拾象云安全投资图谱：Wiz最快达到1亿美元ARR的来龙去脉

01.

为什么要关注

云安全态势管理

云安全是过去两年一级市场最大的安全融资主题之一 —— 最被一级市场看好的三家创业公司 Wiz、Orca 和 Lacework 在 21 年一共融了超过 20 亿美元，而且都享受着接近 100x 的 P/S Multiple。尽管我认为这个领域的估值充斥了太多的泡沫，但是不可否认云安全的确有让人兴奋的地方，其中 Wiz 和 Palo Alto Networks 这样拥有最佳执行力的团队正在将分散的云安全堆栈重新整合，并且进行一场激烈的 GTM 大战，哪怕仅仅是观察这个领域接下来的发展也可以获得一些案例式的启发。

我们整理的这张图显示出了云安全（本文讨论的云安全公司的基础业务往往是云安全态势管理，即 CSPM）在一个标准的企业型客户的安全基建中的位置：

它代表着正在崛起的安全预算

一旦企业上云成为 AWS、Azure、GCP 或是 Oracle Cloud 的客户，它们的每台虚拟机和每个云上资产平均每天都会有 100 个以上的警报出现，只要是托管了超过 15 个以上虚拟机的企业都会对云安全态势管理（下称 CSPM）感兴趣。这涵盖了开启上云战略的传统财富 500 强和第一天就基于云建立的 Cloud 100 及中型创业公司们。

在 IT 基建中，本地部署的部分只能每年获得 5% 以内的增长，而云还保持着 30% 以上的增长，并且有机会再持续 10 年。因此这部分安全预算靠云的渗透率和云安全的渗透率获得双重驱动。

麦肯锡的报告是一种粗略评估这个市场的方式，我更喜欢 Palo Alto Networks CEO 的这个估计思路：

1. 保持 20% 左右的增速，未来 5-8 年，公有云市场将会增长到 1 万亿美元，目前 Palo Alto Networks 每年自己在公有云上的支出都有 2.5 亿美元；

2. Palo Alto Networks 自己愿意为云安全整体支付 1000-1500 万美元，也就是云支出的 5-7.5%（Wiz 和 Orca 也倾向于通过公有云支出的一定比例来估算 TAM，鉴于这些公司的定价方式都是通过云上工作负载的数量，这么估算还是合理的），并相信客户也愿意掏这么多预算，那么市场的终局 TAM 是 500-750 亿美元；

3. 公有云厂商提供的安全能力有机会捕获一半的价值，未来 10 年云安全独立供应商的市场机会在 250-375 亿美元；

4. 目前云安全的市场大约 20 亿美元，未来 10 年 upside 的 upper bound 是 17x，lower bound 是 10x（细化到年对年增长，我们认为可以参考公有云的 20-30% 增速，头部供应商通过抢夺份额可以获得更快的增速，比如 Palo Alto Networks 的云安全产品 Prisma Cloud 的增速在 50% 左右，预计未来 12-18 个月达到 10 亿美元的 ARR，Lacework 声称在去年 Q3 有超过 100% 的增速，而 Wiz 在去年实现了超过 300% 的增长达到 1 亿美元 ARR）。

以全球第二大薪酬和人力资源公司 Paychex CISO 对预算的估算也显示出这种双重驱动的特点 —— Paycheck 是 Lacework 的客户，公司业务本身每年有 8% 左右增长，本地化向云迁移有每年 8% 左右的增长，所以在 Lacework 不提价也不交叉销售的情况下，给 Lacework 的开支每年有 16% 的天然增长空间。而 CSPM 在大型企业客户侧的典型订单通常在 50 万美元以上，比如 JP Morgan 为 Lacework 每年支付超 110 万美元，EA 每年为 Wiz 支付超 80 万美元。

它有机会成为云时代企业安全的中枢型平台

CSPM 往往是企业建立云安全基建的第一步，并且是安全团队（某些情况下是 DevSecOps）每天最高频打交道的工具。

一旦企业开始将重要的工作负载转移到云上，它们会首先寻找 CSPM 来解决：

• 可见性的问题，比如 JP Morgan 采购 Lacework 的核心原因之一是它们采用了混合云策略，同时使用了 AWS、Azure、GCP 和阿里云，需要通过 CSPM 来对混合云的环境进行扫描以获得全面的视角；

• 审计的问题，上云意味着一种新的处理数据的方式，需要在云上满足对 SOC 2、ISO、NIST、GDPR 等一系列合规框架以及企业内部的风险管控；

• 修复高危问题，在缺少可见性的情况下，企业会忽略很多已有的风险暴露，CSPM 可以帮助它们发现这些问题和它们的优先级。

而一旦企业使用了以 CSPM 为核心的云安全产品，由于云上复杂的安全态势，它往往会成为最高频被使用的安全工具（最起码每 24 小时要扫描一次）。EA 对 Wiz 的评价是“很难想象没有它的日子”，Yotpo 则将它和 CrowdStrike 评价为使用频率前两名的工具。

鉴于安全领域的工具整合趋势，这让 CSPM 工具有机会变成云安全平台，这也是目前各大公司的战略（如我们一开始的图片所示），从 CSPM 和 CWPP 延伸到 API 安全和 Shift-Left 安全，从而为公司提供云上存量资源的保护，以及从第一行代码到代码最终被部署和运行的保护。

