據(jù)Gartner所稱，全球用于信息安全的支出在2015年達到了769億美元。

隨著黑客攻擊的頻率和嚴重程度都在不斷加深，網(wǎng)絡(luò)安全支出在2020預(yù)計將達到1700億美元，5年內(nèi)增加了一倍多的支出。

對網(wǎng)絡(luò)安全創(chuàng)業(yè)公司的風險投資也在持續(xù)增長(在過去的5年內(nèi)每年都增長了40%)，2015年將達到迄今為止的最高，大概有35億美元之多。

但當我們將網(wǎng)絡(luò)安全投資放進所有投資組合來看時，卻發(fā)現(xiàn)這一數(shù)字則顯得投資人對于這一領(lǐng)域要冷靜得多，因為它還不到所有風險投資的7%。

考慮到不斷發(fā)生的黑客事件和媒體的關(guān)注度，網(wǎng)絡(luò)安全領(lǐng)域的投資是不是少了一點?今天就讓金牌顧問和大家一起，來探討一下網(wǎng)絡(luò)領(lǐng)域的現(xiàn)狀與未來預(yù)測。

一、保守投資人的觀點

1.網(wǎng)絡(luò)安全的三個退出價格區(qū)間

毋庸置疑的是，更多的投資人最關(guān)心的還是退出和回報。

網(wǎng)絡(luò)安全領(lǐng)域的獨角獸很少，退出傾向于落在三個價格區(qū)間：5000萬美元、2億美元和5億美元。和其他垂直領(lǐng)域相比，網(wǎng)絡(luò)安全的資本效率很高，但退出時間也要更長。

跨平臺的二次驗證安全公司Authy融了380萬美元，最后被Twilio收購;另一個二次驗證安全公司Toopher在融了不到300萬美元后，2015年4月被Salesforce收購;得到Accel投資的以色列數(shù)字安全公司Aorato被微軟以2億美元收購，這家公司早先得到了不到1500萬美元的投資。

而更小規(guī)模的退出大多出現(xiàn)在3年內(nèi)。

第3個退出段出現(xiàn)在高于5億美元的區(qū)間，OpenDNS在2015年以6.35億美元被思科收購。據(jù)知情人員透露，這項投資的平均報酬率(ARR)超過了6000萬美元，但算一算從開始到最后卻用了10年多的時間，又讓人覺得有些沮喪。

成立于2000年的安全供應(yīng)商Lancope同樣在2015年被思科以4.35億美元收購，用了14年的時間來獲得退出。

而像FireEye(2014)或Palo Alto Networks(2012)這樣偶然的IPO或許會讓人激動，但它們只不過是例外而已。

2.它們不是獨角獸，更像是不死的小強

很多網(wǎng)絡(luò)安全創(chuàng)業(yè)公司不是獨角獸，而更像是蟑螂，它們很少會出現(xiàn)死亡。

遇到艱難的時刻，它們能調(diào)換到一個簡樸/顧問模式。就像蟑螂一樣，他們能熬過漫長的寒冬，而且安全公司的資本效率都很高，4000萬美元就能達到收支平衡是這個領(lǐng)域的典型規(guī)律，這也為他們提供了生存優(yōu)勢。

但是，“貪婪”的投資者們尋找的卻是“增長優(yōu)勢”。

3.它們增長的速度太慢了

網(wǎng)絡(luò)安全公司的增長速度很慢，F(xiàn)ireEye(市值65億美元)從創(chuàng)立到IPO花了超過10年的時間，Palo Alto Networks(市值116億美元)速度略快一些，也是7年。

所以，在增長速度和快速創(chuàng)造價值方面，網(wǎng)絡(luò)安全世界里沒有Uber。

最近幾年，我們看到很多風險投資人青睞的企業(yè)在不到3年時間，市值就能達到10億美元的獨角獸地位，所以，人們開始把創(chuàng)業(yè)公司的標準越訂越高，希望能再快更快地成長!如果網(wǎng)絡(luò)安全創(chuàng)業(yè)者不能以這樣的增速發(fā)展，投資人就不會對他們多瞟兩眼，同時，相應(yīng)的投資就會停滯，至少不到投資組合的10%。

