在网络安全的整个生态中,CISO是非常重要的一环。是CISO们提出了值得解决的问题,是CISO们选择了能解决其问题的产品类型。所以,可以毫不夸张地说,是CISO们组成了网络安全的商业市场。同时,网安产品的发展方向上,也一定有CISO们的影响因素在。
另一方面,不少网安初创公司的创新产品特别希望能得到CISO们的支持,从而能够在客户的实际环境中得到锤炼;与此同时,CISO们也希望能够找到好产品来解决一些令人头痛的问题。因此,CISO与网安创业者的良性互动是一个既对双方有利,又对行业有利的好事。
或许是行业发展得更早,海外的CISO与网安创业者的互动一直以多种方式在开展。譬如2019年我去以色列参访的时候,就了解到总部位于英国的巴克莱银行在以色列设有创新中心,并设置了网安创新总监这一职位,他的任务就是寻找各种创新的网络安全解决方案,并给予他们试用的机会。同时,也是通过这种方式,让真正有价值的创新产品和创新公司能获得更好的发展机会,从而反过来也有助于巴克莱银行完善自身的安全建设。再譬如,LinkedIn的CISO会每个月留时间与创新产品的团队交流,听他们的产品介绍并给出自己的意见,同时会把相关情况写出来供大家参考。
此外,繁星还关注到了一种以投资形式出现的互动方式:CISO们组织一个基金或投资俱乐部,直接投资网安初创公司。这是一种更深度、也更有意义的互动,真金白银的支持,或许比采购的背书作用都强。毕竟采购可能有各种因素的影响,而拿钱投资到一家网安初创公司,说明确实是看好公司的产品与商业未来。1.Silicon Valley CISO Investments(SVCI) 一个由美国CISO组成的天使投资机构,成立于2019年,在硅谷安全圈有很特殊的影响力。SVCI会寻找有前途的早期创业公司并对其进行投资,然后利用行业专业知识帮助其成长,推动下一代网络安全创新。SVCI是一个邀请制的,由CISO组成的天使投资者的社区。成员来自广泛的行业,如保险、区块链、医疗健康、网络安全等,或者来自行业内头部公司,比如Palo Alto、Google、微软等。SVCI成员在网络安全领域都有数十年经验,担任投资者、安全部门经理、创始人、安全副总裁、董事会成员等职位。SVCI由GGV Capital提供支持,尽管如此,SVCI独立决策和运营。SVCI的成员必须亲自受邀加入组织,并由现有成员担保和审查。SVCI不断评估潜在的投资机会,只有一小部分入选的公司将在SVCI面前展示。SVCI评估市场、产品、潜在风险,并与该领域的其他参与者进行比较分析。然后SVCI会进行尽职调查,最终做出投资决定。SVCI投资十分挑剔,迄今出手的项目只有14个。SVCI的模式是由看好该公司的成员个人直接投资到公司,通常投资数十万美元,不要求获得董事会席位,一般是跟投。Orca Security:云安全领域的初创公司,创始人为Check Point的多位技术高管。SVCI的成员参与了2020年的A轮投资。2021年Orca完成了由淡马锡领投的C轮融资,估值达到18亿美金。Polyrize:访问权限管理领域的初创公司。SVCI的成员于2020年8月参与了对该公司的投资。2020年第四季度,数据安全领域的上市公司Varonis宣布收购Polyrize。欧洲知名的CISO背景基金,于2021年成立,位于英国和德国,是一个私密的、邀请制的社区。迄今出手投资8家。由60名来自各行各业的、领先的网络安全高管和专家组成,比如金融服务、软件开发、保险业、建筑业、咨询服务、制造业等。成员在网安领域有十几年的工作经历,一半左右的成员担任过CISO,还有CTO、安全产品总监、安全部门经理、专家顾问、投资人等。获得CCL的投资需要符合3个条件:产品或服务聚焦网络安全、当前可POC验证、轮次在A轮之前。入选的初创公司将被邀请给CCL的成员Demo产品,然后基于几个维度进行评估:创始团队、市场空间和GTM战略、与CCL成员对行业需求的观点一致性、技术至上与创新。在获得CCL投资后,CCL成员将运用其资源和知识对初创公司提供指导和支持。Reco:数据安全领域的初创公司,为企业在SaaS上的数据提供安全防护。