本文由Русский自动翻译,由人工智能生成,可能包含不准确之处。
阅读原文 →8200部队——军事技术情报如何成为国家网络安全产业发展的引擎
以色列8200部队从技术情报机构转型为网络安全初创企业最大孵化器的故事。退役人员如何创建了价值超过2000亿美元的公司,以及为何这一模式难以复制。

AI 摘要
以色列军事情报局8200部队在70年间从普通的技术情报部门转变为全球最大的网络安全初创企业孵化器。该部队的毕业生创立了1000多家公司,总价值超过2000亿美元,包括Check Point、Palo Alto Networks、Wiz和CyberArk。该系统的成功基于独特的因素组合:义务兵役制、早期人才选拔、实战经验、风险投资以及有意识地将人才"释放"到民用部门。
这篇文章是关于以色列国防军(IDF)最知名、最高效、也最具传奇色彩的部队之一的最全面的俄语历史记录。这支部队在70年间从一个"普通"的技术情报单位,发展成为全球最大的网络安全初创企业"孵化器"。本文主要聚焦于这一转型过程——因为1973年或2023年的具体事件足以单独成书。
本文作者来自金融行业,是一位企业家,曾联合创办两家信息安全初创公司,并撰写了数十篇关于以色列国防军历史和以色列军队文化的文章。
这支部队首次引起广泛关注是在《创业的国度》(Senor, Singer)一书出版之后。作者强烈推荐该书,以便更深入地了解相关问题。
此外,不建议以在俄罗斯武装部队及其他部门服役的经验来理解本文。它们的组织方式完全不同。
神话、真相与现实
"8200部队是一个小型且高度机密的顶级黑客单位,专门开发间谍软件并监控数百万人"——这是互联网上能找到的典型描述。
在准备这篇文章时,我惊讶地发现,关于8200部队的真实面貌、任务、人员配置原则等方面,几乎没有像样的俄语资料。这并非因为一切都高度机密,只是恰好如此——几乎没有人讲述8200部队(希伯来语称"shmoneh matayim")如何从军队技术情报单位走过漫长道路,发展成为今天的样子。更没有人谈论其极具特色的军队文化以及军队在以色列社会中的地位。8200部队在以色列境外的形象被严重神话化,而且这在很大程度上有该部队退役人员的推波助澜。文章开头的描述正是这类神话之一,完全是胡说八道。我们就从这些神话开始说起。
- 8200是一个小型部队
不,这是以色列国防军中规模最大的独立单位(希伯来语称为"yehida")。该单位的服役人员比任何一个常规陆军旅(例如戈兰旅或伞兵旅)都要多。这是一个规模庞大的情报单位,可与美国国家安全局(NSA)相提并论(NSA约有4万名工作人员,而8200部队及其相关单位约有5000至7000人,但美国人面对的任务规模更大)。同时,一些任务由规模较小的相关单位执行,例如9900部队、81部队,以及501部队等。此外,空军、摩萨德都有自己的网络安全部门,甚至监狱管理局可能也有。
除8200部队外,以色列军队还有其他大型机构——计算机中心(MAMRAM)、大型通信和信息技术单位(LOTEM)、总参谋部通信与网络防御管理局、软件开发单位("Shahar")等等。
8200部队(以及任何类似机构)拥有庞大的人员编制,从操作员、语言学家、翻译人员到病毒分析师、数据科学家等各类专业人员。他们负责处理极其广泛的任务。
重要的一点是,8200部队隶属于军事情报部门(与俄罗斯格鲁乌最为相似)。以色列还有摩萨德(政治情报机构,类似俄罗斯对外情报局)、辛贝特(国内安全/反间谍机构,类似联邦安全局),空军、海军等也都设有信息安全部门。例如,根据公开报道,空军拥有自己完整的红队。
- 这是一支由顶尖专业人才组成的部队
