互聯網的發展史,始終伴隨著如何回答“我是誰”以及證明“我是我”的終極命題。無論是採用密碼、多因素認證、安全令牌,或是越來越火的生物特徵識別等,它們的目的均是一個,保障互聯網用戶的身份安全而不被惡意使用。
在過去幾年中,發生的一些大型安全事件都和身份安全離不開關係,例如雅虎數據洩密事件、烏克蘭電網受攻擊事件,以及因為身份管理不當導致離職員工惡意刪除公司資料的案例等。
根據Verizon 2017年數據洩露調查報告,81%的黑客入侵涉及濫用身份憑證,利用被盜口令、弱密碼或默認口令。數據洩露帶來的慘痛教訓,讓企業對身份安全的重視程度日益走高。
作為近年來最熱門的安全技術之一,身份安全領域吸引了眾多創業者和資本的加入。
從美國市場看,2017-2019年誕生了多家十億至百億級市值的身份安全上市公司,如:Okta(120億美元)、Cyberark(43億美元)、Ping Identity(17億美元)。
在初創企業融資市場上,身份管理與訪問控制領域由2016年的25起上升到2017年44起,增幅達到了76%。
同時,這一領域也不乏微軟、IBM等巨頭的提前佈局。2018年,思科以23.5億美元收購身份安全公司Duo Security,一舉創下當年網絡安全領域單筆金額最高的收購記錄。
而在中國,這場戰役才剛剛打響。目前,大型安全廠商及互聯網巨頭已紛紛開始戰略佈局身份安全領域,或作為自身業務的補充,或作為新的業務增長點,成為業界一股新的風向。
更讓人意想不到的是,在這個新晉的“網紅”安全細分領域中,竟然還藏著一個隱形冠軍,它,就是派拉軟件。
這家在身份安全細分領域深耕了11年的企業,如今已是一家年營收過億、年增長率超50%的數字安全公司。
目前,派拉軟件已為汽車、製造、電子、地產、金融、零售、教育和政府等行業的500多家大中型企業提供信息安全諮詢和實施服務,包括100多家500強企業,50多家整車企業,40多家金融客戶,30多家大型製造企業,10多家地產家居企業,是行業內當之無愧的領導者。
有人可能會好奇,為什麼這樣一家頭部企業,並沒有過多被外界關注到?事實上,這家安全企業非常低調,直到上週派拉軟件召開了成立11年以來的首次媒體發佈會,外界才得以近距離了解這家安全公司的全貌。
那麼,今天我們就來聊聊什麼是身份安全,以及派拉軟件這家身份安全領域的神秘“小巨頭”是如何崛起的?
做好企業IT安全
先管好身份這把“鑰匙”
2016年,全球知名調研機構Gartner在總結企業面臨的五大安全問題時,身份與訪問管理(IAM)這一領域赫然在列。
在Gartner的定義中,身份和訪問管理,又稱為身份安全,主要是為了確保正確的人能夠在正確的時間,因為正確的原因訪問正確的資源。身份安全更多的是解決越來越多在異構技術環境下確保對資源正確訪問的需求,從而滿足日益嚴格的合規要求。
在身份安全的應用場景裡,最常見的是企業對員工身份的管理。從新員工入職,到這個職務能訪問的內部系統,再到員工工作調動或離職,所有員工的各類賬號和權限都需要和業務系統進行同步,並且能夠根據權限的變化進行自動化的賬號變更,這就是身份安全對企業員工身份的全生命週期管理,以保證業務的連續性和安全性。
除此之外,隨著企業業務全面雲化,不僅是針對員工,企業的客戶、互聯網用戶乃至供應商、經銷商夥伴,都進入了企業身份安全的治理範圍。
因為雲計算的出現,讓數據開始在本地和雲端自由流動,過去以本地數據中心為邊界的安全理念被徹底打破,信息安全從邊界安全轉向了以身份為中心的動態防護。
用派拉軟件創始人&CEO譚翔的話說:“身份認證是一個看門鑰匙,如果連鑰匙都管不好的話,做很多牆也沒有用”。
派拉軟件創始人&CEO譚翔
以派拉軟件的某大型汽車客戶為例,這家車企不僅為自己的員工、供應商、經銷商,同時也為兩千萬名車主做了身份安全管理。
這是因為很多消費者會在不同地方使用相同的用戶名和密碼,據2017 Pew Research報告數據,有多達39%的用戶會為自己的所有帳戶使用相同或類似的密碼,用戶的弱密碼會讓企業系統或網站應用從外部被攻破。
如果認為身份安全僅僅和人相關,那就過於侷限了。據派拉軟件創始人&VP郭輝介紹,很多東西沒有生命,但是同樣具有身份,比如移動設備、物聯網設備、API應用、數據等等,在相互的連接和調用中,都涉及身份的管理、認證、授權、審計。
不難發現,身份安全的覆蓋範圍已經從“人的身份”,延伸至“萬物皆有身份”,這個過程其實經歷了一個較長的發展階段。
