科技云报道原创。
互联网的发展史,始终伴随着如何回答“我是谁”以及证明“我是我”的终极命题。无论是采用密码、多因素认证、安全令牌,或是越来越火的生物特征识别等,它们的目的均是一个,保障互联网用户的身份安全而不被恶意使用。
在过去几年中,发生的一些大型安全事件都和身份安全离不开关系,例如雅虎数据泄密事件、乌克兰电网受攻击事件,以及因为身份管理不当导致离职员工恶意删除公司资料的案例等。
根据Verizon 2017年数据泄露调查报告,81%的黑客入侵涉及滥用身份凭证,利用被盗口令、弱密码或默认口令。数据泄露带来的惨痛教训,让企业对身份安全的重视程度日益走高。
作为近年来最热门的安全技术之一,身份安全领域吸引了众多创业者和资本的加入。
从美国市场看,2017-2019年诞生了多家十亿至百亿级市值的身份安全上市公司,如:Okta(120亿美元)、Cyberark(43亿美元)、Ping Identity(17亿美元)。
在初创企业融资市场上,身份管理与访问控制领域由2016年的25起上升到2017年44起,增幅达到了76%。
同时,这一领域也不乏微软、IBM等巨头的提前布局。2018年,思科以23.5亿美元收购身份安全公司Duo Security,一举创下当年网络安全领域单笔金额最高的收购记录。
而在中国,这场战役才刚刚打响。目前,大型安全厂商及互联网巨头已纷纷开始战略布局身份安全领域,或作为自身业务的补充,或作为新的业务增长点,成为业界一股新的风向。
更让人意想不到的是,在这个新晋的“网红”安全细分领域中,竟然还藏着一个隐形冠军,它,就是派拉软件。
这家在身份安全细分领域深耕了11年的企业,如今已是一家年营收过亿、年增长率超50%的数字安全公司。
目前,派拉软件已为汽车、制造、电子、地产、金融、零售、教育和政府等行业的500多家大中型企业提供信息安全咨询和实施服务,包括100多家500强企业,50多家整车企业,40多家金融客户,30多家大型制造企业,10多家地产家居企业,是行业内当之无愧的领导者。
有人可能会好奇,为什么这样一家头部企业,并没有过多被外界关注到?事实上,这家安全企业非常低调,直到上周派拉软件召开了成立11年以来的首次媒体发布会,外界才得以近距离了解这家安全公司的全貌。
那么,今天我们就来聊聊什么是身份安全,以及派拉软件这家身份安全领域的神秘“小巨头”是如何崛起的?
做好企业IT安全
先管好身份这把“钥匙”
2016年,全球知名调研机构Gartner在总结企业面临的五大安全问题时,身份与访问管理(IAM)这一领域赫然在列。
在Gartner的定义中,身份和访问管理,又称为身份安全,主要是为了确保正确的人能够在正确的时间,因为正确的原因访问正确的资源。身份安全更多的是解决越来越多在异构技术环境下确保对资源正确访问的需求,从而满足日益严格的合规要求。
在身份安全的应用场景里,最常见的是企业对员工身份的管理。从新员工入职,到这个职务能访问的内部系统,再到员工工作调动或离职,所有员工的各类账号和权限都需要和业务系统进行同步,并且能够根据权限的变化进行自动化的账号变更,这就是身份安全对企业员工身份的全生命周期管理,以保证业务的连续性和安全性。
除此之外,随着企业业务全面云化,不仅是针对员工,企业的客户、互联网用户乃至供应商、经销商伙伴,都进入了企业身份安全的治理范围。
因为云计算的出现,让数据开始在本地和云端自由流动,过去以本地数据中心为边界的安全理念被彻底打破,信息安全从边界安全转向了以身份为中心的动态防护。
用派拉软件创始人&CEO谭翔的话说:“身份认证是一个看门钥匙,如果连钥匙都管不好的话,做很多墙也没有用”。
派拉软件创始人&CEO谭翔
以派拉软件的某大型汽车客户为例,这家车企不仅为自己的员工、供应商、经销商,同时也为两千万名车主做了身份安全管理。
这是因为很多消费者会在不同地方使用相同的用户名和密码,据2017 Pew Research报告数据,有多达39%的用户会为自己的所有帐户使用相同或类似的密码,用户的弱密码会让企业系统或网站应用从外部被攻破。
如果认为身份安全仅仅和人相关,那就过于局限了。据派拉软件创始人&VP郭辉介绍,很多东西没有生命,但是同样具有身份,比如移动设备、物联网设备、API应用、数据等等,在相互的连接和调用中,都涉及身份的管理、认证、授权、审计。
不难发现,身份安全的覆盖范围已经从“人的身份”,延伸至“万物皆有身份”,这个过程其实经历了一个较长的发展阶段。
