天天簡(jiǎn)訊:將標(biāo)準(zhǔn)做成 SaaS，數(shù)據(jù)合規(guī)賽道 2 年長(zhǎng)出一只超級(jí)獨(dú)角獸

因數(shù)據(jù)安全問題，F(xiàn)acebook 被愛爾蘭罰款 2.65 億歐元，法國對(duì)谷歌處以創(chuàng)紀(jì)錄的 1.5 億歐元罰款……以億為單位的罰款，正不斷砸在互聯(lián)網(wǎng)公司頭上。

(資料圖片)

巨大的罰款金額背后，是各國政府對(duì)于用戶數(shù)據(jù)安全和隱私保護(hù)問題，采取了越來越嚴(yán)肅的態(tài)度。

不過，一個(gè)矛盾的點(diǎn)是，以硅谷大廠為代表的科技巨頭，其實(shí)反而在數(shù)據(jù)保護(hù)方面有真正的投入和認(rèn)知。相對(duì)來說，那些想要開拓新市場(chǎng)的中小型公司，對(duì)于數(shù)據(jù)合規(guī)非常陌生，而后者繁瑣的認(rèn)證過程，比其真正需要的成本更令前者恐懼。

有需求就會(huì)有供給，近日，一家名為 Drata 的數(shù)據(jù)合規(guī)公司，使用自動(dòng)化云服務(wù)平臺(tái)，將以往繁瑣的數(shù)據(jù)合規(guī)驗(yàn)證，變成了一站式的 SaaS 服務(wù)，幫助企業(yè)完成 SoC2、GDPR 等目前歐美主流的數(shù)據(jù)合規(guī)標(biāo)準(zhǔn)。

不久前，Drata 完成了 C 輪 2 億美元融資，估值達(dá)到了 20 億美元。其背后的投資者既有 Salesforce 這樣的軟件巨頭，也有 GGV 這樣的大型投資機(jī)構(gòu)，甚至微軟 CEO 薩提亞·納德拉，也是該公司的個(gè)人投資者。

Drata 這樣一個(gè)小公司，如何用僅僅 2 年時(shí)間，就做成了一家超級(jí)獨(dú)角獸？它成功的背后，數(shù)據(jù)合規(guī)行業(yè)未來的趨勢(shì)又是怎樣的？

將標(biāo)準(zhǔn)做成 SaaS

作為一家創(chuàng)業(yè)公司，Drata 選擇的領(lǐng)域非常垂直，主打 GRC（Governance, Risk and Compliance，治理、風(fēng)險(xiǎn)和合規(guī)）市場(chǎng)，核心的產(chǎn)品是幫助其他公司變得更「合規(guī)」。

在歐美市場(chǎng)，GRC 軟件合規(guī)是數(shù)據(jù)安全的重要組成部分，需要對(duì)軟件產(chǎn)品各個(gè)環(huán)節(jié)進(jìn)行檢測(cè)以了解其對(duì)用戶是否足夠「安全」。對(duì)于企業(yè)來說，一款符合頂級(jí)合規(guī)安全標(biāo)準(zhǔn)（如 SoC2、GDPR）的產(chǎn)品不僅意味著自家的產(chǎn)品很安全，還可以證明自身技術(shù)很有實(shí)力，獲得用戶的信任。

以全球公認(rèn)最具權(quán)威性、專業(yè)性的安全審計(jì)報(bào)告 SOC2 報(bào)告為例，它基于美國注冊(cè)會(huì)計(jì)師協(xié)會(huì) (AICPA) 審計(jì)標(biāo)準(zhǔn)委員會(huì)的現(xiàn)有信托服務(wù)標(biāo)準(zhǔn) (TSC) 制定。由一個(gè)獨(dú)立的第三方標(biāo)準(zhǔn)機(jī)構(gòu)對(duì)企業(yè)進(jìn)行審核。

