从2024年十大热门安全初创公司看行业趋势

Cyera是一家成立于2021年的数据安全公司，总部位于美国纽约。

该公司专注于利用人工智能技术提供全面的数据安全解决方案，旨在帮助企业保护其敏感数据，确保网络弹性和合规性。

Cyera在短短几年内取得了显著成就。

2024年4月，该公司完成了3亿美元的C轮融资，使其估值达到14亿美元。投资方包括红杉资本、Accel和Coatue等知名投资机构。

同年11月，Cyera完成了3亿美元的D轮融资，总融资额达到7.6亿美元。

Cyera的核心产品是其无代理的数据安全平台，该平台结合了数据安全态势管理（DSPM）和数据防泄漏（DLP）功能。

详细了解了一下这个产品的特性介绍，其中提到了几个非常重要的点：

插播一个直播预告：今天晚上（1月21日）晚19:30，我也邀请了百度安全副总经理顾孔希大佬，一起聊聊关于企业安全和AI，欢迎大家预约直播。

Cynomi是一家总部位于以色列赫兹利亚的网络安全公司，成立于2020年。

该公司专注于提供自动化的虚拟首席信息安全官（vCISO）平台，旨在帮助中小型企业和管理服务提供商（MSP）有效应对网络安全挑战。

2024年4月，Cynomi获得了由Canaan领投的2000万美元融资，用于推动其国际扩张和产品开发。

Cynomi的vCISO平台结合了人工智能和CISO级别的专业知识，提供以下功能：

对于很多海外的中小企业来说，他们从公司成立之初就需要面临行业的各种严格的安全合规及管理要求。

我之前在红杉的创始人社群里面，也跟不少面向海外市场创业的创始人交流。

他们的创业公司成立之初，便需要考虑满足各种安全的合规并获取资质，而这通常是来自于他们客户的审查要求。幸运的是他们所面临的这些安全合规审查要求，都是有非常具体的指导标准的。

所以我想可能这也是Cynomi在海外有很大市场空间和客户需求的根本原因：

以上两点，我觉得都是值得今天很多企业安全负责人，和行业监管机构思考的问题。

一方面是如何管理好软件供应商带来的风险，另一方面是这些软件供应商如何能够低成本地提升他们的安全水平。这两者是相互依赖的，缺一不可。

Endor Labs是一家成立于2021年的美国网络安全公司，专注于软件供应链安全（SSCS）和开源软件的安全管理。

公司由Varun Badhwar和Dimitri Stiliadis创立，二人之前在Palo Alto Networks工作，积累了丰富的安全领域经验。

Endor Labs的使命是通过提供高效的安全解决方案，帮助企业在不影响开发效率的情况下，确保其软件供应链的安全性。

Endor Labs在开源软件和软件供应链安全领域的快速发展，得益于近年来软件供应链安全事件频发的背景。

公司在2022年获得了2500万美元的种子轮投资，随后又在2023年成功筹集了7000万美元的A轮融资，显示出市场对其产品和服务的强烈需求。

Endor Labs的最核心特色，是支持对开源组件漏洞的可达性分析。

这其实解决了过去企业在开展开源组件安全治理时，最大的痛点。也就是随便一个项目都能检测出来大几十个漏洞，而企业开发者和安全工程师，很难判断这些漏洞哪些能真正被利用，全部修复又不太可能。

所以利用可达性分析技术判断这其中哪些漏洞是真正有影响的就十分重要。

漏洞可达性分析技术，也是墨菲安全在成立之初，就最早提出的一项在软件供应链安全治理领域的核心关键技术。

目前墨菲安全已经能做到过滤95%的无效漏洞，这也使得开源组件漏洞从检测到治理能够闭环落地。

Endor Labs 投入大量资源专注提升漏洞可达性分析能力，显然是明智之举。

Island是一家成立于2020年的网络安全公司，专注于为企业提供安全的浏览器解决方案。

该公司致力于通过其创新的“零信任浏览器”，来提升企业的信息安全管理，确保员工在使用网络服务时的安全性和效率。

在2024年4月，Island宣布完成D轮融资，筹集了1.75亿美元，公司的估值达到了30亿美元。此轮融资由新投资者Coatue和现有投资者Sequoia Capital领投，其他现有投资者也参与其中。

