来自Strategy of Security的一篇分析文章和YC的介绍,解读Y Combinator 2023年冬季孵化营中的九家网络安全、隐私和信任初创公司的机遇和挑战,希望能给你带来不同的创新思路。

Y Combinator 2023 年冬季批次的演示日于2023年4月5日至6日举行。值得注意的是,这是YC新任总裁兼CEO Garry Tan掌舵后的第一批。

在为期两天的活动中亮相的282家公司里,有9家网络安全、隐私和信任初创公司。在 YC当前的小批量孵化时代,这9家公司仍然是网络安全生态系统的健康代表。过去两年的批次包括大约12家网络安全公司。尽管最近业界趋势倾向于AI/ML公司,这一批就有60 家,但数字仍然保持弹性。

我们将在本文中对这9家网络安全、隐私和信任公司进行快速分析:

  • 0pass:用于组织员工的无密码身份验证平台。

  • Blyss:一个基于同态加密的以隐私为中心的数据仓库。

  • Credal: AI 应用程序的数据安全产品。

  • EdgeBit:一个专注于优先级排序的软件供应链安全平台。

  • Escape: GraphQL API 安全平台。

  • Intrinsic:为信任和安全团队服务的基于API的技术。

  • Infiscal:面向开发人员的开源机密管理器。

  • Matano:一个开源的云原生SIEM。

  • Nucleus:了解您的业务 (KYB) 合规性编排平台。

9家公司中只有一家(Escape)披露了Y Combinator以外的融资。这对于Y Combinator 孵化的公司来说有些不寻常,他们通常被认为是早期创业公司中的佼佼者。

这9家公司中的每家都可能在进行融资,但这与早期YC公司在演示日或之前宣布融资的趋势明显不同。我预计这批次的时间安排比公司本身更能反映整体融资环境——所有这些都达到或高于前几批次的质量水平。这是一种值得关注的趋势,因为其他处于早期阶段的公司可能面临类似(或更糟)的情况。

0pass

公司是做什么的?

0pass是面向公司员工的无密码身份验证平台。他们的无密码实现基于公钥基础设施 (PKI),并通过Windows Hello、TouchID、FaceID和Yubikeys实现身份验证。该平台还为最终用户提供了管理PKI注册、证书续订等整个生命周期的功能。

它们在网络安全生态系统中处于什么位置?

0pass 是众多在无密码和多因素身份验证市场竞争的早期公司之一。客户群是这个市场的一个重要细微差别。0pass 目前专注于员工的无密码身份验证,即公司的内部员工和第三方业务合作伙伴。他们的解决方案目前并不关注客户——一个完全不同的用户群,其用例和实施要求略有不同。

他们面临的挑战是什么?

从实施的角度来看,许多安全领导者避免为非技术用户部署基于硬件的身份验证解决方案,因为使用外部设备进行身份验证是不自然的。无密码身份验证的行为仍处于用户采用的早期阶段。人们On Board需要时间。

在宏观层面上,无密码身份验证是一个竞争异常激烈的市场,从早期公司到苹果、谷歌和微软等科技巨头,都有众多公司在竞争。许多初创公司资金充足——例如,Transmit Security的5.43亿美元A轮融资是网络安全历史上最大的A轮投资。

为什么这会是一家大公司?

无密码身份验证是网络安全领域最重要的范式转变之一。这是代际交替——我们不会在职业生涯中看到很多这样的情况。

Gartner的一份研究报告预测,到2023年,30%的组织将至少使用一种形式的无密码身份验证,这……仍然不是很多。但是,在庞大的市场中,这仍然是一个积极的上升趋势。正如我在深入探讨1Password时所写,我们仍处于无密码采用的早期阶段。市场上有足够的空间让更多的公司获得成功。

Yubico是一家帮助开创了基于硬件的身份验证 (Yubikeys) 的后期初创公司,它刚刚宣布将通过 SPAC上市,并披露了令人印象深刻的增长指标。他们的公告可能是迄今为止公开的关于纯无密码公司的最佳财务数据。Yubico强劲的收入、增长和即将上市都是该市场早期公司的积极信号。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

Blyss

公司是做什么的?

