前言

毫无疑问,疫情是2020年最大的关键词之一。受疫情影响,全球经济形势不容乐观,网络安全产业也受到了一定的波及,增速放缓。Gartner数据显示,2019年全球网络安全行业市场规模达1244.01亿美元,同比增长9.11%,而预计2020年的市场规模应该在1278.27亿美元左右,增长幅度远远小于2019年,几乎持平。

在这样的背景之下,网络安全产业的资本运作活动竟然没有受到过多影响,远程办公、数据合规、隐私保护、万物互联等新场景的涌现,为网络安全创业和资本市场带来了新鲜活力。而从投融资市场的表现来看,包括Insight Partners、红杉资本、Accel、Bessemer Venture Partners、Sequoia、Bain Capital以及国内的奇安创投等多家投资机构,都有大手笔的资本运作。

而在二级市场,根据公开数据统计,截至2019年12月31日,106家上市公司的市值总和(下述简称为“整体市值”)达38755.87亿元人民币,同比增长29.12%。截至2020年12月31日,整体市值达47101.61亿元人民币,同比增长21.53%。

图1 网络安全上市公司市值变化情况

01 2020年全球网络安全领域投融资整体情况

实际上自2016年以来,全球累计投资网络安全公司的数量在10家以上的投资机构就超过15家。仅2020年,网络安全投融资市场至少发生了232起融资并购额度相对较大的事件(本文收录过程中难免疏漏,敬请谅解),其中国内77起,占比33%,国外153起,占比67%。

在资金规模方面,全球网络安全产业投融资及并购总金额约为244.861亿美元(部分融资并购事件并未披露财务细节,因此只统计已公开的财务信息,下同),其中国内的金额约为22.912亿美元,国外约为221.949亿美元(美元人民币汇率取1美元≈6.5元人民币),占比分别为9%和91%。比例分布图如下:

图2 国内外投融资事件数量分布情况,公开资料整理

图3 国内外投融资额度分布情况,公开资料整理

与此同时,根据投融资类型对本文收录的事件进行划分,上市事件有3起,并购事件31起,融资事件208起(如下图所示)。其中,值得关注的是“网安一哥”奇安信在2020年登陆中国的上海证券交易所科创板,并且市值一度突破900亿元大关;而国际知名反病毒厂商McAfee也在美国的纳斯达克证券交易所再次上市,募资7.5亿美元;数据存储和灾备公司Veeam则被股权私募公司Insight Partners以50亿美元并购,创下2020年网络安全领域并购额度之最。

图4 投融资类型分布情况,公开资料整理

进一步从细分领域来看,较为热门的主要包括云安全、应用安全、身份安全、检测与响应、数据安全、安全服务、工业安全和业务安全等,事件数量及额度分布情况如下图所示:

图5 细分领域投融资事件分布情况,公开资料整理

图6 细分领域投融资额度分布情况,公开资料整理

02 2020年全球网络安全领域投融资整体特点

第一,疫情催生的新场景带动了新一轮网络安全风投热潮。远程办公需求的激增,是疫情给企业机构带来的最大变化之一,因此针对常态化远程办公或者远程访问场景的安全防护企业受到了资本圈的重点关注。

众所周知,远程办公必然会涉及到大量的自有设备,如何确认连接企业网络的设备、人以及对应的操作是否安全,成为了最受关注的话题。这一点在身份管理与访问控制领域得到主要体现,根据本文收录的身份安全领域融资事件的数量,2020年比上一年增长了近100%。获得融资的企业当中,做身份认证及管理的企业占据了绝大多数,其中多因子认证、基于用户实体行为分析的身份认证已经成为主流。

值得关注的是,“零信任”的架构体系已经深入网络安全管理的各个环节,开始进入规范化、落地化发展阶段。继NIST推出《零信任架构》标准之后,由奇安信牵头的零信任国家标准也正式启动,并在2020年已经出现了相对较为细分的、可落地的解决方案。这相比于2019年,取得了很大的进步。

