旗下微信矩阵:

网络安全的巨人「圈地战」

巨头们的云安全掘金行动正在展开,对此,我们将从云安全角度切入,展现中国传统网安厂商与云计算厂商的云安全市场格局、发展状况,从而深入探讨云安全对于个人、企业乃至国家发展的重要意义。
2022-03-28 13:26 · 微信公众号:周天财经  白雪   
   

谁在守护网络安全?

这几年,世界巨头在云计算市场合纵连横,从超大订单,到超大规模的投资并购,呈现出「双超现象」。如今,这种格局又有了新变局,这次往天平上加上重量级砝码的,是谷歌。

近期,谷歌母公司 Aplhbet 宣布以 54 亿美元收购网络安全公司 Mandiant。如果进展顺利,该公司将会并入谷歌云计算部门,继收购摩托罗拉之后,成功上榜为谷歌第二大收购案。

这笔巨额收购在投融界溅起了水花,有分析者认为谷歌这样的*大厂落子云安全,将会进一步加强云平台能力,吸引安全能力匮乏的大型企业下单。甚至在云计算领域引起一系列连续反应,使得微软、亚马逊加入「云安全」争夺战中。

投行分析师 Ives 认为,这笔交易可能将对整个网络安全领域产生「重大的影响」,「云计算的中坚力量亚马逊和微软现在受到并购的压力,可能进一步扩大其云计算平台的军备规模。」

云安全领域的紧迫感并非无迹可寻。此次被收购的 Mandiant,主要业务是托管服务解决安全漏洞,在谷歌接触 Mandiant 之前,这家公司就已经获得了 52.5 亿美元的估值。甚至,在谷歌收购前一个月,微软也曾与 Mandiant 讨论收购事项,但最终以失败告终。

*大厂们之所以看上同一个云安全企业,背后的逻辑是,云安全能为云计算再上一道护城河。比如 Mandiant 和谷歌 Cloud 合体后,将会成为谷歌云计算的有力筹码。Alphabet 首席财务官 Ruth Porat 认为,Mandiant 的投资价值在于能够与目前云服务行业的「老大」和「老二」进行竞争,前者是亚马逊 AWS,后者是微软 Azure。此次谷歌加码网络安全的大动作将会给云计算巨头们带来压力,引发大规模并购行为。

巨头们的云安全掘金行动正在展开,对此,我们将从云安全角度切入,展现中国传统网安厂商与云计算厂商的云安全市场格局、发展状况,从而深入探讨云安全对于个人、企业乃至国家发展的重要意义。

01 巨头为何下注云安全?

收购云安全明星创业公司已经是硅谷常态。

2018 年以来 AWS、Oracle 和 VMware 都收购了许多创业公司,来解决云安全问题。比如 AWS 两年前收购的 Harvest.ai 目前已经成为 AWS 异常行为识别的产品。

巨头频繁下注云安全的背后,有两个重要原因,一是安全漏洞随着数据量指数上涨。二是黑客形成黑产,攻击目标日益明确。

进入 5G 时代后,全球数据量指数级增长,英特尔公司首席执行官 Bob Swan 曾经在英特尔新闻发布会上公开说明,2015 年以来全球数据量每年增长 25%。到 2025 年,全球数据量估计达到 175ZB。直观来说,175ZB 就相当于存储了 65 亿年时长的视频内容,并且还是高清的。

面对庞大的数据量,如果大型企业还仍选用硬件储存方案,将会产生高额成本。为了降本增效,就必须将企业数据上云,实现数字化转型。

微软首席执行官 Satya Nadella 就表示,客户开始采用云解决方案,两年的数字化转型工作在两个月内就可以完成。企业上云虽然能推动人才和流程创新,但恰恰也能放大和传播风险。尤其在疫情爆发后,线上远程办公成为主流办公方式之一,大量重要、敏感工作内容上云之后,就存在潜在隐患。Bugcrowd 数据显示,2020 年疫情爆发后各类漏洞较往年激增了 50%。