Blyss正在使用同态加密构建一个以隐私为中心的数据仓库。他们的公司描述非常清楚地解释了这意味着什么:发送到 Blyss 的数据是永久密封的;一旦进入,就永远不会被解密。所有分析都直接在加密数据上进行。受监管的企业可以使用Blyss从敏感数据中释放价值,而不会冒泄露的风险。

它们在网络安全生态系统中处于什么位置?

我会粗略地将 Blyss 归类为一家数据去识别化和假名公司。然而,他们可能会创建一个新的产品类别,该类别是安全和数据仓库的混合体。

Blyss 是一个以安全和隐私(同态加密)为核心的非安全产品(数据仓库)的迷人实例。换句话说,由于安全和隐私优势,该产品不同于其他类型的数据仓库。

他们面临的挑战是什么?

在阅读 Blyss 之前,您对同态加密了解多少?可能不多——包括我自己。

这就是挑战所在:以隐私为中心的数据存储这个伟大的想法对大多数人来说仍然很新。意识是我们仍在努力解决的问题,尽管开发人员拥抱安全的趋势正在迅速加速。尽管同态加密是面部识别、语音辅助和智能合约等难题的合法解决方案,但存在成为“需要寻找问题的解决方案(需要找钉子的锤子)”情况的风险。

从实施的角度来看,采用全新的数据仓库(无论是否关注隐私)对于已经拥有一个或多个数据仓库的公司来说都是一项挑战。许多公司没有从头开始的奢侈,因此数据迁移是一个巨大的障碍。

为什么这会是一家大公司?

广泛采用以安全和隐私为中心的数据仓库将是网络安全的巨大胜利。有多种不同的方法可以为数据存储带来安全和隐私,同态加密是最有前途的方法之一。

该技术非常新,几乎没有直接竞争。Zama是另一家公司在开源同态加密工具方面取得进展的例子。这是一个非常新兴的市场,这意味着Blyss有足够的空间确立自己作为明确领导者的地位。

从更大的角度来看,Blyss正在推进以前不可能实现的技术,并使其成为工程师可以广泛使用和商业化的技术。该产品是数据安全和隐私方面的巨大进步,这意味着它有机会成为一家大公司。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

Credal

公司是做什么的?

Credal保护与AI应用程序一起使用的敏感数据,包括ChatGPT等大型语言模型 (LLM) 的主要提供商。该产品提供对公司数据使用的企业级控制,包括用于数据泄露、日志记录、代理和主服务协议 (MSA) 的类似DLP的工具。

它们在网络安全生态系统中处于什么位置?

Credal大致属于数据丢失/泄漏预防类别,尽管它有一个非常专业的用例,可以很容易地被视为一个独立的部分。人工智能安全正开始将自己确立为网络安全领域的一个全新(并且可能是巨大的)市场。

他们面临的挑战是什么?

LLM的安全性还不是许多公司关注的问题。采用速度较慢的组织可能尚未测试或采用 LLM。或者,如果他们有,他们仍在确定对他们公司的影响可能是什么。即使最近 ChatGPT很受欢迎,公平地说,LLM的安全性仍然几乎闻所未闻。

从长远来看,问题在于AI和LLM应用程序的数据安全是一个独立的类别还是已建立的企业数据安全平台的一部分。像Credal这样的产品可能是一个有价值的收购目标——这不是一个挑战,而是一个可能阻止他们作为独立公司进入后期增长阶段的因素。

为什么这会是一家大公司?