据谭翔介绍,2012年左右,国内才刚刚开始接受身份安全这个概念,以外企、中外合资企业、央企等超大型企业为主,在“100多万员工拥有五花八门的身份,缺乏统一的标准”这样的需求下,身份安全技术有了初步的落地。
直到2014年,中共中央成立网络安全和信息化小组,2017年颁布《中华人民共和国网络安全法》,再到2019年正式推行《中华人民共和国密码法》,网络安全开始上升到国家层面,企业合规审批的需求比原来更加刚需,中国网络安全市场真正迎来了爆发期。
这种爆发与云计算和移动互联网的发展也密切相关,随着云端安全事件频发,黑产迅速发展,让网络攻击的对象不再局限于大型企业和机构,很多中小规模的企业也面临着勒索和攻击,对于安全产品的需求呈爆发式增长。
数据显示,2014年以前,中国信息安全市场规模约为210亿元,但是短短的五年时间,整个市场增长到500亿元以上。其中,国内IAM市场规模2018年约为7亿人民币,云IAM市场占IAM市场总收入的1/3,预计2020年国内IAM市场规模将达到13-15亿人民币。
可以想象,当整个中国企业数字化的转型指数到达80%以上的时候,所有的企业都是数字化企业,数据资产将变成非常重要的资产,对于安全的投入会成为未来安全市场巨大的增长点。
正是这样的市场潜力,促使着当时还在IBM中国软件开发实验室担任团队负责人的谭翔萌发了创业的念头。2008年,谭翔和3名IBM技术同事一起创立了派拉软件,成为国内最早一批身份安全公司。
稳扎稳打的技术派
身份安全的隐形冠军
如今的身份安全已成为资本和市场的热捧对象,但是早在十年前,身份安全还是国内一片无人问津的蓝海。
大多数人连身份安全的概念都没有听说过,少数企业对于身份安全的需求,也只停留在简单的单点登录、权限管理上。这对于早期的派拉软件而言,生存极为艰难。
为了活下去,创始团队一边做产品研发,一边给大型企业做安全架构咨询。IBM研究院深厚的技术背景和前瞻的技术理念,让谭翔团队在创业初期获得了很多企业客户的信任,这些企业也在无形中成为了派拉软件的种子客户。
2010年,一汽-大众的技术负责人找到谭翔,问他能不能解决多个业务系统的身份打通和身份批量处理的问题,上万名员工在不同业务系统中的身份变动让他们的IT管理不堪重负,同时还存在巨大的安全隐患。
一汽-大众的需求一下让谭翔看到了希望。为了将客户服务好,谭翔带领团队全力以赴,以高于客户预算三倍的资金投入项目。最艰难的时候,谭翔把自己的房子卖了,创始成员不计薪酬,全身心投入。就是这样一群不给自己留退路,再难也要坚持下去的技术人,做出了国内首款自主研发的身份安全产品。
一汽-大众的成功应用,让派拉软件的口碑很快在汽车行业中传播开来。之后,上汽大众、上汽集团、东风汽车、北京汽车、长安马自达、神龙汽车等知名车企,都陆续成为派拉软件的长期客户,从而也奠定了派拉软件身份安全在汽车行业中的领导地位。
2012年,派拉软件扭亏为盈,并开启了持续盈利的经营之路。2015年,派拉软件再创佳绩,年收入较之三年前一下翻了10倍。
汽车行业的成功经验和持续现金流,让派拉软件有了向制造、金融、保险、证券、零售、教育等多个行业进发的底气。基于不同行业的特性,派拉软件开发了相应的产品功能模块,让身份安全产品得到了全方位的打磨。
从最初的身份管理,到云身份安全管理,特权身份管理,再到如今的智能安全认证,派拉软件已打造出了线下、线上、云端一体化的可信数字身份平台,包含了安全认证、单点登录、身份管理、权限控制、SSO360云身份管理等多种身份安全与治理的产品群组,使之成为适应全行业的安全基础架构。
11年的稳扎稳打,派拉软件成为了国内身份安全领域的领头羊。
事实上,比起创业成功的风光,更为残酷的现实是,80%的创业公司都逃不过“好不过3年,活不过5年”的魔咒。尤其是To B创业需要非常多的经验,包括业务逻辑、技术和项目经验,以及行业资源积累。
从这个角度看,派拉软件的成功,绝非偶然。
首先,当一家To B企业的产品和服务足够好,真正为企业客户创造了价值,这家企业的口碑才能起来。派拉软件有很多长达十几年的“死忠粉”,从最初的种子客户一路成长为如今的老客户,客户信任度和业务粘性非常高。
其次,派拉软件很好的做到了产品化和定制化的平衡。在中国市场里,定制化是一个无法避免的现实需求,一旦定制化过多,企业业务就容易失控。