不,8200部队主要由18至19岁应征入伍的义务兵组成,每年约有1000人加入该部队。当然,这些并非"街头少年",他们往往来自学校的技术培训项目("Nachshon"、"Gvahim"、"Magshim"等)。后两个项目是国家在中学开展的网络安全人才培养计划的一部分,这个我们稍后再谈。总之,想要进入该部队服役,最好从中学时期就开始准备。当然,天赋异禀者除外。
这些"隐形战线战士"中的大多数年龄不超过23岁,这实际上就是一个由昨天还是中学生的年轻人组成的NSA,他们大多数人没有高等教育学历——更准确地说,服役经历取代了大学教育。这对部队的选拔机制产生了非常深刻的影响。
- 8200部队从事间谍软件开发和全球监控项目
确实如此,但远不止于此。该部门的任务范围要广泛得多,其中有大量"一线"人员,他们并非开发人员、"红队"成员或其他什么角色。说真的,这更像是L1安全运营中心(SOC)以及其他适合初级人员从事的常规性、批量性工作。
最终形成的是一个"由年轻人组成的国安局",但他们的工作表现丝毫不逊于美国同行。顺便说一句,大量使用义务兵并非8200部队独有——例如,以色列空军的大部分技术人员也都是这样的义务兵,其中很多还是女性。在联合军演中,美国人经常会震惊地看到一位20岁的年轻女兵在维护价值5000万美元的战机。
与此同时,约有1.5万至2万名8200部队的退役军人在全球最大的IT公司、科技巨头和相关行业工作。他们中的许多人与该部门保持着联系,或是以色列国防军的现役预备役人员——这也是一项不容忽视的巨大资源。
历史与背景(20世纪50年代至90年代)
8200部队(更准确地说,是其前身848/515部队)最初是作为以色列军事情报局(AMAN)的无线电技术部门而建立的。他们从事的是为军队服务的典型任务——无线电技术侦察和无线电电子侦察,在西方被称为信号情报(SIGNINT)。简单来说,他们负责截获敌方军事通信和其他辐射源(主要是雷达辐射信号)。
例如,在六日战争(以色列大获全胜的一场战争)的第二天,他们截获了埃及总统纳赛尔和约旦国王侯赛因之间的通话,两位阿拉伯领导人商定对外宣称轰炸他们的不是以色列飞机,而是美国和英国飞机——目的是将苏联拖入这场阿拉伯国家正在输掉的战争。这段通话录音被公开播出——这是以色列历史上的首次。
有成功也有失败(关于1973年失败的原因,摩萨德和AMAN的老兵们争论到晚年),但总体而言,8200部队的任务并未超出军队职能的常规范畴。例如,在苏联,类似任务由格鲁乌(GRU)和克格勃第16局负责。美国有国家安全局(NSA)和国防情报局(DIA),与苏联一样——军队内还有大量其他结构部门。以色列国土面积小,一个8200部队就够了。
这里需要补充一点——以色列军队一直有很强的"自下而上的主动性"。例如,以色列第一架侦察无人机的创造者就是在车库里组装出来的,他还"借用"了邻居割草机的发动机。在军队里,这架无人机(不是创造者)被称为"Zachavan"(希伯来语中的"黄鹂"之意)。
顺便说一句,它与我们的"前哨"(Forpost)非常相似(我想原因不言而喻)。另一个故事是——80年代初,两名以色列工程师几乎是"在膝盖上"改进了美国"霍克"防空导弹系统的雷达,成功"捕获"了叙利亚的米格-25战机。以色列军队一直保持精简,并建立在"横向联系"的基础上。
1982年,以色列参与了最后一场"诸兵种合成"战争,当时对手拥有完整的军事编制,并配备现代化的空军和防空系统。与叙利亚的交锋表明:以色列比任何邻国都强出一个档次,中东地区已不存在能够真正威胁它的国家。与此同时,出现了一种全新的威胁,
仅靠飞机、坦克和步兵旅已不足以应对。这就是恐怖主义。对抗它需要完全不同的方式:情报侦察、截获"民用"通信渠道、监听等手段成为重中之重。正是在这个时候,8200部队真正大展拳脚……
