4财报数据显示 ,KnowBe4服务的客户总数近57,000家,约七成客户在美国本土,包括政府、金融、保险、医疗、能源及信息技术与服务等强合规、强监管领域。从行业客户看,金融及IT是最大的细分市场。从客户结构看,大多数是(74%)是小型客户(<5千万美元),15%是中型客户(5千万美元-1亿美元),7%为大型客户(>1亿美元)。

财务数据:创下历史

KnowBe4在之前的五轮融资中惊人地筹集了3.935亿美元的资金,创造了安全意识赛道的融资纪录,投资者包括高盛、KKR、Elephant、Ten Eleven等。2019年6月,一轮3.09亿美元的私募股权融资为KnowBe4带来了10亿美元的估值。KnowBe4于2021年4月成功登陆纳斯达克,股票代码:KNBE,以16.00美元开盘,开盘当日股价上涨超过40%,股价短短三个月便翻倍,6月份股价最高摸到35.82美元。2022年10月私募巨头Vista equity Partners宣布计划以46亿美元全现金交易方式收购KnowBe4,后者于2023年2月完成私有化交割,从纳斯达克退市。

根据KnowBe4最新的财务报告,其2022年营业收入(TTM)为3.1亿美元。2021年为2.4亿美元,2020年1.7亿美元,2019年1.2亿美元,2018年7千万美元,KnowBe4客户的多样性确保了没有一个直接客户占年总收入的10%以上。

产品优势:内容为王

以超实惠的价格提供最全面、高质量的安全意识内容是KnowBe4奉行的经营理念,提升客户满意度与忠诚度是其运营核心。

凭借业内最大的全职内容开发与设计团队,再加上这些年不断收购的安全意识厂商、内容制作工作室,KnowBe4在安全意识教育内容方面一直保持着绝对的领先地位。KnowBe4拥有全球最大的安全意识教育资源库及钓鱼模拟演练邮件模板库。截至2023年3月份,其资源库提供超过1300多个原创的培训材料,素材类型包括图文海报、电子通讯、互动课件、动漫视频、真人短剧、测评测试、安全游戏等等,以不同的教育风格提供丰富的主题内容学习,包括一般性、随机性和有针对性的安全意识主题。且资源库每月不断更新,保持内容始终新鲜,支持40多种不同语言,不同级别的订阅客户可以访问不同的学习内容。其钓鱼演练平台提供超过20,000个邮件模板,模板根据识别难易程度、员工岗位角色、知名品牌仿造、按企业或行业定制等进行分类分级,目标是不断提升企业员工识别真实钓鱼邮件的能力,最大限度地减少钓鱼邮件的持续威胁。

技术特色:持续创新

作为产品战略和愿景的一部分,KnowBe4每个月都会更新一些小的新功能,每个季度至少发布一个主要的特性功能或增强功能,最近两年不断地探索将人工智能、机器学习与安全意识教育相结合。在KnowBe4众多的技术创新中,最具特色的两个安全意识产品是PhishER和SecurityCoach。

PhishER是一款轻量级的安全编排和自动化响应(SOAR)平台, 用于编排邮件威胁响应并管理员工上报的大量疑似恶意邮件。PhishER根据规则、标签和算法针对员工上报的邮件进行分组分类(分为三类:正常邮件、垃圾邮件、恶意邮件),在无需人工交互的情况下自动确定优先级排序,帮助企业安全团队消除邮件安全警告中的“信息噪音”,以便更快地应对最危险的邮件威胁。

SecurityCoach是一款行为风险检测与响应(HDR)平台,通过将安全意识平台与传统的安全技术平台集成,例如与端点保护平台(EPP)、邮件安全网关(ESG)、数据丢失防护(DLP)、上网行为管理(IBM)、威胁情报平台(TIP)等形成联动,数据共享,以“数据驱动”的方式来量化员工行为风险,并针对风险行为进行实时提醒和辅导,第一时间纠正和干预风险行为,从而显著提升安全意识培训的有效性,帮助企业安全团队进一步保护最大的攻击面——员工。