储存着企业重要数据资料的云,已然变成了黑客们攻击的目标。

最近,就有黑客抓住了英伟达显卡驱动的漏洞,大肆敲诈,巨头都被抓住漏洞,遑论其他小企业,这些小 bug,往往能轻易引发市场信任危机。

而另一方面,黑客们为了商业利益聚集起来形成了黑产,来获取企业有价值的资料信息,大行敲诈之能事。滴滴出行信息安全战略副总裁弓峰敏博士在一期播客中说过:黑产总是比安全厂商们更快一步。

「现在的黑产,会先扫描信息,判断、评估信息价值之后才会决定是否入侵、采取什么样的入侵方式。」弓峰敏在一次采访中说道。

不同的黑客所采取的网络攻击也各有不同。在各类云安全漏洞中,比较典型的有网络钓鱼、错误配置以及代码漏洞。自疫情以来,许多钓鱼攻击者以新冠疫情为网络诱饵,诱使管理企业 Saas 账户的员工拿出密钥。据谷歌资料显示,疫情暴发后谷歌每天都要处理一千多万封与新冠疫情有关的恶意邮件。

随着产业数字化、线上办公的普及,安全问题爆发的中心已经从个体转移到企业、公共机构、政府。比如,以 Zoom 为代表的线上办公软件初期也存在一些漏洞,使得企业内部信息可能泄露给窃密者。

因此,云安全问题并不仅仅是单纯的代码、系统的问题,更是与企业利益、甚至国家安全相关的难题。数据库大了、涉及范围更广,就意味着云安全处理的难度提升了、政策的限制却更多了。

云不得不上,安全问题就变得格外重要。

为了更好地保护云上数据的安全,许多企业只得委托各类云安全服务商向他们提供云安全及其他类型的网络安全服务。

由此,全球网络安全市场热度逐渐升温,2020 年市场规模达 1366.6 亿美元。2020 年,老牌网络安全公司 Palo alto、全球*的零信任云安全公司 Zscaler 都保持着稳定增长态势。

除此之外,还有一批新兴网络安全厂商发力云计算安全服务,抓准了机会成为独角兽。比如去年云安全赛道就涌现出两家以色列公司,一个是云基础架构的 Wiz(2020),另一个是云安全解决方案 Orca Security(2019),Wiz 和 Orc 从创立到平均估值 15 亿美元,成长为独角兽只花了 1-2 年的时间。

02 云上翻身

云安全或许是一个新命题,但从范围更广的网络安全来说,这个话题早已不新鲜。

从每个中国人家庭电脑里都不会错过的杀毒软件 360,再到传统网络安全公司拓展云安全业务,网络安全从未在我们的身边消失,该领域的投资热度也从未消失。数据显示,2021 年网安领域投融资热度大增,共有 161 起投融资事件,投资额约 153 亿元。

在热度高涨的网安赛道中,传统网络安全厂商正依靠云安全业务全面翻红。

从曾经国民熟悉的 360 说起。十年前,凭借面对 C 端用户的免费软件 360 安全管家,360 在 PC 时代做大,2013 年市值飙升至 100 亿美金。然而随着 PC 流量见顶,没有及时发展新业务抢占移动端业务,360 迎来了失落的五年,从纽交所暗淡退市,回归 A 股之后一路狂跌至两位数,都是 360 的至暗时刻。

做游戏、做硬件、做金融,当 360 努力想跟上移动端行军步伐时,却失去先发优势。此时,360 才意识到网络安全业务是块压舱石。2019 年 4 月 360 转让了奇安信股份,将回笼资金将用于「大安全」战略,大举拓展政企安全业务。

下注政企云安全给了 360 再次复苏的机会。360 发布的 2021 年半年报显示,上半年营业收入达 56.19 亿元,同比增长 13.03%。其中,以政企安全业务为主的安全及其他业务收入 9.12 亿,同比增长 322%,半年收入规模已超 2020 年全年总量。