与此同时,该部队"外部"正在发生技术革命。1983年(黎巴嫩战争一年后),美国ARPANET从NCP协议转向TCP/IP——互联网由此"诞生"。美国国防部开始大规模将ARPANET应用于国防任务。以色列作为美国最亲密的技术盟友,比北约大多数盟国更早获得了这些技术,这得益于与美国犹太人的"横向联系"。
1988年,23岁的康奈尔大学研究生罗伯特·莫里斯(Robert Morris)在美国发布了第一个"现代"病毒,即所谓的莫里斯蠕虫。这次疫情感染了约6000个ARPANET节点,这是网络安全并非抽象概念的首次公开证明。人们意识到,网络可以被攻击,因此必须以某种方式进行防御。
就在莫里斯编写恶意软件的同时,以色列军队中服役着一位20岁的Unix系统管理员,名叫吉尔·施韦德(Gil Shwed)。他与莫里斯有很多共同点:两人都是程序员的孩子(莫里斯的父亲在NSA工作),都很早开始编写代码(施韦德14岁时就是大学的系统管理员),都极具好奇心。
施韦德在军队中从事网络架构构建和网络安全工作,当时的研究成果后来成为FireWall-1产品的基础,这是最早的现代防火墙之一。施韦德等了4年,等待他的初创企业出现市场机会,1993年他找到昔日战友说:"你们还记得我四年前的想法吗?我认为是时候将它推向市场了。"又是横向联系在起作用。第一笔投资25万美元来自BRM——一家以色列软件公司,开发了世界上最早的杀毒软件之一。BRM用这笔钱获得了Check Point一半的股份。三年后,这25万美元变成了2.5亿美元。一年后——变成5亿美元。如今该公司市值约150亿美元。莫里斯向全世界展示了开放网络本质上的脆弱性。施韦德则创造了解决这一问题的方案之一。
顺便说一句,罗伯特·莫里斯不仅以黑客身份闻名——2005年,他成为著名孵化基金Y Combinator的联合创始人之一。
技术官僚式的军事情报机构(1990年代)
1996年6月,Check Point在纳斯达克IPO中募资6700万美元。这对以色列公司来说史无前例——并向全国发出了一个明确信号:来自军事情报部门的技术具有数亿美元的市场价值。
颇具讽刺意味的是,正是从纯军事目标向反恐目标的"重新定位"、巴勒斯坦大起义的爆发以及技术的迅猛发展,塑造了现代世界所熟知的8200部队。军事信号情报退居次要地位——以色列人需要监控大量人员的通讯,其中大多数并非职业军人。1987年第一次巴勒斯坦大起义爆发,主要对手变成了"准军事组织"、恐怖分子以及心怀不满的阿拉伯抗议者。
这需要从根本上改变数据收集架构。以往的模式——追踪敌军的军用无线电频率——针对的是数量相对较少、通信模式可预测的目标。新任务则截然不同:低技术含量、数千人使用民用基础设施——电话线、传呼机,很快还有移动网络。8200部队开始从高度专业化的军事单位转型为今天所谓的大规模监控基础设施。正是"传统"国防任务与持续监控敌对巴勒斯坦飞地的双重需求,造就了今天的8200部队。
正是在这一时期,该部队开始研发后来成为以色列对邻国技术优势基础的能力:自动化收集和分析海量非结构化数据。1990年代初,这意味着使用以今天标准看来相当原始的工具——通话索引、音频流中的关键词识别、结果的人工验证。但任务本身的设定——如何处理数百万个数据点并从中提取有意义的信号——领先民用行业整整十年。当时还没有现代意义上的大数据概念,但非结构化数据集已经开始出现。
2000年爆发的第二次巴勒斯坦大起义极大加速了这一进程。以色列城市发生的一系列自杀式恐怖袭击,使情报机构面临预测性分析的任务:不仅要记录通信事实,还要在意图实现之前预测它。这需要从基于关键词转向基于行为的分析——不是分析通话内容,而是分析模式:谁与谁联系、何时、多频繁、从哪些地点。正是在这里,8200部队开始系统性地运用后来在民用领域被称为图分析和网络拓扑分析的技术。如今我们在许多解决方案中都能看到它们,比如反欺诈系统,但在当时这是突破性进展。再次强调:整个历程都是"任务驱动"的,没有这些任务,8200部队仍会只是一个普通的无线电侦听单位。