一個硅谷的頂級投資人(該基金最近一輪融到5億多美元的資金)曾公開表示，網(wǎng)絡(luò)安全很酷，但回報過于分散而且低于平均水平，低回報率和長退出周期的結(jié)合大大消退了投資人的熱情。

二、網(wǎng)絡(luò)安全的預(yù)算在增加，退出機制在改變

很多企業(yè)家的網(wǎng)絡(luò)安全預(yù)算依然陷于老一套的思維，這讓人感到疑惑。

就常識來看，安全支出應(yīng)該占整個IT支出的近10%。從宏觀層面來說，麥肯錫的專家在他們一本關(guān)于網(wǎng)絡(luò)安全的書中表示，全球總的IT支出正接近2萬億美元。

但現(xiàn)實卻是殘酷的，我們看到的實際安全支出仍然不到1000億美元。

當然，這個支出也可以輕松突破，比如：它所需要的只是一次黑客攻擊，立竿見影!一些公司的預(yù)算就會上漲300%，而這已經(jīng)被網(wǎng)絡(luò)安全專家證實過了。

Greylock Partners合伙人Asheem Chandna(他同時也是Palo Alto Networks、Skyhigh Networks和其他業(yè)界領(lǐng)先網(wǎng)絡(luò)安全公司的董事會成員)指出，企業(yè)界的安全預(yù)算在增加，這對網(wǎng)絡(luò)安全創(chuàng)業(yè)公司而言是件好事。

一些買家也意識到了這一點，Battery Ventures(主導(dǎo)了對Cloudera和Mango DB投資)的Dharmesh Thakker表示，很多上一代的安全公司不能很快對技術(shù)變化做出反應(yīng)，比如：Symantec和HP正在經(jīng)歷著痛苦的結(jié)構(gòu)性改革，他們內(nèi)部的創(chuàng)新能力和制造新產(chǎn)品的能力都大大受限，所以，這給了創(chuàng)業(yè)公司們很多機會。

Allegis Capital的創(chuàng)始人Bob Ackerman對網(wǎng)絡(luò)安全領(lǐng)域的投資已超過15年。他指出，對網(wǎng)絡(luò)安全創(chuàng)業(yè)者而言，再也沒有比現(xiàn)在更好的時機了。盡管基本面沒有改變，但退出機制可能已經(jīng)在改變。

三、新買家正在浮現(xiàn)——操作系統(tǒng)層和運營商

1.老玩家正在飽受盈利減少之苦

當談及網(wǎng)絡(luò)安全領(lǐng)域的退出時，大多數(shù)投資人都會為此發(fā)愁。

傳統(tǒng)路徑的IPO或兼并收購?fù)ǔＪ仟M窄而受限的，IPO窗口受很多市場形勢影響。

像Symantec和HP這樣的成功企業(yè)正在躊躇不前，他們無法適應(yīng)新的市場環(huán)境，而新進入者就會受益。

在過去三年，Symantec失去了兩位CEO，其盈利回報也在不斷減少。

Symantec每年9億美元的安全業(yè)務(wù)很快就會從其存儲部門分離開來，HP每年會銷售價值10億美元的安全軟件和服務(wù)，但它的盈利正在快速減少。懂行的投資人看到了發(fā)展前景，于是市場上出現(xiàn)了很多新進入者。

2.操作系統(tǒng)層和運營商成為新玩家

安全的責任正在向新玩家那邊轉(zhuǎn)移：操作系統(tǒng)層(OS Layer)和運營商(carriers)。

在操作系統(tǒng)層上，像微軟、英特爾和谷歌這樣的公司繼續(xù)向安全領(lǐng)域傾注資本。谷歌是網(wǎng)絡(luò)安全創(chuàng)業(yè)公司最大的兼并與收購者之一。隨著數(shù)據(jù)中心和云服務(wù)商的增加，新的買家正在浮現(xiàn)。

