雲端安全傳奇 Wiz：如何在短短不到五年時間從零到以 320 億美元被收購？

在雲端安全領域鮮少有公司能像 Wiz 一樣傳奇，在 2020 年成立，不到五年後以 320 億美元賣給 Google 母公司 Alphabet。這也是 Alphabet 史上最大收購案，更是全球安全產業最大交易之一。

更驚人的是，Wiz 起步時的市場已有十多家競爭對手，但他們成功突圍 18 個月內達到 1 億美元 ARR，創下 B2B 軟體最快成長紀錄。

這期內容會有：

• 在創立 Wiz 之前：四個好友如何看到雲端安全缺口？
• Wiz 如何尋找 PMF：從搞錯方向到迅速找到市場契合
• Wiz 的三階段發展：解決可見性問題、建立完整平台、擴展到 AI 安全🔒
• Wiz 的「魔法」：如何說一個好故事，打破網路安全的傳統形象？🔒
• 為什麼 Google 願意出價 $32B 收購 Wiz？🔒

行政庶務：剛好四月有五週，我們下週休息一次~

喜歡這期的內容，歡迎分享給朋友一起訂閱《VK科技閱讀時間》，祝你今天一切順利~

創立 Wiz 之前：四位好友的軍旅與創業經歷

在深入介紹 Wiz 的創業故事之前，要先從這四位志同道合的朋友開始說起。

把時間倒回到 2002 年，Wiz 執行長 Assaf Rappaport、技術長 Ami Luttwak、研發副總裁 Roy Reznik 和產品副總裁 Yinon Costica 當時他們都在以色列國防軍（IDF） 的精英情報單位 8200 部隊服役。（Rappaport 還有在 81 單位服務，這比 8200 單位更加秘密和嚴格的軍事情報技術單位）

8200 單位被譽為以色列網路安全和科技創新的搖籃。他們專注於網路情報和密碼學，是以色列國防軍最菁英的技術部門之一，需要成員面對嚴苛的任務，在高壓環境下磨練出敏銳的問題解決能力和團隊合作精神。根據統計，已有超過 1000 家新創公司是由 8200 部隊校友創立，包括 Check Point 和 Palo Alto Networks 等網路安全巨頭。

在 8200 單位，他們四個人幾乎可以建立了深厚的友誼和互信關係，這成為他們日後創業路上最寶貴的資產。

Rappaport 曾在接受採訪時表示：「我們幾個人的個性非常不同，但這正是為什麼它能成功。」他認為 Luttwak 是個遠見者，「你告訴他想像五年後某事會如何發展，他的預測將非常準確，這是他的超能力」；Costica 則「確切知道如何執行短期內應該發生的事情」；Reznik 則是「知道如何建立出色的工程團隊，如何創造能量」的優秀領導者。這種互補性也讓他們在創業的路上，走了很遠，前後一起創了兩次業。

有趣的是，Wiz 並非他們的第一次創業。

2012 年，四人決定離開軍隊和其他工作，踏上第一次創業之旅，成立雲端存取安全代理（CASB）公司 Adallom。這個字源於希伯來語「直到這裡」，象徵為企業雲端安全設立的邊界。

這家公司專注於幫助企業保護其 SaaS 產品安全，填補當時市場上的一個重要空白。在成立三年（2015）後，他們以 3.2 億美元把公司賣給微軟。

值得一提的是，這四位共同創辦人在收購後選擇一起加入微軟。他們有個重要任務：負責發展微軟的雲端安全業務。Rappaport 擔任微軟雲端安全部門主管，並後來成為微軟以色列研發中心的總經理；Luttwak 成為微軟雲端安全部門的 CTO；Reznik 和 Costica 也在微軟擔任重要的技術和產品領導職務。

在微軟的五年工作經驗，讓他們對於企業級雲端安全需求有了更深入的理解。他們注意到，雖然市場上已有多種雲端安全工具，但大多是針對特定問題的點解決方案，缺乏一個統一的平台讓安全團隊能全面監控和管理其雲環境。

這也就是他們接下來創 Wiz 的起點。

他們選在一個回頭看不是特別好的時機點：2019 年底。Rappaport 率先宣布他將離開微軟，開始他的創業旅程。隨後 Luttwak、Reznik 和 Costica 很快也加入了他的行列。

他們沒有想到 2020 年初新冠疫情蔓延全球，這都讓他們的創業決定變得更加冒險。「我清楚記得我母親表示擔憂，認為我們在如此動盪的時期離開微軟的穩定職位是一個嚴重的錯誤，」Rappaport 回憶道，「這確實感覺像是最糟糕的時機。金融市場動盪不安，封城措施帶來前所未有的不確定性和破壞。」

