עוד סיפור דיסראפשן. נדבר על איך צ׳ק פוינט ייסדה את תעשיית אבטחת הרשתות, ועל איך פאלו אלטו נטוורקס הצליחו לתפוס עמדה מובילה בשוק הזה. וכן, (ממש) קצת על איך firewall עובד.
*** כל הנאמר בתכנית נועד למטרות חינוכיות בלבד. שום דבר שנאמר לא מהווה ייעוץ השקעות או המלצה לבצע פעולות בניירות ערך. הדובר עשוי להחזיק פוזיציות במניות שהוזכרו.
תאריך עליית הפרק לאוויר: 27/02/2024.
פרק 6: צ'ק פוינט ופאלו אלטו נטוורקס - הימים המוקדמים
[מוזיקת פתיחה]
מתן: היי, אני מתן זינגר וטוב שחזרתם לאופטיקאסט, הפודקאסט של "אופטיקאי מדופלם". אני מנסה ללכת לישון כל יום קצת יותר חכם ממה שקמתי ובואו תצטרפו אליי למסע הזה.
גיל שויד, המנכ״ל בעל הוותק הכי ארוך ב-Nasdaq, הודיע לאחרונה שהוא יעזוב את תפקיד המנכ״ל של צ'ק פוינט, אז חשבתי שזאת הזדמנות טובה לשתף בסיפור של איך הוא התחיל את החברה, לפני 30 שנה בערך, ועל מלחמת ה-Firewall, ביניהם לבין פאלו אלטו נטוורקס.
השירות הצבאי של גיל שויד היה ב-8200. המרכז שהוא שירת בו היה מאוד רגיש, ביחס למידע שלהם, והם רצו דרך לחסום את הגישה אליו ממקומות אחרים ביחידה. אז הוא בנה מעין קופסה שתחסום חיבורי רשת, רק כתובות ה-IP שהיו מורשות לגשת למידע יכלו לעשות את זה. מעין חומה שעומדת לפני הראוטר ויש בה פיקוח הדוק של מי שעובר דרכה. Firewall. וכמה שנים אחרי שהוא השתחרר, האינטרנט התחיל לתפוס וזה גרם לו להבין שהולך להיות פוטנציאל מסחרי לדבר הזה, גם מחוץ לצבא.
אז ב-1993 גיל שויד גייס בערך 250 אלף דולר כדי להקים את צ'ק פוינט. זה הכל. 250 אלף דולר. כבר ב-96' החברה עשתה רווח נקי של מעל 15 מיליון דולר. שולי הרווח של צ'ק פוינט, באופן מסורתי, היו תמיד מעל 40%, לפעמים הרבה הרבה מעל. ומדובר על רווח נקי, לא על רווח גולמי או מתואם או Adjusted EBITDA או Free Cash Flow, שמתעלם ממניות לעובדים, שולי רווח נקי על בסיס GAAP. על כל דולר שהחברה הכניסה במכירות כל שנה, לפחות 40 סנט נשארו בתור רווח נקי אחרי מס. ובתחילת שנות האלפיים זה היה אפילו מעל 55 סנט לכל דולר. אלה שולי רווח שנשמעים דמיוניים לסטארט-אפים היום והם אפילו לא מכרו SAS, זו לא הייתה תוכנה מעל האינטרנט. הם מכרו קופסאות חומרה שהותקנו אצל הלקוחות או בשלב מסוים רישיונות לתוכנה שהותקנו אצל הלקוח. מדהים כמה רווחיים צ'ק פוינט היו כבר מההתחלה.
מצד שני, זאת בדיוק הביקורת שהייתה לניר צוק, שהיה אחד העובדים הראשונים בחברה. הוא טען שצ'ק פוינט נחה על זרי הדפנה. הם מתמקדים באופטימיזציה של רווחים ותזרים מזומנים במקום להמשיך להמציא ולחדש. ב-2008 הוא כתב בבלוג שלו את השאלה הזאת: "למה אנחנו עדיין קונים Firewalls?" כי כולם יודעים שהם צריכים Firewalls ואין אלטרנטיבה טובה יותר או שאולי כן? למה אנחנו נמנעים מטכנולוגיות חדשניות? כי כולם עייפים מעומס המכשירים שצריך לקנות, להתקין, לנהל ולתמוך, כדי להשיג את יעדי אבטחת הרשת שלנו. למה אנחנו לא דורשים יותר חדשנות מיצרני ה-Firewall שלנו? בגלל שאנחנו יודעים שהם לא יכולים לחדש. הם גדולים ואיטיים והם לא קראו את הספר ה-Innovator's Dilemma. מה-Innovator's Dilemma אני מגיע למסקנה ש- Firewalls חדש יבוא מחברות קטנות וחדשניות, לא מספקיות ה- Firewall הקיימות. עוד על זה בהמשך.
אז ניר צוק קרא את הספר של Christensen והוא הולך לעשות Disruption. אבל בואו נעצור רגע. כי כל Founder היום אומר שהוא הולך לעשות Disruption. הוא מספר איך התעשייה שהוא מכוון אליה הם רקובים ואיטיים, ויש להם מוצרים מיושנים, והם כבר לא רלוונטיים. אבל סיפורי Disruption אמיתיים הם משהו נדיר. בדיוק על הבעיה הזו Christensen דיבר במאמר שהוא כתב ב-2015. הוא צירף גרף שמראה איך השימוש במושג Disruptive התפוצץ מאז שה-Innovators Dilemma התפרסם בתחילת שנות ה-2000, אבל הוא הסביר שאנשים לא מתעמקים להבין מה Disruption באמת אומר. הם פשוט ממהרים לתאר כל התקדמות טכנולוגית שהיא בתור Disruptive Innovation.