運營商已經(jīng)對商品交易感到厭倦，而將安全業(yè)務(wù)視為爭取用戶信任，加售云計算服務(wù)的機會。

今年早些時候，SingTel宣布了對網(wǎng)絡(luò)安全公司Trustwave(主要覆蓋三大領(lǐng)域——威脅管理、漏洞管理和合規(guī)管理)8.1億美元的收購。Trustwave所聚焦的管理安全服務(wù)(MSS)是一個價值150億美元的市場，并正在以2位數(shù)的速度增長。

Gartner預(yù)計企業(yè)安全服務(wù)信息技術(shù)外包和咨詢服務(wù)的市場合起來會在2019年達到470億美元。像IBM、Dell和AT&T這樣的大型安全服務(wù)提供商正看到每年超過10%的復(fù)合平均增長率(CAGR)，而中小型服務(wù)提供商每年增長率超過100%。

這對運營商而言是好事，他們渴望遠離商品數(shù)據(jù)的競爭。

Verizon、AT&T(美國)、British Telecom(英國)、Orange(法國)和NTT(日本)正加大力度投資網(wǎng)絡(luò)安全服務(wù)。隨著企業(yè)遷移到云端，他們計劃將自己的安全負擔轉(zhuǎn)移到安全服務(wù)提供商身上。當被問及如何進行云安全管理，34%的企業(yè)表示他們會尋求安全管理服務(wù)提供商(MSSP)的幫助。

創(chuàng)業(yè)公司應(yīng)該抓住時機，在他們提供的服務(wù)中強調(diào)安全管理服務(wù)策略，與安全管理服務(wù)的結(jié)合證明是有價值的退出途徑。

四、2016年的挑戰(zhàn)

1.來自采購決策者CISO們的聲音

這是首席信息安全官(CISO)頭疼的時代。

隨著不斷增加的黑客攻擊，首席信息安全官的生活開始變得更混亂了，而且越來越多的安全公司也令他們不堪騷擾。

一位CISO表示，“我處在董事會與供應(yīng)商之間掙扎，每天我的LinkedIn都會收到來自供應(yīng)商的數(shù)百條請求，他們對自己公司安全產(chǎn)品的FUD行銷手法讓我很頭大。”

小知識

FUD 最早意指IBM銷售人員對客戶灌輸關(guān)于Amdahl和其他競爭公司產(chǎn)品的負面觀念，也就是在顧客的頭腦中注入疑惑與懼怕，然后，你說什么他們就可能信什么。

FUD現(xiàn)時已在電腦界以外，特別是政界的一個常用技巧。例如：政治上的競爭對手可以利用在某一題目上利用FUD來牽引輿論，從而為自己制造有利條件，或把對方推入困境內(nèi)。另一方面，對手亦會指另一方意圖利用FUD來混淆視聽，從而獲取漁利。

FUD就是恐懼(Fear)、不確定(Uncertainty)、懷疑(Doubt)的縮寫，是行業(yè)壟斷巨頭對付比弱小競爭對手時使用的競爭手段之一。通過直接嚇唬對手及膽敢與對手合作的公司，同時利用各種手段動搖競爭對手客戶的信心，使其產(chǎn)生先動搖，進而懷疑的心理，從而擠掉質(zhì)量和技術(shù)優(yōu)于自己的產(chǎn)品，難以有效形成市場力量，確保獨家壟斷。

現(xiàn)在市場上有超過50家大型安全服務(wù)供應(yīng)商，而且這一數(shù)字還在不斷增加。每年都會有超過200家新網(wǎng)絡(luò)安全創(chuàng)業(yè)公司成立，相互競爭爭取CISO的注意力和預(yù)算，而他們的銷售通常采用FUD策略。

但事實上很多CISO期待的是用數(shù)據(jù)和概率樹說話，用真誠和智慧贏得用戶長期的信任，而不是只追求短期銷量的增加。

比如：如果他們遭遇到難題時，是否足夠信任你，可以在晚上給你打電話?他們希望能有一套完整的解決方案，也就是由安全專家建造并能整合進他們當下的系統(tǒng)。盡管所有產(chǎn)品都聲稱自己很強大并值得信賴，但CISO更需要的是像IBM那樣的解決方案，會議室就能實施，畢竟他們的工作都是線上的。