您可能听说过 ChatGPT……到 2023年基本上在互联网上无处不在。Paul Virilio的一句精彩名言在这里很有用:“当你发明船时,你就发明了沉船。”在这种情况下,像ChatGPT这样的LLM就是这艘船,而安全和隐私就是沉船。

多种安全问题已经发生——包括公司将敏感数据泄露给ChatGPT,以及ChatGPT本身在用户之间泄露数据。LLM 本身和构建在它们之上的应用程序的爆炸式增长肯定会带来更多的安全和隐私问题。

LLM和ChatGPT是本周RSA大会上的一个重要话题。Rak Garg在LinkedIn上分享了一个很好的总结:每个人都知道员工无意中将数据泄露给ChatGPT的风险,并且在网络层阻止域之外没有很好的解决方案。

大多数公司,尤其是总部位于美国的公司,不太可能重蹈意大利的覆辙,全面禁止LLM。上行利好空间过高,即使存在潜在的灾难性下行风险。

对于安全团队而言,这意味着要找到让员工安全地与AI应用程序和LLM交互的方法。云安全联盟最近发布了对ChatGPT安全影响的分析——这是一个很好的起点,但还不是一个完整的解决方案。如果Credal成为需要保护员工使用的AI应用程序的公司的解决方案,它将成为一家大公司。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

EdgeBit

公司是做什么的?

EdgeBit动态监控、分析软件供应链漏洞并确定其优先级。该产品采用独特的新方法通过了解您的环境中正在执行的代码来确定优先级。结果是相关漏洞的实时清单……而不是您不确定是否需要担心的漏洞清单。

它们在网络安全生态系统中处于什么位置?

EdgeBit是一家软件供应链安全公司。尽管他们的区别在于优先级排序,但他们的产品足够全面,可以与该市场上的其他供应链安全公司竞争。

他们面临的挑战是什么?

从狭隘地关注供应链漏洞的优先级开始,这正是EdgeBit作为一家早期公司需要做的。然而,这既是挑战,也是机遇。

赢得优先排序可能会成为进入更广泛的供应链安全和漏洞管理市场的楔子,或者可能使它们成为珍贵的收购目标。收购固然很好,但过于擅长确定优先顺序可能会吸引渴望收购有前途的早期公司的战略收购方的眼球。

竞争也是一个挑战,许多顶级早期公司(和投资者)都专注于供应链安全。没有开始优先考虑供应链漏洞的公司最终将获得这些功能。EdgeBit是否有足够的时间在竞争对手赶上之前确立自己的地位?

为什么这会是一家大公司?

在整个漏洞管理 (VM)市场中存在漏洞优先级排序的明显趋势。Qualys、Rapid7和Tenable等大型漏洞管理公司在最近的年度收益公告中广泛讨论了漏洞优先级排序。漏洞管理疲劳是当今安全从业者最知名的挑战(和抱怨)之一。

具有讽刺意味的是,如果我们不得不从头开始重新构建VM,那么确定漏洞的优先级将是首先要构建的功能之一。供应链安全可能是我们最接近重来的事情。如果EdgeBit的实时优先排序方法胜出,他们将成为一家大公司。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

Escape

公司是做什么的?

Escape帮助工程和安全团队发现并修复 GraphQL API中的漏洞。该产品是一个在CI/CD流水线中运行的安全测试工具,而不是在测试或生产环境中部署后运行的扫描工具。

神奇之处在于一种称为反馈驱动的API探索的新测试方法,它逐渐从API响应中学习并随着时间的推移生成越来越相关的测试。

它们在网络安全生态系统中处于什么位置?

Escape是一家API安全公司,专注于GraphQL风格的API。

他们面临的挑战是什么?

与这批YC中的其他几家网络安全公司一样,Escape的挑战(和机遇)集中在不断增长的市场中相对狭窄的部分——在这种情况下,API安全中的GraphQL安全。整个API安全市场竞争激烈,包括独角兽Noname Security和Salt Security。

除了API安全之外,Snyk和Veracode等应用安全平台分别筹集了大量风险资本和私募股权融资。Escape已经是Snyk技术联盟计划的早期成员。他们带来的价值无疑已经引起了 Snyk和其他人的注意。他们对GraphQL和创新测试方法的关注可能使他们成为早期收购目标。

为什么这会是一家大公司?