באופן אירוני, תיאוריית ה-Disruption נפלה קורבן להצלחה של עצמה. אבל התיאוריה של Christensen מבחינה בין שני סוגים של התקדמות טכנולוגית: בין Disruptive Innovation לבין מה שהוא קרא לו במקור Sustaining innovation - חדשנות שמשפרת מוצרים קיימים עבור הלקוחות הנוכחיים של ה-Incumbent. זאת יכולה להיות התקדמות הדרגתית, כמו להוסיף שלב חמישי לסכין גילוח, וזאת יכולה להיות פריצה דרך משמעותית, כמו טלוויזיה עם תמונה באיכות הרבה יותר גבוהה או רשת סלולרית שעובדת עם פרוטוקול חדש שנותן קצבים הרבה יותר גבוהים. אבל המכנה המשותף לכל המקרים האלה הוא: שזה מאפשר לחברות מובילות למכור מוצרים טובים יותר ללקוחות הרווחיים והקיימים שלהם. זה הכל Sustaining innovation וזה מאוד יכול להיות מסוכן להתייחס לדברים כאלה כאילו שהם Disruptive, ולתקוף אותם. כמו שהוא ממליץ ל-Disruptor לפעול או כמו שהוא המליץ ל-Incumbent להתגונן מ-Disruption. כי אם מדובר בסתם התקדמות רגילה בשוק, אז ה-Playbook הוותיק של האסטרטגיה העסקית, זה הדבר שנכון לעשות. אבל מנהלים או יזמים שיתייגו כל התקדמות בתור Disruptive, עלולים להשתמש בכלים הלא נכונים באותה סיטואציה, ודווקא לפגוע בסיכויי ההצלחה שלהם.
ומה הופך התקדמות טכנולוגית ל-Disruptive? בואו ניזכר: Disruptive Innovation נחשבה בהתחלה לנחותה בקרב הלקוחות הקיימים של ה-Incumbent. יצרניות השרתים לא רצו כונן של 5.25 אינץ' עם פחות Storage, יצרניות של מחשבים אישיים לא רצו מעבד זול עם צריכת חשמל נמוכה, כמו שסטיב ג'ובס רצה בשביל האייפון. הלקוחות הגדולים של IBM ו-Oracle לא רצו להשכיר סתם שטח אחסון ב-Cloud, בלי גיבויים ואבטחה, ו-Disaster Recovery, ולכן, Disruptive Technologies מתחילות מהתחתית של השוק או מיצירה של שוק חדש. הן צוברות שם הרבה ניסיון, פידבק, הכנסות וכל זה מאפשר להם לשפר גם את התכונות שחשובות ללקוחות הגדולים. רק אז הם יכולות לתפוס אחיזה, גם בקרב לקוחות המיינסטרים של ה-Incumbent. לעלות למעלה בשוק. ואז השאלה היא: האם, מה שזה לא יהיה שניר צוק זיהה שהולך לקרות ב-2008, האם זאת הייתה באמת התקדמות טכנולוגית שהיא Disruptive?
(מוזיקת מעבר קצרצרה)
אז בואו נראה על איזה חדשנות ניר צוק דיבר: זה מה שהוא כתב בספטמבר 2008 בבלוג שלו: "השבוע גוגל הכריזו על הדפדפן כרום - אפליקציות יבואו מה-WEB וירוצו בתוך הדפדפן. זה לא קונספט חדש. הרבה מהאפליקציות שאנחנו משתמשים בהם היום, הן מבוססות WEB. תחשבו על Gmail, Sales Force, אופיס מבוסס WEB, יוטיוב וכו'. כרום פשוט עושה את זה נקי יותר. תשכחו מהאפליקציות Desktop, הן שייכות לעבר. ויש עוד השלכה קטנה, אבל עבורי חשובה הרבה יותר: גוגל, וחברות כמוה, מבססות קשר ישיר עם המשתמש ב-Enterprise, שעוקף את נקודות הבקרה המסורתיות של מחלקת ה-IT, סביב איזה אפליקציות נמצאות בשימוש ומי משתמש בהם. הכל מגיע בפורט 80 או בפורט 443, ישירות לדפדפן. זה משנה גם את סיכוני האבטחה שצריך לפתור: כשליוזרים אין את האפשרות לבחור את האפליקציות שהם משתמשים בהם, כשהמידע נמצא מחוץ לרשת הארגונית, וכשכולם יכולים להשתמש בכל אפליקציה ולגשת לכל מידע מכל מקום בעולם, אנחנו מתמודדים עם חיה שונה לגמרי ממה שהיינו רגילים". אוקיי, זה מה שניר צוק אומר: החדשנות היא SAS. תוכנה ל-Enterprise, בתור שירות על גבי האינטרנט.
הלקוחות הראשונים של צ'ק פוינט עבדו במודל של אפליקציה שרצה על המחשבים של העובדים. ממש תוכנה שמתקינים שם, יישום. משהו שעושים עליו דאבל קליק. וזה דיבר עם שרת שהיה מותקן בחדר שרתים של החברה. כל זה קרה בתוך הרשת הפנימית של החברה, הרשת הארגונית. הדור הראשון של ה-Firewall נועד להגן על הרשת הזאת. הוא אפשר חיבורים מאוד מאוד ספציפיים מתוך הרשת הפנימית לאינטרנט, לפי כתובת IP ו-Port - חיבורים חיצוניים שנועדו למטרה נקודתית. למשל: לעדכן את שער ההמרה של המטבע באותו יום, או נתונים לגבי הזמנות, או לקוחות או תשלומים. כל דבר כזה, המתבצע דרך חיבור ב-Port מסוים ועובד בפרוטוקול משלו. אבל ניר צוק זיהה שהעובדים בחברה הולכים להחליף את כל האפליקציות שמותקנות על המחשב שלהם בדבר אחד: ב-Browser. והוא תמיד עובר דרך אותו Port ועם איך שה-Firewall של צ'ק פוינט אז עבד, האפשרות הייתה או לחסום את הדפדפן לאינטרנט לגמרי, ואז אי אפשר להשתמש בכל עולם האפליקציות החדש הזה, או לפתוח אותו לגמרי ואז אין שום ניטור, שום הגנה, הכל פרוץ.
