《中国网络安全新势力调查报告》——甲方认可的30家网络安全创业公司

2023年7月17日作者：GoUpSec

2023年是后新冠时代网络安全市场的一个拐点，全球网络安全风险投资和并购热潮开始降温，但网络安全市场的成长动力并未衰减。一方面人工智能正掀起新一轮技术革命，另一方面，零信任与XDR正引领主动纵深防御的方法变革。与此同时，中国网络安全创业市场正从赛道与概念、热钱与炒作的“弯道超车”，进入比拼产品与运营，战略与执行的直道加速阶段。

谁是“安全免疫力”的真正推动者？

根据GoUpSec的中国大型企业CISO调查报告，过于依赖 “假设入侵”的被动网络安全方法无法显著提高企业网络安全关键能力和投资有效性，也难以将网络安全投资转化为业务驱动力。其根本原因是网络安全并非纯粹技术驱动的的“检测工程问题”。

“主动安全”、“人的因素”、“网络弹性”是下一代网络安全的三大重点，其根本目的是增强企业网络安全的“免疫力”和“网络弹性”。随着网络犯罪和高级持续攻击的“民主化”和“常态化”，越来越多的企业信息主管和网络安全团队开始关注“网络弹性”（但大多数企业对网络弹性的关键指标和框架、方法与方案知之甚少）。

今天，网络安全已经成为全球企业IT投资最高优先级，是企业数字化转型的核心支点。企业网络安全战略需要突破固有技术思维、应用范围和价值基准，成为推动业务创新和文化变革的主要驱动力之一。这意味着无论是企业的网络安全主管，还是网络安全厂商，都需要将自己重新定位为企业数字化转型的推动者，网络安全不再是一个作为成本进行管理的运营项目，传统的网络安全预算编制标准和基准都亟待改变。

从企业全局角度来看，网络安全驱动数字化转型的瓶颈已经不再是一个单纯的技术问题，而是基于风险和价值的跨部门流程与文化变革。是从“工具理性”到“价值理性”（从基于承诺到基于可量化的证据）的一次观念蜕变。

面对企业网络安全方法和战略的重大变革，谁才是真正的推动者？网络安全巨头还是呱呱坠地的初创公司？答案是那些经历过市场“毒打”，具备一定“野外生存”能力的成长期网络安全公司。GoUpSec《中国网络安全新势力调查报告》对此类公司的粗略定义是成立（或正式运营）未超过五年网络安全公司，且在特定的网络安全细分领域深耕细作，完成了技术沉淀和产品打磨，洞悉行业用户需求的服务能力和战略规划，但又比大型网络安全公司的战略和执行更加灵活和敏捷，有足够的活力和能力推动下一代网络安全新技术、新标准和新价值变革。

CISO需要什么样的创业公司？

虽然工具整合、企业并购依然是全球网络安全市场的主旋律，但是面对高速发展的威胁态势，仍然有大量企业用户（尤其是中小型企业）的安全需求无法被日渐臃肿和昂贵的主流解决方案所满足。

根据麦肯锡的2022年网络安全市场调查，当前企业网络安全市场的主流商业解决方案远远不能满足客户对自动化、定价、功能和服务方面的期待和需求，网络安全产品和解决方案的渗透率只有10%左右，市场对网络安全创新技术和解决方案的需求潜力巨大。

具体到产品和技术选型层面，GoUpSec《中国网络安全新势力调查报告》对甲方企业最关注的网络安全创业公司和产品选型进行了深入调查，邀请到59位甲方参与问卷，分别来自政府、银行、互联网、运营商、制造业、金融、交通、电力、通信、司法、医药等行业，身份大多为CEO、CISO、信息安全工程师、安全运营、信息安全管理、攻防安全负责人、软件开发等网络安全核心职务。

调研重点问题如下（具体内容参见报告原文）：