我们仍处于传统REST API的API安全的早期阶段。GraphQL本身的采用正在迅速增加,安全性迫切需要跟上。Escape在YC发布会上分享的两个统计数据有助于说明这一点:GraphQL现在被20%的开发人员使用,95%的GraphQL API存在未修复的安全漏洞。

这些都是惊人的数字,即使它们只是方向正确。GraphQL正在成为API的主导架构。一个更重要的发展是API-first公司的兴起。根据纪源资本研究,API-first的公司已经筹集了超过140亿美元的资金,包括Stripe、Plaid、Segment等。

Escape凭借其团队、技术和Y Combinator的支持,有望成为GraphQL安全领域的领导者。如果他们能够驾驭GraphQL增长的浪潮并成为安全的首选平台,他们将成为一家大公司。

他们的投资者是谁?

根据PitchBook的数据,Escape在两轮早期融资中总共筹集了850,000美元。除了Y Combinator之外,投资者还包括Irregular Expressions、Frst Capital和少数个人天使投资人。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

Intrinsic

公司是做什么的?

Intrinsic通过统一的API为信任和安全团队提供工具。工具示例包括图像和文本扫描、内容策略定义、评分和分析。

它们在网络安全生态系统中处于什么位置?

Intrinsic是对不断增长的信任与安全市场的一个受欢迎的补充,该市场为在线平台构建工作流程和工具,以降低用户之间欺诈、伤害和滥用的风险。

他们面临的挑战是什么?

Intrinsic分享了我在报道Cinder时写到的许多挑战,Cinder是来自2022年冬季Y Combinator的一家公司,:寻找具有适当牵引力和规模的客户以要求更高级的信任和安全操作可能很棘手。拥有种子资金或更早资金的小公司通常仍在寻求牵引力。这并没有给关注增长之外的问题留下太多空间——信任和安全就是这样的问题之一。这个空间也有很多变化。信任和安全威胁和问题因公司和行业而异,解决它们的过程也不同。正是出于这个原因,Cinder提供了可定制的工作流程,但管理多样性是一个潜在的困难产品管理挑战。

Intrinsic更侧重于工具而不是工作流,它提供了一组基础技术,供在信任和安全团队中工作的工程师使用,将功能直接集成到产品中。这需要更高水平的流程成熟度和技术成熟度,以换取使用世界级信任和安全原语定制和增强产品的灵活性。

为什么这会是一家大公司?

正如我与Cinder讨论的那样,信任和安全团队解决的问题是巨大的社会问题:滥用内容、欺诈和威胁的问题是一个新生的问题,只存在于大型社交媒体公司的世界中。或者我们是这么想的。我们现在已经进入了一个错误信息、滥用和彻底的信息战的时代,这些信息战导致了大量的社会问题,并将关于信任和安全的讨论提升到公众关注的焦点。

对于像Intrinsic这样的公司来说,看似狭窄的信任和安全团队目标市场是骗人的。用户生成的内容 (UGC) 是互联网最深刻的突破之一。我们想到的最常见的UGC例子是社交媒体和YouTube——然而,UGC的影响几乎遍及科技和社会的每一个垂直领域,包括在线游戏、电子竞技、旅游、商业等等。

最近发表在《Journal of Advertising》上的一项学术研究衡量了UGC和传统媒体在客户获取和保留方面的有效性,得出的结论是UGC在获取客户方面更有效。像这样的研究是我们作为科技行业人士直观理解的众多信号之一:UGC非常重要,但如果被滥用则很危险。

现在,网上错误信息和滥用的危险已广为人知。随着社交媒体监管的可能性越来越大,以及对彻底禁止TikTok等平台的支持越来越多,很明显,我们即将进入互联网内容管理的新阶段。如果Intrinsic能够将自己确立为信任和安全的基础平台,它就可以成为下一阶段不可避免的最重要的公司之一。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

Infiscal

公司是做什么的?

