Wiz:拒絕 Google 230億併購的超高速成長雲端資安神獸
僅次於 OpenAI 增長速度的軟體公司!
FENtastic Murmur
電子報已經超久沒寫,主要是今年下半年人生有了挺多的變動,光是要適應就已經挺身心俱疲。這篇的起心動念,除了 Google 提出了這個超高的併購金額之外,還看到了台灣厲害的資安新創 TxOne 的 Founder 分享了這家公司的超強 Traction ,我很好奇他們是如何做到的,希望能夠從各種外部資料中來試圖拼湊出一些原因。
當然,對我來說,要寫這題雲端資安,真的是一個非常生硬的題目,只能死活硬啃並搭配 Chatgpt,若有專家大神願意糾正或分享其中內幕,我會非常感謝!
Wiz 到底有多厲害?
Assaf Rappaport、Yinon Costica、Ami Luttwak 和 Roy Reznik 於 2020 年共同創辦了 主打雲端資安解決方案的 Wiz。2020 年底他們成功從 Sequoia Capital, Index Ventures, Insight Partner 知名 VC 和以色列主投資安的 VC Fund Cystarter 等人手上融了 $100m 的 A輪資金,估值是 $500m。
而成績如何?Wiz 在成立以來的第 18 個月便達到了 ARR US$100m 的成績,並再接下來的九個月後,數字又翻了一倍,更在 2023 年實現 ARR 超過 US$350m。預計將在 2025 年實現 ARR US$1,000m 的成績。目前超過 45% 的 Fortune 100 是他的客戶,遍及各個不同行業,包含:Snowflake、LVMH、BridgeWater、Asos、Takeda、IHG、Siemens 等等。目前已擁有超過 1500 位員工。
Wiz 的四名 Co-Founder 們相遇的非常早,他們是在以色列 Unit 8200 部隊中首次相遇。以色列的 8200 部隊是著名的網路安全部門,一直是資安新創創辦人的搖籃,目前許多知名資安公司的創辦人都曾經在以色列的 8200 部隊服務過,包含耳熟能詳的 Checkpoint、Palo Auto Networks、Fireblocks、Snyk 等等。
Wiz 並不是他們的第一家公司。他們一起創立的第一家公司是 2012 年創辦的 Adallom,主打的是 Cloud Access Security Broker(CASB),專注於提供公司確保其內部正在使用的 SaaS 服務是否有資安疑慮。受惠於創辦人們的背景,他們的第一個創業公司 Adallom 一路上也融到了不少知名投資人的的錢,包含:Sequoia Capital Israel(此案子當時是由 Gili Ra’anan@Cystarter 的 Founding Partner 所主導)、Index Ventures 等。直到在 2015 年時,Adallom 成功被 Microsoft 以 US$320m 的金額收購。他們團隊也接手了 Microsoft 開始於當地發展的雲端安全部門,成功將其部門收入在五年內從 0 增加到 $1b 的營收規模。
Ami Luttwak 事後認為,從 Microsoft 這段經歷當中,他學到最多的是從不同的角度去看待新創的存在。新創不該只是透過產品功能上的好壞去競爭,而是該以如何實現「大規模」部署的角度,去思考工程和可用性方面可以如何讓所有人都能使用,但同時卻又不增加部署的複雜性。
“The transition to Microsoft taught us how to view startups in a different way,” says Luttwak. “It wasn’t a feature fight. It was: ‘How do I build a scalable product that, from an engineering perspective and also from a usability perspective, anyone can use? And how do I do that without adding complexity in deployment and usage because you’re aiming for huge scale.”
Wiz 團隊看到了什麼樣的機會?
眾所皆知,這幾十年來的雲端這塊大餅持續提升,不止大企業逐漸從純地端轉往混合雲的配置,也有更多新冒出來的新創公司、高成長公司甚至是所謂的 Cloud Native。而 Covid 的出現,造成的 WFH 和數位轉型的劇烈需求,更加速了這個各行各業對於雲端需求的 Momemtum。
過往,當企業在轉往雲端時,當然有非常多的 Concerns,其中一個無法避免的議題就是「資安防護」。而在雲端上的資安問題,和傳統 IT 上的資安問題,有什麼核心差異?而差異的來源又是什麼?