增长策略:跑马圈地

KnowBe4在安全意识细分市场继续着两位数,甚至接近三位数的增长,在保持强劲势头的背后离不开三个策略:即:渠道销售+国际扩张+兼并收购。据KnowBe4 2020年公布的一组数据显示,当年超过37%的收入来自其渠道合作伙伴(MSP, MSSP),即向其他公司销售KnowBe4系列产品的第三方。据KnowBe4首席财务官于2022年8月透露的信息,KnowBe4对渠道支持力度持续加码,推行更好的渠道合作伙伴计划,凭借渠道合作伙伴建立起强大的营销与分销能力,在增强客户粘性与拓展新客户的同时,在现有客户群中继续交叉销售和追加订阅。

国际扩张是KnowBe4的另一个主要策略。北美市场依然在全球网络安全意识市场中占据了最大份额,KnowBe4在其他市场早就有所布局,2021年上市后更是加快了出海的步伐,逐渐将一个美国本土品牌发展成为一个全球化品牌。

该公司在欧洲、中东地区、亚太区和南美洲11个国家和地区设有业务实体,通过本地销售队伍和渠道伙伴不断扩大新的客户群,通过内容翻译和内容定制进一步实现产品本地化,满足更多国际客户的本地化需求。从调研数据来看,亚太区无疑是遭受网络攻击最多的地区之一,或换个角度来说,亚太区是互联网用户安全意识最为薄弱、对社工攻击最缺乏“免疫力”的地区之一。KnowBe4十分重视亚太市场,分别在新加坡、澳大利亚、日本及印度设有分公司。

KnowBe4还设有专门的风险投资部门,在兼并收购方面也毫不手软,专注于投资和支持解决“人为因素”风险的安全公司。近几年完成了至少7笔收购,主要是兼并和收购安全意识内容制作商、安全意识综合厂商及安全意识创新公司以补齐短板或放大优势。比较典型的三笔收购是:2019年5月,通过收购CLTRe,在业务上补充了网络安全文化模块,2021年3月,通过收购MediaPRO,在内容上丰富了隐私保护与安全合规培训模块,2021年10月,斥资8000万美金收购了SecurityAdvisor,在技术上实现了员工风险行为检测与响应(HDR),在改变员工风险行为上迈出了一大步。

退市背后:变现为王,蓄势待发

业务蒸蒸日上的KnowBe4为什么在上市仅一年半后欣然接受私募巨头Vista equity Partners的私有化要约呢?这背后的真实原因不得而知。从公开信息来看,KnowBe4业务过去几年也受到了新冠疫情的连锁影响,美国本土市场存在一些渠道冲突,企业级市场客户群的定制化需求较多、销售周期更长,而中小企业市场客户群的增长和市场渗透率有所放缓。KnowBe4自称市场上的竞争对手有Proofpoint(曾收购安全意识公司Wombat)、Mimecast(曾收购安全意识公司Ataata),Cofense(私募收购PhishMe后更新品牌名)等安全厂商,但这些厂商并不是专注于解决人的风险问题,其竞争对手的安全意识产品往往与各自“以安全技术为中心”的解决方案捆绑在一起,且仅仅停留在提升员工安全意识层面,并不关注网络安全文化的打造。虽然市场上也有不少专注于安全意识的小公司,但还没有一家公司的规模发展到被KnowBe4视为实质性竞争对手的地步。