侧面印证这些点的事实是，在安全领域最有野心的上市公司都将云安全视作它们未来战略的重要组成部分：

• Palo Alto Networks 在 2018 年从软银迎来现任的 CEO Nikesh 后就开启了云安全的买买买，先后收购了 Evident.io、Redlock、Demisto、Twistlock 和 Bridgecrew，通过横向收购缝合出了提供完整云安全能力的 Prisma Cloud，这是它增长最迅速的产品线；

• Zscaler 正在构建完整的 Zscaler Cloud Security Platform，尽管在 CSPM 领域的进展似乎没有 CASB 方向那么亮眼，但是也有自己的解决方案；

• 类似的“卷王”CrowdStrike 和 Datadog 则基于其已有的代理或是在企业数据堆栈中的位置纵向拓展，分别在 20 和 21 年推出了其 CSPM 模块。

02.

云带来了什么样的

安全变化

从本地化到云上所带来的变化值得写 10 万字，因此我们仅在此指出与 CSPM 最紧密相关的一些变化：

• 企业对基础设施的完全掌控变为与云厂分担安全性，带来新需求。

只要上云和决定尝试微服务的架构，企业就开始与它的基础设施服务商共同分担安全性：AWS 的云和代码属于 Amazon，客户能做的是控制配置，无法像管理自己的本地 IT 基础设施那样深入地去影响云。在云之上，企业还往往会同时运行数千个容器，通过容器注册表来存储和分发，通过 Kubernetes 来进行管理。

在这种情况下，企业要面临三层、双重的威胁。我在下面列了一些最常见的错误作为例子，将 Docker 作为容器注册表的代表。感兴趣的读者可以通过 CIS AWS Benchmark 和CVE（Common Vulnerabilities and Exposures，通用漏洞披露）看到更多例子。

根据对 Orca 客户经理的访谈，95% 以上的云上安全事故都是配置错误（Mis-Config）导致的。Gartner 则判断到 2025 年以前发生的云安全事故 99% 都是客户侧造成的。

云安全最惨烈的事故是 Capital One 在 2019 年的信用卡数据泄露事故，黑客通过一次破坏就入侵了超过 100 亿人的身份，事故的原因也是因为配置错误。要知道 Capital One 是全球对云最了解的金融公司，可见云配置的复杂度。

CSPM 就是解决配置问题的工具。Rapyd 的 CISO 是 Orca 的客户，他有个很通俗易懂的比喻：

• 工作负载的边界、数量和出现与变化速度完全改变，需要新解决方案。

从边界看，云上的工作负载和本地的非常不同。在 dbt 带领安全团队的 Frank Wang 总结过：

这意味着网络边界的消失，传统的“网络+端点安全”的解决方案在云上是不奏效的，安全重点变成了管理云实例的连接，（绝大多数时候）也就是配置问题。同时，云上工作负载的数量和变化速度也大大提高。云带来的灵活性让开发者随时新增和关闭新的云实例，让一个应用跑在数百个节点上，这都让管理配置和漏洞的复杂度大幅提高。

• 和基础设施打交道的角色变化，需要新 GTM 方式。

这一趋势是老生常谈的话题，尽管 CISO 仍然是安全的重要决策者，但 IT 基础设施的安全责任从 IT 团队延展到了组织的更多团队。推动云安全采购的可能是云安全团队、站点可靠性工程师，乃至业务开发者。

对于第一天就长在云上、快速增长的新经济公司，它们往往是 DevSecOps（开发工程师更深入地和部署以及安全方面合作）趋势发展最快的地方。甚至大多数的 DevSecOps 在上市前都没有 CISO，安全团队也是工程团队的一部分。

这改变了安全公司的销售方式。假设传统玩家想提供一套基于代理的方案进入 CSPM 领域，它和 IT 团队或是安全团队的领导者对话很可能是无效的，因为公司的上千个 AWS 账户可能散落在各个业务团队。这要求云安全的玩家们调整 GTM 方式，并且建立一套能够和客户所有使用云的团队沟通的能力。

03.

为什么是现在

CSPM 的大规模爆发时间点是 2020 年以后。最经典的佐证是 Wiz 这张图，它的产品 2021 年推出，在 2022 年迅速达到 1 亿美元 ARR。推动 CSPM 的核心原因主要有三个：

1. 疫情推动企业将核心工作负载和数据迁移至云上。这对 CSPM 的影响需要一些推导：

• 云迁移确实是一个漫长的过程，但是受疫情推动，每年的 Net New Cloud Spending 在过去 3 年有稳步的上升。更重要的是，那些 70% 业务在本地、30% 在云上的公司过去往往倾向于把核心业务留在本地，仅让创新业务上云，使用 Rapid7、Tenable、Qualys 这些产品保护本地的基建，而疫情下的远程办公以及云原生对手的进攻等因素推动企业向将更核心的业务向云移动，JP Morgan、Pure Storage、Paychex、Moody's 等 CSPM 的客户进行这方面 POC 的时间基本都是 20 和 21 年；