嗅到机遇的不止有 360,传统网络安全厂商安恒信息、启明星辰、中孚信息等网络安全厂商在 2019 年相继将云安全纳入业务范围,对于整体业绩增长产生拉动效应。Wind 资料显示,2020 年安恒信息、启明星辰新安全业务收入增速均已达 50%,中孚信息增速超过 200%。

以安恒信息为例,这家网络安全公司成立于 2007 年,此前业务方向一直是应用安全和数据安全,直至 2015 年,安恒信息看中了网络安全的前景,推出天池云、安恒云切入云安全业务,以多云管理平台对接到公有云、私有云。

为了延续云安全对公司业务的持续贡献,安恒信息董事长曾表示,每年将年营收的 20% 以上作为研发投入。根据 2021 年 1-12 月营业总收入为 18.2 亿元,比上年同期增长 37.68%。

360、安恒信息这些传统安全厂商之所以能够吃到云安全的红利,不外乎三点:多云环境、政策压力、以及客户的多样化需求。

目前全球超过 92% 的企业已经在多云环境下部署业务。在这部分企业里面,超过 43% 的企业为公有云 + 私有云混用模式,情况十分复杂。IDC 曾做过调研,超过三分之一的组织从 16 个不同的供应商购买了超过 30 种云服务。

企业的安全需求是碎片的。

这就意味着企业需要选用多领域的安全产品。虽然从技术层面上来说,阿里云等云计算厂商屈指可数,但从安全产品范围而言,云计算厂商只是提供通用且标准网络安全解决方案,与云计算服务打包出售。而网络安全出身的厂商,却往往能为企业提供更大的安全服务范畴,从以边界安全、信创为代表的单点安全产品,到以数据安全、云安全、零信任的新安全业务都有所涉及。

安全这片土地,注定不是巨头霸占的领域。阿里副总裁、阿里云智能安全总经理肖力也曾在采访中谈到,「因为安全并不垂直,恰恰相反它涉及到互联网和商业世界的所有领域,可谓安全无处不在。这些领域太广泛了,所以不可能有一个巨头说:我的产品在所有领域都是*的。」

不过,市场并非没有变量。天津国资委去年发布的一纸文件,更是要求国企不再使用第三方云服务,迁移至「国资云」统一平台,把民营企业的努力排除在外,引发市场关注。

03 握紧云安全筹码

把云安全放入更宏观的视角来解读,就会发现云计算服务厂商科技巨头和传统网络安全厂商处于两种不同的角色。

对于传统安全厂商来说,下注云安全是拓展赢利点,但对拥有云计算能力和基础设施的云计算厂商来说,云计算环境下的数据安全,并非单点,而是体系化的建设工程。云计算厂商的云安全不仅是新业务,更是拓展云计算的筹码。

根据 IDC发布的《中国公有云服务市场(2021上半年)跟踪》,目前中国公有云IaaS+PaaS市场前3大厂商市场份额分别是阿里云、腾讯云和华为云,而后两者占比相近,战况焦灼。在这样的情况下,三家厂商把一部分赌注,压在云安全能力带给云计算的增长点上。

首先,云计算头部大厂对云安全能力较量,最直接体现在对安全人才的需求上。教育部公布的数据显示,2022 届高校毕业生总规模预计突破 1000 万人,达到新高。与此同时,网上又多次爆出大厂裁员、内部封锁招募岗位的消息。在这样的环境下,云计算厂商们仍在增加云安全业务相关的招募需求。

从今年 1 月份算起,华为在社招官网上发布了 12 个网络安全相关岗位,腾讯则发布了 18 个与云安全业务相关招募需求,而阿里对于云安全领域人才的需求最为旺盛,在其社招官网上共释放了 34 个云安全职位,涵盖研发专家、工程师、产品运营等等。

其次,从时间线上看,云计算头部大厂对于云安全开发,都处于快节奏进行中。阿里云、腾讯云、华为云三家都是从 2010 年左右开始接触云安全业务。

先从阿里说起,2009 年,阿里*位安全工程师肖力开始组建并负责阿里云安全团队,设计了阿里云安全架构。他在 4 年前就向 36kr 公开表示,云安全业务正在为阿里云贡献更高的利润。肖力透露,阿里云过去实现 9 个季度增幅超 100%,其中云安全业务客户量的增长在 300%。