与此同时,通信网络本身也在经历技术革命。GSM标准于1994年进入以色列。这意味着目标不再使用固定通信线路——他们四处移动、更换SIM卡、使用多个设备并采取防护措施。8200部队随之调整:开发了IMSI拦截、基站三角定位、语音与数据流量关联搜索等方法。这些技术中的许多后来成为该部队退役人员在民用领域创建的公司产品的基础——从专门从事移动设备数据取证提取的Cellebrite,到为全球政府客户构建工业级拦截系统的Verint。
到2000年代中期,8200部队事实上成为以色列科技生态系统中最大的雇主——不是按员工数量计算,而是按经历过该部队并带着具体专业知识离开的人数计算。每年约一千人的"毕业生"创造了源源不断的专业人才流,他们获得了在企业界需要花费数千万美元才能积累的实战经验。风险投资人很快明白:拥有8200部队可验证履历的人——不仅仅是一份漂亮的简历,更是能够在压力下操作关键系统的能力证明。
与此同时,出现了"Rosh Gadol"(希伯来语意为"大脑袋")的概念——专注于那些富有主动性、能够快速掌握所需技能的人才。
这个道理很清楚——我会多次提到这一点,但军队人才不断"流失"到民用部门,这导致必须"流水线式"地寻找那些为国防工作时间有限的人员,而这个时间往往仅限于服役期。
当时8200部队出身者创办的"初创企业"主要是"蓝色"(军用)性质或面向军队的。例如,在Checkpoint之前6年,市场上就出现了Beni Levin创立的NICE Systems,但它面向军方,直到九十年代中期才转向民用市场。1999年出现了Nir Zuk(Checkpoint出身,后自立门户)创办的OneSecure,2002年被NetScreen——当时Check Point最大的竞争对手——以4500万美元收购。Comverse及其AudioDisk产品——同样来自以色列军队,最初也是军用产品。Imperva(以21亿美元出售给Thoma Bravo基金)做的是典型的"蓝色"产品。
但逐渐发现,真正的"力量"在于进攻性专业能力。
早期初创企业(2000年代)
与此同时,以色列和全球发生了三件非常重要的事件,直接影响了8200部队向最大人才摇篮的转型。
首先,以色列政府启动了Yozma计划。这是一个在当时标准下非常先进的风险投资基金政府支持计划:国家提供部分资金,基金自行筹集另一部分,政府承担风险但不要求利润。该计划的主要目标不是获取利润,而是在以色列建立完整的风险投资生态系统。这个计划成功了:政府向10家风险投资基金投入1亿美元,给予私人投资者以固定价格回购政府股份的期权,以色列风险投资市场在十年内从零增长到30亿美元。但这并非自然而然的成功:以色列既有强大的技术学派,又有美国IT市场作为最终"消费者",也就是说,该计划只是"填补"了生态系统中缺失的环节。如果没有美国市场,它几乎肯定无法取得如此成果。
总体而言,政府对风险投资基金的支持在世界许多国家都是常态。就拿美国来说,曾投资Apple的SBIC(虽然不完全是风投,但这是另一个话题了),Nokia获得过政府资金,英国有BBB等"母基金"。显然,中国和俄罗斯也都有政府基金——不过,俄罗斯风险投资公司(РВК)并未取得任何可比的成果,这受到国际资本撤离以及俄罗斯投资者权益保护薄弱的影响。
第二个 事件是美国互联网泡沫的破灭——由于对科技公司前景过度乐观的评估,导致其股价灾难性下跌。矛盾的是,2000-2001年的互联网泡沫破灭并没有摧毁以色列高科技产业,反而给了它巨大的推动力。在消费互联网项目上损失惨重的美国风投基金开始寻找更"务实"和易懂的解决方案。以色列网络安全看起来正是如此:问题明确、有真实的企业客户、产品效果可衡量。Sequoia、Greylock、Bessemer等风投"巨头"纷纷开设以色列办事处或聘请当地合伙人。