這對尋求快速增長的創(chuàng)業(yè)公司而言是個不小挑戰(zhàn)，誰會是你最初產(chǎn)品的采用者?一般而言，大部分成熟企業(yè)的CISO肯定不會采用，這不值得詬病，換成你也會把穩(wěn)定當成最大訴求。

因此，BlueBox Security(A16Z投資)的聯(lián)合創(chuàng)始人Adam Ely表示，“我們在創(chuàng)建公司時，我們與具有創(chuàng)新精神與企業(yè)家精神的CISO們工作緊密，我們知道這樣的CISO是我們做安全型創(chuàng)業(yè)公司的關(guān)鍵客戶。”

所以，網(wǎng)絡(luò)安全創(chuàng)業(yè)者面臨的更大問題不是技術(shù)創(chuàng)新，而是如何成為一個值得信任的伙伴。

2.試完再買成為主流

隨著SaaS網(wǎng)絡(luò)安全產(chǎn)品成為主流，企業(yè)的銷售過程也在發(fā)生改變。在一個低接觸服務(wù)的世界，“試完再買”已經(jīng)成為安全服務(wù)銷售的最主要模式。

中國的移動安全公司獵豹移動提供移動消費安全產(chǎn)品的免費下載，它自稱擁有超過5億月活躍用戶。在一次舊金山的聚會上，獵豹CEO傅盛表示，如今的安全服務(wù)銷售模式已經(jīng)過時，“它沒有跟上時代的發(fā)展，我們需要有不同的想法。”

3. 種子輪融資更難了

對種子輪的安全服務(wù)公司而言，2016年的融資并不容易。

據(jù)CB Insights指出，網(wǎng)絡(luò)安全公司的種子輪融資大約占所有融資額的2%，在2014年達到了5年內(nèi)的最低點。

A輪投資額也在逐步下降，從2013年占所有投資額的31%到2015年上半年的18%。成長期融資有所增加，B輪融資從23%增加到了30%，C輪融資從9%增加到了28%。安全服務(wù)公司現(xiàn)在需要證明他們已經(jīng)邁過概念階段，可以實現(xiàn)快速增長。

這在很大程度上是由安全服務(wù)創(chuàng)業(yè)公司的絕對體量決定的。一位風險投資人曾表示，有一半的創(chuàng)業(yè)公司不知道自己在做些什么，他們互相之間聽起來都很像。

所以，為了獲得融資，創(chuàng)業(yè)公司需要突破重重噪音與別人區(qū)分開來。

五、 創(chuàng)業(yè)者要注意什么

不要光體現(xiàn)創(chuàng)新，而是要有所區(qū)分。“我在過去的12個月已經(jīng)看到了40多個FireEye殺手。”一位投資人說。

安全領(lǐng)域的創(chuàng)始人通常會賣弄自己的技術(shù)能力。但金牌顧問認為，創(chuàng)建自己的與眾不同才是關(guān)鍵，這些不同點可以是某個垂直領(lǐng)域，或者是你的特點、渠道、價格和銷售方法和其他人不一樣等。

不要讓創(chuàng)新拖后腿。相較于技術(shù)創(chuàng)新，安全服務(wù)創(chuàng)新通常處于落后位置。SAP的CISO Justin Somaini表示“技術(shù)創(chuàng)新需要平緩一點，這樣安全創(chuàng)新才能跟得上。”安全服務(wù)一直處于事后追趕的位置，但這一現(xiàn)象也在改變。

Ponemon Institute在今年早些時候發(fā)布了一張反映科技機會的清單，其中關(guān)于安全的加密技術(shù)、自動化和數(shù)據(jù)分析處于前列，因為顧客越來越希望數(shù)據(jù)的保護和自動化。這樣的趨勢為安全服務(wù)企業(yè)創(chuàng)造了巨大機會。

垂直領(lǐng)域的安全工具也有很高需求。比如：Wurldtech關(guān)注技術(shù)設(shè)施和電氣設(shè)施的安全，它已經(jīng)被通用收購，盡管其融資尚未到1000萬美元。一位投資人透露回報“確實不錯”。