Wiz 共同創辦人 Yinon Costica、Assaf Rappaport、Ami Luttwak 和 Roy Reznik

Wiz 找不到 PMF 的成長痛：我們到底是什麼產品？

任何介紹到 Wiz 這家公司的內容，都會不約而同地說他們的成長軌跡幾乎是傳奇，產品推出的18 個月，就達到 1 億美元的年度經常性收入（ARR），創下了B2B 軟體公司的最快速度紀錄。這也讓他們的成功成為像是神話一般的存在，無法被複製的。

但鮮少被討論的是，Wiz 花了一段時間在尋找 PMF（產品市場契合性），甚至一開始還不是叫 Wiz。這裡我們就要來聊聊他們的成長痛、如何找到 PMF？

最一開始他們不是特別想專注在雲端安全領域中，而是希望進入網路安全領域，也把公司名字叫做「Beyond Networks」。

Wiz 第七號員工和第一位產品經理 Raaz Herzberg 回憶，她加入公司後發現，團隊每天進行 10-15 次客戶會議，但會議結束時資安長（CISO，Chief information security officer）通常只是禮貌性地表示這聽起來很有趣，請保持更新。更讓人擔心的是，身為產品經理的她，她加入後一直無法清楚理解團隊究竟要構建什麼產品。

「我們到底是什麼產品？」這個看似簡單的問題讓團隊展開長達五小時的深度討論，最終導致了公司策略上的轉變。他們意識到，應該回歸到自己的專長領域：雲端安全，而非網路安全。

轉向雲端安全後，Wiz 團隊立即感受到客戶反應的變化。Herzberg形容：「我們真的感受到了問題類型的變化。突然間，對話不再結束於『噢，這聽起來很有趣』，而是『等等，你們如何定價？我們什麼時候可以開始概念驗證？』」

客戶開始詢問實施細節、時間表和價格，一些人甚至在會議結束時就說「我知道需要將你們介紹給團隊中的誰」。這些都是強烈的訊號，表示他們找到了真正的產品市場契合。

更有趣的是，當一家大型企業（財富10強）要求進行概念驗證時，Wiz 團隊需要更多時間準備產品，於是向客戶發送一份詳細的技術問卷，希望藉此爭取時間。

結果客戶在一天內就填寫完成並回傳問卷。Herzberg 從中學到：「當客戶真正想要你的產品時，他們願意投入努力。我不是試圖將產品強推給不感興趣的人，而是確保他們真正需要它。」

在這裡也可以將他們將近五年多的發展歷程，分成三個階段來談 Wiz 產品和技術上的變化，以及如何讓他們在短時間吸引到 40% 的Fortune 100 的企業成為客戶？

Wiz 1.0（2020-2022）：解決雲端安全的可見性問題

Wiz 的發展可以分為三個關鍵階段，每個階段都代表了公司產品和市場地位的重大進展。讓我們先看第一階段：Wiz 1.0（2020-2022）。

雲端安全的創新很多時候就像偵探工作：如何在極其複雜、不斷變化的環境中找出真正的威脅和漏洞？這正是 Wiz 1.0 階段要解決的核心問題，也就是要解決雲端環境的「可見性問題」。

Luttwak 用了一個貼切的比喻「傳統的安全就像是等到生病了才去看醫生；Wiz 則是關於安全性的健康—在風險成為問題之前對風險進行即時察覺。

雖然雲端架構對許多大型企業來說並不新鮮，但在遷移工作負載到雲端後，公司面臨三個主要挑戰：

• 無法得到雲端環境的完整可見性
• 難以從眾多警報中識別真正重要的風險
• 缺乏有效的方法來處理及修復這些風險

Wiz 的競爭優勢在於它採用了與眾不同的方法來解決這些問題。儘管在 2020 年時已有十多家公司嘗試解決雲端安全問題，但 Wiz 採用了三種獨特方法：

1. 無代理掃描（agentless deployment approach）：提供可見性

2. 利用圖形資料庫（Security Graph）實現優先排序

3. 強烈關注使用者體驗針對開發團隊

無代理部署模式

傳統的雲端安全工具通常需要在每個工作負載（虛擬機器、容器等）上安裝代理軟體，但 Wiz 走的是無代理部署方法。過去傳統解決方案會帶來許多明顯的挑戰（這點都能在無代理部署方法中獲得更快速的解法）：

• 部署複雜度高：在成千上萬的雲端資源上安裝代理需要大量時間和資源
• 維護成本高：代理需要定期更新、修補及故障排除
• 性能影響：代理軟體會消耗主機資源，可能影響關鍵工作負載的性能
• 覆蓋不完整：臨時或短暫的雲端資源可能在安裝代理前就已經結束生命週期

