文:窦悦怡
近日,数字身份安全的上海派拉软件股份有限公司(简称:派拉软件)宣布获C轮近3亿元融资,本轮融资由高瓴创投领投,中网投战略投资,中金启辰、盛万投资、尚颀资本、华金资本跟投,老股东东方富海、晨晖创投、小苗朗程继续跟投。
据悉,本次融资,派拉将一如既往,着重投入产品创新和技术研发,加强对软件定义边界(SDP)、持续自适应风险与信任评估(CARTA)、基于属性的访问控制(ABAC)、安全访问服务边缘(SASE)等方向的深入研究,将更多前沿安全技术、安全模型与派拉零信任身份安全体系相融合,重新定义新一代的“数字身份治理”产品及服务。
成立于2008年的派拉软件是i黑马&数字观察独家挖掘和持续跟进报道的准独角兽企业,也是面向企业级市场提供专业的身份管理与访问控制(IAM)产品及服务的网络安全企业。
数字身份治理
从可有可无变成刚需
根据全球研究机构MarketsandMarkets最新发布的研究报告显示,2019年全球数字身份解决方案市场规模为137亿美元,到2024年,该市场将增长至305亿美元。预测期内(2019—2024年)的年复合增长率为17.3%。
报告指出,驱动全球数字身份解决方案市场增长主要有以下三大因素:一是身份和身份验证欺诈的上升;二是智能手机中生物识别的集成;三是人们越来越关注端到端客户体验。
其中,生物识别和非生物识别是数字身份解决方案的两大解决方案类型,并在当下有本地部署和云部署两种部署模式。另外,按照身份验证类型来看,数字身份解决方案主要为单因素身份认证和多重身份验证两种验证方式。
我们知道,在数字世界中,身份验证是一种过程,通过该过程可以确定提出保护数字身份的身份验证者与最初建立身份是同一实体。
身份验证与身份识别密切相关,并且通常通过身份识别,在给定人群或环境中确认或识别特定人或事物。它通常通过身份验证进行,以验证实体的属性,例如名称、生日、指纹或虹膜扫描。
而随着人类面临的威胁越来越复杂,企业的网络安全事件频繁发生,伴随的身份验证方法也变得越来越复杂。
其实可以这样的理解,首先,近几年来网络信息安全事件频繁发生。从企业遭遇网络安全事件泄露用户数据,到个人因垃圾短信、诈骗信息、信息泄露等造成经济损失,对网络信息的攻击、侵入、干扰、破坏和非法使用的案例层出不穷。
而随着国家信息安全政策的支持、信息安全标准化工作的推进,中国的信息安全产业正在高速发展,信息安全已全面提升到了国家战略高度。
其次,从技术变革来看,随着云计算、物联网、大数据、区块链等新兴信息技术的涌现,网络与社会运转、人们日常生活的关联也随之密切,其中,数据的价值也愈发凸显,数字经济时代以不可阻挡之势来临。
正是这些信息技术使得全球进入了全新的大数据时代,过去分散独立的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段日益变化,数据正以惊人的速度积累,这大大增加了大规模数据泄露事件发生的可能,每一起事件泄露的信息都超过千万,企业的信息安全面临严重威胁。
第三,从需求端看,以身份安全为例,根据相关数据指出,身份安全领域已超过整体安全市场15%,即市场规模可达120亿元,由此可以看出,身份安全是一个百亿级的市场规模。
但是,随着移动化和云化的出现,有些企业会租赁SaaS系统,而这些SaaS系统,并不在企业IT系统的管控之内。过去的防火墙可能还会保护企业数据,而在移动化的背景下,企业员工可以随时随地通过手机端登录这些系统。
在这样的情况下,传统的防护边界已经消失,没办法用防火墙去保护这些信息了。在企业里,经常会遇到这样的情况。
一个员工离职后,他之前使用的账号还继续存放,甚至经常被搁置很久,而且这些账号,很多时候并未被IT部门的同事关掉,这其中就存在很大的系统安全漏洞。
也就是说,这名员工离职后,他的账号并未被注销,还是可以继续访问之前的系统,可以看见公司的敏感数据以及其他业务数据,在这种情况下数据泄密和资料泄密就变成很严重的问题,而传统的安全防护模式是没办法解决的。
其次,就像前文所说,随着移动化和云化的出现,企业传统的防护边界已经消失,没办法用防火墙去保护这些信息了。
这就促使企业需要新一代的企业安全管理软件,用新的方式去防护这些数据,这种防护可以在移动化、云化的背景下,企业可以设定访问权限,管控ID,也可以让员工安全登录系统。