差異的來源來自:地端與雲端的 Infrastructure 上的結構徹底不同。前面這句話似乎有講沒跟講一樣,不過簡化而言,傳統本地伺服器,在基建結構上較為固定,而雲端更為動態和具有變化性。
傳統 IT 環境像是一個已經搭好並且固定的集中式樂高城堡:這個固定城堡大多由伺服器、虛擬機和網絡設備所建構而成,這類設備被更換的頻率較低,因此傳統 IT 的資安方案更多是在建立一條「護城河」,來保護本地伺服器與組織的相關設備來抵擋外面的威脅,常見的手段像是防火牆、端點安全(Endpoint Security)、物理安全,來進行內部與外部網路隔離。這類型的解決方案更常是透過手動或批量的方式去進行防護部署。
雲端環境像是隨時可以變化型狀的分散式樂高世界:雲端興起後,除了不再需要使用本地伺服器之外,有了更多可以靈活建造軟體服務的技術,如:虛擬機、Container、Serverless、API 、Microservice 等工具,因此能實現雲端的優勢「彈性」和「擴展性」,進而達到可以在短時間內進行動態調度與管理。因此相對來說,雲端世界更像是能靈活變換形狀的分散式樂高世界,可以隨時拆掉、重新建造,還可以用新的樂高來加大、改變形狀。有時候只需要很多房子,有時候只需要幾個小房子。正因為他如此的動態且多樣化,四面八方都有可能成為被攻擊的地方,甚至連攻擊手段也會不斷變化。因此傳統僵化的「護城河」防護手段,並不適用在雲端世界。雲端世界,需要一個更「自動化」、「實時化(Real Time)」的方式進行各種防護檢查,以便在短時間內能確保其安全性。
而除了上述 Infrastructure 結構的不同以外,雲端的出現也改變了組織內部的產品開發流程之外,因此也會進而影響到公司建立防護資安的組織體系。怎麼說呢?過去在本地伺服器的環境之下,資安團隊透過集中式的方式來確保環境的安全,而在雲端的時代,每個開發團隊都能自行選擇較適合的工具與基礎設施,這就會產生新的漏洞和風險,因此資安該如何更加整合進成為開發流程的一環,並且打破應用程式開發、雲端架構和安全營運等不同團隊的界線,對於公司而言是一個非常關鍵的議題。而這個挑戰也變成了 DevOps 賽道的一環,稱為 DevSecOps(Development Security Operation)。
Wiz 怎麼看見機會的?
當 2020 年 3 月時 Rappaport 決定離開 Microsoft,再度成立一間屬於他們的新創公司時,他們本來是想做下一世代的 Network Security 公司。
然而,受惠於「Covid」爆發了,讓人們有了更多待在家的時間,Wiz 才得以可以以每天打十幾通電話給他們的潛在客戶 CISO ,來了解他們目前的痛點。(CISO 通常是組織中負責打造資安系統的最高層級人物。在美國規模較小的公司中,他們每年會負責數十萬美元的預算,在大型組織中,預算甚至可能達到數百萬美元。)
這時,他們才發現,雖然資安長們對於他們的 Network Security 方向感到讚譽有加,但當 Wiz 團隊問起資安長們下一步該如何進行時,沒有人可以告訴他們答案。而這背後的原因是:公司不了解自己的雲端也沒有很好的 Visability,因此無法判斷他們的方案是否可以整合進去他們的雲端環境。所以 Wiz 開始 Pivot 成主打 Visability 的 Cloud Security 方案。
「幸運的是」,他們在 Covid 期間推出的是雲端安全生意,被 Assaf 認為以事後之名來看是最棒的 Timing,無數的大公司自動湧向雲端和數位轉型,這促成了一個很棒很棒的市場:不需要教育需求、超級大市場、超級高預算。
雲端不是很久了,為什麼還有這個機會?