Island的企业浏览器产品，非常强调安全性和生产效率的提升。

不管是传统的远程桌面、沙箱还是更轻量级的安全浏览器，本质上都需要替换企业原来的办公环境。

那么对于最终用户来说，他们首先关注的是，你是否对我的生产效率有影响。

过去很多做类似方向的安全产品，本质上他的成功不一定在于安全能力做的多好，往往在于是否会对用户原来的生产效率有影响。

比如兼容性问题、稳定性问题、应用的接入成本问题等等，而这些能力往往对于安全专业出身的企业来说挑战是巨大的。

当然，如果你能够做的非常好，并且甚至有可能提升原有工作环境的工作效率，那么将会取得巨大的成功。

但我觉得这是非常大的挑战，这个挑战主要来自三个方面：

国内我知道也有一家创业公司叫数影星球，主要也是做安全浏览器的，大家感兴趣可以去试试这个场景的解决方案。

Legit Security成立于2021年，总部位于以色列。是一家专注于软件供应链安全和应用程序安全态势管理（ASPM）的网络安全公司，致力于帮助组织识别和管理开发过程中的风险。

Legit的创始团队，由在网络安全和软件开发领域拥有丰富经验的专业人士组成，CEO Roni Fuchs曾在Checkmarx和Microsoft等公司担任高管。

Legit Security在2023年完成了一轮4000万美元的B轮融资，由风险投资公司CRV领投。这笔资金将用于扩展销售、市场营销和研发，特别是针对人工智能和大型语言模型带来的新兴威胁。

至今，Legit Security已累计融资达到7650万美元，显示出其在网络安全领域的强劲增长潜力。

Legit Security虽然也号称专注于软件供应链安全，但是它最核心的产品主要还是ASPM。

其实我一直不看好当下ASPM类产品，就像我不看好DevSecOps和SDL一样。

我认为这三类产品理念都是有问题的，本质上它们都是围绕企业的应用软件开发流程去建设安全能力，从而想达到对企业的应用安全风险管控的目的。

但是我认为这最大的问题就在于，如果围绕软件的生产流程管软件安全，是很难管好的。

我觉得核心还得回到资产上来，得先做好企业的软件应用资产管理，然后围绕资产可能存在的风险场景及其重要性，来通过建设安全能力控制风险。

所以，我不看好ASPM、DevSecOps、SDL等治理软件应用风险的理念。

我更加相信以供应链视角来治理企业的软件应用安全才是符合未来趋势的线路。

Reality Defender成立于2021年，总部位于美国华盛顿，是一家专注于深度伪造（Deepfake）和合成媒体（Synthetic Media）检测的初创公司。

该公司最初作为非营利组织成立，旨在应对日益严重的深度伪造问题。

随着技术的发展，Reality Defender逐渐转型为商业公司，提供多种检测服务。

Reality Defender在其发展过程中获得了多轮融资。

2023年10月，该公司成功融资1500万美元，由风险投资公司DCVC领投，资金主要用于技术研发和市场扩展。

2024年10月，Reality Defender又完成了3300万美元的A+轮融资，投资方包括埃森哲、IBM等知名企业。这些资金将进一步增强其AI检测能力，吸引更多优秀人才，推动产品创新和市场推广。

随着AI技术的越来越成熟，利用AI伪造出来的语音、视频、文本显得越来越真实。

所以当下企业和用户，也将越来越多的面临黑灰产使用AI合成内容的欺诈。而Reality Defender擅长的这一领域我觉得也将是未来企业的一个痛点需求场景，我个人还是比较看好这个方向的。

Savvy是一家专注于SaaS应用安全的网络安全公司，成立于2021年。由Guy Guzner与Yoav Horman、Eldar Kleiner和David Ben Zakai共同创立。

该公司的目标是减少与SaaS应用相关的用户主动安全事件，以应对企业在使用软件即服务（SaaS）时面临的安全挑战。

Savvy于2024年完成了3000万美元的A轮融资，投资方包括Canaan、Lightspeed和Cyberstarts。这笔资金将用于扩大市场占有率、增强客户支持功能以及扩展团队规模。