CCL的成员于2022年参与了由知名VC机构Insight Partners领投的A轮融资。Vaultree:隐私计算领域的初创公司。2022年,CCL的成员与专注于网安领域的知名投资机构Ten Eleven一起对Vaultree进行了A轮投资。Kmehin是以色列领先的CISO背景的基金,使命是发现并投资具有巨大潜力的早期安全初创企业。通过发现早期创业公司,为投资者确保后续轮融资,并为他们的交易做出贡献。一共投资7家公司,其中有6家是以色列的公司。Kmehin的成员由16位来自不同行业的领先公司的CISO组成,比如金融科技、电商等。成员在安全部门有数十年的工作经历,担任过公司公司安全部门的总监、经理、董事以及专家顾问。Arnica:软件供应链安全领域的初创公司,创始人也是CISO出身,之前在Finastra(世界第三大金融服务公司)和Kabbage等金融行业的公司担任CISO。Kmehin Ventures与Orca Security的创始人及Aqua Security的创始人共同于2022年11月对公司进行了种子轮投资。成立于2020年,现有三名成员。其自我宣称是规模最大的由来自于财富500强和福布斯全球2000强企业的网安负责人所组成的组织,专注于与早期安全创始人合作。创始人Ben Castaldo曾经是美国空军的网安团队成员,以及SWYM Capital的合伙人,现为The Security Syndicate的创始人。Grip:SaaS安全领域的初创公司。The Security Syndicate于2021年同Intel Capital及网安领域的知名投资机构YL Ventures一起参与了对Grip的A轮投资。类似这类CISO特色的投资组织的出现,除了推动创新以外,对CISO本身也很有意义。首先,CISO们多了一个通过自己的专业知识获取更多收益的途径。早期投资的特点是高风险高收益,一个主要的风险是需求的不确定性。不确定创始人要解决的问题是否具有普遍性,不确定所开发的产品是否适合于解决该问题。而这恰恰是CISO们的强项。作为甲方的网安负责人,CISO们当然知道这是不是一个困扰甲方的问题,当然也清楚所讨论的产品是不是适合。如果再由专业的投资机构辅助其他相关的判断,投资的风险明显要小于有些雾里看花的VC们。更不必说CISO们还可以把产品推荐给其他同行,这样的推荐比几场市场活动的效果都要好。其次,通过投资进一步加强了CISO与创新产品团队的互动。CISO们推动创新,是希望自己有真正好用的产品来解决所面临的问题。看到了一个有潜力的好产品,也投入了自己的资金,这个时候当然更有动力来跟创始团队一起调整产品细节。既有了好的产品,又有机会获得更好的投资回报,两全其美。第三,通过参与整个投资判断过程(无论最终是否投资),CISO们也更清楚了什么样的初创公司是值得支持的。很多CISO都有意愿用一些创新的产品,但很多时候都会担心「别今年刚开始用,明年这公司就不在了」。而通过对初创企业从投资的角度进行仔细调研和判断后,当然能让CISO们看清楚哪个初创公司的产品是真正值得支持的。最后,对于有创业意愿的CISO来讲,参与这样的投资就更有价值了。毋庸讳言,作为甲方网安部门的最高负责人,很多CISO都会思考自己的下一步职业发展。创业是不少CISO在考虑的下一站。创业,当然是艰难的。通过投资来更深入地理解创业过程,了解创业路上可能碰到地各种困难。对于有志于创业的CISO来说,是再好不过的一种准备方式了。当然,在国内会有一些不一样的情况。繁星之前也跟一些CISO做了交流,大家都觉得这是一件有意义的事,也提出了在国内可能会碰到的一些困难。但既然这样的深度互动方式既有利于行业发展,又对CISO和网安创业者都有益,为什么不尝试一下呢?摸着石头过河,正确的路往往就是探索出来的。繁星正在组织一些对网安投资话题感兴趣的甲方朋友,共同探讨契合国内环境的落地模式,推动CISO群体在网安创投领域的新可能。欢迎对这个话题也感兴趣的甲方朋友扫下面的二维码联系我们,一起入群参与讨论。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
还没有评论,来说两句吧...