• 在核心工作负载和敏感数据迁移到云上之前，企业可以忍受围绕着云的 shadow IT。高速增长的业务部门有较大的话语权并且偏爱云，因为这样无需向 IT 部门再申请和架设服务器，很多时候业务部门自行决策使用了 AWS。即使是 Netflix 这样完全在 AWS 上的公司，也会有 Shadow IT 的问题存在。如果这些业务是创新业务，那么企业还可以忍受这种 Shadow IT，但是疫情让核心业务也必须迁移到云上，这就倒逼企业使用 CSPM，以改善在云上的“裸奔”现状；

• 无代理的 CSPM 让企业统一改善 shadow IT 更方便。企业控制其云账户有两种方式，一种是由一个中央的云安全或 IT 团队统一分配云账户给业务部分，但更多的是云账户散落在业务部门处。传统上基于代理的 CSPM 往往仅适用于前者，但 Wiz 和 Orca 这样无代理解决方案的出现让后者也得以低成本（中央安全/IT 部门不必说服和指导业务部分为其成千上万个云账户内的大量容器安装代理）地接入 CSPM。

2. 多云和避免 vendor lock-in 成为客户默认心智。

这一点很好理解，每个云厂商都自带其 CSPM 产品，比如 AWS 有 Inspector 和 GuardDuty，微软的 Defender for Cloud 和 Google 的 Command Center 都有类似的模块。客户仍然选择外部供应商的一部分原因是云厂的产品还不够极致，但更重要的原因是避免 vendor lock-in。以 Azure 在 2017 年高调官宣的 Costco 为例，尽管它目前仅使用 Azure 一个云，但也在积极评估 AWS、GCP 和 Oracle，所以尽量避免使用 Azure 原生的安全模块，并且成为了 Wiz 的客户。

3. 市场教育被加速。

重大的安全事故加速了市场对云安全（特别是配置问题）的重视，最具标志性的事件是 19 年的 Capital One 数据泄露和 21 年的 Log4Shell 漏洞，这让 CISO 们更进一步了解云上配置的复杂和面对漏洞时可见性的重要性。

此外，市场上流动性的泛滥也人为加速了云安全的市场教育。Palo Alo Network 为其业务人员提供了丰厚的佣金来销售云安全相关的产品，Wiz 和 Orca 都以非常快的速度成为了独角兽，手握现金和同样得到大笔融资的 Lacework、Aqua 等公司展开 GTM 激战。这加速了云安全进入 CISO 心智的过程。

04.

云安全态势管理景观

与优质公司

三个代际的云安全态势管理景观

从代际上看，云安全产品有明显的三代。它们不是完全的替代关系，比如 Wiz 的客户 Yotpo 会同时使用 Rapid7 进行漏洞生命周期管理；Docusign 在母公司使用 Tenable，但是在收购来的云原生公司使用 Wiz。但毫无疑问，无代理的、全面的、有上下文和优先级的解决方案是 CSPM 的未来。在这个共识的基础上，头部公司的产研目标正在趋同，目前云安全领域的竞争重心是 GTM。

我们认为这个领域最优质的玩家是 Wiz、Palo Alto Networks 的 Prisma Cloud 和 Orca Security，Lacework 则有一定的历史案例意义，将在下文分别展开分析。

CSPM 到底在做什么

鉴于这几家在核心产品功能上的极度相似性（对于 Wiz 和 Orca 而言，目前已经几乎进入“猫赶耗子”阶段，大家的功能优化可能只是 2-3 个月的时间差），我先使用 Wiz 作为代表，帮助没那么熟悉 CSPM 和它延伸方向的读者对它们的核心用例有一些概念：

1. 云资产盘点

无代理的解决方案只需要连接云的 API 就可以发挥作用，部署非常简单，大大降低了说服公司内各个业务配合的难度。

我们在 03 中介绍了大型组织内的 shadow IT 现象，因此许多客户购买 CSPM 的第一个用例就是盘点他们在云上的资产清单。在云基础设施上连接 CSPM 的过程很容易，通常 POC 演示只需要 20 分钟就能连上，然后一个小时后就可以有些可视化的结果。对于那些同时在多个业务部门使用三个云的大型企业，无代理的 CSPM 只需要正确的账户权限和一周的时间就能完成全部设置。

2. 全面扫描错误配置和漏洞

在常规使用阶段，无代理的 CSPM 最常见的是每 24 小时扫描一次，每次扫描 4 小时左右。Wiz 号称要“加固你在云上建和跑的一切”，因为它可以深入到多个云（AWS、GCP、Azure、OCI 和 VMware vSphere）的基础设施和工作负载，包括云服务、k8s、容器注册表、无服务器甚至是 runtime 的容器。

3. 对扫描结果提供上下文和优先级

所有的 CSPM（哪怕是云厂自带的）都能扫描出成百上千条漏洞，但是“拥有远见的云解决方案”提供了更全面的上下文和优先级。

Lacework 这样的厂商很早就尝试了上下文能力的构建，比如将 host 的视角与云账户的视角结合起来。但是Wiz 将上下文的能力更近了一步，视角更全面，同时能以图数据库的形式实时展现给客户。不论是一个不安全的 Java 版本还是一个缺少多要素认证的 s3 桶，Wiz 都可以用非常吸引人的图来提示客户。