אז פאלו אלטו נטוורקס הוקמה ב-2005. ב-2007, שנה לפני שהפוסט הזה התפרסם בבלוג של ניר צוק, היא השיקה מוצר בשם Next Generation Firewall. הוא איפשר יכולות יותר מתקדמות, מאשר חסימה של תעבורה לפי פרוטוקול ו-Port. המוצר הזה ידע להסתכל יותר לעומק על מה קורה בטראפיק ואז לסנן רק חלקים מהתקשורות של הדפדפן, ובינתיים לאפשר לחלקים אחרים לעבור.
אני מקווה שזה נשמע ברור. זה הכי טוב שאני יכול לנסות להסביר בלי להיכנס למונחים יותר טכניים.
בכל מקרה, מה שחשוב לקחת מהסיפור הזה, הוא שהשינוי הטכנולוגי שעומד להגיע היה תוכנה ל-Enterprise בדפדפן, מעל האינטרנט. ה-Firewall של ' לא היה אז מספיק מתוחכם כדי לסנן תעבורה כזאת וניר צוק מיהר לבנות Firewall שכן יוכל לעשות את זה, והכריז שזה הולך לעשות Disruption. אבל למה שזה יעבוד לו? כי בסך הכל Firewall, עם עוד יכולות, קצת יותר מתקדמות, Next Generation, קצת נשמע כמו Sustaining innovation, לא?
(מוזיקת מעבר קצרצרה)
והאשמות מהסוג שניר צוק העלה כלפי ' לא היו אז משהו חדש. כבר ב-2002 סערה וגעשה העיתונות הכלכלית בישראל, אחרי שעיתון גלובס ראיין את מנכ''ל חברת NetScreen, שבזמנו התחרתה עם ' . והוא תקף שם די בבוטות את ' . בין היתר הוא טען שהיא מתנהגת בשחצנות, כאילו שכל השוק שייך לה, הם לא מתייחסים לצרכים של הלקוחות, הם מסתמכים יותר מדי על ה-Channel, לשותפים שמוכרים את התוכנה שלהם על גבי החומרה, של השותפים. אבל הפתרונות של ' הם בעצם מורכבים מדי וקשה לאינטגרטורים למכור אותה ובגלל זה היא בקושי צומחת. הוא טען בינתיים ש-NetScreen לעומתם, מגדילה את נתח השוק שלה על בסיס יומי. מצד שני, אם מסתכלים מבחוץ על ' באותם שנים, זה לא היה נראה שהם דורכים במקום. בתחילת שנות 2000 הם השיקו מוצר שהם קראו לו NG, Next Generation והתגאו בזה ש-8 שנים אחרי שהם קמו, הם הצליחו להמציא את עצמם מחדש. ב-2002, באותה שנה שהרעיון הזה התפרסם בגלובס, הם השיקו מוצרי אבטחה לעסקים קטנים ולקוחות פרטיים, כלומר, ירדו למטה בשוק עם מוצר תוכנה שנמכר במחירים הרבה יותר נמוכים ממכשיר Firewall ל-Enterprise, קצת כמו ש-Intel עשו כשהם השיקו את מעבד ה-Celeron. ב-2003 הם ביצעו רכישה ראשונה: הם קנו את ZoneLabs האמריקאים במעל 200 מיליון דולר, ב-2006 הם קנו את PointStack - חברה להצפנת דיסקים במאות מיליוני דולרים. אז אוקיי, NetScreen אולי צמחו יותר מהר בשנים הראשונות שלהם, אבל זה כי הם גם התחילו מבסיס יותר קטן, אולי ' כן עבדו נכון ועדיין היו במצב מאוד טוב.
אז השאלה הזאת פרנסה הרבה כותרות וניתוחים בזמנו והראיון של מנכ''ל NetScreen נתן לגלובס היה חגיגה. זה התפתח לדרמה שלמה בהמשך, שגיל שויד סיפר שהוא קיבל אימייל מתנצל מהמנכ''ל של NetScreen, שהוא אמר שנכשל בלשונו בראיון וכל זה. הרבה יותר מעניין לסקר דרמת ריאליטי כזאת, עם יריבות וסכסוך, מאשר להיכנס לעומק של - איך אבטחת רשתות עובדת ומה היכולות של כל חברה. אז כמובן שזה מה שבעיקר משך תשומת לב לקראת כל דוח רבעוני. נו, מי יצמח יותר? והאם ההוא ילכלך על הזה?
ובמעין סגירת מעגל מעניינת, NetScreen רכשה את הסטארט-אפ הראשון שניר צוק הקים אחרי שהוא עזב את ' ב-1999, והוא הפך ל-CTO של NetScreen. אז הוא היה שם כמה שנים, בטח ראה כמה חשיפה NetScreen קיבלה בישראל בזכות ההתקפות האלה, ו-NetScreen, למרות כל הטענות שלה ולמרות שהיא באמת צמחה מאוד מהר, בסוף פשוט נמכרה ל-Juniper ב-2004 ואז ניר צוק עזב, כי הוא סיפר שהוא נתקל שם באותה בירוקרטיה, שבמקור גרמה לו מראש לעזוב את צ'ק פוינט.
אז דרך קצת צינית להסתכל על זה יכולה להיות: הנה, עכשיו הוא הולך ומקים עוד חברה, הוא צריך לגייס השקעות וטאלנט ולקוחות ולבנות מעמד בשוק והוא כבר מכיר Playbook שעובד, צריך ללכת על המלך, ללכלך על צ'ק פוינט. זה מושך הרבה תשומת לב. אז אם הוא עכשיו הקים חברה חדשה, הדבר הראשון שצריך לעשות זה לכתוב פוסטים בבלוג שתוקפים את צ'ק פוינט. אבל אולי זה סתם עוד סיבוב על גיל שויד בדרך לעוד איזה אקזיט. צ'ק פוינט הרי הוסיפו כל כך הרבה יכולות ל-Firewall שלהם לאורך השנים, למה שדווקא סינון של אפליקציות WEB יהיה החריץ שדרכו יהיה אפשר להדיח אותה מהפסגה.