你說的沒錯。Assaf 當初也是這樣想的,他本來以為問題早已被解決。不過根據和 CISO 訪談過後,才發現雖然市面上確實早已有了 Cloud Security Posture Management(雲端安全狀態管理,CSPM)產品,其價值主張是進行雲端基礎架構的安全管理自動化,主要是會監控雲端環境中的配置問題、合規性問題和潛在漏洞。
但當時市面上產品的最大的缺點是由於並非是雲端原生,且架構十分複雜、彼此互相獨立作業,雖然解決方案能夠識別風險,但卻創造了太多警報,反而讓組織無所適從,而這就是 CISO 最大的痛點。 CISO 覺得他們雲端安全程式一直處於有漏洞的狀態,但使用的安全防護方案實際上並未真的有效降低了風險,甚至還造成了開發團隊與資安團隊之間的衝突關係。另一方面,則是雖然雲端的發展已數十年,多雲環境成顯學,但資安團隊卻在仍然無法在「單一管理平台中」查看所有的雲端伺服器的狀態。
而 Wiz 意識到,他們要解決的第一個問題是要讓客戶能夠以現代發展的速度來有效幫助客戶了解其雲端配置並降低風險。
Wiz 如何做到這件事?:無代理掃描
要進行資安防護的第一件事,就是要了解你的各式設備和環境設定。Wiz 的 Agentless Scanning 可以透過 API 或共享客戶的 Azure 及 AWS 的權限等方式直接用 Cloud Native 的方式整合客戶的雲端環境,在 15 分鐘內就能安裝完畢,便能開始監控相關的漏洞風險。相較之下,傳統的做法是透過 Agent Scanning,需要透過手動一一將掃描程式單獨部署到一個個設備上,因此想當然這種做法耗時、耗力,還要獲得多個團隊的准許,因此要能實現 Time-to-Value 的過程會拉得非常長。
而奠基於無代理掃描,Wiz 還提供了一個可讀性非常高的全面俯瞰各環節風險的簡單圖示化介面,並能根據上下文(Context)來為風險等級對漏洞進行優先排序,因為安全團隊最不需要的就是另一份落落長的漏洞清單,他們需要的是知道什麼是最危險、影響畈位極大的漏洞。舉例來說,若有某個漏洞並未連結到網路或沒有連接到敏感數據,那麼照理來說其漏洞風險就會較低。Wiz 也能更好地識別淺在的攻擊路徑,並透過圖示方式來顯示出哪些資料庫與潛在漏洞有所連結。根據 Software Analyst Cyber Research 的分析,其實當時市面上也有一些競品同樣採取了一樣的 Agentless Scanning,但大多仍強調的是單點的漏洞,而不是針對 Context 來進行漏洞風險的排序。
同時,也因應雲端資安將會從資安團隊集中管控到由開發團隊支援的趨勢,Wiz 不只讓解決方案的買家(資安預算的掌管者)安心,Wiz 也讓其實際的產品終端用戶(開發人員)可以快速識別關鍵的議題並知道該在哪裡花時間修復漏洞。Wiz 於此賽道的成功體現在,有超過一半的實際 Wiz 使用者事實上根本不是資安團隊的成員。Wiz 的 VP of Product 認為,讓他最自豪的地方是「開發人員登入 Wiz 並且解決問題」,而這也是他們去衡量產品的黏性的主要方式。
為何 Wiz 可以成長的如此之快?