Drata 目前支持的部分?jǐn)?shù)據(jù)合規(guī)和安全標(biāo)準(zhǔn)｜圖片來源：Drata

SOC2 會(huì)對(duì)企業(yè)中與安全性、可用性、處理完整性、機(jī)密性和隱私性相關(guān)的信息系統(tǒng)進(jìn)行綜合評(píng)估，進(jìn)而深入反映企業(yè)的內(nèi)部控制及安全管理體系能力。全球目前只有少量企業(yè)可以通過該標(biāo)準(zhǔn)認(rèn)證，大如 Oracle、AWS 在服務(wù)客戶時(shí)也會(huì)強(qiáng)調(diào)自己獲得了該標(biāo)準(zhǔn)認(rèn)證。

不過，企業(yè)要讓自己的產(chǎn)品系統(tǒng)符合這些「標(biāo)準(zhǔn)」，一般需要組建專門的團(tuán)隊(duì)或聘請(qǐng)經(jīng)驗(yàn)豐富的第三方公司通過軟件和人力進(jìn)行測(cè)試，查找數(shù)據(jù)安全合規(guī)漏洞。這也讓傳統(tǒng)的 GRC 成為最不性感、卻又最磨人的工作。

與之相比，Drata 則通過技術(shù)創(chuàng)新和流程整合將原來需要數(shù)十人，長(zhǎng)達(dá)數(shù)月甚至以年計(jì)的工作解放出來，將軟件合規(guī)從一個(gè)手工活變成一項(xiàng)機(jī)器活，可以幫助企業(yè)節(jié)省大量合規(guī)審核準(zhǔn)備時(shí)間。

Drata 和多家云服務(wù)以及品臺(tái)合作，將產(chǎn)品嵌套到平臺(tái)中｜圖片來源：Drata

作為一家安全和合規(guī)性自動(dòng)化云服務(wù)平臺(tái)，Drata 的核心能力包括：

自研 54 個(gè)不同合規(guī)標(biāo)準(zhǔn)下的風(fēng)險(xiǎn)評(píng)估框架，通過這些框架，企業(yè)可以持續(xù)、自動(dòng)化的控制監(jiān)控產(chǎn)品運(yùn)行，并收集漏洞證據(jù)，進(jìn)而迭代產(chǎn)品滿足合規(guī)要求。在這些標(biāo)準(zhǔn)中，Drata 率先攻克了有合規(guī)標(biāo)準(zhǔn)之王的的 SoC2 標(biāo)準(zhǔn)框架，作為一家創(chuàng)業(yè)已經(jīng)能監(jiān)控、處理復(fù)雜程度極高的合規(guī)需求。

集成超過 75 個(gè)第三方行業(yè)軟件和合規(guī)工具，幫助企業(yè)簡(jiǎn)化工作流程、選用合適的產(chǎn)品服務(wù)，提升自身產(chǎn)品合規(guī)水平，以提高合規(guī)審核效率。

作為一家創(chuàng)業(yè)公司，出色的產(chǎn)品打造能力讓 Drata 迅速獲得客戶的認(rèn)可。Drata 在成立 45 天內(nèi)就獲得了 100 個(gè)客戶。不到 20 個(gè)月的時(shí)間內(nèi)，已經(jīng)拿下了 2000 多個(gè)客戶，產(chǎn)品和市場(chǎng)需求匹配程度極高。

G2 grid 最新發(fā)布的 GRC 平臺(tái)報(bào)告，Drata 屬于行業(yè)中屬于領(lǐng)先地位｜圖片來源：G2

從 Drata 官方透露的信息來看，其主要的客戶類型包括 SaaS、保險(xiǎn)、金融、咨詢。從其標(biāo)桿客戶的反饋來看，「節(jié)省時(shí)間」、「高度自動(dòng)化巡檢」、「節(jié)省成本」、「無需安全專家亦可操作」則是吸引他們使用 Drata 的重要原因。

美國知名互聯(lián)網(wǎng)保險(xiǎn)公司 Lemonade 的合規(guī)業(yè)務(wù)負(fù)責(zé)人就表示，在使用 Drata 之前公司需要 500 到 600 小時(shí)在合規(guī)工作上，但使用之后時(shí)間下降到了不到 40 個(gè)小時(shí)。