第三,与此同时,第二次巴勒斯坦大起义(2000-2005)创造了特殊需求:军队需要新工具来实时监控平民、处理大量截获信息、实现分析自动化。8200部队为此获得预算,并向年轻士兵提出在民用领域需要花费数千万美元开发的任务。正是8200部队成为以色列反恐斗争和在巴勒斯坦领土建立全面监控系统的"技术基础"。
不出所料,这些技术随着掌握它们的人员一起流入市场。正是巴勒斯坦大起义为"红色"项目奠定了基础。
总结一下:21世纪初,以色列形成了三个要素——资金、任务、人才和政府支持。缺少其中任何一个因素,成功的机会都会大大降低。与此同时,最初的公司都是"蓝色"的——来自8200部队和以色列军队技术部门的人员将他们认为已成型的产品带到市场,而这些产品也确实有市场空间。例如,Nir Zuk于2000年创立的OneSecure被认为是第一家以独立设备形式创建完整入侵防御系统(IPS)的公司。同年,CyberArk成立。其最初产品是特权账户管理(PAM)。创始人Mokadi从军事系统内部看到了这一点:正是特权账户的泄露让攻击者能够为所欲为。最终,CyberArk凭借其Digital Vault创造了一个全新品类——PAM——此前这个独立市场并不存在。2014年IPO,2026年被另一家来自8200部队的知名公司Palo Alto以250亿美元收购。
这时个人在历史中的作用就显现出来了。上述Check Point有三位联合创始人:来自8200部队的Gil Shwed和Shlomo Kramer,以及Marius Nacht。Kramer于2003年离开公司,成为以色列网络安全领域首批连续创业者之一。更重要的是,他成为所谓"Check Point黑帮"(类似著名的PayPal黑帮,成员包括Peter Thiel、Elon Musk、Reid Hoffman、Jeremy Stoppelman等)的第一人。Kramer成为联合创始人、投资人、导师,以及8200部队出身创业者网络架构中的关键节点。他是Check Point、Imperva和Cato Networks的联合创始人,Palo Alto Networks、Exabeam、Trusteer、WatchDox、LightCyber等数十家公司的投资人。他参与创建了Gili Raanan的Cyberstarts——首批以"8200部队及其圈子"为核心、不吸纳外部人员的基金之一。
我们继续往下看。2002年——Imperva(Kramer + Miki Boodaei,均出身8200部队):Web应用和数据库防护。随着技术的发展,Check Point保护的是网络边界——监控进出企业网络的流量。Imperva则提出了下一个问题:数据在内部会发生什么?当黑客已经渗透进来后,他能做什么?其Web应用防火墙(WAF)产品能够在应用层直接拦截SQL注入和XSS等攻击。这是一个全新的品类,某种意义上可以说是Imperva开创的。最终,该公司于2019年被Thoma Bravo以21亿美元收购。
公平地说,第一个WAF更准确应该是Perfecto Technologies的AppShield,而Ivan Ristić的ModSecurity比这家以色列公司早一年出现,所以严格来说以色列人并非该行业的先驱。顺便提一下,Boodaei(知名度略低于Kramer)后来成为Trusteer的联合创始人兼CEO——该公司于2013年被IBM以10亿美元收购。这纯粹是为了说明,这个圈子里的关系有多么盘根错节。