第二,头部IT巨头的并购脚步逐步放缓。回顾过去两年,IT巨头们的资本动作都十分活跃,尤其是在云安全和终端安全两大领域,微软、VMware、博通以及国内的阿里等企业都出手运作了大额并购事件,而且PaloAlto、Fortinet等老牌安全厂商也不遑多让,赛门铁克旗下企业安全业务更是卖出了107亿美金的天价。

然而2020年行业巨头们似乎变得“安静”不少,或许是受到了经济形势不景气的影响,他们不得不握紧拳头,更加专注于主营业务。那么,2020年国际上仍然出现高达数十亿美金的并购事件是怎么回事?其实这基本都出自股权私募公司的手笔,并不涉及过多的产品或者业务整合。

放眼国内,阿里、腾讯等头部互联网公司也没有太多动作。不过,360的资本动作倒是不少,包括全资收购瀚思、增持山石网科等等,在2C业务不断萎缩的窘境下,360试图通过并购整合而更加深入到客户现场,将其核心安全大脑能力与安全运营打通。

第三,安全合规使得数据安全和个人隐私保护成为香饽饽。这源于疫情也引发了公众对于个人隐私保护方面的担忧。一方面,疫情期间有网络犯罪团伙想“浑水摸鱼”非法获利;另一方面,新技术手段被用于抗击疫情,大量个人信息被收集利用从而导致个人隐私风险骤然增加,并且不断有个人隐私泄露事件被曝光。

与此同时,伴随着CCPA的正式实施以及国内的《数据安全法》、《个人信息保护法》等法规草案的亮相,安全合规将大幅提升政企机构对于数据安全和个人隐私保护领域需求。私募公司Insight Partners斥资50亿美元巨资,收购了数据存储和备份公司Veeam,显而易见的是,该领域引起了各大资本的高度重视,

第四,检测与响应领域热潮不退。不论是2019年还是2020年,从资本交易事件数量可以看到,检测和响应都被当做企业的重点战略,这主要是因为过去几年安全事件频发,投资机构、企业和各类组织的管理层都认识到了安全没有银弹思维。他们希望寻找某些基于端点、基于网络或者基于用户的方法,去获得持续的高级威胁检测、调查和快速响应的能力。就这一点来看,在未来的一段时间内,检测和响应依旧是投资机构追捧的热点。

第五,中国网络安全企业或步入千亿市值时代。2020年,网络安全行业还发生了一件大事,奇安信正式登陆科创板。过去,网络安全头部公司的市值均在二三百亿上下,尽管深信服的市值突破千亿元大关,但其网络安全收入仅占据总收入的60%左右。而奇安信登陆科创板后的第二个交易日,市值便一度超过900亿元,并于近日再度突破900亿的关口。容易预见,随着网络安全市场规模的快速提升,以及资本市场对于行业形势的看好,奇安信市值突破千亿元是大概率事件。

03 2020年全球网络安全投融资细分领域解读

  • 云安全:云原生引发原生安全投资热潮

先看一组数据,2020年全年本文共收录了云安全领域投融资事件20起,其中国外18起,国内2起。融资额10.5345亿美元。具体如下表所示:

表1:云安全领域部分融资并购企业情况

以上数据其实说明了经历长时间的发展,云上的安全市场已经变得相当“拥挤”。一方面,过去十年间,大量的云安全初创公司不断涌现,另一方面传统安全公司也在朝着云的方向转型发力,阿里云、腾讯云也在依托云上基础设施的优势,扩大自身在云安全领域的版图。从这个角度来看,想要在云安全领域扎根,获得资本市场的认可,对于初创安全公司而言,难度很大,尤其是在已经相对比较成熟云上基础设施安全防护方面。

但在2020年,云原生应用彻底火了,这给了从事云计算的企业大量机会。相应的,云上的安全防护也朝着云原生应用方向偏移。从技术角度来看,以可视化、微隔离、CWPP等技术,实现云上虚拟主机、容器主机等相关工作负载及云原生应用安全防护的企业,获得了资本较多的青睐,这也符合云计算、云安全技术的发展趋势。我国主机安全明星企业青藤云安全也在完成融资后表示,要全力支持容器安全等相关领域的研发工作。

