将标准做成SaaS，数据合规赛道2年长出一只超级独角兽

　　越来越严的数据监管，默默催生出一个新赛道。
　　因数据安全问题，Facebook 被爱尔兰罚款 2.65 亿欧元，法国对谷歌处以创纪录的 1.5 亿欧元罚款……以亿为单位的罚款，正不断砸在互联网公司头上。
　　巨大的罚款金额背后，是各国政府对于用户数据安全和隐私保护问题，采取了越来越严肃的态度。
　　不过，一个矛盾的点是，以硅谷大厂为代表的科技巨头，其实反而在数据保护方面有真正的投入和认知。相对来说， 那些想要开拓新市场的中小型公司，对于数据合规非常陌生，而后者繁琐的认证过程，比其真正需要的成本更令前者恐惧。
　　有需求就会有供给，近日，一家名为 Drata 的数据合规公司，使用自动化云服务平台，将以往繁琐的数据合规验证，变成了一站式的 SaaS 服务，帮助企业完成 SoC2、GDPR 等目前欧美主流的数据合规标准。
　　不久前，Drata 完成了 C 轮 2 亿美元融资，估值达到了 20 亿美元。其背后的投资者既有 Salesforce 这样的软件巨头，也有 GGV 这样的大型投资机构，甚至微软 CEO 萨提亚·纳德拉，也是该公司的个人投资者。
　　Drata 这样一个小公司，如何用仅仅 2 年时间，就做成了一家超级独角兽？它成功的背后，数据合规行业未来的趋势又是怎样的？
　　01
　　将标准做成 SaaS
　　作为一家创业公司，Drata 选择的领域非常垂直，主打 GRC（Governance, Risk and Compliance，治理、风险和合规）市场，核心的产品是帮助其他公司变得更「合规」。
　　在欧美市场，GRC 软件合规是数据安全的重要组成部分，需要对软件产品各个环节进行检测以了解其对用户是否足够「安全」。对于企业来说，一款符合顶级合规安全标准（如 SoC2、GDPR）的产品不仅意味着自家的产品很安全，还可以证明自身技术很有实力，获得用户的信任。
　　以全球公认最具权威性、专业性的安全审计报告 SOC2 报告为例，它基于美国注册会计师协会 (AICPA) 审计标准委员会的现有信托服务标准 (TSC) 制定。由一个独立的第三方标准机构对企业进行审核。
　　Drata 目前支持的部分数据合规和安全标准｜图片来源：Drata
　　SOC2 会对企业中与安全性、可用性、处理完整性、机密性和隐私性相关的信息系统进行综合评估，进而深入反映企业的内部控制及安全管理体系能力。全球目前只有少量企业可以通过该标准认证，大如 Oracle、AWS 在服务客户时也会强调自己获得了该标准认证。
　　不过，企业要让自己的产品系统符合这些「标准」，一般需要组建专门的团队或聘请经验丰富的第三方公司通过软件和人力进行测试，查找数据安全合规漏洞。这也让传统的 GRC 成为最不性感、却又最磨人的工作。
　　与之相比，Drata 则通过技术创新和流程整合将原来需要数十人，长达数月甚至以年计的工作解放出来，将软件合规从一个手工活变成一项机器活，可以帮助企业节省大量合规审核准备时间。
　　Drata 和多家云服务以及品台合作，将产品嵌套到平台中｜图片来源：Drata
　　作为一家安全和合规性自动化云服务平台，Drata 的核心能力包括： 自研 54 个不同合规标准下的风险评估框架，通过这些框架，企业可以持续、自动化的控制监控产品运行，并收集漏洞证据，进而迭代产品满足合规要求。在这些标准中，Drata 率先攻克了有合规标准之王的的 SoC2 标准框架，作为一家创业已经能监控、处理复杂程度极高的合规需求。 集成超过 75 个第三方行业软件和合规工具，帮助企业简化工作流程、选用合适的产品服务，提升自身产品合规水平，以提高合规审核效率。
　　作为一家创业公司，出色的产品打造能力让 Drata 迅速获得客户的认可。Drata 在成立 45 天内就获得了 100 个客户。不到 20 个月的时间内，已经拿下了 2000 多个客户，产品和市场需求匹配程度极高。
　　G2 grid 最新发布的 GRC 平台报告，Drata 属于行业中属于领先地位｜图片来源：G2
　　从 Drata 官方透露的信息来看，其主要的客户类型包括 SaaS、保险、金融、咨询。从其标杆客户的反馈来看，「节省时间」、「高度自动化巡检」、「节省成本」、「无需安全专家亦可操作」则是吸引他们使用 Drata 的重要原因。
　　美国知名互联网保险公司 Lemonade 的合规业务负责人就表示，在使用 Drata 之前公司需要 500 到 600 小时在合规工作上，但使用之后时间下降到了不到 40 个小时。