而到了2005年,在加州圣克拉拉,一颗名为Palo Alto Networks的新星冉冉升起。其创始人Nir Zuk出身8200部队,是Checkpoint最早的员工之一,也是经验丰富的病毒制造者。当时他34岁。公司从一开始就瞄准美国市场,甚至连名字都特意选择不让人立即联想到以色列。而他与前同事的关系颇为微妙:他为自己的车定制了一块车牌,上面写着CHKP KLR——"CheckPoint杀手"。他开着这辆车去见投资人和客户,这个带着讽刺意味的玩笑为他推销Palo Alto Networks增添了不少火药味。后来到了2013年,当Palo Alto的营收超过Check Point时,Zuk在特拉维夫阿亚隆高速公路旁——就在Check Point办公室附近——竖起了一块广告牌,上面写着"You have just passed Check Point"(双关语,Check Point也可译为检查站)。
2005年,在他的前雇主Juniper Networks无视他关于开发全新防火墙的想法后,他召集了25名(!)前同事组建团队。两年后PA-4000系列投产,成为全球首款下一代防火墙(NGFW)设备。2012年公司上市,现已成为市场领军企业之一。
2000年代中期出现了独立的终端安全(Endpoint security)品类。该领域立即涌现出一批来自以色列网络情报部门的创业公司:这显而易见,因为他们在服役期间就经常攻破这些终端设备!所有关于USB、钓鱼攻击、早期APT的故事——很大程度上都与以色列有关。
2006年出现了前面提到的Trusteer(Mikki Boodaei、Oren Israeli——均出身8200部队):实时防护浏览器免受病毒侵害。其诞生很大程度上是由Zeus和SpyEye木马催生的,这些木马会在受害者已经登录银行网站后,直接在浏览器中拦截交易。例如,Trusteer Rapport作为浏览器内的代理程序运行,监控注入攻击企图。
仅仅一年后,发生了一件当时秘而不宣、但后来公之于众并震惊全世界的事件。2007年,(据推测)由NSA、CIA和8200部队联合开发的计算机病毒Stuxnet被植入伊朗离心机。正是以色列人率先向世界证明,网络攻击的目标可以是物理摧毁目标,其效果可以媲美以色列空军——同年以色列空军摧毁了叙利亚代尔祖尔在建的核反应堆。
同样在2007年,iPhone问世了,随之而来的智能手机市场爆发带来了新挑战:企业数据现在存储在员工的个人设备上,而公司无法控制这些设备。BYOD(自带设备办公)成为新的头疼问题。2008年MobileSmith和一系列围绕移动设备管理(MDM)的初创公司应运而生:其中部分由8200部队毕业生创立。但更重要的是,8200部队在这一时期开始系统性地研究移动通信拦截——SS7漏洞、IMSI拦截、移动网络元数据分析。从事这些系统工作的人后来在两个方向上创立了公司:合法的移动安全(MDM、MAM)和进攻性移动情报。简单说,正是在那个时刻,8200部队开始大规模攻破目标的移动设备。
生态系统取代个人英雄(2010年代)
2010年6月,一位来自伊朗的客户找到了明斯克一家名为"VirusBlokAda"的小型私营公司。问题看起来很常见:尽管安装了杀毒软件,计算机仍会自动重启(循环重启)并运行缓慢。白俄罗斯人并非"随机"选择:他们技术过硬,拥有当地合作伙伴,而且能够与受制裁国家开展业务。团队负责人是经验丰富的白俄罗斯恶意代码专家谢尔盖·乌拉先(Sergey Ulasen)。
对于谢尔盖和他在明斯克的小团队来说,这一发现成为了转折点。他们很快意识到,眼前这个东西的复杂程度超越了他们此前见过的任何恶意程序。
"这就像看到外星技术。我们看着代码,明白背后是多年的开发和巨额预算。"
四个零日漏洞、两个真实证书、完全自主运行、反研究保护,但最令人震惊的是——它的目标。病毒在受感染的机器上搜索西门子(Siemens)的以下软件——PCS 7、WinCC、STEP7。一旦找到,就会接管控制权,检查连接了什么设备,如果判断出是离心机而非其他工厂的系统,就会改写控制器的部分代码,设置错误的旋转速度。很可能为了调试病毒,开发者获得了测试平台……或者真实的离心机。我们对此并不感到意外。详情请见 这里。