Wiz 的客户 EA 同时 POC 了 Orca、Wiz、Palo Alto Networks 等供应商，Wiz 的可视化能力给它的 CISO 留下了非常深刻的印象：“这让我知道，哇我有漏洞，而且一半的互联网都可以看到它”。这复制起来不难，但 Wiz 是第一个这样做的，并且确实惊艳到了 CISO 们。

在此之外，Wiz 和 Orca 还能综合严重性、风险敞口、业务影响等多方面因素来确定配置错误和漏洞的优先级。

Paychex 的 CISO 在 POC 之后点评：“Orca 和 Wiz 的漏洞分组和优先级排序做的非常好，能够节省大量手动进行漏洞管理的时间；Lacework 虽然也有这部分功能，但是更加简单粗暴，它的排序主要基于 CVE 的优先级、影响数量等，但 Wiz 和 Orca 有更多根本性的分析。”

4. 提供一定的补救能力

当配置错误和漏洞出现，Wiz 和 Orca 这样无代理的方案目前会留下一定窗口期，因为客户必须定期扫描，然后等扫描完再修复，它们还无法在 runtime 级别提供深度的自动防御和修复，只能给出补救建议让客户团队自行修复（客户可能会使用 CrowdStrike、SentinelOne 这些传统意义上的 CWPP 来修复工作负载）。而 Lacework、Aqua 这些有代理的玩家可以帮助提供一定的实时修复能力，比如检测到入侵就立马把虚拟机连接到防火墙。

一部分观点认为在云上的实时修复能力并不重要：

• 一旦威胁真的发生，机器在几分钟内就被攻破了，而大多数的错误配置只是令人紧张的“潜在”风险 —— Wiz 的一位企业客户第一次扫描发现了 1.2 万个关键漏洞，需要 20 个团队配合才能在一段时间后全面修复，过程中也没有事故出现；

• 此外安全团队处理错误配置和漏洞的方法也往往是基于上下文进行调查，从而补救和避免相似情况在未来发生。客户很多时候也需要基于上下文的灵活度，比如针对一个数据库被暴露在互联网上的漏洞，客户觉得修复起来太麻烦可能会选择先将数据库关闭互联网连接，等有时间再来修复漏洞；

• Rapyd CISO 的评价：对云来说，一天扫描一次基本也够用了。

另一派则认为目前无代理的 CSPM 无法提供 100% 的安全性，比如 Paychex 的 CISO 虽然认为 Wiz 和 Orca 有许多亮点，但是最终选择了 Lacework，最大原因就是它有能力进行实时修复的卖点。但整体而言，我们认为业界的共识更朝前者靠拢。长线来看，云厂商可能有动力为自己的 API 打造更强劲的能力，从而让无代理的解决方案更全面取代有代理的效果。

5. 延伸至相邻领域

最基本的扫描出错误配置项的能力是 CrowdStrike、Datadog、Zscaler 都在进入的领域，所以 CSPM 公司们都在积极寻求产品的延伸。最常见的是从最核心的 CSPM 用例向前（Shift-Left，在构建和部署应用的过程中保护安全）和向后（CWPP，提供容器等工作负载的主动保护能力）延伸。

Wiz 一直希望推动安全、开发和运营多方的协作，因此它总是试图推动在前六周让客户解决关键和高级别漏洞，然后是尝试让客户进入 Shift-Left，在 CI/CD 阶段就开始使用 Wiz 进行 IAC 扫描等动作，在将代码推向生产环境前就发现漏洞。

优质公司及案例分享

鉴于市面上已经充斥着对这几家公司的全面分析，我们在这里尽可能精炼地指出它们对于 CSPM 发展的历史意义和当前参与竞争的优劣势。同时，创始团队的背景对于安全公司的重要性远大于其他行业，因此我们也会给出有关团队的更多信息。

1. 公司简介：

Lacework 由 Sutter Hill Ventures 和它的 EIR 共同孵化，被视作它在 Snowflake 之后的下一个大成功。它在 21 年 11 月以 83 亿美元估值融资了 13 亿美元，是网络安全史上最大的单轮融资额。它过去以提供基于代理的解决方案为主，22 年的 IRR 在 1 亿美元左右。由于基于代理和针对大型企业 GTM 的薄弱，随着 Orca 和 Wiz 的崛起，Lacework 被视作陷入泥潭的公司，它招聘新员工时采用的估值已经下降大约 75%。

2. 拾象评分：B

3. 创新之处：

• Lacework 是少数在早期看到了云安全前景的公司，Sutter Hill Ventures 一直相信云上数据爆炸带来的机会，孵化 Lacework 的最大逻辑是：随着公司在云上发展，数据量级剧增，基于规则的传统方式无法处理云安全；

• 尽管现在被视作“过渡性技术”，Lacework 在云厂的 CIS benchmark 没有发展完善的年代引入了 AI/ML 来解决问题，核心技术是一个基于时间序列的神经网络算法，查看用户的虚拟机过去一小时中所有网络活动的快照并且与历史上每个一小时进行比较来发现是否有异常行为（偏离 baseline 的行为）。用这种方法处理的数据源随后变得极为丰富，这项技术被称作 Lacework Polygraph，在 Snowflake 中运行；