(מוזיקת מעבר קצרצרה)
מה שיפה זה, ניר צוק ממש נימק את התשובה לשאלה הזאת כמובן בבלוג שלו: הוא התחיל מלספר שהוא ביקר בחברת Fortune 500 גדולה בסוף 2009 והוא שמע שם שאחד ממתחרי ה-Firewall שלנו - וכשהוא אומר את זה כולנו יודעים על איזה מתחרה מדובר. הסביר ש-Stateful Inspection, שזה היה שם של מה ה-Firewall של צ'ק פוינט עשה בזמנו, התפתח לכלול גם בקרה על אפליקציות או בתרגום למונחים שלנו: אחד הלקוחות הגדולים שמע מה-Incumbent שהצורך החדש שהולך להגיע בשוק עומד להיות sustaining innovation. ואתם זוכרים מה הכי טוב בלהביא sustaining innovation לשוק, נכון? ה-Incumbent. מה שניר צוק כתב על זה זה: "שבתור אחד מהמהנדסים המקוריים שעבדו על Stateful Inspection, מצאתי את האמירה הזאת מצחיקה בטירוף".
ולמה הוא חשב שזה כל כך מצחיק? היה לו הסבר טכני לזה. בשביל להבין אותו צריך להבין איך Stateful Inspection עבד: זה היה מנגנון שבחן את הפקטה הראשונה בכל חיבור אינטרנט חדש. הוא השווה את כתובות ה-IP והפורטים והפרוטוקול, לקובץ Policy. ולפי מה שהיה כתוב בקובץ פוליסי, הוא החליט האם לחסום או לאפשר את החיבור. זהו, על סמך הפקטה הראשונה. מהרגע הזה כל הפקטות בחיבור הזה או שהן חסומות או שהן עוברות. וניר צוק טען שלא הייתה שום דרך להרחיב את המנגנון הזה. כדי לבחון באופן מתמשך את כל הפקטות ולא רק את הראשונה, לזהות אפליקציות, להפריד ביניהם, להתמודד עם הצפנת SSL ולאפשר רק לחלק מהאפליקציות לעבור, ולחלק לא. בשביל לעשות את זה, הוא טען שהיה צריך לכתוב את כל המנגנון הזה מחדש. שזה קצת מזכיר את הסיפור בפרק שלוש על דילמת החדשנות ב Cloud, כשה-IBM ו-Oracle ניסו להתאים את המוצרים הקיימים שלהם, לעבוד ב-Cloud, כשבעצם אמזון בנתה מחדש תשתיות שהתאימו בצורה Native ליתרונות שה-Cloud מציע, ומנצלות אותו הרבה יותר טוב. מה שעוד ניר צוק אמר זה שחוץ מהאיך שהמנגנון עצמו עובד, החומרה שה-Firewall רץ אליה, כדי לעשות Stateful Inspection, לא תצליח להתמודד עם סינון של אפליקציות, זה ידרוש הרבה יותר כוח מחשוב וצריך פה גישה אחרת לגמרי. ואם הוא באמת צודק, זה אולי כבר מתחיל להישמע יותר כמו Disruptive Innovation.
(מוזיקת מעבר קצרצרה)
עוד תובנה של Christensen היא, ש-Disruptor לרוב מבטח מודלים עסקיים שונים מ-Incumbent. הוא הסביר שהאייפון היה Sustaining innovation בשוק הטלפונים הסלולריים ב-2007.
את הצמיחה האדירה שלו אפשר להסביר ב-Disruption שהוא עשה, לא לטלפון הסלולרי אלא ללפטופ, בתור נקודת הגישה העיקרית לאינטרנט. זה הגיע גם דרך שיפורים במוצר עצמו, אבל גם דרך מודל עסקי חדש: ה-App Store, שבעצם היה Marketplace שמנוהל על ידי אפל ומחבר בין מפתחי אפליקציות, לבין משתמשי אייפון. זה שינה את המשחק. האייפון יצר שוק חדש לגישה לאינטרנט. זה הרבה פחות נוח ממה שהיה אפשר לעשות בלפטופ, אבל הלפטופ היה זמין רק למי שישב ליד שולחן ויכול להרשות לעצמו מחשב וחיבור מהיר לאינטרנט. אבל כל אחד קנה טלפון ואנשים תמיד הלכו עם הטלפון בכיס שלהם. הם לא תמיד ישבו ליד השולחן. מעגל השיפור הסתובב, ובסוף האפליקציות באייפון היו כל כך טובות שזה אתגר את הלפטופ, בתור המכשיר שדרכו משתמשי המיינסטרים בוחרים לעשות הרבה דברים באינטרנט.
וגם פאלו אלטו נטוורקס התחילו ממודל עסקי שונה. בתשקיף לקראת ההנפקה שלהם הם כתבו במפורש: שחוץ מלבנות את הארכיטקטורה הטכנית של ה-Firewall מחדש, הם גם בנו מודל Go To Market חדש. הם לא התחילו מלשים את ה-Next Generation Networks בקופסא ולנסות למכור אותו ללקוחות הגדולים של צ'ק פוינט בתור תחליף. בהרבה פרמטרים זה לא היה מספיק בשל בשביל ממש להחליף את הקופסה של צ'ק פוינט, אז הם התחילו מלהציע רכיב שעובד לצד ה-Firewall המסורתי, ורק מוסיף את היכולת של סינון אפליקציות מעליו.
הם יצרו שוק חדש.
בתשקיף הם כתבו ש"עם הזמן, ככל שהלקוחות הקצה שלנו יבינו את היתרונות של הפלטפורמה, אנחנו מאמינים שאנחנו יכולים להאיץ את ההחלפה של Firewall helpers ויכולים בסופו של דבר להחליף גם את ה-Firewall עצמו". זהו Playbook קלאסי של Disruption.
הם עשו עוד משהו מעניין: הם כיוונו לקונסולידציה של Firewall helper Technologies לתוך פלטפורמה אחת, ואני אסביר מה זה אומר: חלק מהביקורת של ניר צוק על צ'ק פוינט הייתה, שלמרות שהם בעצמם ייסדו את קטגוריית אבטחת הרשתות, הם התמקדו רק בליבה של ה-Firewall. אבל עם הזמן, ככל שהאינטרנט צמח, והתוקפים נהיו מתוחכמים יותר, נוצרו עוד בעיות אבטחה וצ'ק פוינט השאירה לחברות אחרות לבנות את הפתרונות המשיקים האלה. אם הייתי צריך לנחש, זה אולי כי הם לא היו תמיד בטוחים כמה רווחיים הדברים האלה יהיו. חשיבת חוף מזרחי, אני קורא לזה פה מדי פעם.