如上一段所述,Wiz Time-to-Value 如此的快,才能使其在公司成立初期便拿下了多家 Enterprise 的訂單。這也算是呼應了 Rappaport 在 Microsoft 學習到的經驗,如何能快速的進行部署,並實現非常快的 Time-To-Value。而只要能協助公司成功抓到一個價值連城的漏洞,那麼對於公司來說就是非常划算的生意。
知名的對沖基金 Bridgewater CISO 在 2021 年簽了當年 Wiz 最大的多年合約。因為 Wiz 在短短一週內幫他們成功抓到了那個 Log4j 的漏洞,這個可能會使他們損失 $100b 的漏洞。
“A bunch of people had the tools, but to deliver ROI almost instantaneously, no one else was there.” He says the investment paid for itself in just one week when it helped Bridgewater identify multiple exposures to a zero-day vulnerability called Log4j, a “potential digital Covid” that threatened to expose its $100 billion–plus in assets to cybercriminals. (Source: Forbes)
當然我們不能忽視,Wiz 作為一創立便成功擁有 Sequoia Capital, Index Ventures 還有一家以色列資安專注的 VC Firm Cyberstarts 等知名投資人,自然是連結了非常多資安相關的領域專家或潛在客戶給他們,這也給他們了在冷啟動上勝於其他競爭者的優勢。使其能擁有許多著名的早期客戶,包含 Fox, UiPath, Salesforce, Blackstone, AON 等等。
而一旦拿下大 Enterprise 訂單後,更能有效幫助 Wiz 更深入瞭解複雜的大企業雲端架構,進而創造出更適合 Enterprise-grade 的產品。除此之外,能符合 Enterprise-Grade 的產品自然也會「口耳相傳」,據 Cofounder 所說,他們早期不做太多的行銷活動,更多的還是靠著 Inbound 而來的需求。
另一個關於他們成長飛快的線索,也許可以從他們在非常早期就招募 Colin Jones 作為他們的 CRO 這點來觀察。事實上,這件事情在矽谷生態中是非常不常見的。為什麼呢?
根據 Index Venture Partner 的分享,在矽谷 B2B Software 的 Sales Playbook 當中,典型早期新創建立業務團隊的方式是:
先確認 Founder 是否能成功銷售出產品,最好是至少可以賣到 20 個客戶以上
若達到第一點,再開始招募 1-2 位業務來嘗試販賣產品,以此來驗證是否公司產品只有 Founder 才賣得出去
若業務可以成功進行銷售,那麼開始找 Sales VP 來建立起整個業務團隊
業務團隊建立後,開始建立並擴大銷售渠道
而 Colin Jones 在 Wiz 約 ARR 僅為 $1m 的時候加入,單就營收規模來說以 B2B 資安公司來說這完全說不上是已到了 PMF 的規模,甚至連他的 Mentor 也都建議他先不要加入(他們普遍認為 B2B 產品要到 $10m ARR 才算是有 PMF 的程度),在這時候加入是和傳統做法十分不同的。
而 Colin 加入後,做的第一件事情也不是招募 Sales Rep 趕快來進行產品銷售,而是招募 Sales Operation 來為產品銷售打好銷售的基礎、系統和流程,來為日後擴大規模做好系統化的準備。Colin 特別強調了在他後續召募中,他極力確保在推動銷售方面需求時,也能投資幫忙業務的營運部門上。(可惜的是,我從 Desktop Research 當中,無法知道 Colin 打造的 Sales Infra 具體而言是指什麼)
原先 Wiz 在對 2022 年設定業績目標是為 $8m,並且 Revenue Org 當中規劃是僅 22 名成員,但最終的 2022 年成績是 $40m,並有著破百位的成員。他也成功帶領了 Wiz 在 27 個月內突破了 $200m ARR 的成績。
持續擴展的資安賽道:具備成為平台的 Product Expansion 潛力
資安行業博大精深,本來有很多相近領域可以進行延伸與做得更深。造成細分領域的領跑者者們從單一產品導向,變成需要滿足客戶在資安上各式各樣的需求,自然而然開始走在平台化的路上。而以一個 All in one 形式的平台來服務客戶,也是較為有效率的做法。
很自然地,在不到五年的時間內,Wiz 的產品已經遠遠不止是 CSPM 的範疇而已,而是興起了一波 Wiz 帶領的 CNAPP (Cloud Native Application Platform)大趨勢。有可能是巧合,也有可能是英雄所見略同,CNAPP 這個詞在 Wiz 成立的第二年時,首次被 Gartner 提出了。
根據 Gartner 2021 年對 CNAPP 的定義為一套能幫助保護雲端應用程式的開發和產出過程中安全和合規平台,涵蓋了整個雲端應用程式的生命週期。具體相關功能範疇除了 Wiz 的起家產品 Cloud Security Posture Management(CSPM)之外,還包含了 Cloud Workload Protection Platform、Container & Kubernetes 安全、身份與存取管理和合規管理。後面這幾項,也都是目前 Wiz 有提供的解決方案。