• Lacework 是第一家全面关注云上基础设施和工作负载安全的公司，而同期的 Twistlock 和 Aqua 等公司将自己视作容器安全公司。

4. 团队：

• Lacework 的创始团队算不上安全领域的明星，其最初的 CEO 是 Sutter Hill Ventures 的 Stefan Dyckerhoff，他之前的背景在 AI 网络公司 Juniper Network，CTO Vikram Kappor 是 Sutter Hill 的 EIR，他之前在 Oracle 从事数据库相关的工作，在此之前他在端点安全公司 Bromium，因此这支创始团队在云安全领域并没有过多的经验；

• 目前领导 Lacework 的灵魂人物是 Jay Parikh，他此前是 Meta 的 Engineering VP，负责其基础设施的构建。Jay 大量引入了前 Meta 员工进入 Lacework，这引发了外界的担忧 —— Meta 的基础设施团队并不构建为外部客户服务的云，因此总体而言我们认为 Lacework 的团队质量在当前云安全的战争中不算突出。

5. 优势：

• Lacework 仍然有上一轮融资所带来的资金储备，它如果能延续强劲的融资能力，那么仍然可以通过补贴获客维持当前的市场份额，比如它的定价在相当长一段时间都是基于 host，而非主流的基于工作负载，也就是说如果一个 host 运行了容器则支付一定费率，没有运行容器则支付更便宜的费用，不关心其中容器的具体个数；

• Lacework 享受着有代理的一定好处，同时它一直拥有无代理的基础技术能力，只不过这部分过去一直和需要安装代理的方案捆绑销售，这让它转向和 Wiz/Orca 的竞争时没有过多的技术负债，事实上 Lacework 在 22 年 6 月已经推出了无代理的 CSPM 产品，但仅能在 AWS 上使用；

• 尽管数量较少，但 Lacework 还拥有一些大型企业客户，比如 JP Morgan 和 Paychex 都需要有代理的解决方案，而 Lacework 已经为这些大型企业客户服务了两年，与 CISO 建立了联系并且和对方的安全堆栈耦合，有机会榨取更高的 ACV。

6. 劣势：

• 无代理才是未来，Lacework 在这方面的产品完整性持续落后于 Wiz 和 Orca，甚至是 Palo Alto Networks；

• Lacework 正在遭遇低落士气和人才的流失，它的前 VP 评价这家公司“换了三批高管、销售文化非常混乱和烧钱、工程师文化在 Jay 加入前也不是很强”。Lacework 在 22 年 5 月裁员了 20%，主要是 GTM 团队。在四个月后，它的 Co-CEO David Hatfield 也宣布离职（他来自 Pure Storage，这家公司是 Sutter Hill 的另一代表作）；

• 和竞争对手，Lacework 的 GTM 能力绝对不算突出，人们已经不把它视作下一代架构的可能领导者，这会让 CISO 在长期对它失去关注。

1. 拾象评分：S

2. 公司简介：

Palo Alto Networks 旗下的 Prisma Cloud 提供完整的云安全能力，从 CSPM、CWPP 到 Shift-Left 和 API 安全。Prsima Cloud 在 2021 年末达到 2.7 亿美元 ARR，它单个季度的云安全 ARR 高于任何一个竞争对手的全年 ARR，并且专注于云安全的工程师数量是当时所有竞争对手的总和。Prisma Cloud 预计在 12-18 个月达到 10 亿美元 bookings，这意味着它现在拥有 5 亿美元以上的 ARR，是 Wiz 的 5x 以上。

3. 创新之处：

• Prisma Cloud 在架构和产品方面似乎没有太多令人眼前一亮的创新，它的策略主要是“买买买”，通过收购不断补齐云安全的各项能力。这让它目前拥有最全面的云安全产品，CISO 可以只采购 Prisma Cloud，或是选择 2-3 家独立的细分最佳供应商（Wiz 和 Orca 也都在构建全面的能力，但是 CSPM 之外的产品还略显稚嫩）；

Prsima Cloud 历史收购公司及对应领域 - Convequity

4. 团队：

• 塑造了 Prisma Cloud 现状的是 Nikesh Arora，他曾经是 Google 的 SVP，在加入 Palo Alto 之前是软件集团的总裁兼 COO，在 18 年加入 Palo Alto 后一手打造了当前收购以及交叉销售的策略；

• 与 Cisco 进行的许多收购不同，Prsima Cloud 前身许多公司的 S 级领导者在 Palo Alto 停留了 2-3 年并且为公司做出突出贡献。最典型的是 RedLock 的创始人 Varun Badhwar，他在 2018 年被收购后担任 Prsima Cloud 的 SVP 和 GM，花了 3 年时间将这块业务增长到 3 亿美元 ARR 和 2700 名客户后在 2021 年离开；PureSec 的 CEO Shaked Zin 也在 Palo Alto 待到 22 年初才离开。

5. 优势：

• Palo Alto Networks 是安全领域最恐怖的 GTM 机器，并且客户也为其云安全产品买账。它在下一代防火墙的销售上是唯一能以对手 2-4x 价格销售给 Enterprise 的厂商，Prisma Cloud 和 Cortex 全面推向市场的第一个季度导致了 PANW 的下一代防火墙销售额在同期递减，管理层给出的理由是云产品的销售特别成功导致销售暂时忽略了防火墙，这显示出它在云安全销售方面获得的客户支持度之高；