Infiscal是一个用于管理开发人员Secrets的开源平台。“Secrets”包括特定的凭据子集,例如API密钥、服务帐户密码、证书等。该产品包括几个以开发人员为中心的功能,例如注入本地开发环境、跨团队同步、Secrets轮换、版本控制等。

它们在网络安全生态系统中处于什么位置?

Infiscal 是一个Secrets管理平台,是整个特权访问管理 (PAM)市场的一个子集。

他们面临的挑战是什么?

作为PAM中的一个主要品类,Secrets管理是网络安全中相对成熟的产品品类,具有强大的市场领导地位。

CyberArk是一家业绩优异的上市公司,他们的Conjur产品已成功地成为企业客户核心 PAM产品的附加组件。HashiCorp于2021年底首次IPO,开源Secrets管理器Vault是该公司的核心产品之一。后期创业公司1Password也凭借其Secrets Automation产品进入了这个市场。

除了传统竞争对手之外,Secrets管理正在成为GitHub和GitLab等代码存储库以及 AWS、Azure和谷歌云平台 (GCP) 等云平台的原生功能。

尽管在这个市场上竞争的老牌公司数量众多,但Secrets管理问题远未解决。现在宣布已经赢得这个市场还为时过早,这可能会给Infiscal留下机会之窗。

为什么这会是一家大公司?

每当网络安全公司通过自下而上的采用和赢得开发人员的发展而取得成功时,您都需要注意。Infiscal的开源存储库在GitHub上已经有5,743个启动项和64个贡献者。他们在YC的发布中还声明了在他们的私人Slack中的220多名社区成员。对于一家非常年轻的公司来说,这些数字令人印象深刻。

工程团队对Secrets管理的采用和成熟仍处于相对早期的阶段。关于该主题的1Password 报告包括各种有趣的统计数据。我在之前关于开发人员安全的文章中写过关于Secrets管理的内容:在2021年的 1Password调查中,80%的IT/DevOps组织承认没有很好地管理他们的Secrets。那是……不太好。这也是一个比您想象的更普遍的问题。在同一项调查中,65%的公司表示拥有超过500个Secrets,18%的公司拥有数不清的Secrets。

坚持不懈地专注于让开发人员更容易安全地使用和管理Secrets的产品将成为最热门的产品。与HashiCorp一样,Infiscal需要不断赢得开发人员的支持。他们的开源模型使工程团队可以轻松采用该产品并最终升级到付费计划。开发人员是一个困难但有价值的受众。如果Infiscal能够继续保持他们在开发人员中已经获得的牵引力,他们将成为一家大公司。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

Manato

公司是做什么的?

Matano 正在构建一个开源、云优先的安全信息和事件管理 (SIEM) 平台。该产品从SaaS、网络、端点等来源获取安全日志数据,并允许公司在聚合数据之上分析和构建检测规则。

它们在网络安全生态系统中处于什么位置?

Matano是一个开源安全信息和事件管理 (SIEM)平台。

他们面临的挑战是什么?

与Splunk等公司一起构建SIEM产品是违反直觉的,Splunk是一家上市公司,其最近一个财政年度的收入为36.5亿美元;Google Cloud通过收购Siemplify进入市场;Sumo Logic,一个最近被Francisco Partners收入麾下的公司;Panther,最有前途的网络安全独角兽之一,等等。

除了直接竞争之外,由于Palo Alto Networks、CrowdStrike、SentinelOne等XDR平台的兴起,SIEM市场的未来面临着更大的问题。在SIEM、XDR和这些市场中超强大的公司附近的任何地方竞争都具有挑战性。

为什么这会是一家大公司?