谭翔表示,要解决这个终极难题,PaaS能力是一个很高的门槛。当服务过众多行业和不同类型的客户之后,将共性需求提炼为标准化的产品能力,就能够大大提升交付的速度,这也是派拉软件竞争力的重要来源。同样一个项目,别的厂商可能需要长达半年至1年的时间才能交付,而派拉只需要2-3个月。
在行业拓展上,派拉软件的表现也非常稳健。在汽车单个行业做到了近乎垄断式的覆盖之后,才开始稳步向全行业拓展。而深耕的每个行业,都保持着如汽车行业一般的稳定品质。
更难为可贵的是,在不断的市场规模扩张中,派拉软件始终注重业务的健康度。谭翔表示,不会为了迎合投资方而去盲目追求营收数据,如果不管业务的健康性,降低了客户的满意度,那么业务就会陷入恶性循环,也会影响整个行业的发展。
这种不急于求成的表现,和近年来浮躁的创业圈大相径庭,这或许和谭翔创始团队的工程师背景有关,以技术见长,注重产品交付和客户价值。
谭翔笑称,自从创业后,创始成员全部成了马拉松迷,团队中甚至有人跑成了北马九段选手。在他们看来,To B创业就是一场马拉松。
为了长久的跑下去,四位创始人适时地转换了自己的身份,从技术岗分别转向了管理、销售、项目管理等企业经营所必须的岗位,像舵手一样稳稳的把握企业航行的方向,十年来从未偏航。
赛道边界越来越宽
数字安全高效服务行业客户
随着数字时代的全面到来,派拉软件看到了新的趋势正在客户群体中兴起。软件定义让所有业务系统的连接,变成了软件和软件之间的API调用。
如何证明成千上万个API网关的安全,以及大量在API之间流动的数据安全,成为一个亟待解决的现实问题。
同时,微服务的应用也带来了治理难题,大量的服务同时上线,有时甚至分不清是哪个服务名对应那种功能,如何在微服务框架下对服务进行统一和有效的安全管控,成为很多大型企业的迫切需求。
这正是身份安全技术所能解决的领域。据谭翔介绍,传统的安全策略都是先建立连接再认证,而在如今的零信任架构下,需要先认证然后才能连接。无论是人还是API服务,所有业务连接中的身份认证和身份标识都变得非常重要。
对此,派拉软件在身份安全的基础上,衍生出一系列与业务安全和治理相关的产品,如:
API安全网关、企业服务总线、技术中台,为企业提供API安全管理、访问控制、微服务治理、服务监控等方面的服务,让企业能够实现统一调用安全网关,打通企业云上云下本地应用,重塑业务架构。
目前,派拉软件的业务安全相关产品,已成功应用在部分汽车和金融的头部企业中。
在新一代的身份管理系统研发过程当中,派拉软件采用了大量的大数据和AI技术,以提升产品的智能化和自动化水平。
而这种以大数据实施身份管理系统的技术,不仅让派拉软件具备了大数据赋能的能力,也让派拉软件有了向更广阔的安全领域发展的实力。
派拉软件创始人&VP 郭辉
2019年,派拉软件正式推出大数据安全与治理产品线,通过数据湖、日志分析、数据中台等产品,提供从数据采集、清洗、存储、使用、计算、分析到最终展现完善的安全治理构成流程,帮助企业实现风险评估、主动精准式防御、态势分析、全景化画像与预判、监视优化等。
至此,派拉软件构建出三大业务线:身份安全、业务安全、大数据安全。面向用户和前端提供身份治理能力,面向数据和后端提供数据分析和安全管控能力,通过中间连接能力(API)将前端和后端融合,实现服务和数据安全共享的完美闭环。
在以大数据和AI快速推动新一代技术构建的同时,派拉软件也做到了符合国内DevOps趋势以及安全可控的国产化认证,通过了ISO9001、ISO27001、CMMI三级、信息系统安全集成服务资质等,拥有多项公安部安全产品销售许可和50多项知识产权。
不难发现,派拉软件从纯粹的身份安全扩展到应用安全和数据安全,是一次全新的战略布局,以身份安全为核心,发力新的业务增长点。在身份安全领域建立了护城河的派拉软件,将持续拓宽赛道边界,以数字安全的综合能力服务全行业。
当信息安全行业的风口临近,派拉软件再次加快了奔跑的步伐。今年3月,派拉软件宣布获得6000万元B轮投资,用于市场拓展及AI研发。
其投资方东方富海合伙人陈利伟表示,网络安全行业格局相对分散,全球网络安全头部公司的收入仅占30%,剩下的70%市场都被细分领域的中小型网络安全公司分割。
因此,在国内信息安全行业高速发展的大背景下,像派拉软件这种有实力的“马拉松选手”,极有可能挑战传统的安全巨头,成为横跨多个安全细分领域的小巨头。
值得注意的是,物联网时代即将到来,万物互联面临的安全事件将出现指数级的增长,安全防控的难度也会发生指数级的变化,这一趋势将为信息安全领域的智能化升级打开更广阔的想象空间。
微信公众账号:科技云报道