用戶的認(rèn)可也讓 Drata 受到資本市場(chǎng)的歡迎，成為史上最快成為獨(dú)角獸的公司之一。作為一家 2020 年成立的創(chuàng)業(yè)公司，2021 年完成 B 輪 1 億美元正式躋身獨(dú)角獸，并隨即于近日完成 C 輪 2 億美元融資。

值得一提的是，市場(chǎng)策略上，Drata 沒有完全顛覆整個(gè)行業(yè)，反而會(huì)和審計(jì)師合作提升市場(chǎng)效率。Drata 只是幫助企業(yè)監(jiān)控評(píng)估，但評(píng)估仍由權(quán)威標(biāo)準(zhǔn)機(jī)構(gòu)來確定。

創(chuàng)始人 Adam Markowitz 表示，Drata 的存在可以幫助專業(yè)第三方人士更高效的服務(wù)企業(yè)，「我們創(chuàng)建 Drata 是為了作為偉大公司與他們有業(yè)務(wù)往來的人（審計(jì)員、合作伙伴、他們的客戶等）之間的信任層?！?/p>

數(shù)據(jù)合規(guī)，大熱的新賽道

Drata 受到資本和企業(yè)用戶的歡迎，離不開日益嚴(yán)格的數(shù)據(jù)安全要求和與日俱增的詐騙風(fēng)險(xiǎn)。

一方面，從史上最嚴(yán)數(shù)據(jù)保護(hù)法 GDPR 的出臺(tái)落地，到扎克伯格被叫到美國國會(huì)「開會(huì)」，數(shù)據(jù)安全與合規(guī)已經(jīng)成為互聯(lián)網(wǎng)企業(yè)頭上的一把利劍，倒逼企業(yè)更加重視自身企業(yè)系統(tǒng)搭建，滿足用戶使用需求。

另一方面，隨著云服務(wù)的廣泛普及，讓企業(yè)獲客變得簡(jiǎn)單起來，SaaS 市場(chǎng)在歐美遍地開花。與之伴隨的，由于軟件合規(guī)漏洞等造成的詐騙風(fēng)險(xiǎn)也越來越多、損失越來越大。

美國聯(lián)邦調(diào)查局（FBI）2022 年發(fā)布的《互聯(lián)網(wǎng)犯罪報(bào)告》顯示，2021 年網(wǎng)絡(luò)詐騙令全球受害者損失了至少 69 億美元，較 2020 年增加超過 20 億美元。而在這些詐騙中，涉及最多的領(lǐng)域是勒索軟件、商業(yè)電子郵件泄露 (BEC) 計(jì)劃和加密貨幣犯罪。除了用戶自身原因外，軟件自身安全仍然至關(guān)重要。

數(shù)據(jù)安全引起的損失逐年增加｜圖片來源：FBI

當(dāng)企業(yè)服務(wù)的對(duì)象走向全球，不同區(qū)域的法規(guī)、不同用戶的合規(guī)需求，更讓合規(guī)問題變得棘手和復(fù)雜。

不過，復(fù)雜的問題也醞釀出廣闊的市場(chǎng)需求。據(jù) IDC 預(yù)計(jì)，全球 GRC 收入將從 2020 年的 113 億美元增長(zhǎng)到 2025 年的近 152 億美元。

而回到 Drata 身上，其創(chuàng)立就和創(chuàng)始人「搞不定」復(fù)雜的合規(guī)審查有關(guān)。

在創(chuàng)立 Drata 之前，創(chuàng)始人 Adam Markowitz 還曾在 2014 年創(chuàng)業(yè)做了一款類似 LinkedIn 的產(chǎn)品 Portfolium，主打畢業(yè)生聯(lián)系校友、求職。在向美國校園推廣產(chǎn)品的時(shí)候他發(fā)現(xiàn)，由于不同州對(duì)產(chǎn)品合規(guī)要求不一樣，導(dǎo)致產(chǎn)品每當(dāng)進(jìn)入一個(gè)市場(chǎng)就要重新解決一遍合規(guī)問題，導(dǎo)致產(chǎn)品在關(guān)鍵競(jìng)爭(zhēng)時(shí)刻進(jìn)展緩慢。