值得一提的是,根据《世界经济论坛2019年全球风险报告》的调查,网络安全与气候变化一起位居全球五大风险之列。
因此,降低网络风险应该成为企业领导人的首要任务。在平台时代,这要从有效的身份验证开始。过时的身份验证系统是复杂性的来源,是安全性的已知敌人。
同时,现代的身份管理系统不仅仅是从安全角度来看是必不可少的,而且它是关键的数字驱动器。数字身份治理使移动性更加无缝,减少了用户摩擦,从而改善了客户和员工的体验。此外,数字身份治理提高了运营效率并提高了法规遵从性。
谭翔告诉i黑马&数字观察,在数字化社会中,网络对人类的重要性,不亚于水对鱼的意义。但是网络本身具有虚拟性,对于网络背后的行为主体更是难以管控,由此导致的安全事故给社会和企业带来巨大危害。
“今天我们面临的安全领域的变化和变革,都与数字安全密切相关。云计算、物联网、区块链、微服务等技术的出现,让整个传统IT产业结构随之变化,使传统的安全边界防护转向基于零信任架构的,以身份为中心的动态访问控制。
其中,移动互联网大潮,改变所有的商业规则,所有的业务需要支持移动互联网应用已经成为共识,移动优先是许多应用的战略选择。
同时,移动互联网的安全问题正在成为日益严峻的问题阻碍着移动互联网业务的发展。
确保用户身份安全是移动互联网业务开展的安全入口,身份认证技术手段居于核心的位置。
身份认证是信息安全的第一道门,不管是在现在还是未来身份认证技术都拥有巨大的发展空间。
其次,在企业里,无论是ERP、CRM、HR等系统都会产生海量数据,这些数据都成为企业最宝贵的资产,随着人工智能和大数据的发展,可以指导企业更好的业务发展。
但企业的这些数据都通常是闲散在各种异构系统里,很难聚集在一起,并且打通,这时候企业需要构建统一的大数据平台,把数据汇集在一起。
这时候数据资产化以及软件之间更为密集的交互等,都给信息安全带来了更高的风险,也凸显出来大数据时代,数据安全和数据隐私变得越来越重要,数据安全访问将成为中枢。
所以,在这种情况下,企业对身份认证安全的需求,会随着信息化的成熟和信息化复杂度得到进一步提高。
例如,早些年的时候,很多只有5000-10000人的规模企业才对此有需求,因为他们的系统复杂,业务系统非常多,需要管理复杂的员工身份,这个过程意味着对访问一定要有限定,根据认证和授权,才能让内网和外围的人进入系统访问。
经过10多年的发展,我们发现不仅是超大规模的企业,还是中大型规模,乃至更小规模的企业都需要通过身份认证安全管理他们的系统。此外,当欧洲的GDPR诞生以后,使得身份安全这个事情的关注度得到进一步的提升。”
在谭翔看来,身份治理从过去可有可无的东西变成一个刚需,甚至让这几年市场快速爆发,无论是与之相关的服务商融资不断,还是各自的营业额都得到快速提升。其实,这也证明,当信息化越来越成熟,企业的信息化需求越来越复杂,身份治理会变成基础架构软件一样的存在。
“尤其是在零信任安全架构下,身份安全认证是零信任的基础,身份安全市场尤为火热,客户逐步认识到身份安全的价值。”
外部环境驱动
推动新的需求出现
在i黑马&数字观察看来,一个领域的变革,除了领域自身的发展遭遇瓶颈,传统的方式方法以及模式已经存在很大的痛点,无法支撑企业客户的需求,跟不上时代发展。
而很多的外部环境,例如政策、经济、法律法规、技术环境变革,都会驱动一个领域的变革和产业升级,而随着新基建、信创、疫情等外在因素对数字身份治理的发展带来不小的推动作用,也带动很多客户的新的需求出现。
以疫情为例,全民抗“疫”时期,远程办公成为了众多企业的选择。远程办公顿时成为了疫情之下确保企业正常运作的刚需,众多互联网公司纷纷推出疫情之下的远程办公免费产品和解决方案。
尽管远程办公保证了企业的复工复产,但随之出现了诸多安全问题。无论是信息泄露,还是黑客势力“趁火打劫”,无论是远程访问内网的安全需求,还是“全员上云”带来的数据安全、访问安全、终端安全、个人隐私保护等等问题,都让远程办公面临网络安全的新考验。
如,相比日常办公场景,远程办公可能意味着办公设备、网络环境的改变。远程办公中,很多企业有内网访问的需求,企业员工通过VPN进入企业内网,登录ERP系统进行业务流转,通过OA系统进行协同办公,登录财务系统开展财务管理.......
