Wiz，一家安全厂商，18 个月前发布产品，一年半时间完成了0到1亿美金的确认收入。据Bessemer Ventures State of the Cloud报告显示，Wiz已经刷新了SaaS圈最快收入增长纪录。

上一位选手deel（全球化招聘）今年刚刚打破纪录还没捂热乎，就被Wiz再次刷新。我相信很多安全圈的兄弟们都不一定听说过这家公司，不过后面的slack、twilio、shopify应该有所耳闻。

作为安全行业一线创业者，看到此条消息多少有点感慨。

Wiz做什么

笔者第一次看到Wiz是2021年的RSAC Innovation Sandbox（全球网络安全行业创新风向标）。这家2020年成立于以色列的安全startup，在21年成功进入RSAC十强。其赛道可以划分为 网络安全-云安全-云基础设施安全-CSPM

CSPM由Gartner从众多安全方向中划分出独立的赛道。简单来讲，即解决跨云、多云基础设施的安全检查和统一管理问题。

常规CSPM类产品主要功能包括：

• 检测并自动修复不安全的云资源配置，如：监控存储桶、加密和帐户权限是否存在错误配置导致数据泄露。

• 跨云、多云配置和服务的安全统一管控。

• 基于既定的安全控制框架或监管标准，下发安全管理手段，解决合规问题。

安全与SaaS模式的结合

并非所有的安全品类都可以SaaS: PLG/SaaS相比传统SLG的大客户交付要求更快的价值转化链路：开箱即用、用了就有效。这是传统入侵检测（要等着黑客攻击才能体现价值）类产品所做不到的。

笔者在之前文章中提到「两种适合SaaS商业化的安全产品定位」如下：

效率工具

能为安全日常性工作提升效率的工具，用户画像明确，靠功能和用户体验获胜，高频使用能够让产品价值快速被感知。随着国内老龄化问题严峻，人力成本越来越高，且安全部门leader逐渐具有技术背景，「堆人干活」的模式长期来讲有望得到改观。

限制工具

如果把安全产品分为两类，一种是边界不清晰的「用了更安全」的产品，比如IDS、EDR，核心能力是对攻防经验的积累，而攻防是动态演进的；另外一种则是边界清晰的「我允许你干什么、不允许你干什么」的限制工具，用了就能在逻辑上解决某些问题，例如以黑白名单进行防御的安全工具，云服务器的安全组。

其中CSPM在 获取合规要求-形成安全检查项-自动验证-自动修复(部分) 这个链路上，是可以闭环的，用户的预期收益也是明确的。

此外，在架构方面，Wiz选择了AgentLess的轻量级解决方案，交付更快，放大了SaaS的优势。

传统的安全设备/产品 需要侵入式部署，即进机房上架服务器、或者在业务运行的服务器或网络节点上，这样一来会导致交付周期拉长：业务、IT部门要评估上安全方案的影响；agent要灰度覆盖；乙方为了适配各种老旧系统和甲方自己都理不清的架构，会有大量的定制开发和适配工作，导致PLG的用户价值反馈链路不能形成。而AgentLess方式通过调用各云平台、云产品的API，完成基础安全建设工作，开箱即用，可以快速帮助企业完成0-60分安全建设，同时解决卡脖子的合规需求，安全效果天花板虽不及侵入式方案，但ROI较高。

云安全企业的土壤

安全行业发展的推动力有很多种，如基础设施的演进（云）、政府/国际形势下的安全合规（hw、等保）、行业性大事件（永恒之蓝）的爆发等等。其中最长期的基本逻辑还是IT基础设施的演进。企业数字化云化带来的安全问题以及成为热点多年。这里放一个云安全相关分享的图：

在混合云问题中，概括性写了一个词「分布式安全协同」，其实这个问题不仅存在于云环境，而是一个行业普遍现象：大规模分布式、数字化带来的业务复杂性与IT基础设施架构的复杂性飙升，背后安全问题越来越多，安全设备越来越多，企业像是一个绑满了绷带往前走的巨人。

如何让安全变得高效，如何联动海量分布式的设备，如何在不同的基础架构中，统一维护security posture，降低安全运营的成本——原来有SIEM/SOC，现在云来了，讲CSPM、零信任。

国内呢？

云安全企业的成长土壤，国内外一个明显的差异点是：国内云厂商借助基础设施护城河下手做安全，强调原生。换句话说：你买了我的服务器，我的安全解决方案效果更好，因为我掌握了服务器底层的操作权限，你外采的安全设备只能在用户态部署，「戴口罩」的防护方式当然没有「打疫苗」的原生方案有效，一定程度上挤压了第三方厂商的发展空间。相对而言，国外的云厂商虽然也有安全相关能力，但留出了更大的空间让安全厂商介入发展。

在当前云和数据强监管和国有化的趋势，也影响了以云为生的安全企业的商业模式，安全到底看效果还是合规？好像效果市场短暂的回来了一下，就又要走了。

此外，国内暂未出现成功的SaaS模式安全厂商（这一点可能有人要挑战），原因一是合规要求安全产品所需的相关数据很难出网；二是行业成熟度不同：企业-政府-厂商的三方利益结构、商务流程存在差异，同样的企业安全部门的人才及预算占比也存在较大差异。但笔者相信，在一些细分领域，安全SaaS已经初见成效，一定有可以发展的路，更高效率的商业模式，总会到来。

结语

引用一段曾鸣在《智能商业》中提到的三浪叠加理论：

一个企业从创业开始历经好点子、好产品、好团队、好组织、好文化等等阶段，千锤百炼终于成为行业的领导者。但这个时候往往3.0的挑战者已经悄然兴起，而行业的领导者经历看不见、看不起、看不懂、学不会、挡不住的阶段，最终被新兴者淘汰。今天我们面临的更大挑战是，原来这样的周期可能需要二十年，而今天这样的周期可能在八到十年内就走完了，波澜壮阔的商业史就是这样在一浪一浪的商业变革中展开。

曾鸣《智能商业》