因數據安全問題，Facebook 被愛爾蘭罰款 2.65 億歐元，法國對谷歌處以創紀錄的 1.5 億歐元罰款……以億為單位的罰款，正不斷砸在互聯網公司頭上。

巨大的罰款金額背后，是各國政府對于用戶數據安全和隱私保護問題，采取了越來越嚴肅的態度。

不過，一個矛盾的點是，以硅谷大廠為代表的科技巨頭，其實反而在數據保護方面有真正的投入和認知。相對來說，那些想要開拓新市場的中小型公司，對于數據合規非常陌生，而后者繁瑣的認證過程，比其真正需要的成本更令前者恐懼。

有需求就會有供給，近日，一家名為 Drata 的數據合規公司，使用自動化云服務平臺，將以往繁瑣的數據合規驗證，變成了一站式的 SaaS 服務，幫助企業完成 SoC2、GDPR 等目前歐美主流的數據合規標準。

不久前，Drata 完成了 C 輪 2 億美元融資，估值達到了 20 億美元。其背后的投資者既有 Salesforce 這樣的軟件巨頭，也有 GGV 這樣的大型投資機構，甚至微軟 CEO 薩提亞·納德拉，也是該公司的個人投資者。

Drata 這樣一個小公司，如何用僅僅 2 年時間，就做成了一家超級獨角獸？它成功的背后，數據合規行業未來的趨勢又是怎樣的？

01

將標準做成 SaaS

作為一家創業公司，Drata 選擇的領域非常垂直，主打 GRC（Governance, Risk and Compliance，治理、風險和合規）市場，核心的產品是幫助其他公司變得更「合規」。

在歐美市場，GRC 軟件合規是數據安全的重要組成部分，需要對軟件產品各個環節進行檢測以了解其對用戶是否足夠「安全」。對于企業來說，一款符合頂級合規安全標準（如 SoC2、GDPR）的產品不僅意味著自家的產品很安全，還可以證明自身技術很有實力，獲得用戶的信任。

以全球公認最具權威性、專業性的安全審計報告 SOC2 報告為例，它基于美國注冊會計師協會 (AICPA) 審計標準委員會的現有信托服務標準 (TSC) 制定。由一個獨立的第三方標準機構對企業進行審核。

Drata 目前支持的部分數據合規和安全標準｜圖片來源：Drata

SOC2 會對企業中與安全性、可用性、處理完整性、機密性和隱私性相關的信息系統進行綜合評估，進而深入反映企業的內部控制及安全管理體系能力。全球目前只有少量企業可以通過該標準認證，大如 Oracle、AWS 在服務客戶時也會強調自己獲得了該標準認證。

不過，企業要讓自己的產品系統符合這些「標準」，一般需要組建專門的團隊或聘請經驗豐富的第三方公司通過軟件和人力進行測試，查找數據安全合規漏洞。這也讓傳統的 GRC 成為最不性感、卻又最磨人的工作。

與之相比，Drata 則通過技術創新和流程整合將原來需要數十人，長達數月甚至以年計的工作解放出來，將軟件合規從一個手工活變成一項機器活，可以幫助企業節省大量合規審核準備時間。

Drata 和多家云服務以及品臺合作，將產品嵌套到平臺中｜圖片來源：Drata

作為一家安全和合規性自動化云服務平臺，Drata 的核心能力包括：

• 自研 54 個不同合規標準下的風險評估框架，通過這些框架，企業可以持續、自動化的控制監控產品運行，并收集漏洞證據，進而迭代產品滿足合規要求。在這些標準中，Drata 率先攻克了有合規標準之王的的 SoC2 標準框架，作為一家創業已經能監控、處理復雜程度極高的合規需求。
• 集成超過 75 個第三方行業軟件和合規工具，幫助企業簡化工作流程、選用合適的產品服務，提升自身產品合規水平，以提高合規審核效率。

作為一家創業公司，出色的產品打造能力讓 Drata 迅速獲得客戶的認可。Drata 在成立 45 天內就獲得了 100 個客戶。不到 20 個月的時間內，已經拿下了 2000 多個客戶，產品和市場需求匹配程度極高。

G2 grid 最新發布的 GRC 平臺報告，Drata 屬于行業中屬于領先地位｜圖片來源：G2

從 Drata 官方透露的信息來看，其主要的客戶類型包括 SaaS、保險、金融、咨詢。從其標桿客戶的反饋來看，「節省時間」、「高度自動化巡檢」、「節省成本」、「無需安全專家亦可操作」則是吸引他們使用 Drata 的重要原因。

美國知名互聯網保險公司 Lemonade 的合規業務負責人就表示，在使用 Drata 之前公司需要 500 到 600 小時在合規工作上，但使用之后時間下降到了不到 40 個小時。