这些都将成为远程办公场景下信息安全的不可控因素,远程访问内网系统的安全防护,就显得尤为重要。当基于边界网络下,风险还处在可控范围,一旦企业应用系统开放至互联网,这些问题带来的安全风险将会以指数级增加。
比如说:“账户认证强度弱,容易被攻破?采用明文传输账户密码,容易被窃取?大量遗留账号,容易被渗透?” 这些安全问题,可能是您在远程办公时不曾留意到的。
再比如,疫情之下,SaaS行业被带上了风口。ERP、CRM、OA、财务系统、企业邮箱等,越来越多的应用向云端迁移;钉钉、企业微信、飞书等互联网巨头,也实时推出了整合型的云平台办公解决方案。
众多SaaS应用为远程办公提供便捷性的同时,也带来了一定的信息安全隐患。企业的内网信息,一旦开放至互联网,随之而来的黑客攻击、渗透攻击等都将威胁到这些信息的安全。
与此同时,企业的系统和数据在往云端迁移的过程中,各个云服务商之间相互独立,我们如何统一管理这些云端应用账号?如何实现单点登录?如何解决云端数据与内网数据的互联互通?如何确保云端应用接口的安全性?也成为了很多企业部署云端应用的安全痛点。
以上列举的众多风险,都绕不开访问控制。从访问安全的角度来看,远程办公打破了传统网络安全的防护边界,无边界的业务访问越来越多,企业经营数据、办公流程、网络资源都面临身份识别、认证鉴权、合规审计各方面的安全风险和隐患,需要实现高级别的安全可信。
谭翔指出,随着远程办公的开展,企业信息安全将面临安全边界的模糊化、访问设备的可信度缺失、大量的第三方外部访问、海量的运维量,而企业的基础架构却无法瞬时改变,运维人员数量也无法马上提升,现有的传统的安全架构无法满足当下的业务及运维需求。
基于“零信任”架构的安全方案,能很好的满足远程办公对信息安全的需求。企业通过构建基于零信任架构的可信身份治理平台,将企业所有信息系统、所有用户都进行集中化管理,将原本分散式、低效率的管理模式集中化。
并通过构建以企业用户身份为中心的动态访问控制,重构企业信息化安全体系,为远程办公保驾护航。
具体的表现可以是,远程办公打破了传统网络安全的防护边界,无边界的业务访问越来越多,企业经营数据、办公流程、网络资源都面临前所未有的风险。
而企业客户通过构建基于零信任架构的可信身份治理平台,将企业的所有用户都纳入统一管理,基于以身份为中心的动态访问控制和基于用户-设备的智能认证体系,突破企业安全网络边界的限制,重建企业信息化信任体系,满足企业当下远程办公及未来常态化运营的安全要求。
其次,企业通过构建基于零信任架构的可信身份治理平台,融合企业本地化应用、基础设施、线上SaaS应用的集中化管理,将普通用户、运维人员、外部伙伴、互联网用户都纳入到可信身份治理平台上集中管理,通过细粒度授权机制,提供差异化的远程办公服务。
同时,通过集中化访问控制中心,引入流程自动化手段,大大减少管理压力,缩短调整流程,减少人为失误,提升企业信息系统安全能力和管理效率。
第三,“人的因素”是今年RSAC2020网络安全大会的主题,而微盟删库事件再次强调了这一点:企业面临的最大威胁往往不是外部攻击,而是内部威胁。
企业通过构建特权账号管理体系,将运维安全纳入整体身份管理的范畴,对企业运维人员账户、基础资源进行集中化全生命周期的管理。
通过集中化的账户、认证、权限、审计的管理,实现运维的一体化事前预警、事中控制和事后追溯的全流程风险控制和监督。
第四,企业客户可以通过构建基于零信任架构的可信身份治理平台,员工远程办公不再受空间、网络的约束,随时随地高效办公。
建立用户访问应用系统的统一入口,集中访问,单点登录,引入多种认证手段,提高用户工作效率和用户使用体验。
深耕产品和客户的基础上
不断强化生态能力建设
针对上述思考,派拉软件做的事情是,以身份安全为中心,结合十多年的发展经验,以科技驱动,利用数据定义、AI驱动、智能算法、场景分析,将零信任、持续自适应、微隔离等信息安全前沿技术导入IAM产品的研发与实践中,为企业和机构提供全场景数字身份治理解决方案。