我想這可以給我們一個巨大的啟示是,能成為平台的公司,他們初期的目標絕對不是「做」一個平台,而是先從成功建立一個能有超大使用量匯聚的 Vertical 產品開始的。(這也是呼應了 Elad Gil 的這篇關於 Platform 的文章)
當然未必每一個新的延伸都是由內而外有機開發的。在大膽拒絕 Google $23b 的收購邀約之前,Wiz 也融了一輪天價金額 $1b 來作為收購其他公司的銀彈費用。為了速度 Wiz 已在 2023 年底開始陸續收購了兩家以色列公司,分別如下。
Gem: Wiz 花了 $350m 收購,Gem 的強項在於能實時化的進行多雲的雲端偵測和修復(Cloud Detection and Response, CRD)。
Raftt: Wiz 花費 $50m 收購的 Raftt,則是一個基於雲端的開發者協作平台,Raftt 的加入可以幫助 Wiz 開發更安全地 Code Security 功能
…剩下的是關於 Cystarter 遊走灰色地帶、Orca 提告 Wiz 的抄襲官司風波
Cystarter 風波
Cystarter:是一家 Israed-Based 且專注投資資安領域的 Early-Stage VC Fund。Gili Ra’anan@Founding General Partner 也來自於以色列 8200 部隊,並成功出場了一家資安新創。他 2009 年時加入了 Sequoia Capital 並主導了對 Adallom(Wiz 創辦人們的前一家公司)的投資。之後自行成立了 Cystarter,目前在 22 個投資組合內,已經產出了 4 個獨角獸
為何基金如此成功?是否是因為遊走在灰色邊緣?:根據 CalTech 報導指出,Cystarter 邀請非常多 CISO 作為他們的產業顧問,並透過某種形式上的對價關係,來給予採購其 Portfolio 作為解決方案的 CISO 獎勵(基金的股份)。
Source: https://www.calcalistech.com/ctechnews/article/b1a1jn00hc
Orca 提出 Wiz 侵權訴訟
Orca Security: 2019 年成立的以色列雲端資安公司,基本上產品價值主張和 Wiz 是大同小異。Orca Security 提出 Wiz 剽竊他們的智慧財產權。Co-Founder Avi Shua 指出他曾在 2019 年五月和當時還在微軟的 Wiz 團隊們分享了 Orca 的新型無代理雲端安全產品,結果過沒幾個月後 Wiz 團隊就離開微軟並做了一模一樣的東西。
Source: 想看完整起訴書(?)可以點這
Reference
https://www.forrester.com/blogs/wiz-acquires-cloud-detection-and-response
specialist-gem-security-to-round-out-cloud-security-portfolio/
https://www.wiz.io/blog/wiz-acquires-gem-security-to-reinvent-threat-detection-in-the-cloud
https://medium.com/lightspeed-venture-partners/investing-in-wiz-435cf27ddf76
https://www.calcalistech.com/ctech/articles/0,7340,L-3904610,00.html
https://www.signatureblock.co/articles/why-they-invested-wiz
https://openviewpartners.com/blog/category-creation-wiz-hit-100m-arr-in-only-18-months/
Wiz's $100M ARR Sales Journey: Insights from CRO Colin Jones (Behind the Scenes)
SaaStr CRO Confidential: Principles that Drove Wiz’s $0 to $100M Journey | Wiz CRO Colin Jones
True Story: What Breaks Going from $0-$100M ARR in Less Than 2 Years with Wiz CRO Colin Jones
Podcast: The Full Ratchet (TFR), 374. Key Drivers in Cloud and Security, Wiz's Unconventional GTM Decision, Insights on Earnings Predictability, and Lessons from Datadog, Discord, Slack and Coalition (Shardul Shah)
FENtastic Music
若大家有想多深入了解的公司,也歡迎留言!
FENtastic insight!!!