Imperva提供的正是數據網絡存儲與云計算時代的安全防火墻。而這家公司,雖然從成立迄今為止還沒有實現一分錢的贏利,卻已經準備在納斯達克上市了。
Imperva公司:數據庫安全與審計方案的提供商
Imperva2002年成立于以色列,目前總部位于美國硅谷,它是全球數據安全領域的技術領導者,提供數據庫安全和審計解決方案。
Imperva提供名為Secure Sphere的系列數據應用安全產品,為私人、公共和云計算環境數據庫提供了領先的數據安全與合規性解決方案。這一系統可以在對用戶本身應用系統無影響的情況下,有效地防止針對數據庫、重要文件和Web應用程序的黑客入侵和內部竊取,簡化了數據合規性審計注1,并且建立了一種可重復流程,以降低數據風險。
截至2011年3月31日,Imperva在全球50多個國家擁有超過1300的客戶,其中包括全球五大電信公司中的4家,全美五大美國商業銀行中的3家,全球五大金融數據服務公司中的3家,五大計算機硬件中的3家,五大食品和藥物企業中的2家,以及世界各地的150多個政府機構和100多家財富1000強企業。
此外,Imperva通過托管安全服務提供商(“MSSP”)和托管合作伙伴,用基于云計算的安全部署,為數以千計的企業和組織提供數據安全服務。
2010年,Imperva的總營業收入為5540萬美元,比2009年的3930萬增長了41%。但是Imperva尚未實現盈利,2009和2010年的凈虧損分別為1230萬和1200萬美元。
行業背景
隨著信息化的發展,企業內部的重要信息和商業數據應用成為企業信息化的安全關鍵,如何保證這些企業內部重要信息數據的安全和機密,成為企業需要考慮的一個重大問題。
作為企業信息和數據的主要存儲庫,數據庫可能是IT領域最敏感的部分。許多組織已認識到,數據庫資源很容易受到外部攻擊者利用Web應用程序實施的攻擊以及內部員工利用不恰當的權限實施的破壞。客戶記錄、財務報表以及患者數據都存在風險。數據無時無刻不處在黑客發起的先進、大規模的自動攻擊風險中,擁有特權、懷有惡意的內部人士也有可能出于經濟收益或個人利益而不正當地使用其訪問權限。根據Verizon的2011年數據泄露調查報告,2010年由于內部和外部攻擊導致數據破壞的數量,比2009年增加了5.4倍。由于大型數據庫積累和存儲了大量涉及公共安全和隱私的重要信息,數據安全日益受到嚴密的監管審查,其嚴密程度使得任何可行的數據安全解決方案必須要能達到審計和監管要求。數據庫安全領域的法律也提出了諸多合規要求,以美國為例,按照薩班斯—奧克斯利法案(SOX)、支付卡行業數據安全標準(PCIDSS)以及其他法律、規范等的要求,企業需要實施數據庫安全性審計。
此外,由于信息技術行業訴諸于云計算、虛擬化和外包,對開放訪問的大型數據中心的安全管理日益復雜,因此覆蓋各種部署模式的安全方案已然成為很多組織的關鍵要求。而傳統的安全產品由于不能了解數據庫應用的特點,已經被實際證明無法有效的解決這一安全問題。
黑客和惡意的內部人員的攻擊日益增加、數據合規性的監管增強、云計算時代大型數據中心安全管理的日益復雜,這些挑戰,推動了圍繞業務數據和數據中心系統保護的新方案的需求。如何控制、保護和監視高價值的業務數據,成為所有信息化企業面對的重要問題,企業迫切需要一套可視性的、有效控制的數據安全解決方案。
Imperva的數據安全技術解決方案
數以千計世界領先的企業、政府組織和服務提供商都依賴于Imperva解決方案來防止數據泄漏、符合合規性要求以及管理數據風險。
Imperva解決方案提供了三個主要的功能:
1、數據外泄防范:實時防范以敏感數據為目標的黑客和惡意的內部人士
2、監管合規和行業合規:提供速度快、成本效益高的合規路線,實現數據使用、漏洞和訪問權限的完全透明化
3、數據風險管理:提供能持續、反復地識別和遷移數據風險的流程
下面這幅圖,說明了Imperva解決方案的主要構成:
注1數據的合規性審計是指確定被審計的數據庫是否遵循了特定的法律、規則或程序。越來越多的數據庫面臨一種或者幾種合規性要求。比如,在美上市的中國移動集團公司及其下屬分子公司就面臨SOX法案的合規性要求;而商業銀行則面臨Basel協議的合規性要求。
①數據庫(Database)、文件(Files)和Web應用程序(WebApps)
這構成了企業信息系統的主要組成部分。其中,用戶的絕大多數數據通常都被存儲在各種類型的數據庫和文件中,而這些數據經常會經由web應用程序而被內部和外部使用者訪問。
②外部計算機黑客
因為絕大多數重要的信息和商業數據可以通過Web應用程序被外部訪問,這意味著,組織的敏感數據可能會被全世界的人公開獲取。這些數據,例如財務數據、用戶數據和其他機密文件,由于潛在的商業、政治和軍事價值,可能會遭受來自計算機黑客的蓄意攻擊,這一方面的例子已經數不勝數。
③內部用戶
組織內部的用戶通常都會擁有對于整個IT系統不同層次的訪問權限,不恰當的權限可能導致數據泄露。某些情況下,一些內部人可能會濫用其權限,竊取機密數據并出賣以中飽私囊。在國內市場上,各大互聯網公司的用戶數據泄露事件已經多次發生。
④名為Imperva Secure Sphere的數據安全保護盾
Imperva提供了一套針對敏感的Web應用程序、數據庫和文件資產的綜合型數據安全與合規性解決方案,添加了一層用以防御內外部用戶攻擊的保護盾。
⑤Imperva針對外部威脅的手段
1、開啟攻擊保護,使數據免受已知的和零日漏洞攻擊
2、提供虛擬補丁,以減少安全漏洞
3、實施信譽控制,以阻止惡意訪問 ⑥Imperva應對內部訪問威脅的手段
1、對應用程序和敏感數據的特權訪問進行全面審核
2、權限管理,取消過度的和不再使用的訪問權限
3、訪問控制,制定訪問控制政策并進行責任分離
Imperva公司擁有領先行業的技術優勢,其CTO被評為“對互聯網影響最大的20位杰出人士”之一,為Checkpoint公司創始人。其產品從2005年開始多次榮獲IT行業大獎,并多次獲得國際評論機構好評。
Imperva技術方案的優點在于:
在整個實施數據庫安全審計部署時對用戶數據應用不產生影響;
Imperva同國際知名數據應用廠商建立全球合作關系,支持主流數據庫產品(IBM/Oracle/Sybase等),提供對數據庫應用的安全隱患的掃描功能,保證用戶需要的數據安全審計的精確性和完整性,同時可以提供針對數據庫的管理的優化功能;
對關鍵信息數據應用系統(數據庫和外部網站)實施專業的保護,實現對用戶內部和外部的全面保護,防止違規、數據泄密和安全漏洞觸發;
能夠對企業內部的關鍵敏感數據實時嚴格的監控和保護;
支持云計算環境下的大規模部署和集中管理。
應用范圍及客戶
Imperva的Secure Sphere提供對數據應用的準確、全面、高性能的審核和安全防護功能,Imperva公司是世界主流的大型數據庫廠商IBM、Oracle、Sybase、Microsoft等的全球合作伙伴。
Secure Spher是一個集成化、模塊化的安全套件,它提供數據庫,文件和網絡應用的安全保護,適用于各種系統中所有數據庫類型的業務數據,包括傳統的內部部署的數據中心,以及私人、公共數據庫和云計算環境下的數據中心。
為了滿足云計算環境的要求,Imperva不僅提供傳統的企業產品,而且為服務提供商和云基礎設施服務提供大型解決方案,基于云計算的安全服務提供了“按需支付”和低成本、高效率的的網絡安全應用。同時,Imperva還為中端市場和小型企業量體裁衣,縮小規模,提供產品和服務選擇。
Imperva主要應用于金融、電信和網絡服務商,服務的客戶涵蓋各大行業的頂級企業。全球最大的信用卡機構VISA、著名的美國券商史考特集團、美國聯邦儲備局、IT產業的惠普、Oracle公司、英國電信公司等都是其客戶。“財富500強”企業中的大部分企業都在信息化建設中建立了內部應用數據系統的IT審計系統,其中很多都采用了Imperva公司產品。