　　用户的认可也让 Drata 受到资本市场的欢迎，成为史上最快成为独角兽的公司之一。作为一家 2020 年成立的创业公司，2021 年完成 B 轮 1 亿美元正式跻身独角兽，并随即于近日完成 C 轮 2 亿美元融资。
　　值得一提的是，市场策略上，Drata 没有完全颠覆整个行业，反而会和审计师合作提升市场效率。Drata 只是帮助企业监控评估，但评估仍由权威标准机构来确定。
　　创始人 Adam Markowitz 表示，Drata 的存在可以帮助专业第三方人士更高效的服务企业，「我们创建 Drata 是为了作为伟大公司与他们有业务往来的人（审计员、合作伙伴、他们的客户等）之间的信任层。」
　　02
　　数据合规，
　　大热的新赛道
　　Drata 受到资本和企业用户的欢迎，离不开日益严格的数据安全要求和与日俱增的诈骗风险。
　　一方面，从史上最严数据保护法 GDPR 的出台落地，到扎克伯格被叫到美国国会「开会」，数据安全与合规已经成为互联网企业头上的一把利剑，倒逼企业更加重视自身企业系统搭建，满足用户使用需求。
　　另一方面，随着云服务的广泛普及，让企业获客变得简单起来，SaaS 市场在欧美遍地开花。与之伴随的，由于软件合规漏洞等造成的诈骗风险也越来越多、损失越来越大。
　　美国联邦调查局（FBI）2022 年发布的《互联网犯罪报告》显示，2021 年网络诈骗令全球受害者损失了至少 69 亿美元，较 2020 年增加超过 20 亿美元。而在这些诈骗中，涉及最多的领域是勒索软件、商业电子邮件泄露 (BEC) 计划和加密货币犯罪。除了用户自身原因外，软件自身安全仍然至关重要。
　　数据安全引起的损失逐年增加｜图片来源：FBI
　　当企业服务的对象走向全球，不同区域的法规、不同用户的合规需求，更让合规问题变得棘手和复杂。
　　不过，复杂的问题也酝酿出广阔的市场需求。据 IDC 预计，全球 GRC 收入将从 2020 年的 113 亿美元增长到 2025 年的近 152 亿美元。
　　而回到 Drata 身上，其创立就和创始人「搞不定」复杂的合规审查有关。
　　在创立 Drata 之前，创始人 Adam Markowitz 还曾在 2014 年创业做了一款类似 LinkedIn 的产品 Portfolium，主打毕业生联系校友、求职。在向美国校园推广产品的时候他发现，由于不同州对产品合规要求不一样，导致产品每当进入一个市场就要重新解决一遍合规问题，导致产品在关键竞争时刻进展缓慢。
　　2019 年，他最终决定把公司以 4300 万美元的价格进行出售，自己再出来创业，并将方向就定在了合规方向。前一段创业中遇到的合规问题，也让他更清楚的了解企业用户的痛点。在经过不到一年时间的研发后，Drata 即正式诞生。
　　Drata 的三位创始人，从左至右为 CRO Troy Markowitz、CTO Daniel-Marashlian、CEO Adam Markowitz｜图片来源：Drata
　　有趣的是，在创业之前，Adam 还曾在 NASA 担任航空航天工程师长达 6 年，为 NASA 的下一代太空运载火箭和航天飞机进行主发动机设计、分析和测试液体火箭发动机。
　　当然，不止 Drata 看到了 GRC 市场的机会。
　　在 Adam 创立 Drata 的时候，也有同类创业公司出现，比如其成立更早的竞争对手 Vanta 也拿到了数 1.6 亿美元计的融资成为独角兽。此外包括 Wiz、Scrut Automation 等同类公司的迅速崛起，也让合规自动化转眼间变成了一个行业赛道。
　　快速增长的需求市场和在合规评估背后的丰富想象，也让巨头企业关注到了合规自动化行业。比如，微软不仅自己在开发相关产品，其 CEO 纳德拉 在 2021 年 Drata A 轮融资时就进行了投资，Salesforce Ventures、CGV 也相继加入到 Drata 投资人行列中。
　　不过，相比成为巨头公司的一部分，Drata 似乎更希望自己能从巨头中左右逢源，并成长为一家独立的公司。因此，尽管拿到了上述公司的投资，也同时向 AWS 伸出橄榄枝，积极参加 AWS 举办的 ISV 加速计划活动，获取良好关系的同时也收获了不少客户。
　　在互联网行业一片哀鸣的今天，我们仍能看到像 Drata 这样专注 GRC、UIpath 这样专注 RPA 的公司在崛起。根据 Crunchbase 的数据，2021 年专注云计算和网络安全领域的初创公司，拿到了超过 230 亿美元的融资，创下了该领域的纪录，而 2022 年这一数字也有约 160 亿美元。
　　这证明，当互联网行业进入成熟期，或许会失去增长的海洋，但只要往下挖，这个行业仍能找到充满活力的溪泉。