אבל כמו שהמקרה של האייפון מוכיח, זה לפעמים משתלם לבנות משהו שכל יחידה שלו היא הרבה פחות רווחית מהלפטופ, אבל למכור כל כך הרבה יותר יחידות. כי יש בעולם הרבה יותר כיסים שאנשים רוצים לשים בהם אייפון מאשר שולחנות שמישהו שם עליהם מחשב. והתוכנית של הייתה שהקופסה שלהם תתרחב לפלטפורמה אחת, שמספקת את כל היכולות שכל הרכיבים השונים האלה סיפקו, כולל הרכיב הרווחי מכולם, שניצב בראש השוק, ה-Firewall של ' .
(מוזיקת מעבר קצרצרה)
ובגלל שאני מקליד את הפרק הזה ממרחק של כמעט 20 שנה אחרי שפ קמו והשיקו את ה-Next Generation Firewall, אז קצת יותר קל להסתכל אחורה ולהבין באיזה סוג של חדשנות היה מדובר פה. אבל בזמן אמת זה קשה. קשה למנהלים, לפאונדרים, למשקיעים, או למישהו שסתם מקליט פודקאסט, לדעת האם התקדמות טכנולוגית הולכת להיות Disruptive. בכל מקרה, בואו ננצל את הפריבילגיה שמרחק הזמן נותן לנו, ונדלג רגע לסוף של מלחמת ה-Firewall.
ניר צוק שם את תקציבי הפיתוח שלו היכן שהפה שלו. ב-2014 כבר עברה את ' בהוצאה על R&D. ב-2020 הם כבר הוציאו פי שלוש ממה שצ' הוציאו באותה שנה. ויחד עם זה הגיעו גם ההכנסות. ב-2017 עברו את ההכנסות של ' . ב-2020 הם כבר היו עם 50% יותר מצ' . ושוב, בפודקאסט אני לא יכול להראות גרף, אבל אני אשים לינק Show Notes וכשמשווים בין הוצאות הפיתוח או בין ההכנסות של שתי החברות האלה, זה דומה בצורה מדהימה לגרף הקלאסי של Christensen על Disruption. פאלו אלטו מתחילה מנקודה הרבה יותר נמוכה כמובן, אבל הגרפים שלה עולים הרבה יותר מהר. באיזושהי נקודה הם נחתכים עם ' ומשם ממשיכים לעלות מהר יותר ולא מסתכלים אחורה. ככה ניר צוק הסביר את זה כבר ב-2012:
(הקלטה): "למה Palo Alto מצליחה כל כך? למה ההצלחה שלנו? איך זה שפתאום גדלה חברה מ-0 לסדר גודל של 300 מיליון דולר במכירות, ברבעון האחרון שהכרזנו עליו? מכירות שנתיות, כסף ממכירות שנתיות, של כ-300 מיליון דולר ברבעון האחרון שהכרזנו עליו, בפחות מ-5 שנים. שבשוק הזה יש חברות ענק שמוכרות במיליארד דולר בשנה.
אין לזה שום הצדקה עקרונית. אין שום הצדקה שפתאום צמחה חברה של 300 מיליון דולר כסף מכירות בחצר האחורית של חברות כמו Sysco, Juniper וצ' שמוכרות Security בכמיליארד דולר בשנה. והסיבה לזה היא, שחברות גדולות כאלה, חברות שהן החברות שמותקנות כרגע אצלכם או אצל לקוחות אחרים, מאוד מאוד קשה לשרוד את זה. והנשק של חברות כאלה, הנשק של חברות שבוחרות להיות דוד בעולם של גולייתים, זה ה-Disruption. אוקיי? זה השינוי המוחלט של שוק. וזה בעצם מה שאנחנו בחרנו כשהקמנו את ".
מתן: ואגב, קצב ההכנסות של 300 מיליון דולר בשנה שהוא הזכיר שם, שכביכול היה נחשב להצלחה יוצאת דופן, כבר צמחו השנה לבערך 8 מיליארד דולר. זה יותר מפי 25.
' בזמן הזה צמחו מ-1.4 מיליארד דולר ב-2012, מה שהיה אז יותר מפי 5 מ-Palo Alto, לקצת פחות מ-2.5 מיליארד דולר בשנה שעברה. בזמן ש-Palo Alto הגדילו את ההכנסות שלהם ביותר מ-2,700 אחוז, צ'ק פוינט הגדילו את שלהם בפחות מ-80 אחוז. מחמישית מההכנסות של צ'ק פוינט, פאלו אלטו הגיעו לפי 3 מצ'ק פוינט, תוך 11 שנים. הדרך היחידה לעשות דבר כזה היא Disruption.
ואם כבר מדברים, אי אפשר שלא להזכיר גם את השלט המפורסם בנתיבי איילון מ-2013, איפשהו בין מחלף השלום ללה גארדיה, שלט חוצות הכריז: "זה עתה עברתם את צ'ק פוינט, גם אנחנו". זה אחרי שה-Firewall של Palo Alto עקף את צ'ק פוינט בדירוג של Gartner. ושלט דומה הופיע גם על כביש ה-101 שחוצה את ה- Silicon Valley בקליפורניה.