同时,随着云原生应用的兴起,政企机构对于云原生的灵活性、高弹性和高扩展性的需求显著提升,使得安全厂商们必须能够提供一种能够跨应用、平台、多云、混合云的安全管理能力。例如,JupiterOne宣称可通过与数十种服务和工具(包括Amazon Web Services,Cloudflare和GitLab)集成并进行集中化安全管控。

  • 终端安全:市场趋于平稳

2020年,终端安全领域共发生投融资事件9起,其中国内1起,国外8起,融资额度共计18.1亿美元。

表2:终端安全领域融资并购情况

回顾前几年的概念炒作和资本的疯狂加持,终端安全经历了一个相当疯狂的时期,基于终端的检测技术(EDR)大放异彩,诞生了诸如CrowdStrike、Carbon Black(后被VMware收购)等若干明星终端安全企业,并且形成了终端管控(包括补丁分发、终端准入、资产核查等)、反病毒以及EDR三大技术模块。

与往年不同的是,2020年并没有出现数十亿美金的大额收购或者融资事件,能够吸引人眼球的仅仅是老牌杀毒软件公司McAfee在纳斯达克二次上市。一方面主要是由于经过几年的并购整合,各大行业巨头在终端安全领域的布局已经基本形成;另一方面,终端安全的技术发展(概念炒作)已经进入了一个“瓶颈期”,EDR技术只能针对终端行为进行检测,并不能还原整个攻击全貌,并且具备一定的误报率。

因此,通过技术创新,同时联动NDR、威胁情报能力去降低EDR的误报,仍然能够吸引资本的目光,如Deep Instinct与Dtex这两家企业,都将提升检测能力、降低误报率作为自己的核心竞争力。

值得关注的是,一年两度获得融资、融资额超过4亿美元的SentinelOn,以及获得1.5亿美元融资的Tanium这两家公司都具备相当强大的统一终端安全管控能力,能够在负载IT环境下,将物理终端(包括IoT设备)以及云上工作负载(虚拟主机、容器主机)等纳入统一保护范畴。这说明,终端的统一管控仍然具备明显的市场空间。

  • 检测与响应:检测与响应深度融合,安全运营更进一步

在检测与响应领域,本文共收录投融资事件35起,国内10起,国外25起,融资并购金额为12.055亿美元。

表3:网络安全检测与响应领域融资并购情况

从2015年到现在,检测与响应就是网络安全里最活跃的细分领域之一,颇受资本市场的青睐,市场也在持续扩大。根据第三方咨询机构数世咨询的调研数据显示,国内2019年威胁检测与响应(TDR)规模约在19亿元左右,2020年预计能达到26亿元左右,预计2021年能增长至39亿元左右。

随着攻击技术的不断进化,相应的检测与响应技术同样也会与时俱进,能够预见的是,在未来几年,该细分领域依然是技术创新的主战场。从2020年获得融资的企业就能够看出几个特点。

其一是检测技术本身并没有突破式创新,但收集数据源的扩大让产品更加接地气。譬如国内的初创公司赋乐科技,实现了针对全流量的检测与分析;国外公司Abnormal则通过API接口,独特地分析关于人,人际关系和业务环境的各种数据集,阻断社会工程学攻击。

其二是基于云的检测模式正在成为主流。云计算带来的巨大算力优势,为海量数据分析提供了更多空间,这也是越来越多厂商选择向客户提供SaaS模式的产品的原因。这一点在SIEM这款产品上体现的尤为明显,Devo、Panther Labs等厂商都能够向客户提供基于云端的SIEM产品,用于处理海量的日志和安全事件。

第三是检测与响应技术的深度融合。检测与响应本就应该是一体,但近些年来,人们对检测技术十分重视,相比之下响应环节发展较为缓慢。不过,2020年出现了一个好现象,检测与响应技术正在深度融合,这将带动安全运营进入一个新的台阶。主要表现在以微步在线为代表的威胁情报供应商,正在整合优势能力,朝着综合性的检测响应服务提供商迈进;SOAR技术受到资本的高度重视,他能够与SOC、TDR设备联动,推动事件响应从手动挡朝着自动挡发展;第三,部分厂商正在将威胁检测团队与安全服务团队进行整合,例如FireEye收购XDR提供商Respond,与旗下事件响应团队Mandiant进行了深度整合,另外国内安全公司奇安信也将自身的威胁检测团队天眼与安服团队进行了整合。