據譚翔介紹,2012年左右,國內才剛剛開始接受身份安全這個概念,以外企、中外合資企業、央企等超大型企業為主,在“100多萬員工擁有五花八門的身份,缺乏統一的標準”這樣的需求下,身份安全技術有了初步的落地。
直到2014年,中共中央成立網絡安全和信息化小組,2017年頒佈《中華人民共和國網絡安全法》,再到2019年正式推行《中華人民共和國密碼法》,網絡安全開始上升到國家層面,企業合規審批的需求比原來更加剛需,中國網絡安全市場真正迎來了爆發期。
這種爆發與雲計算和移動互聯網的發展也密切相關,隨著雲端安全事件頻發,黑產迅速發展,讓網絡攻擊的對象不再侷限於大型企業和機構,很多中小規模的企業也面臨著勒索和攻擊,對於安全產品的需求呈爆發式增長。
數據顯示,2014年以前,中國信息安全市場規模約為210億元,但是短短的五年時間,整個市場增長到500億元以上。其中,國內IAM市場規模2018年約為7億人民幣,雲IAM市場佔IAM市場總收入的1/3,預計2020年國內IAM市場規模將達到13-15億人民幣。
可以想象,當整個中國企業數字化的轉型指數到達80%以上的時候,所有的企業都是數字化企業,數據資產將變成非常重要的資產,對於安全的投入會成為未來安全市場巨大的增長點。
正是這樣的市場潛力,促使著當時還在IBM中國軟件開發實驗室擔任團隊負責人的譚翔萌發了創業的念頭。2008年,譚翔和3名IBM技術同事一起創立了派拉軟件,成為國內最早一批身份安全公司。
穩紮穩打的技術派
身份安全的隱形冠軍
如今的身份安全已成為資本和市場的熱捧對象,但是早在十年前,身份安全還是國內一片無人問津的藍海。
大多數人連身份安全的概念都沒有聽說過,少數企業對於身份安全的需求,也只停留在簡單的單點登錄、權限管理上。這對於早期的派拉軟件而言,生存極為艱難。
為了活下去,創始團隊一邊做產品研發,一邊給大型企業做安全架構諮詢。IBM研究院深厚的技術背景和前瞻的技術理念,讓譚翔團隊在創業初期獲得了很多企業客戶的信任,這些企業也在無形中成為了派拉軟件的種子客戶。
2010年,一汽-大眾的技術負責人找到譚翔,問他能不能解決多個業務系統的身份打通和身份批量處理的問題,上萬名員工在不同業務系統中的身份變動讓他們的IT管理不堪重負,同時還存在巨大的安全隱患。
一汽-大眾的需求一下讓譚翔看到了希望。為了將客戶服務好,譚翔帶領團隊全力以赴,以高於客戶預算三倍的資金投入項目。最艱難的時候,譚翔把自己的房子賣了,創始成員不計薪酬,全身心投入。就是這樣一群不給自己留退路,再難也要堅持下去的技術人,做出了國內首款自主研發的身份安全產品。
一汽-大眾的成功應用,讓派拉軟件的口碑很快在汽車行業中傳播開來。之後,上汽大眾、上汽集團、東風汽車、北京汽車、長安馬自達、神龍汽車等知名車企,都陸續成為派拉軟件的長期客戶,從而也奠定了派拉軟件身份安全在汽車行業中的領導地位。
2012年,派拉軟件扭虧為盈,並開啟了持續盈利的經營之路。2015年,派拉軟件再創佳績,年收入較之三年前一下翻了10倍。
汽車行業的成功經驗和持續現金流,讓派拉軟件有了向製造、金融、保險、證券、零售、教育等多個行業進發的底氣。基於不同行業的特性,派拉軟件開發了相應的產品功能模塊,讓身份安全產品得到了全方位的打磨。
從最初的身份管理,到雲身份安全管理,特權身份管理,再到如今的智能安全認證,派拉軟件已打造出了線下、線上、雲端一體化的可信數字身份平臺,包含了安全認證、單點登錄、身份管理、權限控制、SSO360雲身份管理等多種身份安全與治理的產品群組,使之成為適應全行業的安全基礎架構。
11年的穩紮穩打,派拉軟件成為了國內身份安全領域的領頭羊。
事實上,比起創業成功的風光,更為殘酷的現實是,80%的創業公司都逃不過“好不過3年,活不過5年”的魔咒。尤其是To B創業需要非常多的經驗,包括業務邏輯、技術和項目經驗,以及行業資源積累。
從這個角度看,派拉軟件的成功,絕非偶然。
首先,當一家To B企業的產品和服務足夠好,真正為企業客戶創造了價值,這家企業的口碑才能起來。派拉軟件有很多長達十幾年的“死忠粉”,從最初的種子客戶一路成長為如今的老客戶,客戶信任度和業務粘性非常高。
其次,派拉軟件很好的做到了產品化和定製化的平衡。在中國市場裡,定製化是一個無法避免的現實需求,一旦定製化過多,企業業務就容易失控。