如果網(wǎng)絡(luò)安全公司能夠增長得更快，我們就將看到更多資本投入到這一領(lǐng)域，安全創(chuàng)新的第二波才剛剛開始，希望蟑螂也能在獨角獸的時代生存下來。

六、案例：安全服務(wù)創(chuàng)業(yè)公司做什么

1.Darktrace——企業(yè)免疫系統(tǒng)

一家英國網(wǎng)絡(luò)安全創(chuàng)業(yè)公司，在今年6月獲得了KKR領(lǐng)投的6400萬美元C輪融資。

這家公司提供了一套“企業(yè)免疫系統(tǒng)”，可以部署在公司網(wǎng)絡(luò)之中，監(jiān)聽網(wǎng)絡(luò)異常。一旦網(wǎng)絡(luò)內(nèi)部出現(xiàn)可疑行為，Darktrace就會發(fā)出提醒，而且如果有必要，Darktrace還會自動觸發(fā)保護行為，減緩攻擊襲擊。

不僅如此，如今企業(yè)不得不與供應(yīng)商和客戶之間建立“接口”，這也導(dǎo)致了很多來自外部的網(wǎng)絡(luò)威脅出現(xiàn)，而Darktrace能讓每臺設(shè)備、每位用戶和每個網(wǎng)絡(luò)元素構(gòu)建功能強大的“常態(tài)”行為模式，無論這些威脅來自機構(gòu)外部還是內(nèi)部，都可讓企業(yè)組織偵測到活躍或潛在的網(wǎng)絡(luò)威脅。

傳統(tǒng)網(wǎng)絡(luò)安全公司都會構(gòu)建規(guī)模龐大、性能要求更高的“防火墻”來抵御攻擊威脅，而Darktrace則模擬了一套人類免疫系統(tǒng)，它會“吸收”一些網(wǎng)絡(luò)攻擊，再利用自身“高等數(shù)學(xué)和機器學(xué)習(xí)技術(shù)”增強自身防御能力，這樣的結(jié)果就是，很多網(wǎng)絡(luò)攻擊能在追蹤過程中就被阻止掉。

Darktrace正在開發(fā)一種技術(shù)，不僅能幫助企業(yè)客戶響應(yīng)黑客的網(wǎng)絡(luò)襲擊，還可以響應(yīng)基于機器學(xué)習(xí)的網(wǎng)絡(luò)攻擊延時威脅。就像經(jīng)典科幻電影成真一樣，未來我們可能會看到人工智能大戰(zhàn)，有好的人工智能，也有壞的人工智能，當然，這些都是未來可能會發(fā)生的場景。

目前，已經(jīng)有超過1000家企業(yè)部署了Darktrace公司開發(fā)的“企業(yè)免疫系統(tǒng)”，業(yè)務(wù)覆蓋范圍包括全球金融機構(gòu)、電信網(wǎng)絡(luò)企業(yè)、法律公司、零售商、科技公司、政府機構(gòu)以及一些重要國家基礎(chǔ)設(shè)施項目。

相比于去年，Darktrace公司收入增長超過600%，每月收入超過百萬美元。

2.Deep Instinct——深度學(xué)習(xí)防惡意軟件

Deep Instinct是一家安全公司，由Guy Caspi和Eli David兩名以色列國防網(wǎng)絡(luò)安全部隊“8200”退役老兵創(chuàng)立，他們運用人工智能學(xué)習(xí)算法檢測軟件結(jié)構(gòu)及程序特征，發(fā)現(xiàn)惡意軟件。

Deep Instinct能夠同時檢測并阻止所有資產(chǎn)中“首次出現(xiàn)”的惡意活動。

該公司大部分員工都擁有高等數(shù)學(xué)學(xué)位，以色列特拉維夫和美國硅谷都有他們的辦公地點。

它匯集了數(shù)以億計的惡意軟件品種，包括Word文件、PDF文件以及可執(zhí)行文件等等，但其中具體的文件類型并不重要——因為深層學(xué)習(xí)使它可以應(yīng)對未知數(shù)據(jù)類型。