• Palo Alto Networks 建立起了最完整的云安全 Portfolio，能帮助客户 CISO 避免安全工具的分散和蔓延问题；

• Palo Alto Networks 是服务大型企业客户的典范，它 90% 以上的收入来自大型企业客户，Prsima Cloud 的客户涵盖财富 100 中的 70%（但不一定使用了 Prsima Cloud 的全部模块）以上。

6. 劣势：

• Prsima Cloud 是一个缝合的、缺少前瞻性创新的产品，它的 CSPM 在 2021 年以前完全没有无代理的能力，也无法提供 Wiz 和 Orca 级别的上下文和排序，那些在 POC 环节淘汰掉了 Prisma 的 CISO 认为它的产品是“松散的拼凑”，而不是一个整合后的统一平台；

• 安全工具整合的反面是 vendor lock-in，CISO 们对此的倾向不一；

• Prsima Cloud 的增长迅速，但可能没有达到真正的 PMF，比如客户的订单可能来源于交情、通用的 Palo Alto Networks 的 credits、购买下一代防火墙的附带等原因，这在长线可能会让 Palo Alto Networks 比竞争对手显得迟钝。

1. 公司简介：

Orca Security 由 CheckPoint 的首席技术专家和七位高级架构师在 2018 年创立，仅用两年时间就成为独角兽。目前 CSPM 采用 Side-Scanning 方式来实现无代理，这一技术由 Orca 最先发明并且申请了专利，Wiz 随后借鉴了这一做法。Orca 的特长似乎在于研发和提出创新性的架构，它目前在激烈的 GTM 大战中处于微妙的劣势地位，但整体质量仍然高于 Lacework 和 Aqua 等上一代玩家。Orca 的上一轮融资在 2021 年 10 月，它以 18 亿美元估值融了 5.5 亿美元。

2. 拾象评分：A+

3. 创新之处：

• Orca 创新性地提出了 Side-Scanning 和无代理的 CSPM 解决方案，Rapyd 的 CISO 甚至认为 Orca 重新发明了云安全的范式；

• Side-Scanning 不是仅仅连接到云服务的 API 以获取相关的日志数据，而是通过 API 收集各类 metadata，然后重新创建一个生产环境的完全相同副本来运行和检查，这让无代理的方案真正拥有了超越基于代理的方案的上下文，并且易于部署的程度还能大大提升；

• Orca 围绕着 Side-Scanning 技术还在不断创新，在 22 年已经可以对 runtime 进行同样的扫描，而 Wiz 则没有达到相似程度的创新。

4. 团队：

• Orca 的团队脱胎于 CheckPoint，包括首席技术专家和七位高级架构师，CheckPoint 是一家老牌的防火墙和网络安全公司，目前拥有 161 亿美元的市值，通常被视作一家以色列血统的公司；

• 它目前的 CEO Avi Shua 就是 CheckPoint 的首席技术专家，并且在以色列国防军 8200 担任过关键职位。他拥有 25 年以上的网络安全经验，Orca 的其他创始成员也基本拥有 10 年以上的相关经验，经历过多个 IT 基础架构的代际变化，这让他们能够进行 Side-Scanning 这样的创新，这支创始团队在安全领域横向看也可以算是 S 级的。

5. 优势：

• 无代理解决方案的一切好处；

• Orca 展现出了提出下一代架构的远见和影响力，不论是 Side-Scanning，还是 CNAPP（云原生应用保护平台），亦或是  Shift-Right（将安全问题右移，与运营和 SOC 更深度结合），Orca 都是概念的引领者；

• Orca 拥有一定的先发优势，Rapyd 这样的客户在寻找无代理的 CSPM 时市场上还只有 Orca 可用，这些客户也找不到理由换掉 Orca，所以 Orca 仍然拥有这一批相当稳固的客户基本盘。

6. 劣势：

• Side-Scanning 的存算成本过高，Orca 为了维持其毛利，在 21 年以前一度定价是 Lacework 等基于代理方案的 4 倍以上，这显著限制了 Orca 用先发优势滚起来雪球；

• Orca 在大型企业市场的 GTM 能力目前来看弱于 Palo Alto Networks 和 Wiz，它的客户以 SMB 和 Mid-Market 为主，向上延伸和能帮助提高毛利率的大型企业客户规模被后两者挤压，这迫使 Orca 在目前陷入了近期的补贴价格战；

• Orca 丢失了势能，它曾经是无代理解决方案的绝对第一名，但是因为定价和大型企业 GTM 上的失误导致 Wiz 的偷袭和快速崛起，让 Orca 丢失了本可以获得的马太效应，对 VC 资金、人才和客户的吸引将被 Wiz 的缠斗限制。

1. 拾象评分：S

2. 公司简介：

Wiz 拥有以色列 8200 部队和微软云安全的双重血统，由 Assaf Rappaport 在内的 4 位创始人在 2020 年创立。它在过去两年异军突起，成为了历史上最快达到 1 亿美元 ARR 的公司。Wiz 继承了 Orca 提出的无代理架构，将自己的产品鲜明地定位给大型企业客户，并且通过一个全面的云安全产品顺应了行业的供应商整合趋势，随后在疫情的推动作用下起飞。