Panther的创始人兼首席执行官Jack Naglieri描述了他作为一名工程师在Airbnb内部构建自定义云原生SIEM的经历。他还在the Business of Cyber中的一期中讨论了安全团队构建自己的SIEM的诱惑(和陷阱) 。他的评论构成了Matano试图解决的问题的相关背景。TL;DR:一些公司坚持构建自己的SIEM,他们不应该这样做。

Matano的关键市场洞察力恰恰是:许多公司仍然希望构建自己的SIEM(或用于安全日志分析的SIEM等效平台)。这部分市场比听起来要大,尤其是随着安全工程的兴起和大量诞生于云端的技术公司。如果Matano能够吸引这个细分市场的人们,将其作为比从头构建 SIEM更好的选择,那么它可以成为一家大公司。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

Nucleus

公司是做什么的?

Nucleus是一种用于了解您的业务 (KYB) 合规性的编排服务——美国联邦政府要求银行、金融科技公司、证券经纪商和其他金融机构等机构验证企业客户的身份并降低欺诈和洗钱风险。

该产品在概念上类似于AiPrise,AiPrise是2022年夏季批次的YC公司,专注于了解你的客户 (KYC) 合规性的编排——这是针对个人的类似规定。我在介绍AiPrise时解释的一个细微差别也适用于Nucleus:“集成和编排”部分是一个重要的区别——它不进行验证。已经有很多好的产品可以做到这一点。但问题是如何管理身份验证提供者——一个相邻但棘手的挑战。

如果您不花太多时间处理金融法规,该产品的作用可能听起来很复杂。如果是这样的话,产品的快速演示胜过空谈。

它们在网络安全生态系统中处于什么位置?

Nucleus通常适用于Identity Proofing,我之前指出了关于管理但不进行验证的细微差别。该产品侧重于验证企业的身份,而不是个人或为企业工作的员工。

他们面临的挑战是什么?

与AiPrise类似,Nucleus面临着在被认为是利基市场中竞争所带来的挑战:管理多个身份验证和KYC供应商有点小众。金融科技公司最常感受到这种痛苦。许多投资者会质疑问题空间和市场是否足够大以成为一家大公司。

不过,利基市场和像这样的特定问题是YC的生计所在。看似不起眼的问题往往比人们预期的要大。很好地解决一个利基问题也可以在更广泛的领域(在这种情况下为欺诈和交易安全)释放相邻的机会。

竞争也是一种挑战。例如,Middesk是该领域的B轮公司,得到了Accel、Sequoia、Insight Partners等顶级风险投资公司的支持。

为什么这会是一家大公司?

在成本节约成为重中之重的时期,公司将想方设法减少在必要但非核心活动(如合规性)上的支出。Nucleus表示,其产品可以将手动KYB操作时间减少60%。对于将大量资源投入KYB的金融机构来说,任何接近这一点的地方都可以节省大量资金。

用户体验也很重要。客户不希望在等待他们的业务得到验证时等待数天或数周才能开始。他们也不想回答毫无意义的合规性问题。如果Nucleus能够帮助金融机构在KYB合规方面节省资金并以有意义的方式改善客户体验,那么他们就可以成为一家大公司。

他们的投资者是谁?

根据PitchBook数据,Y Combinator的50万美元SAFE是迄今为止披露的唯一投资。

来源:斯元商业咨询「网安新兴赛道厂商速查指南 · Emerging Technology Vendor Index」

关于Strategy of Security

Strategy of Security分析网络安全的业务和战略。它的使命是为创始人、投资者和安全领袖提供全面和实用的观点,涵盖的主题包括:整个网络安全行业和生态系统的广泛趋势和事件;具体的网络安全公司和产品,从上市公司到初创公司;解释与该行业相关的基本战略原则的概念、理论和案例研究等。

关于作者

Cole Grolmus,研究撰写关于网络安全的商业和战略,为初创企业、投资者和科技公司提供网络安全战略项目的咨询,同时也是Momentum Cyber研究团队的高级顾问。

相关链接:

https://strategyofsecurity.com/y-combinators-winter-2023-cybersecurity-privacy-and-trust-startups/

https://www.ycombinator.com/blog/meet-the-yc-winter-2023-batch

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。