用戶的認可也讓 Drata 受到資本市場的歡迎，成為史上最快成為獨角獸的公司之一。作為一家 2020 年成立的創業公司，2021 年完成 B 輪 1 億美元正式躋身獨角獸，并隨即于近日完成 C 輪 2 億美元融資。

值得一提的是，市場策略上，Drata 沒有完全顛覆整個行業，反而會和審計師合作提升市場效率。Drata 只是幫助企業監控評估，但評估仍由權威標準機構來確定。

創始人 Adam Markowitz 表示，Drata 的存在可以幫助專業第三方人士更高效的服務企業，「我們創建 Drata 是為了作為偉大公司與他們有業務往來的人（審計員、合作伙伴、他們的客戶等）之間的信任層?！?/span>

02

數據合規，

大熱的新賽道

Drata 受到資本和企業用戶的歡迎，離不開日益嚴格的數據安全要求和與日俱增的詐騙風險。

一方面，從史上最嚴數據保護法 GDPR 的出臺落地，到扎克伯格被叫到美國國會「開會」，數據安全與合規已經成為互聯網企業頭上的一把利劍，倒逼企業更加重視自身企業系統搭建，滿足用戶使用需求。

另一方面，隨著云服務的廣泛普及，讓企業獲客變得簡單起來，SaaS 市場在歐美遍地開花。與之伴隨的，由于軟件合規漏洞等造成的詐騙風險也越來越多、損失越來越大。

美國聯邦調查局（FBI）2022 年發布的《互聯網犯罪報告》顯示，2021 年網絡詐騙令全球受害者損失了至少 69 億美元，較 2020 年增加超過 20 億美元。而在這些詐騙中，涉及最多的領域是勒索軟件、商業電子郵件泄露 (BEC) 計劃和加密貨幣犯罪。除了用戶自身原因外，軟件自身安全仍然至關重要。

數據安全引起的損失逐年增加｜圖片來源：FBI

當企業服務的對象走向全球，不同區域的法規、不同用戶的合規需求，更讓合規問題變得棘手和復雜。

不過，復雜的問題也醞釀出廣闊的市場需求。據 IDC 預計，全球 GRC 收入將從 2020 年的 113 億美元增長到 2025 年的近 152 億美元。

而回到 Drata 身上，其創立就和創始人「搞不定」復雜的合規審查有關。

在創立 Drata 之前，創始人 Adam Markowitz 還曾在 2014 年創業做了一款類似 LinkedIn 的產品 Portfolium，主打畢業生聯系校友、求職。在向美國校園推廣產品的時候他發現，由于不同州對產品合規要求不一樣，導致產品每當進入一個市場就要重新解決一遍合規問題，導致產品在關鍵競爭時刻進展緩慢。

2019 年，他最終決定把公司以 4300 萬美元的價格進行出售，自己再出來創業，并將方向就定在了合規方向。前一段創業中遇到的合規問題，也讓他更清楚的了解企業用戶的痛點。在經過不到一年時間的研發后，Drata 即正式誕生。

Drata 的三位創始人，從左至右為 CRO Troy Markowitz、CTO Daniel-Marashlian、CEO Adam Markowitz｜圖片來源：Drata

有趣的是，在創業之前，Adam 還曾在 NASA 擔任航空航天工程師長達 6 年，為 NASA 的下一代太空運載火箭和航天飛機進行主發動機設計、分析和測試液體火箭發動機。

當然，不止 Drata 看到了 GRC 市場的機會。

在 Adam 創立 Drata 的時候，也有同類創業公司出現，比如其成立更早的競爭對手 Vanta 也拿到了數 1.6 億美元計的融資成為獨角獸。此外包括 Wiz、Scrut Automation 等同類公司的迅速崛起，也讓合規自動化轉眼間變成了一個行業賽道。

快速增長的需求市場和在合規評估背后的豐富想象，也讓巨頭企業關注到了合規自動化行業。比如，微軟不僅自己在開發相關產品，其 CEO 納德拉 在 2021 年 Drata A 輪融資時就進行了投資，Salesforce Ventures、CGV 也相繼加入到 Drata 投資人行列中。

不過，相比成為巨頭公司的一部分，Drata 似乎更希望自己能從巨頭中左右逢源，并成長為一家獨立的公司。因此，盡管拿到了上述公司的投資，也同時向 AWS 伸出橄欖枝，積極參加 AWS 舉辦的 ISV 加速計劃活動，獲取良好關系的同時也收獲了不少客戶。

在互聯網行業一片哀鳴的今天，我們仍能看到像 Drata 這樣專注 GRC、UIpath 這樣專注 RPA 的公司在崛起。根據 Crunchbase 的數據，2021 年專注云計算和網絡安全領域的初創公司，拿到了超過 230 億美元的融資，創下了該領域的紀錄，而 2022 年這一數字也有約 160 億美元。

這證明，當互聯網行業進入成熟期，或許會失去增長的海洋，但只要往下挖，這個行業仍能找到充滿活力的溪泉。