譚翔表示,要解決這個終極難題,PaaS能力是一個很高的門檻。當服務過眾多行業和不同類型的客戶之後,將共性需求提煉為標準化的產品能力,就能夠大大提升交付的速度,這也是派拉軟件競爭力的重要來源。同樣一個項目,別的廠商可能需要長達半年至1年的時間才能交付,而派拉只需要2-3個月。
在行業拓展上,派拉軟件的表現也非常穩健。在汽車單個行業做到了近乎壟斷式的覆蓋之後,才開始穩步向全行業拓展。而深耕的每個行業,都保持著如汽車行業一般的穩定品質。
更難為可貴的是,在不斷的市場規模擴張中,派拉軟件始終注重業務的健康度。譚翔表示,不會為了迎合投資方而去盲目追求營收數據,如果不管業務的健康性,降低了客戶的滿意度,那麼業務就會陷入惡性循環,也會影響整個行業的發展。
這種不急於求成的表現,和近年來浮躁的創業圈大相徑庭,這或許和譚翔創始團隊的工程師背景有關,以技術見長,注重產品交付和客戶價值。
譚翔笑稱,自從創業後,創始成員全部成了馬拉松迷,團隊中甚至有人跑成了北馬九段選手。在他們看來,To B創業就是一場馬拉松。
為了長久的跑下去,四位創始人適時地轉換了自己的身份,從技術崗分別轉向了管理、銷售、項目管理等企業經營所必須的崗位,像舵手一樣穩穩的把握企業航行的方向,十年來從未偏航。
賽道邊界越來越寬
數字安全高效服務行業客戶
隨著數字時代的全面到來,派拉軟件看到了新的趨勢正在客戶群體中興起。軟件定義讓所有業務系統的連接,變成了軟件和軟件之間的API調用。
如何證明成千上萬個API網關的安全,以及大量在API之間流動的數據安全,成為一個亟待解決的現實問題。
同時,微服務的應用也帶來了治理難題,大量的服務同時上線,有時甚至分不清是哪個服務名對應那種功能,如何在微服務框架下對服務進行統一和有效的安全管控,成為很多大型企業的迫切需求。
這正是身份安全技術所能解決的領域。據譚翔介紹,傳統的安全策略都是先建立連接再認證,而在如今的零信任架構下,需要先認證然後才能連接。無論是人還是API服務,所有業務連接中的身份認證和身份標識都變得非常重要。
對此,派拉軟件在身份安全的基礎上,衍生出一系列與業務安全和治理相關的產品,如:
API安全網關、企業服務總線、技術中臺,為企業提供API安全管理、訪問控制、微服務治理、服務監控等方面的服務,讓企業能夠實現統一調用安全網關,打通企業雲上雲下本地應用,重塑業務架構。
目前,派拉軟件的業務安全相關產品,已成功應用在部分汽車和金融的頭部企業中。
在新一代的身份管理系統研發過程當中,派拉軟件採用了大量的大數據和AI技術,以提升產品的智能化和自動化水平。
而這種以大數據實施身份管理系統的技術,不僅讓派拉軟件具備了大數據賦能的能力,也讓派拉軟件有了向更廣闊的安全領域發展的實力。
派拉軟件創始人&VP 郭輝
2019年,派拉軟件正式推出大數據安全與治理產品線,通過數據湖、日誌分析、數據中臺等產品,提供從數據採集、清洗、存儲、使用、計算、分析到最終展現完善的安全治理構成流程,幫助企業實現風險評估、主動精準式防禦、態勢分析、全景化畫像與預判、監視優化等。
至此,派拉軟件構建出三大業務線:身份安全、業務安全、大數據安全。面向用戶和前端提供身份治理能力,面向數據和後端提供數據分析和安全管控能力,通過中間連接能力(API)將前端和後端融合,實現服務和數據安全共享的完美閉環。
在以大數據和AI快速推動新一代技術構建的同時,派拉軟件也做到了符合國內DevOps趨勢以及安全可控的國產化認證,通過了ISO9001、ISO27001、CMMI三級、信息系統安全集成服務資質等,擁有多項公安部安全產品銷售許可和50多項知識產權。
不難發現,派拉軟件從純粹的身份安全擴展到應用安全和數據安全,是一次全新的戰略佈局,以身份安全為核心,發力新的業務增長點。在身份安全領域建立了護城河的派拉軟件,將持續拓寬賽道邊界,以數字安全的綜合能力服務全行業。
當信息安全行業的風口臨近,派拉軟件再次加快了奔跑的步伐。今年3月,派拉軟件宣佈獲得6000萬元B輪投資,用於市場拓展及AI研發。
其投資方東方富海合夥人陳利偉表示,網絡安全行業格局相對分散,全球網絡安全頭部公司的收入僅佔30%,剩下的70%市場都被細分領域的中小型網絡安全公司分割。
因此,在國內信息安全行業高速發展的大背景下,像派拉軟件這種有實力的“馬拉松選手”,極有可能挑戰傳統的安全巨頭,成為橫跨多個安全細分領域的小巨頭。
值得注意的是,物聯網時代即將到來,萬物互聯面臨的安全事件將出現指數級的增長,安全防控的難度也會發生指數級的變化,這一趨勢將為信息安全領域的智能化升級打開更廣闊的想象空間。
閱讀更多 科技雲報道 的文章