派拉软件零信任身份治理体系,涉及内部员工身份治理(2E)、外部合作伙伴身份治理(2P)、C端客户身份治理(2C)、数据身份治理(2D)、API身份治理(2API)、IoT身份治理(2IoT)等相关软件产品、解决方案和咨询与实施服务。
其中,派拉软件的数字身份治理产品和服务,能将组织中的不同机构、人员、流程、数据等资源纳入可共享的智能数字生态系统。
作为实现不同人员、设备、资源互联互通的信息化载体,数字身份治理是组织数字化转型的必要条件,是信息安全管理的基础平台,需纳入组织信息化的顶层设计,成为信息安全与风险管理的重要支撑部分。
总的来说,派拉以科技驱动,提供新一代身份安全产品线,构建零信任架构治理体系,涵盖线下、线上、互联网到云端,拉通用户、业务与数据的全栈管理创新模式,为用户、应用、数据提供全面的安全保障机制。
其次,派拉可以为企业的业务赋能、组织赋能、管理赋能,提升管理效能和业务效能,为互联网+时代数字化转型保驾护航。
经过十余年的技术创新和客户沉淀,派拉软件的产品体系在技术前瞻性、产品适用性、自主可控性、政策合规性上都保持市场领先优势,应用场景覆盖“人”的身份治理、“物”的身份治理、“服务”的身份治理、以及“数据”的身份治理。
同时,派拉已成功为金融、地产、汽车、零售、教育、医药、制造、政府等各大行业的1000余家企业和机构提供了极致体验的“身份安全”专业服务。
i黑马&数字观察了解到,除了持续加强产品和客户落地能力,派拉也在强化产学研的生态构建能力。
据悉,通过与科研院所、高等院校的深入合作和积极探索,推进产、学、研一体化国产可控安全建设,推动数字身份安全的研究更进一步向纵深发展,促进安全产业的技术创新和产业升级。
目前,派拉软件已与中科大正式签署数字安全重点实验室的建设和研究,通过技术合作、人才共享、重大专项研究等合作模式,切实推动产学研深度融合的技术创新体系,加强数字身份安全领域的成果转化,进一步夯实国产可控领先优势。
谈到派拉软件的未来发展方向,谭翔简短的告诉i黑马&数字观察,“派拉深耕于IAM,不断创新,在人员,应用,物联网,云计算上全面提供基本零信任架构的IAM方案。”
i黑马&数字观察也采访到派拉的早期投资方,即本轮跟投的投资方东方富海和晨晖资本。
东方富海合伙人陈利伟告诉指出,在企业及政务数字化加速的大背景下,数据资产已经成为企业及政府的核心资产,身份安全行业也迎来了加速发展期,其边界也从员工身份管理拓展到了C端企业用户身份管理。
5G基础设施完善以后,面向即将到来的物联网时代,万物互联,每一个“物”都存在身份管理的需求,身份安全行业的市场空间将会出现几何级数的爆发!
派拉软件作为行业的排头兵,凭借扎实的产品能力、交付能力和服务能力赢得了众多客户的信任,也推动了身份安全行业的国产化进程。
同时,派拉近年来从身份安全拓展到API安全和大数据安全,形成了产品矩阵能力,也打开了发展空间。
晨晖创投创始合伙人肖文斌表示,作为派拉软件的首轮投资机构,我们见证了公司过去几年在产品研发、市场拓展、团队建设等方面取得的巨大进展。
随着国内中大型企业数字化转型的加速,各种场景下的数字身份安全认证需求将进一步爆发。
派拉作为该领域的头部企业,将在日益增长的市场空间里实现更快速的增长。
数字观察热文HOT
东方富海陈利伟:从计算能力平民化到应用能力平民化,中国TOB平台化入口将逐步形成
肯耐珂萨沈健:数字化正重构人力资源管理,HR SaaS进入深水区
网络安全边界不断突破,派拉软件变与不变的内在逻辑是什么?
从传统签章到智能合同战略,e签宝十七年的自我变革
从“迷失的五年”到数字化初见成效,步步高的三年数字化战略为何物?
百年车企的第三次创业,长安汽车如何通过数字化迎来“突围时刻”