(מוזיקת מעבר קצרצרה)
עוד עיקרון של Christensen הוא ש-Disruption לפעמים לוקח הרבה זמן. זה גם מה שקרה בסיפור שלנו. המונח Disruptive Innovation עלול להיות מטעה אם מסתכלים על נקודה מסוימת בזמן. צריך לבחון את האבולוציה של המוצר או השירות על פני תקופה. Christensen מסביר שהשרתים הראשונים היו Disruptive, לא רק בגלל שהם פנו לתחתית השוק כשהם הופיעו, וגם לא רק בגלל שבהמשך הם הוכרזו כעדיפים על ה-Mainframe בהרבה שווקים. מה שעשה אותם Disruptive היה המסלול שהם עשו, מהשוליים של השוק אל עבר המיינסטרים. ובגלל שתהליך של Disruption יכול לקחת הרבה זמן, Incoments הרבה פעמים מתעלמים מה-Disruptors. כמו שוורן באפט סיפר בפרק שלוש, אפילו Jeff Bezos היה מופתע שכולם פשוט ישבו והסתכלו על איך אמזון מתקדמים עם AWS.
וזה קרה גם כאן.
הנה גיל שויד ב-2012, קצת אחרי ההנפקה של פאלו אלטו נטוורקס, ושנה לפני שהם עקפו את צ'ק פוינט בדירוג של Gartner:
(הקלטה) גיל שויד: "אני חושב שהם מתחרים בתחום שלנו ואני חושב שהם התחילו באיזושהי נישה קטנה של זיהוי אפליקציות, זיהוי אפליקציות באינטרנט. נישה שביום אנחנו מובילים בה הרבה. יש לנו אם להם יש כמה אלפי אפליקציות שהם יודעים לזהות, אנחנו יודעים היום לזהות מאות אלפי אפליקציות. אם להם יש כמה אלפי התקנות, לנו יש היום עשרות אלפי התקנות באותו תחום. כך שאפילו בנישה הזאת שהם התחילו בה, אני חושב שאנחנו כבר הראינו שאנחנו מסוגלים להרבה יותר".
מתן: והנה ציטוט מתוך כתבה שהופיעה בגלובס באותו זמן: "מעבר לכך, הפריצה לתודעה של Palo Alto, ובראשה צוק הדומיננטי, העלתה פעם נוספת את הדיון: האם אופן הניהול של צ'ק פוינט אינו שמרני וריכוזי מדי? מה שמונע ממנה לצמוח ולנצל את היתרונות הטכנולוגיים והעסקיים שלה. עבור גיל שויד, המנכ''ל והמייסד של צ'ק פוינט, התשובה ברורה: "במשך 16 השנים שבהם אנחנו חברה ציבורית, כבר ארבע דורות של מתחרים נעלמו". שויד משיב לביקורת בראיון לגלובס עם פרסום הדוחות. "תמיד עלתה הטענה של שמרנות יתר כלפינו, אבל אני שמח להיות מאלה שנשארים ולא מהנעלמים, כי הם אגרסיביים וחסרי זהירות. המאבק מול Palo Alto הוא יותר תדמיתי מאשר בשטח. צ'ק פוינט אוחזת ב-13% משוק אבטחת הרשתות, ואילו Palo Alto מגיעה לכחמישית מנתח זה. Palo Alto אכן מתחרים אבל עדיין שחקן נישה. יש לנו טכנולוגיה הרבה יותר טובה ויש לנו הרבה יותר לקוחות והתקנות. הם מתחרה אגרסיבי, אבל אנחנו רואים שלקוחות אוהבים את היתרונות שלנו. אני חושב שאין סיכוי גבוה ש-Palo Alto תהיה הצלחה. אני לא רוצה להפוך את המאבק לאישי, אלא להגיע ללקוח עם טכנולוגיה יותר טובה".
זה מה שגיל שויד אמר אז, ואפשר להבין אותו. ב-2012, כשהוא נתן את הראיון הזה, ההכנסות של Palo Alto היו פחות מחמישית מההכנסות של צ'ק פוינט. המוצר שלהם היה בהרבה אספקטים פחות בשל, פחות משויף. שבע שנים אחרי ש-Palo Alto קמו, הם עדיין נראו כמו שחקן נישא שנאבק להגיע לרווחיות, לא כמו משהו שיהיה איום רציני על המוצר המבוסס של צ'ק פוינט בקרב הלקוחות הגדולים שלה.
אבל שימו לב שוב לדברים שגיל שויד אמר ב-2012: "תמיד עלתה הטענה של שמרנות יתר כלפינו, אבל אני שמח להיות מאלה שנשארים ולא מאלה שנעלמים, כי הם אגרסיביים וחסרי זהירות". זה מתאר את הגישה ש-Christensen קרא לה - "חברה מנוהלת היטב". ואת מה שקראנו לו פה חשיבת חוף מזרחי.
נשמע שגיל שויד ניסה לעשות את התפקיד שלו בצורה יסודית ואחראית. הוא דיבר עם הלקוחות, בחן לעומק את מה שקורה בשוק. איזה מנהל שקול יקצה תקציבי פיתוח בשביל לתקוף נתח מצומצם של השוק, רק כי העליבו אותו בבלוג באינטרנט או בשלט באיילון? זאת לא הגישה שהביאה להצלחה של צ'ק פוינט, זה לא הדרך שבה הם שולטים בתעשייה כבר 20 שנה. הדבר האחראי הוא להתעלם מהאגו, לא להיות אמוציונליים, להיות אנליטיים. להסתכל על הנתונים, להסתכל על המודלים הפיננסיים. אבל זה בדיוק הפרדוקס של תורת Disruption. שאגב, התפרסמה לראשונה רק שנתיים אחרי ההקמה של צ'ק פוינט.
התיאוריה של Christensen מראה, שבכל מה שנוגע ל-Disruptive innovation, ההחלטה הנכונה היא דווקא זו שנראית אימפולסיבית וקשה להצדיק אותה עם נימוקים רציונליים והתיאוריה הזו, אמנם לא הייתה קיימת כשגיל שויד הקים את ' ובנה את התהליכים הארגוניים בחברה, אבל הייתה לו הזדמנות לקרוא את הספרים של Christensen כי הם התפרסמו עשור לפני שפאלו אלטו נטוורקס קמה.
