本文信息来源:nfx
大多数大型网络安全公司建立的堡垒正在崩塌。而唯一准备好守卫前线的,是初创公司。
为什么?因为他们看到了其他人忽视的格局转变。
几十年来,公司一直在其操作系统周围构建防御工事——防火墙、杀毒软件、终端检测工具——所有这些都是为了阻止恶意行为者突破操作系统的防线。假设很简单:控制操作系统,就能控制安全。
但如今,这一假设已经被打破。今天的安全战场已经从操作系统转移到了应用层。
它反映了软件领域一个巨大的趋势——朝着一个不断更新、流动的生态系统发展。这对创造力来说是极好的,我们看到了比以往更多有趣的软件构建方式。但这也创造了一个全新的安全生态系统,这个生态系统在很大程度上尚未被探索或是不可见的。
这是一个令人惊叹的领域,初创公司可以在这里构建有意义的解决方案,而现有企业却在努力追赶。
最近我们投资了 Koi,一家领先的基于应用的安全平台,正是出于这个原因。但在这里还有更多值得探索的东西。我们对下一代网络安全公司充满期待。这个领域充满活力,并在不断自我革新。
持续演进,持续机遇
在过去的几十年里,软件发生了巨大的变化。相应地,网络安全也不得不以更快的速度进行适应。每一次软件的变革浪潮,潜在威胁的“攻击面”都会呈指数级倍增,而新的公司也会随之成立来应对这些挑战。
软件演进与网络安全创新之间的这种共生关系展现了这一规律。
在 20 世纪 80 年代早期,软件大多是本地部署且为“单机”模式。最大的威胁是能够自我复制到软盘上的病毒,例如 1986 年的“Brain”病毒 。当时需要保护的攻击面很简单:就是那台独立的计算机本身。
但随着互联网在 80 年代末和 90 年代初的普及,黑客意识到网络本身也存在漏洞。1988 年的 “Morris 蠕虫” 是一次巨大的警钟。它通过互联网传播,利用邮件系统中的后门,从 MIT 在几天内蔓延到伯克利,感染了成千上万台计算机。模式变得清晰:联网计算机越多,攻击面就越大。(这一发现影响深远,美国在这次攻击后成立了首个计算机应急响应小组。)
这催生了第一波主要的网络安全企业,如 McAfee、Trend Micro 和 Symantec,它们销售可在操作系统层面“外挂”安全功能的杀毒工具。
到了90年代,通过电子邮件传播的病毒出现了,还有一些病毒能够不断变异以逃避检测。企业的应对措施是创建防火墙来保护网络。模式依旧:更多的集成带来了更大的攻击面,促使新的防护技术诞生。
2000 年代的互联网热潮将这一模式推向了极致。最大的转变是向云计算和应用层安全的迁移。云计算从根本上改变了软件的创建和分发方式。应用程序通过 DevOps 快速开发,并可随时进行调整。数据和工作负载分布在全球的虚拟服务器上,攻击面呈指数级增长。
仅仅专注于操作系统保护已不再足够。我们开始将安全直接融入代码本身(DevSecOps)。这催生了像 Palo Alto Networks(下一代防火墙)、Crowdstrike(云管理的终端安全)、Snyk(实时代码扫描)和 Wiz(成为史上增长最快的云原生安全平台)这样的公司。
我们现在正进入另一个重大变革阶段:应用层成为新的安全战场。应用程序是由代码包、插件、扩展、AI 模型和更新组成的完整生态系统。企业对进入其组织的软件几乎没有可见性或控制权。
最早意识到这一转变的公司之一是 Koi。创始人 Amit Assaraf 向我们提出了一个关键认识:传统安全系统尚未察觉到这一变化。他们通过构建一个名为 “Darcula Official” 的虚假 VSCode 主题扩展来证明这一点,该扩展在一周内感染了全球 300 多家机构,包括一个国家级法院网络。
我们立即投资了他们,因为他们符合我们在网络安全领域中不断看到的模式:软件的持续演进必然带来新的威胁,从而为初创公司创造几乎无穷无尽的机会,成为软件的新守护者。
为何网络安全技术的窗口如此巨大
那么,这段历史给我们带来了什么启示呢?可以把它看作是一场永无止境的军备竞赛。每当“好人”以一种新的方式构建软件时,“坏人”就会找到新的攻击向量。然后,网络安全就必须再次彻底自我革新。
这一周期为拥有新视角的初创公司创造了巨大的机遇。仅在过去五年中,就有数十家新的网络安全公司成长为市值数十亿美元的行业巨头。
但要脱颖而出并不容易。关键在于对某个只有你能解决的问题形成独特的洞察。
Koi 完美地展现了这种思维。我们投资他们,是因为他们发现了三大 incumbents 忽视的关键转变:
- 从操作系统层级威胁向应用层级威胁的转变已经到来
- 其中许多威胁来自非二进制代码,这对那些依赖构建基于二进制安全解决方案成长起来的 incumbents 来说是独特的挑战。他们必须重新学习这场游戏。
- 他们了解以应用为先的组织是如何思考的。他们知道安全团队需要对组织中每台电脑的实际情况有可视化的掌握。他们知道团队需要工具来对这些信息采取行动,并且需要支持来应对不断增长的可自行下载的新软件库,从 AI 模型到扩展程序。
美妙之处(或者恐怖之处,取决于你的视角)在于,就在此刻,某个黑客正在设计利用现代软件的新方法。仅仅是“vibe coding”世界,就创造了两年前几乎不存在的全新攻击面。
如果你能在现有巨头之前发现这些新兴漏洞,你就已经完成了产品与市场契合的一半。结果不言自明:Koi 达到 $1M ARR 的速度比 Wiz、Snyk、Vanta、Figma 和 Loom 都要快。
在这个领域,对真正解决方案的需求之大可见一斑。
安全新纪元中的初创企业优势
Koi 的快速成功说明了另一个更广泛的原则:当战场发生转移时,现有巨头的优势会变成负担。它们的规模、既有的客户基础和现有的架构都将它们牢牢地锚定在旧的范式中。
与此同时,初创公司可以:
- 针对当前或未来的威胁格局进行构建
- 在无需跨大型组织进行繁琐协调的情况下更快行动
- 吸引了解现代软件生态系统的人才
- 在第一天就展示清晰的价值——如果你能向客户证明他们存在漏洞,你就能赢得他们的信任,就这么简单。
在网络安全领域,固守旧有范式是有害的。
这对初创公司来说是个好消息,因为该领域的现有企业比其他行业更容易受到冲击。
当然,这也引发了关于防御能力的重要问题。当你成为现有企业后会发生什么?这就是为什么我们一直强调,防御能力绝不能仅仅依赖于单一因素(除非你是一家生物公司并且拥有知识产权,例如)。
你进入市场的“切入点”——就像 Koi 的独特洞察——可以让你抢得先机。但随着时间推移,你需要构建更可持续的防御能力,例如网络效应、品牌和深度嵌入。
我们在这里涵盖了以上所有内容。
这对创始人的意义
范式转变会创造出初创公司能够超越行业巨头的窗口——但前提是你能及早洞察这种转变,并专门为新的现实构建产品。Koi 并没有试图打造一个更好的 EDR 工具;他们构建了第一个真正的应用层安全平台。
如今,新的范式是应用层防御。这个领域完全开放。像 Koi 这样的团队向我们展示了,当你找到正确的思路并全力以赴时,可以实现的可能性。
但未来,它会是另一种东西。网络安全中唯一不变的就是变化。而如果你是一家初创公司,这只会对你有利。