  • 身份安全:远程办公需求猛增,身份安全更加场景化

在身份安全领域,本文共收录投融资事件38起,其中国内12起,国外26起,融资额度为16.955亿美元。

表4:身份安全领域融资并购情况

2020年,零信任已经不再是一个新词,但人们对它的关注度却并没有下降,反而因远程办公需求的激增而不断上升。值得关注的是,国内出现了不少基于VPN的供应链APT攻击事件,这更加大了人们对于零信任网络的呼声。Gartner观点认为,2023年将有60%的VPN被零信任取代。正因如此,今年涌现了一大批以零信任思想来实现身份认证与访问控制的的初创公司,并获得了风险投资机构的早期投资(主要集中在B轮及以前)。

从技术角度来看,收获融资的企业更加注重其产品和解决方案解决问题的能力,因此更加场景化。例如,Edgewise更加注重软件和API的身份安全,Preempt则主要针对流量进行反复的分析验证。

同时,零信任思想与安全访问服务边缘(SASE)设备的整合,也受到了投资机构的高度关注。例如,Perimeter 81是SASE提供商,其以用户为中心的安全网络即服务使企业能够使用云服务来保护对本地网络资源简化了远程和移动员工的网络安全性;Palo Alto 4.2亿美元收购CloudGenix,用于加强SD-WAN方面的能力。这一点与Gartner的看法一直,它认为安全和风险管理领导人应试点零信任项目以作为SASE战略的一部分,或迅速扩大远程访问。

除创业公司之外,部分头部安全企业也推出了可落地执行的零信任解决方案,如奇安信推出了零信任远程访问解决方案。相信随着国外NIST《零信任架构》标准和国内奇安信牵头的《信息安全技术 零信任参考体系架构》的落地实施,零信任的发展会进入到一个全新的局面。

  • 数据安全:隐私合规迎来大爆发

在数据安全领域,本文共收录投融资事件35起,其中国内15起,国外20起,融资额度共计69.685亿美元。

表5:数据安全领域融资并购情况

2019年,技术突破已经不再是数据安全保护的主旋律了,取而代之的是风险合规。GDPR、CCPA等法案的影响范围持续扩大,在2020年合规驱动迎来了大爆发,几乎所有获得融资的企业都在宣称自己可帮助组织满足各项法规的要求。在国内,App对于个人隐私的过度收集也成为了一个突出的问题,工信部在历年净网行动中,也下架了大量的App并责令整改。但针对App隐私合规领域,国内并没有诞生明星初创公司,主要是头部安全企业依靠优势资源,为政企机构提供App隐私检测的服务,例如奇安信在疫情期间推出的App隐私合规检测服务。

需要注意的一点是,2020年开始出现了一些针对垂直行业的数据合规方案提供商。例如,Visa投资的VGS专注于金融数据的合规,而国内翼方健数更专注于医疗数据的合规。这些都说明数据安全合规的市场正在走向成熟,因为敏感数据的行业属性非常鲜明,需要更加垂直、更加懂业务的公司,去做更专业的事情。

还有另外一个领域值得重点关注——容灾备份,在这个细分领域也诞生了2020年度最大额度的单笔收购:股权私募公司Insight Partners 50亿美元收购Veeam。容灾备份对于保证业务连续的重要性不言而喻,它能够帮助企业防范两类风险:第一类是内部的恶意删除数据事件,例如微盟数据库被删导致服务宕机;第二是外部攻击导致数据丢失或者加密,主要是勒索病毒攻击。勒索病毒已经活跃了很多年了,大家都对其恨之入骨,有数据显示,从2019年第二季度开始,针对企业的勒索软件攻击数量首次超过了针对消费者的数量。很明显的是,黑产集团盯上了更具攻击价值的企业级终端和服务器。