(מוזיקת מעבר קצרצרה)
כשכתבתי בטוויטר על סיפור ה-Disruption של ה-Next Generation Firewall קרה לי אותו דבר מדהים שלפעמים קורה באינטרנט. סיפרתי בפרק הראשון על איך Aswath Damodaran שמע מ-Bill Gurley מה הוא פספס בפוסט של ה-Luber, וגם אני קיבלתי תגובות שהוסיפו עוד מידע מעניין. ' ממש לא התעלמו ממה ש-Palo Alto קראו לו Next Generation Firewall. הם ניסו לקנות חברה בשם Source Fire, שהיה לה יכולת לנתח תעבורת IP, אבל השלטונות בארצות הברית חסמו את הרכישה, הם לא רצו שחברה לא אמריקאית יקנו אותם ובסוף הם נמכרו ל-Cisco. אז ב-2006 השלטונות האמריקאים כן אפשרו לצ' לרכוש חברה בשם NFR ב-20 מיליון דולר, זה עוד לפני שפ בכלל השיקו משהו. והנה מה שאדם בשם נדב הרפזי, שמספר שהוא עבד בצ' באותם שנים, סיפר בטוויטר שקרה בהמשך: הרכישה הייתה רק ציון הדרך הראשון, כי Next Generation Firewall זה הרבה יותר ממנוע IPS. עדיין חסרו רכיבים רבים ובשנים הבאות הם פותחו בתוך צ'קפוינט: URL Filtering, Application Control, Anti-Malware ועוד דברים. בסופו של דבר חלק מהם נכנסו במסגרת מוצרית רחבה שנקראת עד היום Threat Prevention. אבל היה ברור שאי אפשר למכור מוצר כזה בלי שיש לו מנוע של SSL Inspection. בגלל שרוב התעבורה באינטרנט היא מוצפנת, תעבורת HTTPS, אז הרכיב שיודע לקרוא, הצפנה של SSL היה חיוני בשביל שהמוצר יהיה אפקטיבי. וזה הרכיב שנדב הרפזי מספר שהוא מכיר הכי טוב, כי הצוות שהוא עבד בו פיתח את הטכנולוגיה הזאת עבור מוצרי ' . והוא מספר שהם התחילו לעבוד על הפיתוח כבר באזור 2007-2008, אבל היו בדרך עיכובים ודחיות, ותכלס רק בסוף שנת 2010 הם היו מוכנים ליציאה. המוצר המלא הראשון יצא בשנת 2011 וכלל את כל הדברים האלה שהוא תיאר קודם אבל זה… 2011 זה 4 שנים אחרי ש-Palo Alto השיקו את המוצר הראשון שלהם, ואם אתם זוכרים את הפוסט בבלוג של ניר צוק, הוא כבר ב-2009 כתב: "הארכיטקטורה שהייתה לצ' לא תצליח להתמודד עם ניתוח של SSL, ונשמע שזה באמת הסתבך והתעכב. וזה השאיר ל-Palo Alto כמה שנים שבהם יכלו לצבור חיכוך עם השוק, התקנות, פידבק, הכנסות. אם הייתי צריך לנחש אני חושב שאף אחד מהלקוחות הגדולים של צ'ק פוינט באותה תקופה לא דפק עדיין על השולחן ואמר שהוא חייב את זה מיד, את הפילטור של האפליקציות ו-SSL. הוא הביע נכונות לשלם הרבה על מוצר כזה. הם רק רצו לדעת שזה הולך להגיע אי שם ב-Roll Up העתידי של צ'ק פוינט. אבל כשהם סוף סוף הגיעו עם המוצר של צ'ק פוינט לשוק, הוא באמת היה טוב ואיכותי, ונדב הרפזי אגב מספר שהוא היה מעורב עוד כמה שנים במוצר, חלק מהזמן הוא גם ניהל את הצוות של ה-SSL, והוא טוען שהמוצר שלהם היה אפילו יותר טוב משל Palo Alto, אבל ש-Palo Alto היו הרבה יותר אגרסיביים והם צברו בסיס התקנות הרבה יותר רחב, שבדיעבד הגדיל מאוד את השוק, אפשר להם לצבור הרבה ניסיון להתקדם, ובשלב מסוים גם למכור עוד מוצרים ללקוחות שלהם.
אבל איזו חברה אחראית, עם הבנה של השוק ותהליכי ניהול טובים, הייתה כבר ב-2005 מחליטה סתם ככה, On a whim, לבנות מחדש את הארכיטקטורה של ה-Firewall שלה כי אפליקציות WEB זה אולי משהו שיתפוס בEnterprise. או איזה חברה הייתה מתחילה למכור באגרסיביות את המוצר הזה, בלי ודאות של כמה גדול יהיה השוק, וכמה רווחי זה יהיה. והנה דוגמה לפרויקטים אחרים, שהייתה להם כנראה ודאות יותר גבוהה וכן קיבלו תיעדוף בצ'ק פוינט באותם שנים.
אז אני הולך להקריא קטע מתוך פוסט שניר צוק כתב ב-2009. הפוסט הוא מאוד בוטה אבל אני הולך לצטט אותו בכל זאת, כי אני חושב שזה מעביר נקודה מעניינת. אז זה מה שהוא כתב: "אני עצבני, אני פגוע, בניתי חלק גדול מהמוצר של צ'ק פוינט ולראות מה חבורה של דבילים עשו לחברה הזו, באמת כואב. תראו את ההכרזה - " צ'ק פוינט עושה מהפכה בתחום האבטחה עם ארכיטקטורה - תוכנה חדשה. מה לעזאזל? אתם צוחקים עליי? אתם חושבים שאנשים עד כדי כך טיפשים? כל אחד עם IQ מעל 70 שקורא את ההודעה הזו, יראה מיד על מה מדובר. זה תוכנית רישיונות חדשה. החדשנות הגדולה של צ'ק פוינט היא תוכנית רישיונות מזורגגת, זה לא רק כואב לראות, זה עצוב. מי שפעם הייתה החדשנית והמובילה באבטחת רשתות, השקיעה שלוש שנים של מחקר ופיתוח על תוכנית רישיונות, שנועדה לסחוט יותר כסף מהלקוחות. כל כך עצוב". אז הטון של ניר צוק פה הוא מאוד מזלזל ומעליב ואפשר לעשות ממנו סיפור דרמה מאוד מעניין. אבל בעיניי יותר מעניין לנסות לקלף אחורה, מה היו התהליכים הארגוניים בצ'ק פוינט שהובילו להקצות משאבים דווקא לפרויקט כזה.