Imperva在中國地區也已經得到相當范圍的應用,根據Imperva的資料,其在國內的客戶包括清華大學、上海移動、南方電網、首鋼集團、攜程旅行網、上投摩根基金、東吳基金、深圳國稅等。
在這里,我們引用一些來自第三方的評價,可能更有助于了解這個系統的作用和在業內的商譽:
“Secure Sphere提供給安全部門方便的分析每一個攻擊的能力,使我們不斷提高安全水平”——以色列財政部
“Secure Sphere使得我們可以保護關鍵的業務基礎設施免遭攻擊和數據竊取,同時為IT人實時的提供任何異常活動的告警。”——Accor CIO
“Secure Sphere幫助我們保護數據庫免于攻擊、誤用、竊取,而同時,不需要不斷的調整安全策略,并且提供了數據庫和應用的安全”——美國公共養老基金系統
Imperva的盈利和運營模式
自2002年以來,Imperva一直以保護企業內部的高價值的業務數據為己任。公司長期專注于數據安全產品的開發和創新,以滿足客戶需求的快速變化。
2002年,公司開發了最初的網絡應用安全和數據安全產品;2006年,Imperva擴大了其數據庫安全產品,包括合規性審計功能;2010年,推出了文件安全產品。
此外,為了應對云計算環境下的需求,2010年Imperva推出了名為Threat Radar的云計算基礎安全模塊,并于2011年,通過控股子公司Incapsula推出了面向中端市場和中小型企業的基于云計算的數據安全解決方案。從2006年到2010年,Imperva的營業收入從1041萬美元增長到5538萬美元,年均復合增長率高達51.87%。但是Imperva迄今為止仍然處在虧損狀態。2008至2010年,歸屬于Imperva全體股東的凈虧損分別為770萬、1230萬和1200萬美元。2011年第一季度,Imperva的虧損為320萬美元。截至2011年3月31日,該公司累積虧損赤字為5910萬美元。
Imperva的主要收入來源于兩個部分:產品及許可收入和服務收入。產品和許可收入主要來自于安裝在硬件設備或者虛擬設備上的Secure Sphere數據安全套件永久使用許可的銷售。服務收入包括產品維護、技術支持,專業服務,培訓和技術資料的訂閱。其中,服務收入的增長較快。
Imperva的收入大部分來自于美洲地區的客戶,2010年,總收入的66%來自美洲,24%來自于歐洲、中東和非洲(“EMEA”)地區,10%來自于亞太地區;截至2011年3月31日的第一季度,65%的總收入來自美洲,23%來自EMEA地區,12%來自于亞太地區。 [page] 支出方面,銷售費用占據的比重最大,2010年的銷售費用高達3416.8萬美元,占到了當年總營業收入的61.8%。研發費用也很可觀,截至2011年3月31日,Imperva的研發部門擁有113名員工,其中包括先進安全技術研究組和應用防御技術研究中心(“ADC”)。公司2008到2009年的研發費用分別為860萬美元,1050萬美元和1320萬美元,2011年第一季度的研發費用為390萬美元。2010年,研發費用占總收入的23.9%。
Imperva采用一種混合銷售模式推廣和銷售其產品,它結合了公司直銷和渠道合作伙伴分銷。這些渠道合作伙伴的廣泛的銷售網絡有助于其產品的推廣,同時,Imperva也為這些合作伙伴提供銷售支持、培訓和技術支持。
Imperva主要是通過其渠道合作伙伴銷售產品和服務。公司的銷售網絡擁有超過350家全球渠道合作伙伴,包括分銷商和經銷商。2010年,渠道合作伙伴完成了總銷售業績的90%。Imperva與世界領先的許多安全增值經銷商共事,其合作伙伴包括許多全球最大的基于云計算基礎的托管服務商。截至2011年3月31日,Imperva在全球50多個國家擁有超過1300個客戶。此外,通過合作的托管安全服務提供商(“MSSP”)和托管合作伙伴,Imperva提供的云計算安全方案服務于數以千計的公司和其他各類組織。
