最近,身份安全领先供应商CyberArk发布了一份新闻稿,称他们已经达成了收购Venafi的最终协议。Venafi的作用是成为机器身份的控制平面——本质上是采用证书管理公钥基础设施的方法,并将其应用于机器身份和服务的特殊性。根据LinkedIn的数据,他们已经获得了约1.7亿美元的资金,拥有约440名员工。私人股本公司Thoma Bravo持有它们的多数股权,最近还收购了ForgeRock和Ping Identity。

这意味着什么呢?CyberArk发布的投资者关系文件包含了更多关于这笔交易的细节和背后的战略愿景。

身份安全公司CyberArk (NASDAQ: CYBR)今天宣布,已签署最终协议,从Thoma Bravo手中收购机器身份管理领域的领导者Venafi。此次收购将把Venafi一流的机器身份管理能力与CyberArk领先的身份安全能力结合起来,为企业规模的端到端机器身份安全建立一个统一的平台。”

首先,如何定义身份安全?最近的一项民意调查得出了一个相当明确的答案——但最终我们讨论的是涵盖身份生命周期所有部分的检测和保护能力的一系列功能——从登录、目录存储到身份验证和授权。

上图中的ISPM,ITDR可参阅笔者历史发文,如下。

身份安全态势管理的一切指南

所以这真的是CyberArk在玩的吗?传统上,它们是中型到大型企业非常成功的特权访问管理(PAM),具有密码保管、会话监控等一系列功能。然而,在过去的8年里,CyberArk已经收购了7家其他供应商——最著名的是Idaptive和Conjur。

这就是对Venafi的计划吗?

“数字化转型和持续的云迁移导致机器身份的数量呈指数级增长,例如工作负载、代码、应用程序、物联网设备和容器。机器的数量正迅速超过人类的增长速度,每40个机器身份对应一个人类身份。如果不加以保护,它们就成了网络罪犯赚钱的猎场。这些机器身份需要被发现、管理、保护和自动化,以保持它们的连接和通信安全。更短的证书生命周期(从398天到90天)使得这变得更加复杂,并且需要做好量子准备。”

因此,随着多云环境和服务、API和容器使用量的增加,我们看到了管理软件身份的需求——或者其他供应商试图描述的非人类身份和工作负载。

大量的机器身份问题引起了许多安全部门的注意——不仅是因为数量和生产问题,还因为泄露后的分析报告指出身份基础设施是进入公司资产的根本原因。

这些机器身份的管理通常会使用我们已经熟悉的术语——比如身份验证、凭证管理、轮换、重置等等。然而,机器身份管理在功能上与基于人的身份管理有很大不同。所有权、运营管理、预算、成功指标等等都是非常不同的——在机器世界中,权威来源等简单概念不一定得到很好的发展。

Venafi的故事主要围绕颁发证书作为一种手段,通过拥有加密资产来安全认证这些实体。这反过来又需要一个相当复杂的发行、验证和轮换功能的后台。

从更务实的角度来看,这次收购实际上给了CyberArk更多的潜在收入。

“作为PKI和证书管理领域的创新领导者,在现代云环境中拥有强大的影响力,Venafi提供的互补解决方案将CyberArk的总可寻址市场(TAM)扩大了近100亿美元,达到约600亿美元。”

所以,这就是我们要开始行动的地方。CyberArk正着眼于解决100亿美元的总资产管理规模——这个市场正因新增加的网络数量而变得有趣。

从证书管理的角度来看,历史上的竞争对手包括Sectigo和AppViewX。

然而,在新兴的NHI和工作负载市场上,Aembit、Astrix Security、Corsha、Natoma、Oasis Security、SPIRL和TrustFour等公司都在这一领域提供了一些服务。2024年RSAC 创新沙盒冠军之争,Aembit虽然惜败,但是从侧面可说明这个领域关注度不低。

Aembit 联合创始人 David Goldschlag(左)和 Kevin Sapp(右)。图片来源: Aembit

Aembit 的使命与 API 网关和安全服务不同。这些服务位于 API 前面,帮助开发人员构建这些服务并将其安全地公开给内部和第三方开发人员。但Aembit的重点是访问API的客户端,并确保该客户端有权访问它。他将其比作当今的身份管理系统如何帮助企业对其用户进行授权。例如,当用户使用 Okta 登录 Microsoft 365 时,该用户与 Okta 交互,然后获取访问该服务的凭据。

为了实现这一切,Aembit 还必须成为记录系统,不仅记录所有这些工作负载身份,还记录工作负载本身(如今,这些工作负载通常是短暂的,这使得这个问题变得更加困难)。

“CyberArk计划以约15.4亿美元的企业价值收购Venafi,包括现金和CyberArk股票(约10亿美元现金和约5.4亿美元股票)。CyberArk和Venafi的董事会均已批准该交易。”

因此,15亿美元的成本并不是微不足道的——但一个巨大且不断增长的问题空间可能证明了这个价格是合理的。

关于Venafi已经拥有的现有市场地位,新闻稿指出:

  • Venafi预计将增加约1.5亿美元的年度经常性收入(ARR)。

  • Venafi带来了强大的商业模式,95%的经常性收入,包括SaaS和基于期限的许可收入。

  • 该交易预计将立即增加利润率,并通过交叉销售、追加销售和地域扩张产生显著的收入协同效应。

  • Venafi带来了保护机器身份的互补功能,并将总可寻址市场(TAM)从500亿美元扩大到600亿美元。

如果两个客户数据集之间没有重叠,CyberArk的现有客户将成为新功能集的直接目标——提供交叉销售收入机会,并增加客户对CyberArk产品组合的粘性。

声明:本文来自安全红蓝紫,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。