从二级市场表现数据来看,KnowBe4在2021年6月份股价一度触顶后有所回调,随后股票表现比较温和,一直徘徊在20美元左右。尽管该公司的长期前景令人信服,扩张潜力强劲,但市盈率曾高达170多倍。Vista每股24.90美元的报价比KnowBe4 IPO发行价高出44%,而且是以现金形式完成收购。在后疫情时代全球经济下行的趋势下,对于KnowBe4董事会来说,落袋为安不失为上策。另外一个非常值得关注的背景信息,Vista是一家领先的全球投资公司,管理的资产超过950亿美元,专注于企业软件、数据和技术赋能型企业领域的投资。在提出KnowBe4收购要约之前,已进行了一系列大手笔投资,包括今年1月份斥资165亿美元收购云服务公司思杰系统(Citrix Systems),以26亿美元收购保险SaaS软件公司Duck Creek。可以想象的是,Vista这一系列的操作背后在酝酿着下一盘更大的棋。正如KnowBe4创始人兼首席执行官Stu在新闻稿中指出:“在完成私有化后,我们将获得Vista提供的额外的资源和支持,这将帮助我们实现业务目标,并为客户提供更高的价值。”

人的问题:网络安全永恒的主题

网络安全已成为全球政府和企业普遍关心的一个焦点问题,网络安全建设需要在人、技术与流程之间保持动态平衡。最近几年,国际权威机构发布的网络安全趋势与预测报告中越来越多地强调 “人的因素“、 “以人为本”、“安全文化”的重要性。例如:世界经济论坛《2023全球网络安全展望》报告第3.3小节专题阐述了“打造网络安全文化“, Gartner《2022-2023年八大网络安全趋势预测》报告中提出:到2025年,70%的企业CEO将要求在组织内部建立更具弹性的安全文化,Gartner《2023年九大顶级网络安全趋势》中强调:“以人为本“的安全设计是安全与风险管理领导者的第一要务。

“以人为本”的安全,其核心是一种安全哲学和安全策略,即认识到“人”在网络安全中所扮演的关键角色。网络安全的本质是人与人的对抗,绝不仅仅是外部黑客与安全团队的较量。全体员工安全意识的提升是影响组织网络弹性的最积极因素,任何组织的网络安全能力,都是随着每一位员工对个人应发挥的重要角色与应承担的安全责任的理解,及应对网络风险的能力而增强。“以人为本”的安全,意味着给予“人为因素”风险管理更高的战略定位,给予足够的重视和资源支持,意味着在设计安全系统、制度与规范中充分考虑员工在工作岗位中的实际安全挑战和需求,给予员工更多的尊重、倾听、支持与同理心,而不是“只管杀不管埋“,只管堆产品而不考虑生产力阻碍,只管发布规章制度而不考虑落地困难。从应对外部攻击和内部威胁来看,安全技术发挥着重要的作用,但是随着安全技术投入的不断加大,黑客以技术为突破口的难度也越来越大。黑客攻击遵循”最小阻力原则“,绕开安全防御技术,以“人“为突破口发起社会工程学攻击通常是最有效的初始攻击手段。有鉴于“人为错误”往往是大多数网络攻击与数据泄露的根本原因或催化剂,且安全技术并不能100%解决所有内外部网络威胁,传统“以技术为中心”的安全策略需要向“以人为中心”的策略倾斜。不论是满足法律合规要求,还是降低整体安全风险,员工安全意识教育与组织安全文化建设是高质量企业网络安全管理的“必修课”,是更广泛的网络安全治理生态系统中不可或缺的组成部分。

KnowBe4退市,并不代表退出安全意识市场。此次收购是网络安全行业安全意识创业成功的经典案例,对专注于安全意识领域的创业公司来说是值得鼓舞的一件好事,对于KnowBe4来说开启了一个新的发展篇章。据市场研究机构 Global Market Estimates预测,到2027年全球网络安全意识培训市场规模将达到121.4亿美元,2022年-2027年预期年均复合增长率(CAGR)为45.6%。作为安全意识赛道的长期主义者,KnowBe4综合实力强、具有全球竞争力,相信其领导者地位短期不会动摇,并将在资金与资源双重加持下持续进化。期待KnowBe4未来在股市上 “王者归来”,为安全市场带来更多惊艳!

关于作者

谢超首,虎符智库特约作者,易念科技首席专家,CEAC网安意识工作组副组长。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。