因此,政企机构要想对付猖獗的勒索攻击,除了部署相应的入侵检测和反病毒手段之外,还必须要做好严格的容灾备份服务(例如两地三中心),从而保证在攻击到来之时保持业务和数据的连续性,避免被勒索。对于专业的灾备公司而言,想要获得客户和资本市场的认可,和阿里云、腾讯云以及华为这样的头部科技巨头竞争,必须得在灾备恢复技术上有较为明显的优势。

  • 安全服务:创业公司百花齐放,国内市场蓄势待发

在安全服务领域,本文共收录投融资事件27起,其中国内10起,国外17起,融资并购金额为17.87亿美元。

表6:安全服务领域融资并购情况

受疫情影响,大量的安全服务工程师不能驻场为客户提供支持,因此全球范围内安全服务市场都不算景气。尤其是在中国,IDC数据显示,2020上半年中国IT安全服务市场厂商整体收入约为5.72亿美元(约合40.23亿元人民币),厂商收入规模较2019年同期下降27.7%。

实际上,由于缺乏资金预算和足够的网络安全专业人才支持,大部分客户都希望网络安全厂商能够提供替自己解决所有的安全问题,而不需要自己过多干预。或许正是由于疫情的影响,让市场更加意识到安全服务的重要性,同样资本市场也注意到了这一点,因此安全服务领域的投融资热度并没有因此下降,反而呈现出百花齐放的态势。获得融资的企业覆盖了渗透测试、漏洞管理、MDR、咨询、教育培训、保险等各个领域。其中,基于云的全生命周期托管检测与响应更加受到关注,因为它摆脱了对于驻场安全工程师的依赖。

与全球市场不太相同的是,国内的网络安全市场仍然以软硬件的销售为主。IDC数据显示,国内安全服务市场占比仅为20.5%。但能看到的是,国内创业公司也开始跃跃欲试,以漏洞众测为核心业务的斗象科技已经连续两年获得融资,为保险业提供安全测试服务的源堡科技一年内完成了两轮融资。

另外还有两块业务值得重点关注。一个是网络安全靶场。由于近些年来实战攻防演习对于网络安全建设的巨大促进作用,网络靶场越来越受到政企客户的重视,国内初创公司永信至诚、赛宁网安均在该领域卓有建树,能够让网络安全竞赛、攻防演习朝着常态化的方向发展,另外利用靶场进行安全意识、技能教育培训,也得到了资本和市场的认可。

另一个是安全咨询规划业务。尽管在国外已经有非常成熟的网络安全咨询服务提供商,例如德勤、毕马威等,但国内市场还略显稚嫩。但能够看到,在历年的实战攻防演习中,由于缺乏体系化的网络安全建设,防守方往往被打的“千疮百孔”,这更加体现了咨询规划的重要性。因此,能够为企业提供完整网络安全咨询服务的提供商北方实验室,得到了资本市场的认可。

值得关注的是,据介绍,奇安信基于内生安全理念,于2020年正式推出了内生安全框架。该框架从顶层视角出发,以系统工程的方法论, 解构出了面向数字化时代网络安全规划的“十大工程五大任务”,能指导不同行业输出符合其特点的网络安全架构,构建动态综合的网络安全防御体系。

  • 工业安全:资本市场需要注入新活力

在工业安全领域,本文共收录投融资事件9起,其中国内7起,国外2起,融资并购金额共计2.14亿美元。

表7:工业安全领域融资并购情况

2020年,受新基建加速的影响,工业互联网无疑是最热的话题之一,工业企业都在布局,为工业、制造业的发展配备上全新引擎,从而打造“新工业”。不过,由于工业网络长期处于封闭的状态,缺乏抵御病毒入侵的能力和相应的安全产品,近几年工业安全问题较为突出。

在巨大的风险面前,工业安全自然受到了资本的重点关注。但受制于工业安全本身的复杂性,创业公司想要闯出一片天地,难度不容小觑。从2020获得融资的企业来看,依然是2019年获得融资的那几家公司。(无论是在数量上还是金额上)

从产品层面来看,目前大家的产品并没有太大的差异化,主要集中在工业级的防火墙、网闸以及反病毒等网关类产品上,只有少数头部企业如奇安信、启明星辰等拥有工业级的网络监测和态势感知产品。目前,工业安全仍然处在一个相当初级的阶段,想要获得大量资本的进入,必须还能讲好一个“故事”,为资本市场注入新的活力。