阿里云安全的进展到底是什么程度?去年,肖力在云谷论剑网络安全高峰论坛中,举了一个关于钉钉的案例:疫情在家办公期间,钉钉需要紧急扩容,在阿里云安全的帮助下,1 个小时内就完成了 2 万台主机的安全部署。但如果放到线下操作,这至少需要一个月。

如果说阿里云安全的稳步发展得益于阿里云广阔的舞台,那么腾讯云的安全能力则来源于历史积累。

腾讯涉足安全领域由来已久。2009 年腾讯结合即时通讯业务进军安全板块,推出 QQ 安全管家,与 360 安全卫士争夺 PC 端安全市场。一山难容二虎,随即也爆发了著名的 3Q 大战。虽然这场大战以工信部介入告终,但从那时候,腾讯意识到安全业务对于集团核心盈利项目的重要性。

于是,在 2018 年腾讯第三次组织架构调整中,原本服务于 To C 应用的腾讯安全与腾讯云合并在 CSIG 部门,升级为云安全,从而让腾讯云安全团队与腾讯安全形成合力。根据腾讯云社区资料,目前腾讯云安全能力正在向云原生安全体系靠拢。

相比其他头部厂商,华为云安全更强调「云安全责任共担」理念,并且制定了一套数据安全责任共担模型。在此基础上,提供从芯片到云端的全栈安全防护。

三个大厂在云安全能力上各有特色,阿里云安全护航了双十一时段的数据安全,腾讯云朝着政企云安全业务狂奔,而华为云显示了对于云安全的克制与对数据的尊重。但相似的是,三家公司从未少过对网安公司的投资。

2018 年腾讯*投资智能安全领航企业安赛科技 1 亿元,2021 年一年内又接连入股两家云安全公司,悬镜安全、青藤云安全,分别持股 13.33%、10.22%。

阿里巴巴的投资收购案例也不少,比如,阿里巴巴其实是前文提到的安恒信息第二大股东,而华为在三者中最为谨慎,十多年的投资并购中,只收购过一家以色列数据库安全公司 HexaTier。

跟紧投资步伐、拉开云安全布局,三家头部云计算厂商布局云安全已经十年,但由于目前腾讯云、华为云还未实现盈利,厂商对云安全的投入只能算是持续进行式,还未走进云安全争夺的战火中。

但随着企业对于数据安全要求逐渐提升,可以判断,云安全市场将不可避免迎来一场激烈的中场对决。

04 结语

从公司角度来看,云安全争夺战是为了盈利增长、拓宽云计算的护城河。从宏观层面,云安全事关国家竞争力。

实际上,在今天气氛紧张的国际环境态势下,云安全领域的创新升级,将成为中国企业走向世界舞台的保护盾。

俄乌冲突中的信息战、网络安全战环节,就生动揭示了这一点,以美国公司为首的多家国际互联网服务运营商宣布对俄罗斯发起了「断网行动」,包括,Cogent 通信干线切断了与俄罗斯供应商的联系、SectIGo 停止向俄罗斯发布 SSL 证书等。

这充分说明:自主可控,从来没有如此紧迫过。

或许我们今天可以感叹多年前阿里「去 IOE」的先见之明,这一招民营企业的探索,起初只是为了控制成本,没想到逐渐做成了国产替代,而接下来的时代,云计算的市场,就更需要我们自主可控,保持云计算的世界*地位。

而这,就需要中国调动全国*智力去努力攻关,突破技术壁垒,这也需要保持战略定力,摈弃所有制偏见,不拘一格降人才,把腾讯阿里华为这样的智力中心,充分调动起来。

【本文由投资界合作伙伴微信公众号:周天财经授权发布,本平台仅提供信息存储服务。】如有任何疑问,请联系(editor@zero2ipo.com.cn)投资界处理。