随着海外企业和用户使用SaaS服务的数量越来越多，他们也会越来越担心，他们授权的这些saas服务，是不是会偷偷的使用他们的敏感数据，以及这些SaaS服务本身，是不是在身份认证上存在缺陷。

感觉这个方向在国内可能更多的是要关注，是否有敏感数据的传输和滥用，国内使用SaaS服务其实还不是那么多。

Upwind成立于2021年，总部位于美国，专注于解决云环境中的安全挑战。公司通过其下一代云安全平台，帮助企业在复杂的云环境中实现实时监控和风险管理。

Upwind的核心业务是提供云原生应用保护平台（CNAPP），该平台结合了多种安全功能，旨在保护云基础设施。

Upwind在2024年成功完成了一轮融资，筹集了1亿美元，估值在8.5亿至9亿美元之间。

这轮融资由Craft Ventures主导，吸引了多家知名投资机构的参与，标志着其在云安全市场的快速增长和影响力的扩大。

Upwind的估值这么高，很大程度得益于Wiz的发展，和价值被市场认可，而Upwind宣称的几个重要特性很有意思：

总体来说，当下安全能力太多了，大家主打的差异化和特色都是化繁为简。

一方面降低用户的运营成本，另外一方面是降低用户的接入成本。

很多创新的安全产品，本质上就是用新技术或者新的产品设计，将原来复杂的安全运营场景变得更简单。

Torq是一家成立于2020年的网络安全初创公司，总部位于美国，专注于无代码自动化平台的开发，旨在帮助安全运营团队提高效率和响应速度。

Torq的创始团队由Ofer Smadari、Leonid Belkind和Eldad Livni组成，他们在网络安全领域拥有丰富的经验。

Torq在成立以来经历了多轮融资，最近的一轮是2024年获得的7000万美元C轮融资，使其自2020年成立以来的融资总额达到1.92亿美元。这些资金将用于进一步扩展其产品开发和市场推广。

在2022年，Torq还成功完成了5000万美元的B轮融资，显示出投资者对其业务模式和市场前景的信心。

Torq核心主打的概念叫超自动化安全编排，和过去的soar安全编排本质上没有太大的区别。

相对来说可能做的更好的地方是引入的低代码、AI相关的技术，然后和更多的安全工具做了更好的集成和对接。从产品交互体验的设计上来说更加的高效。

过去几年国内也曾刮过一阵关于安全编排的风，但是我看其实做的都很不咋地。

我感觉最主要的原因，还是底层大家做的安全产品标准化程度差，很多安全产品自身成熟度都很低。

然后你搞一个安全编排，就像一个三流导演带着一群四流的演员，还想拍出来二流的电影一样，实际是连四流都不如。

不过随着经济环境下行，企业更注重效率提升，越来越多的企业也在采购安全产品上踩过坑之后，未来市场会倒逼大家，必须沉下心来把产品做好，把细节打磨的越来越好。

回归商业和企业的本质，我相信未来几年整个国内的安全行业会越来越好，也会涌现出来越来越多的好产品。之后，我觉得才有安全编排这一类产品的机会。

Descope是一家成立于2022年的网络安全公司，总部位于美国加利福尼亚州洛斯阿尔托斯。

该公司专注于提供无密码身份验证和客户身份与访问管理（CIAM）解决方案，旨在帮助开发人员轻松地将身份验证、用户管理和授权功能集成到他们的应用程序中。

Descope在市场上表现出色，近年来获得了多轮融资，显示出投资者对其商业模式和市场潜力的信心。

例如，Descope在2023年宣布获得5300万美元的种子轮融资，投资方包括Lightspeed等知名风险投资公司。

Descope主要还是面向一些中小企业，通过低代码/无代码的方式，使开发人员能够轻松集成身份验证和用户管理功能，并且支持通过电子邮件、手机号码等方式进行身份验证，无需传统的密码验证方式。

在我看来，面向中小企业的安全生意，其实最核心的卖点就是：简单，低成本。

今天市场上很多安全产品为了搞一堆功能，使得用户的使用成本越来越高，这其实是非常反人性的。实际给用户带来的价值抵去用户的使用成本就是负数，那么产品就没有任何意义。