Imperva的主要競爭對手包括:
數據庫安全產品:IBM公司(其收購了Guardium公司),McAfee(麥咖啡,知名安全軟件開發商)、英特爾公司(其子公司Sentrigo)和Oracle公司(甲骨文,最近收購了Secerno公司);
文件安全產品:EMC公司和Symantec公司;
Web應用程序安全產品:Citrix系統公司和F5網絡公司。
前景與風險
根據國際數據公司(IDC)的預測,全球對于IT安全產品的支出將從2010年的38億美元,增長到2014年的270億美元。作為云計算網絡和數據庫安全領域的行業領軍企業,Imperva面臨著一個巨大的高速成長的市場機遇。
對于Imperva的成長前景,鑒于其長期的虧損歷史,我們重點從經營性虧損方面分析。之所以選擇經營虧損,而不選用凈虧損,主要的原因是凈虧損受到稅收、其他非營業收入、不可控的非經常性損益等會計科目的影響。而經營性虧損額完整的反映了公司的主營業務收入、成本和運營支出的情況。從經營虧損率上來看,Imperva的運營狀況在逐步好轉,我們看到其虧損率已經從2007年最高的-42.61%降低到了2011年第一季度的-19%左右,虧損比重降低的趨勢明顯。
另外,分析Imperva的毛利潤和營業支出費用增長情況。過去五年中,Imperva的毛利潤凈額平均以50%的增速增長,這一增長趨勢還將維持相當長一段時期。同期,Imperva的營業支出凈額年均增長速度在45%左右,并且有逐漸減低的趨勢,預計將穩定在30%左右。
在2010年數據的基礎上,假如行業背景和企業狀況不發生重大的變化,我們預期Imperva可能在2013年左右實現贏利。
但是,作為新興技術行業的顯著特點,Imperva的市場前景同時收到公司內部運營和行業變化趨勢的影響,尤其是行業環境和技術變遷的影響。綜合來講,面臨的風險和不確定性因素包括:
Imperva有持續虧損的歷史,而其收入、盈利增長存在不確定性
Imperva自成立迄今,一直處于虧損狀態。這一歷史使得我們對公司的盈利前景很難做出準確的預測。2010年,Imperva的凈虧損為1200萬美元;2011年前三個月,虧損320萬美元。截止3月31日,Imperva的累積赤字高達5910萬美元,這一數值高于其目前的營業收入總額。假如Imperva不能持續增加收入和有效的管理支出,其盈利預期將變得非常困難。
收入增長放緩或收入下降最可能的原因是需求放緩。導致需求放緩的潛在因素很多,例如:對Imperva的產品或服務的競爭加激,經濟增長下降導致數據庫安全市場的增長放緩,以及Imperva不能有效的引入新的產品和服務等。
此外,由于Imperva成立于2002年,最新的基于云地安全服務直到2011年才推出,這有限的歷史財務記錄和迅速發展的市場運作,使得很難準確的評價其業務前景。
市場和競爭風險
Imperva正處在一個新的,快速發展的行業。作為一個技術變化和競爭相當激烈的新興行業,數據安全市場的變化迅速而難以預料,很難預測市場需求的變化和機會,例如數據安全市場的規模究竟有多大,客戶究竟將采用什么樣的產品。
目前市場上存在一些其他的安全產品,例如網絡防火墻、安全信息和事件管理(“SIEM”)產品或數據丟失防護(“DLP”)解決方案,用戶可能認為這些安全解決方案,能夠充分保護訪問敏感數據。如果客戶不承認有利于Imperva的數據安全解決方案,可能導致Imperva的業務蒙受重大的損失。
另外,客戶需求的變化迅速,相關的法律、監管和自律規定也日新月異,這意味著企業必須頻繁推出新產品和增強功能,并且能夠緊跟行業軟硬件技術標準的發展,與其他通用產品兼容。Imperva能否預測未來的市場需求和機會,及時的改進產品或推出新產品,以滿足這種需要,以及這些新產品能否被用戶認可,都還是未知數。