2019 年，他最終決定把公司以 4300 萬美元的價(jià)格進(jìn)行出售，自己再出來創(chuàng)業(yè)，并將方向就定在了合規(guī)方向。前一段創(chuàng)業(yè)中遇到的合規(guī)問題，也讓他更清楚的了解企業(yè)用戶的痛點(diǎn)。在經(jīng)過不到一年時(shí)間的研發(fā)后，Drata 即正式誕生。

Drata 的三位創(chuàng)始人，從左至右為 CRO Troy Markowitz、CTO Daniel-Marashlian、CEO Adam Markowitz｜圖片來源：Drata

有趣的是，在創(chuàng)業(yè)之前，Adam 還曾在 NASA 擔(dān)任航空航天工程師長(zhǎng)達(dá) 6 年，為 NASA 的下一代太空運(yùn)載火箭和航天飛機(jī)進(jìn)行主發(fā)動(dòng)機(jī)設(shè)計(jì)、分析和測(cè)試液體火箭發(fā)動(dòng)機(jī)。

當(dāng)然，不止 Drata 看到了 GRC 市場(chǎng)的機(jī)會(huì)。

在 Adam 創(chuàng)立 Drata 的時(shí)候，也有同類創(chuàng)業(yè)公司出現(xiàn)，比如其成立更早的競(jìng)爭(zhēng)對(duì)手 Vanta 也拿到了數(shù) 1.6 億美元計(jì)的融資成為獨(dú)角獸。此外包括 Wiz、Scrut Automation 等同類公司的迅速崛起，也讓合規(guī)自動(dòng)化轉(zhuǎn)眼間變成了一個(gè)行業(yè)賽道。

快速增長(zhǎng)的需求市場(chǎng)和在合規(guī)評(píng)估背后的豐富想象，也讓巨頭企業(yè)關(guān)注到了合規(guī)自動(dòng)化行業(yè)。比如，微軟不僅自己在開發(fā)相關(guān)產(chǎn)品，其 CEO 納德拉 在 2021 年 Drata A 輪融資時(shí)就進(jìn)行了投資，Salesforce Ventures、CGV 也相繼加入到 Drata 投資人行列中。

不過，相比成為巨頭公司的一部分，Drata 似乎更希望自己能從巨頭中左右逢源，并成長(zhǎng)為一家獨(dú)立的公司。因此，盡管拿到了上述公司的投資，也同時(shí)向 AWS 伸出橄欖枝，積極參加 AWS 舉辦的 ISV 加速計(jì)劃活動(dòng)，獲取良好關(guān)系的同時(shí)也收獲了不少客戶。

在互聯(lián)網(wǎng)行業(yè)一片哀鳴的今天，我們?nèi)阅芸吹较?Drata 這樣專注 GRC、UIpath 這樣專注 RPA 的公司在崛起。根據(jù) Crunchbase 的數(shù)據(jù)，2021 年專注云計(jì)算和網(wǎng)絡(luò)安全領(lǐng)域的初創(chuàng)公司，拿到了超過 230 億美元的融資，創(chuàng)下了該領(lǐng)域的紀(jì)錄，而 2022 年這一數(shù)字也有約 160 億美元。

這證明，當(dāng)互聯(lián)網(wǎng)行業(yè)進(jìn)入成熟期，或許會(huì)失去增長(zhǎng)的海洋，但只要往下挖，這個(gè)行業(yè)仍能找到充滿活力的溪泉。

*頭圖來源：Pixabay

關(guān)鍵詞： 數(shù)據(jù)安全 創(chuàng)業(yè)公司 安全標(biāo)準(zhǔn)