  • 业务安全:风控与反欺诈一直在路上,业务安全走向深水区

在业务安全领域,本文共收录投融资事件9起,其中国内5起,国外4起。融资并购金额为3.723亿美元。

表8:业务安全领域融资并购情况

随着移动互联网和电商的蓬勃发展,线上消费、交易、增值服务逐步普及,薅羊毛、账号仿冒、刷单刷粉、恶意爬取等线上欺诈也疯狂涌现。欺诈团伙利用平台或业务漏洞,给平台和用户造成了不同的损失。数据显示,全球每年因在线欺诈损失超过500亿美元。并且,这种情况在国内更加普遍。

从融资企业来看,绝大多数企业都宣称运用了人工智能和机器学习的方法,建立风控与反欺诈模型,识别用户身份,从而降低业务安全隐患。有趣的是,2020年已经有部分企业开始专注于垂直行业提供风控方案,例如栈略数据专注于健康保险领域、Forter则专注于支付卡欺诈检测。

如果仅仅从融资方面来看,国内反欺诈公司的脚步要稍稍领先于全球。这主要得益于互联网金融、电子商务、短视频等互联网和移动互联网服务在国内的快速发展,风控与反欺诈成为了大量在线企业的刚需。而且随着5G在国内的普及,相信更多、更新潮的在线服务会迅速诞生,风控与反欺诈将会一直在路上。

  • 应用安全:云原生推动DevSecOps成为绝对主流

在应用安全领域,本文共收录投融资事件19起,其中国内2起,国外17起。融资并购金额为23.672亿美元。

表9:应用安全领域融资并购情况

受云原生大热影响,大量云原生应用不断被开发出来。与此同时,原生安全在本质上与奇安信提出的内生安全理念有着异曲同工之妙,要求将网络安全与信息化融合,从开发环节就注重安全设计。DevSecOps正顺应这样一个理念,它强调在 DevOps 计划刚启动时就要邀请安全团队来确保信息的安全性,并制定自动安全防护计划,实现持续 IT 防护,因此受到了投资机构的热捧。

从技术发展角度来看,无论是针对开发这的二进制代码漏洞检测,还是针对运维环节API和应用安全防护,自动化、人工智能等技术的应用,无疑会给客户带来更多价值。例如Signal Sciences可提供一个平台,允许客户对动态应用程序安全防护进行自动化测试;DeepCode则运用了AI,为客户提供了自动化二进制漏洞检测和修复能力。

  • 物联网安全:5G的商业化推动物联网安全加速落地

在应用安全领域,本文共收录投融资事件13起,其中国内6起,国外7起。融资并购金额为27.413亿美元。

表10:物联网安全领域融资并购情况

与2019年相比,本文收录到的2020年物联网领域投融资事件,无论是在融资总金额还是总数量上都有明显提升。需要注意的是,随着5G、IPv6的普及,物联网设备将会呈几何倍数的增长。与此同时,无论是针对物联网设备本身的攻击,还是利用物联网设备组成的僵尸网络发动DDoS攻击,都将会对生产生活造成不可估量的损失。

显然,物联网物安全具备广阔的市场前景,这也是投资机构看好该细分领域最重要的原因之一。从技术角度来看,绝大多数企业都将核心能力定位在针对于物联网设备的管控上,包括漏洞、状态、配置等全方位的管理。

例如,Sepio提供的服务是检测并缓解已连接到企业基础结构的任何恶意设备;Armis 能够监视全球数百万台设备,可提供对企业设备的可见性,识别风险和威胁。

  • 其它

相对于以上热门赛道而言,移动安全、电子取证等细分领域避险较为冷淡,且多为初创企业的早期融资,以及巨头们的“查漏补缺”。

另外,还有一类企业并不属于某单一细分领域,它们产品线较为全面,因此在本文中归类为综合安全,其中网络安全头部企业奇安信上市,在国内引起了较大的关注。

关于作者

魏开元,虎符智库特约作者、网络安全投资研究人员。

声明:本文来自士冗科技,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。