3. 创新之处：在 4.2 中已进行介绍，在此不再重复。

4. 团队：

• Assaf Rappaport、Ami Luttwak、Yinon Costica 和 Roy Reznik 是 Wiz 的创始人们，他们在此之前是微软收购的 CASB 公司 Adallom 的创始人，并且在微软 Azure 成功将 CASB 业务发展壮大；

• CEO Assaf Rappaport 是以色列国防军 8200 部队的队长，他在微软云安全部门担任过 GM，随后在微软以色列 R&D 处担任 GM；

• 从各个层面看，Wiz 的团队都是绝对的 S 级，他们有完整的安全创业经验、有将产品放大规模的经验、能够向全球最大的组织进行销售并且积累了这些人脉。

5. 优势：

• 无代理解决方案的一切好处；

• 对大型企业客户的深刻理解和强大的 GTM 能力，Wiz 尽管成立时间比 Orca 晚，但是决定推无代理的 CSPM 后迅速完成了对 AWS、Azure、GCP 的同时覆盖，确保适合大型企业客户的多云环境，它的 CSPM sku 的最低 ACV 也是 10 万美元，这已经是上市公司对大型企业客户的定义，一开始就不做 SMB 而是专注于大型企业客户；

• Wiz 有相当强大的执行力和影响力，不论是迅速跟进了 Side-Scanning 的架构（没错，这个技术在工程上复制有相当高的门槛）还是目前和 Orca 的猫赶老鼠竞争都是展现出执行力的卓越，同时 Wiz 有一只很小但非常强大的研究团队，可以发现公有云厂的漏洞并且公布它们，一发布就是全球大新闻，可以影响成千上万的组织。

6. 劣势：

• Side-Scanning 的存算成本；

• 鉴于它目前的架构很大程度上借鉴了 Orca，Wiz 还没有完整证明自己构建和引领云安全远见和下一代架构的能力，而在 Palo Alto Networks、Crowdstrike、Zscaler、Datadog 等“卷王”入场的情况下，只有成为公认的架构创新引领者才是真正的壁垒；

• 和它的估值相比，Wiz 在深入的 CWPP、Shift-Left 和 API 安全领域还很稚嫩。

05.

代理 vs 无代理

无代理可能是在上文出现最多的单词之一，也是 CSPM 领域最重要的焦点概念，因此我使用这里的篇幅对无代理的好处做一个更清晰的呈现。基本上你可以从以下几个方面思考代理和无代理的差异：

尽管其他方面也很重要，但是部署和拓展是企业拒绝无代理的主要原因。

此外，虽然业界共识已经认为无代理代表着未来，但仍然有部分企业会采购基于代理的方案，以下是两种主要案例：

• 被定价困扰的 SMB。对于 SMB 来说，它们曾经的选择只有 Orca，而它的定价是基于代理方案的 4 倍，这让一些价格敏感的 SMB 最终选择让自己的工程师多花点时间部署代理。

• 有中央控制能力的大型企业客户。Paychex 部署 Lacework 的过程非常典型：

对于存量的工作负载，Paychex 使用了 Puppet 将代理部署到存量的虚拟机里。这个过程是自动化的，自动化工程师花了 4-5 天时间构建 Terraform 脚本并进行测试，然后整体更新大概花了一周，从开始到结束部署总共花了两周。对于新增的工作负载，Paychex 内部有虚拟机 image 和容器 image 的模板，只需要把代理相关的代码放在image 里，后续有人启动新的资产就会部署这个 Image 和代理。

但是更多的企业客户缺少这种中央的控制力和部署的决心，比如 EA 在 POC 时就完全没考虑基于代理的方案，因为它在云上已经持续部署了 12 年，有上万个云账户，基建团队也没有全公司的全部云账户，因此不可能像 Paychex 这样部署代理。

06.

投资于云安全态势管理

尽管无代理的 CSPM 有上文所说的诸多好处，但是我对这个市场仍然存在三个顾虑，我将从这三个顾虑出发对 5 年后的 CSPM 头部公司的回报进行简单的测算。

• 云厂是否会捕获更多价值

很多投资人同行会默认云厂不是个大威胁，核心原因很简单：云厂的 CSPM 产品非常的不全面，没有上下文和优先级，误报非常多；AWS 的 CSPM 功能分散在 Inspector 和 GuardDuty，而微软的 Defender for Cloud 由 3 个不同的代理组成，许多人只使用它的 runtime 功能，然后和 Wiz 或 Orca 搭配使用；Google Command Center 则非常昂贵，CISO 没有理由不采购独立的最佳供应商。更重要的是 70% 以上的大型企业都采用了多云的策略。