אני מניח שהיו כאן תחזיות רווח ו-IOI מאוד ברורות, ששכנעו את ההנהלה ללכת על הפרויקט הזה ולהקצות לו משאבים. אפשר לראות, איך הנהלה, אחראית ושקולה, תתעדף דווקא תוכנית רישיונות חדשה, מאשר לשים את הרגל על הגז עם ה-Next Generation Firewall. אחד, לתוכנית רישיונות קל מאוד לבנות מודל ולראות מה הולך להיות ההחזר על ההשקעה. Next Generation Firewall זה קצת יותר קשה. ואנחנו לא עושים פה מה שכיף ומגניב, אנחנו מנהלים חברה רצינית שנסחרת ב-Nasdaq, ששרדה את הטלטלות של התפוצצות הדוט קום. חשיבת חוף מזרחי - זו אותה התנהלות ש-Andy Jassy סיפר שהייתה בתחילת הדרך באמזון. הם תעדפו שם פרויקטים דרך מודל של Net Present Value וזה הוביל אותם בעיקר לתעדף פרויקטים שהייתה להם ודאות מאוד גבוהה, אבל לא את הפרויקטים שהיה להם פוטנציאל גדול לImpact. עד שהם החליפו את זה בקריטריון חמש השאלות שאפשר להם למשל, לבנות את AWS.
(מוזיקת מעבר קצרצרה)
אז כמו בהרבה סיפורי Disruption, צ'ק פוינט ממש לא נעלמה מהמפה, אבל היא בטח איבדה את הפוזיציה המאוד דומיננטית שהייתה לה בשוק האבטחה באינטרנט, שוק שהיא בעצמה הקימה ב-93' והובילה במשך עשרים שנה לאחר מכן.
אז שאלה שמעניין לסיים איתה היא מה צ'ק פוינט הייתה יכולה לעשות אחרת?
תשובה אחת שעולה די הרבה היא שהם בירוקרטים מדי. הם עצלנים וזזים לאט. אבל ראיתם שזה לא נכון, הם פיתחו והשיקו הרבה דברים לאורך הדרך. עוד טענה שעולה לפעמים זה שהם היו צריכים להשקיע יותר, הם שמרנים מדי. בגלל זה הם כמעט לא צמחו. אבל זו אמירה מאוד כללית. הם כן השקיעו בפיתוח, הם כן הוציאו כסף על רכישה של חברות. מה עוד הם היו צריכים לעשות? אם הם פשוט היו מעלים דולרים באש, אז ההכנסות היו צומחות יותר מהר?
אז בדיעבד מאוד קל לענות: הם היו פשוט צריכים לתעדף את ה-Web Filtering וניתוח SSL הרבה יותר מוקדם, לעשות מה שצריך כבר ב-2005 או 2006, כדי להגיע עם זה ראשונים לשוק, גם אם מוצר שהוא לא מספיק משויף ולמכור אותו באגרסיביות, אפילו אם זה יהיה עם שולי רווח נמוכים, כדי לתפוס אחיזה בשוק ולמנוע Disruption. ואז לרכב על טרנד ה-SAS הארגוני, לצבור בסיס התקנות ומשם להתרחב לפלטפורמה, ולעשות Up Sale לבסיס הלקוחות שלהם, עם עוד מוצרים, עוד יכולות אבטחה, כלומר, בדיוק את מה שפאלו אלטו נטוורקס עשו בדיעבד. אבל חוכמה בדיעבד היא חכמה מאוד קטנה. מי ידע להמר דווקא על הטרנד הזה ולתעדף אותו מעל פרויקטים אחרים שצ'ק פוינט עבדה עליהם באותו זמן? אז אם האזנתם לפרק 4, אתם כבר בטח יודעים מה Clayton Christensen היה ממליץ לעשות: הוא ממליץ לבנות מוצרים חדשניים בארגון נפרד. כשיש התפתחות טכנולוגית שעשויה להתברר כ-Disruptive ואולי ליצור טרג'קטורים (trajectory) - מסלול התפתחות שהוא שונה מהמסלול שהמוצר הוותיק הלך עליו, צריך להקצות צוות שיהיה Single Threaded ויתרכז בלבנות את זה והם צריכים לעבוד בניתוק מעסק הליבה בלי להיות תלויים במשאבים ובתהליכים שלו. זאת הדרך היחידה לחתוך דרך הבירוקרטיה הארגונית, דרך תהליכי ניהול פרויקטים והפיקוח על KPI's וכל הדברים האלה.
בשנת 2004 Jeff Bezos קרא ל-Steve Casal, פיטר אותו מהתפקיד של לנהל את עסק מכירות הספרים של אמזון ואמר לו שהתפקיד החדש שלו יהיה לבנות פלטפורמה דיגיטלית שתגרום למכירות הספרים הפיזיים לפשוט רגל. אז אם באותו זמן גם גיל שויד היה קורא לאחת המהנדסות או המהנדסים הבכירים בחברה, מפטר אותם מהתפקיד שלהם ונותן להם תפקיד חדש, שהוא לבנות צוות בתוך צ'ק פוינט שיגרום לעסק ה-Stateful inspection של צ'ק פוינט לפשוט רגל, אולי נתח השוק של צ'ק פוינט היום היה נראה הרבה יותר גדול. אז עד כאן סיפור ה-Disruption ב-Firewall, בפרק הבא נדבר על התפתחויות יותר עדכניות בשוק הסייבר Security, שאיתן מודל ה-Firewall כולו החל לאבד רלוונטיות וגרמו הפעם גם לפאלו אלטו נטוורקס וגם לצ'ק פוינט למצוא את עצמם בעמדת ה-Incumbent, אבל כל אחת הגיבה לזה באופן אחר.
תודה שהאזנתם, נמשיך בפעם הבאה.
לעוד פרקים של הפודקאסט לחצו על שם הפודקאסט למטה
Comments