2010年6月17日,这家白俄罗斯小公司发现了Stuxnet——第一个现代网络武器的实例,即一种专门为对敌方造成最大破坏而设计的恶意程序。
全世界都意识到,一种能够实际摧毁工业设施的软件已经出现。这无疑颠覆了工业安全市场,也让以色列的进攻性安全专家在全球范围内炙手可热——各国政府、企业和私人投资者开始积极寻求获取这方面的专业知识。Stuxnet丑闻曝光后,8200部队开始成为全球知名品牌。顺便一提,8200部队的退役人员在工业安全领域也大放异彩:比如Claroty(2015年)、Dragos(美国公司,但有以色列顾问参与)、Indegy(2014年,后被Tenable收购)。
2011年,内塔尼亚胡政府 宣布制定国家网络安全战略。以色列正式将网络安全列为战略优先事项——与国防和能源并列。在总理办公室下设立了国家网络局(National Cyber Bureau,后改组为INCD——以色列国家网络安全总局)。
与此同时,政府决定在贝尔谢巴建立CyberSpark:这是一个技术集群,毗邻以色列国防军基地(8200部队及相关单位所在地)、本古里安大学,以及多家顶尖科技公司的研发中心。逻辑很简单:如果Dell、Lockheed Martin、IBM和Oracle在距离8200部队两公里处开设研发中心,该部队的优秀退役人员就能在不离开本国的情况下加入这些公司,积累经验后再创办自己的企业。
2012年,Gili Raanan(Checkpoint前员工)创立了Cyberstarts,这是一家专注于以色列网络安全早期阶段投资的风险投资基金。该基金围绕8200部队退役人员网络构建:Raanan能比其他人更早获得项目资源,因为创始人将他视为自己人而信任他。首批投资项目——Wiz、Axonius、Orca Security——为基金带来了远超市场平均水平的回报。就这样,"Checkpoint黑手党"的"第二梯队"诞生了——连续创业者和投资人。
2013年,Assaf Rappaport、Yami Luttwak、Roy Reznik(均来自8200部队)创立了Adallom,专注于SaaS应用安全防护。当时企业数据已迁移到云端,但缺乏工具来了解谁在访问这些数据以及如何使用。Adallom在一定程度上开创了CASB(云访问安全代理)这一品类。2015年被Microsoft以3.2亿美元收购,现在的Microsoft Defender for Cloud Apps就是其继承者。而且,同一团队五年后又创立了Wiz,成为与Google并购传闻的主角。
同年,Illusive Networks成立(创始人Ofer Israel来自8200部队)。这是一种欺骗技术(deception technology)——迷惑攻击者的技术,完全源自军事逻辑以及8200部队广泛使用的蜜罐和诱饵目标。任何触碰这些诱饵的人必然是攻击者,因为合法用户永远不应该看到它们。
2014年,Indegy成立(创始人Barak Perelman、Mille Gandelsman来自8200部队):专注于工业网络安全,是Stuxnet技术积累的直接继承者。该产品提供了OT网络(运营技术网络)的可视化能力——这些网络控制着工厂、电站、供水系统的物理流程。同年,CyberArk上市,向整个市场证明:一家以色列公司已从小众PAM技术供应商转变为美国市场的科技巨头。
从整体时间线来看,有一个规律很少被明确表述出来。每一代从8200部队走出的创业公司,都在防御和攻击当时被真实对手——也就是8200在另一侧战场上所面对的敌人——最积极利用的攻击面。