例如,Imperva通過控股子公司Incapsula提供的基于云的安全服務,運營的歷史非常有限,其業績尚有待市場證明。
客戶及銷售風險
由于大型數據庫和云計算平臺的集中性,Imperva的業績也嚴重依賴大客戶。這些大客戶包括大型公司、托管安全服務提供商和政府機構。針對這些大客戶的銷售面臨許多風險:
1、這些客戶可能預先存在根深蒂固的安全解決方案供應商,他們與組織內部的決策者關系密切,擁有長期合作,并且也能夠提供其他的競爭性的安全產品
2、與大客戶的購買力相對應,其再談判中的議價能力更強,能迫使Imperva做出重大利益讓步
3、大客戶的售后服務技術支持合同包括更嚴格的支持響應時間和更嚴厲的要求,這將增加Imperva的運營成本
4、針對大客戶的銷售周期更長,而且面臨更多的預算限制和審批,合同中要求Imperva承擔的風險更大
此外,針對政府機構客戶的銷售還面臨額外的風險。過去幾年中,美國及其他國家的聯邦、州和地方政府機構占據了Imperva客戶銷售額的相當大部分比例,而且對政府機構客戶在未來還會繼續增加。針對政府機構的銷售面臨一些特別的風險。首先,政府訂單一般高度競爭、成本高昂并且費時費力,往往需要大量的前期時間和費用,而沒有任何銷售成功的保證。其次,政府機構對產品和服務付款收到公共預算周期及資金審核的限制,預算撥款減少或者延遲都會對Imperva的運營產生不利影響。另外,絕大多數政府訂單都是通過渠道合作伙伴實現的,政府部門與這些分銷商和經銷商的合同終止會對Imperva的運營產生不利影響。最后,政府機構對采購可能有一些額外條款,比如美國政府采購通常要求某些產品必須在美國生產,Imperva很可能無法滿足所有的要求。
技術和法律風險
數據庫安全領域涉及大量的專有技術和知識產權,Imperva的業務在很大程度將取決于能否保護和執行其商業秘密、商標、版權、專利和其他知識產權。截至2011年3月31日,該公司有3個在美國頒發的專利和7個正在申請的美國專利申請,但是這一數字比競爭對手來講微乎其微。
在美國的法律體系下,假如Imperva被牽扯進知識產權爭議,漫長而昂貴的訴訟程序將會嚴重的損害其業務。Imperva在過去曾經遭到過專利侵權訴訟,這樣的糾紛在未來會更多。這些訴訟的成本,以及可能的不利的訴訟結果都有可能對經營業績及財務狀況造成重大不利影響。
Imperva的產品依賴一些第三方軟件和其他知識產權的許可,其產品中還包含了一些第三方開源軟件成分。這些都限制了其產品開發和推廣的能力。假如Imperva不能獲取某一些關鍵的許可和授權,可能會對其產品的開發和服務產生重大的不利影響。
財務和會計風險
2008-2010年,Imperva的服務收入占總營業收入的比重分別為24.4%、34.6%和37.7%,這一收入的比重日益增長。但是服務收入的增長收到許多風險因素的影響,包括客戶對產品和服務的滿意度、價格以及競爭對手提供的產品和服務的價格。
此外,按照會計準則,服務收入通常是在服務期限內按比例確認收入,通常的期限為一到三年,甚至有長達五年的情況。這意味著,每個季度的財務報告中,絕大多數收入是幾個季度之前簽訂的合同的遞延收入確認。因此,假如某一個季度新訂或更新服務合同下降,并不會直接反映在當季的財務報告中,而是對隨后的幾個季度產生負面影響。這進一步增大了對于Imperva運營狀況分析的難度。
其他政治風險
Imperva的主要研究和開發設施位于以色列。以色列的政治、經濟和軍事條件可以直接影響Imperva的業務。中東地區的武裝沖突和恐怖活動、以色列和巴勒斯坦之間的緊張形勢都可能直接影響以色列的國際貿易,并因此直接影響Imperva的業務。某些敵對國家和組織可能會抵制該公司的產品,以色列和美國也可能通過一些限制性的法律禁止Imperva的某些交易,甚至Imperva的一些主管和員工可能需要履行以色列國防軍兵役,這些不確定性無法預期,都為公司的運作帶來了一些潛在的風險。
京公網安備 11010502049343號