从云厂的战略角度看，似乎它们也无意进入 CSPM 和广泛的云安全领域。云和基础功能的增长放缓是在 2-3 年前就知道的事情，并且已经有明确的安全战略：

1. Azure 和微软有 150 亿美元的安全收入 Run Rate，它的安全产品从 IAM 和 CSPM 都有，布局全面且比较领先，但是问题仍然在于多云，以及微软本身也在和 VMware 竞争;

2. GCP 的早期重点是 Zero Trust，目前在效仿 Azure，但是更平台化，收购了 Madiant 后主打 SecOps，即 GCP 负责串联后台的运营，而 CSPM 这样具体的单点则通过跟 Wiz 这种产品深度合作来交付;

3. AWS 的明确战略是只做底层基础设施，上层的 SaaS 和安全完全交给第三方，积极配合研发 API。

但是我交流的许多本文中独立安全公司的 GTM 团队成员却认为云厂是非常重大的顾虑：“大家不担任云安全市场的增长，但 CSPM 本身会不会同质化，客户用云厂的工具就可以解决问题，这时候我们很多客户会很愿意拥抱 AWS 的产品，因为价格更好协商，而且使用同一张账单”。Palo Alto Networks CEO 在本文开头的估算给了云厂 50% 的价值捕获，这是个可参考的比例。

• 市场集中度能否提升

CSPM 目前呈现出一超多强的趋势，除了 Prisma Cloud 一骑绝尘，其他头部公司的 ARR 都还在 1 亿美元及以内。主要原因是 20-21 年 VC 在押注 Wiz 和 Orca 的同时，也投了大量二三流的公司，比如 Lacework 拿到了 13 亿美元，这些公司的 runway 大部分是 18 个月左右，市场需要迎来一波重新整合。

• 存算成本能否降下去，让毛利率达到 75% 以上

由于 Side-Scanning 的特点，无代理的 CSPM 短期的毛利率有比较大的挑战，因为在云服务和数据库上的存算成本过高，目前毛利率水平应该普遍在 60% 以内。但是二级的安全公司的毛利率中位数是 70%+，第一梯队是 75%+，对应 4x revenue value added。

我们目前的判断是长线做到 75-80% 的问题不大，核心原因是：

1. 目前 CSPM 的竞争聚焦在 Marketing，早期的重要客户可能需要 50% 以内的毛利率抢单子，但是客户一旦进来有多种方式提升毛利率；

2. 未来主要客户从 SMB 切换到大型企业客户可以带来提价。Palo Alto Networks 的客户是 90% 的 Enterprise 和 5% 的 SMB，这样带来了 20x 的 TAM Expansion 和提价的能力，因为 Enterprise 对价格敏感度远低于 SMB，90% 的毛利率销售也有可能；

3. 达到 5 亿美元 ARR 后公司可以跟云厂和数据库协商成本。在 5 亿美元 ARR 以前，安全公司作为客户跟云厂的议价权非常低，一般跨过 5 亿美元可以对半砍云的价格。

但是 CSPM 目前崛起的第一名 Wiz 略微特殊，它目前的主要客户已经是大型企业客户了，但是降低云厂成本是完全可行的。

基于以上三个顾虑，我们可以假设对 1 亿美元 ARR、60 亿美元估值、55% 毛利率的 Wiz 进行投资，通过几个情景观察在 2028 年的回报情况（蓝色为 Inputs，红色为 Assumptions）：

在相对悲观的倾向下，如果云支出在 28 年增长至 8000 亿美元，云安全占比提升一倍，同时云厂捕获新增安全支出的比例超出 Palo Alto Networks CEO 的预期，哪怕 Wiz 能够将自己的市场份额扩大一倍，也无法突破 5 亿美元的 ARR，因此毛利徘徊在 70% 以下。现在按照 110x 毛利倍数代表着绝对的泡沫，对它的投资将在 5 年后迎来 27% 的 downside。

将云厂的价值捕获比例调低到 50%，Wiz 保持前三名的地位并且行业的市场集中度接近当前端点安全的格局，Wiz 有机会将 ARR 扩大到 10 亿美元以上，从而将毛利率提升至 75%，对应 5 年 2x 的 MOIC，not a sexy deal。这显示出以 60 亿美元投资 Wiz 的泡沫或者上一轮投资人对 Wiz 后续能变出更多魔法的信心。

如果市场和云厂的价值捕获都对 Wiz 有利，在 Wiz 能完成 Palo Alto Networks 在防火墙市场的逆袭、将自己的市场占有率提升到 25% 的情况下，它有机会拿到 78% 的毛利，并且变成一家 CrowdStrike、Zscaler 级别的公司。考虑到稀释，对投资人而言这会是个 5 年 3.3x 的项目。总体而言，我仍然喜欢 Wiz，但是 60 亿美元的估值不是一个好的买入价格，将它砍半甚至砍到 1/3 才开始进入有利可图的区间。

07.

ChatGPT 带来了变化吗？

以一个轻松的话题结束本文，我的答案是“暂时还没有改变 CSPM 的业务本质，但是或许将帮助这些公司提效”。

Orca 是探索 ChatGPT 的先行者，在  23 年 1 月通过 API 将 ChatGPT 集成进了它的产品内，用户可以通过跟 ChatGPT 对话来获得补救当前的警告项。对 Orca 而言，最直观的好处是它可以节省一些精力来构建补救问题的模板，并且帮助客户的分析师更快速地响应云环境中的威胁。

引申的开放话题是：ChatGPT 将如何改变 SecOps 和当前安全运营中心的现状？

延伸阅读