Deep Instinct的科學(xué)家們運行這些文件，并通過測試將其歸類為惡意或者合法類別。在此之后，他們利用這套龐大的數(shù)據(jù)集進行引擎訓(xùn)練，而這套人造大腦最終能夠建立起所謂預(yù)測模型。到這一階段，該核心引擎將擁有與孩子類似的認知方式，也就是盡管從未見過某種惡意軟件，但仍能夠通過已有線索推斷出其是否可能造成危害。

Deep Instinct公司將其預(yù)測模型打包為一套小型探針。該探針可被部署到運行任意操作系統(tǒng)的任何類型設(shè)備當中——PC、筆記本、平板電腦、智能手機乃至服務(wù)器。當設(shè)備上的某個文件被打開或者下載完成時，該探針就會將對應(yīng)文件拆分成多個小片段，并針對其運行預(yù)測模型。

這種所謂“本能”機制會利用培訓(xùn)成果檢測其中是否包含惡意成分。這一切都能夠在五毫秒之內(nèi)完成。設(shè)備上的整個處理流程能夠?qū)崟r完成，并做出決策對惡意軟件進行刪除、屏蔽或者企業(yè)需要執(zhí)行的對應(yīng)操作，不用擔心，有了它的保護，惡意代碼根本來不及造成任何破壞。更重要的是，其絲毫不會影響到用戶體驗。

由于該探針已經(jīng)具備各項必要條件以實現(xiàn)未知文件分析，因此無需使用企業(yè)網(wǎng)絡(luò)甚至是互聯(lián)網(wǎng)連接。具體來講，它能夠以在線以及離線方式實現(xiàn)設(shè)備保護。舉例來說，工作人員可以坐在飛機上以飛行模式實現(xiàn)安全保護。如果他插入一塊受到感染的U盤，設(shè)備上的探針會對U盤內(nèi)的文件進行分析，同時找到可能對設(shè)備造成進一步感染的惡意軟件。

Deep Instinct公司還推出其解決方案的無探針版本，也就是單純利用預(yù)測模型外加保護功能，但無需涉及設(shè)備自身。該公司同時表示，其能夠通過API或者SDK接入任何類型的網(wǎng)關(guān)。舉例來說，Deep Instinct的這套模型能和FireLayer的云訪問安全中介進行集成，實現(xiàn)惡意軟件檢測并預(yù)防指向云文件及應(yīng)用的威脅因素。

Deep Instinct公司仍在不斷訓(xùn)練基礎(chǔ)引擎，從而確保其能夠識別出更多新型惡意軟件。盡管其“本能”機制一直在不斷更新，設(shè)備之上數(shù)月未更新的探針仍能提供非常出色的判斷準確率。Deep Instinct公司指出，即使四個月未進行更新也只會令其探針的惡意軟件檢測準確率下降0.5%至1%。

由德雷賓大學(xué)與西門子CERT進行的基準測試結(jié)果顯示，Deep Instinct公司的方案能夠匹敵市場上的任何頂級安全解決方案。在嘗試識別移動惡意軟件方面，目前市場上的前10大安全廠商的平均準確率為61.5%，而Deep Instinct的準確率則高達99.86%。在另一項針對16000種APT進行的測試當中，Deep Instinct的惡意軟件識別率亦高達98.8%。

3.Harvest.ai——防止數(shù)據(jù)丟失

harvest.ai是在前美國國家安全局工作人員的帶領(lǐng)下創(chuàng)立的，通過應(yīng)用人工智能防止數(shù)據(jù)丟失，旨在效仿頂級安全研究人員的方法：搜尋用戶、關(guān)鍵業(yè)務(wù)系統(tǒng)和應(yīng)用程序中針對性的網(wǎng)絡(luò)攻擊引起的行為變化。

該公司的MACIE分析平臺通過部署在內(nèi)部或云上來監(jiān)視登錄、遠程網(wǎng)絡(luò)訪問以及文檔訪問過程中的異常行為模式。harvest.ai已運用基于人工智能的算法，了解整個企業(yè)組織重要文檔的商業(yè)價值，并提供所謂的首開行業(yè)先河的功能：在數(shù)據(jù)被竊取之前，檢測并阻止針對性攻擊和內(nèi)部威脅引起的數(shù)據(jù)泄密。