Wiz 採用 API 為基礎的無代理方法，直接與雲端供應商的 API 整合，無需在工作負載上安裝任何軟體。這好比說傳統的解決方式需要在每個房間裝上監視器（這也是前面提到部署複雜度高的問題），但現在 Wiz 採用的無代理部署方法，不用進到每個房間裝監視器，也就是透過 API 的方式，只要幾分鐘就可以掌握全部的消息，這也為 Wiz 帶來優勢：

• 幾分鐘內部署：客戶可以在短短 15 分鐘內完成全部設置，而非幾週或幾個月
• 零性能影響：不會對雲端工作負載造成任何額外負擔
• 100%資源覆蓋：能夠掃描所有雲端資源，包括那些生命週期短暫的資源
• 無維護負擔：不需處理代理更新、相容性問題或故障排除

一位資安長曾形容，他們之前的代理式雲端安全工具是「昂貴 的ShelfWare（放在架上不用的軟體）」，因為部署和維護的困難使其幾乎無法實際使用。而 Wiz 的無代理方式讓他們能在一週內獲得整個雲端環境的完整可見性。

值得注意的是，Wiz 不是第一個提出無代理方案的公司（Orca Security 等競爭對手也有類似產品），但 Wiz 將無代理技術與圖形資料庫和優秀的用戶體驗結合，創造了獨特的價值主張。

無代理部署方法的最大價值是提供極低的部署摩擦，並且監控全面的覆蓋範圍。接下來就要介紹到他們的關鍵技術：圖形資料庫。

Wiz 圖形資料庫架構

在資安領域，圖形資料庫並非新概念，但 Wiz 創新地將把他當作解決雲端安全問題的基礎。

想像一下雲端環境中的資產（虛擬機器、儲存體、使用者等）如同一張大網上的節點，而它們之間的關係（權限、連接、資料流等）則是連接這些節點的線。Wiz 的圖形資料庫正是建構在這種架構上，讓安全團隊能夠清楚地看到：

• 哪些資產連接著哪些資產
• 資產之間有什麼樣的關係
• 這些關係中潛藏著什麼安全風險

這與傳統安全工具單獨掃描孤立資產的方法形成鮮明對比。想像你試圖了解一個複雜迷宮，傳統方法就像只看到迷宮中的單個房間出了問題，而 Wiz 則提供整個迷宮的全景俯視圖，某個地方出問題它會影響什麼等。

基於這種圖形架構，Wiz 開發了幾個具有突破性的產品功能，這些功能在雲端安全市場產生了重大影響：

1. 智慧風險優先排序

傳統的雲端安全工具會產生大量警報，大多數對安全團隊沒有實質幫助。Wiz 的圖形架構允許它進行基於環境的風險評估：不僅看到漏洞本身，還能了解它在整體環境中的影響。

例如，相同的漏洞可能在不同環境中有完全不同的風險級別：

• 一個漏洞在隔離的內部系統中可能風險較低
• 同樣的漏洞如果存在於連接互聯網的系統上，或是與敏感資料庫相連，風險則大幅提高

Wiz 可以智能地識別這些差異，確保安全團隊專注在真正重要的問題上。

2. 雲端攻擊路徑分析

攻擊者很少使用單一漏洞。更常見的是，他們利用多個小漏洞串連起來，形成完整的攻擊路徑。Wiz 不僅能識別單一漏洞，還能映射出潛在的攻擊路徑，顯示攻擊者如何利用看似微小的漏洞最終獲取關鍵資產。

想像你有一個看似安全的敏感數據庫，但 Wiz 能顯示如何通過連環利用多個小問題——一個配置錯誤的防火牆，一個過度授權的服務帳戶，再加上一個已知漏洞——最終達到這個數據庫。這種視角徹底改變了安全團隊識別和處理威脅的方式。

產品設計的差異化：簡單易用的介面

一個經常被低估的關鍵因素是 Wiz 的用戶介面設計。安全工具普遍以複雜著稱，需要專業知識才能有效使用。而 Wiz 打破了這一常規，創造了一個視覺直觀、容易理解的介面。

Wiz 的攻擊路徑視覺化不僅顯示了潛在的漏洞路徑，還精準指出了如何切斷這些路徑的關鍵步驟。這讓安全和開發團隊能夠清晰地看到問題並立即採取行動。它讓複雜的安全分析變得像玩遊戲一樣有趣且易於理解。

在 Wiz 1.0 的階段它們從原先的網路安全領域，轉向到雲端安全中，並且透過無代理部署模式、圖形資料庫等技術優勢，為市場創造出獨特價值。在這時間段，他們以 18 個月的驚人速度達到 1 億 ARR。