2000年代初期,主要问题是通过Web突破边界防护——于是出现了提供WAF的Imperva。2000年代中期,针对特权账户的定向攻击成为焦点——于是有了CyberArk。2007至2010年,浏览器中的银行木马泛滥——Trusteer应运而生。
2010年之后,工业系统成为目标——Indegy和Claroty相继成立。2013年之后,云应用成为新战场——Adallom和Wiz登场。
这绝非偶然。8200部队不仅仅培养技术专家——它培养的是真正了解攻击手法、拥有实战攻击经验的人才。在商业网络安全领域,这是最宝贵的知识。
不过,在8200部队毕业生的命运中扮演重要角色的人,并非都是职业黑客。其中一位——纳达夫·扎夫里尔——就不是计算机天才。他是外交官之子,青少年时期大部分时间随家人在拉丁美洲度过。1988年他应征入伍以色列国防军,当时对计算机兴趣不大,专长在另一个领域。他的军旅生涯始于伞兵旅,后来成功进入总参谋部特种侦察队(Sayeret Matkal)——这是一支享有盛誉、广为人知却高度机密的精锐部队(相当于我们的格鲁乌特种部队)。他服役的具体细节不为人知。以色列不太流行授勋——比如最高军事荣誉"英勇勋章"自1975年起就停止颁发,此前仅有40人获得,其中半数为追授。因此,扎夫里尔在九十年代中期获得的总参谋长个人嘉奖章,已经是相当高的荣誉了。
服役期间,扎夫里尔与前文提到的81部队有大量合作——这是一个比8200更小型的单位,专门从事硬件工作。据信在七十年代,Sayeret Matkal在众多阿拉伯通信线路上安装了窃听设备。总之,81部队就像是"詹姆斯·邦德的装备工坊"。
也是在那时,扎夫里尔结识了盖伊·塞拉——81部队指挥官、技术极客、企业家、投资人,以及以色列高科技界未来的标志性人物之一。顺便一提,塞拉是SolarEdge Technologies的创始人,该公司是美国可再生能源市场的领军企业之一。这次相识改变了扎夫里尔的人生——不久后,他出人意料地被任命为81部队副指挥官。
这里有个有趣的细节:他当时不仅没有技术教育背景,甚至连军官都不是!有个传说是这样的:在一次会议上,扎夫里尔被要求穿礼服出席,结果在场所有人都颇为惊讶地发现,从技术上讲,扎夫里尔仍然是士官。不过,时任Matkal指挥官布吉·阿亚隆当场就授予了他军官军衔——这个故事很好地诠释了以色列军队的行事风格。
在81部队工作五年后,扎夫里尔调任8200部队副指挥官,四年后(2009年)升任指挥官。2013年,扎夫里尔以准将军衔结束了长达25年的军旅生涯。但最精彩的部分才刚刚开始——现在你就会明白,为什么要讲这么长的铺垫了。
事实上,早在2014年,扎夫里尔就与两位战友共同创建了第一个专门面向8200部队退役人员的完整孵化器(当然也是风险投资基金)。他的合伙人包括伊斯拉埃尔·格林伯格(8200部队前首席技术官)、利兰·格林伯格(同样来自情报部门,负责市场营销),以及稍后加入的尤瓦尔·施内尔森(8200部队前研发主管)。关键在于——这不仅仅是一个风险投资基金,而是一个风险工作室。扎夫里尔团队帮助寻找客户、合适的人才、首席执行官,挖掘创意并为之组建团队。在最初十年里,该基金孵化并投资了四十多家公司,吸引了微软、思科、沃尔玛和淡马锡等投资者,管理资产总额达到12亿美元。
2015年,该基金创立了Claroty——一家工业和运营安全公司。2021年,该公司成为team8投资组合中的首个独角兽。另一个例子是Sygnia——team8向其投资430万美元,在启动不到一年后,就被新加坡国有控股公司淡马锡以2.5亿美元收购。该基金其他重要的退出案例包括:Talon和Dig Security被Palo Alto Networks合计以10亿美元收购,Curv被PayPal收购,以及Portshift被思科收购。然而,这还不是扎夫里尔职业生涯的终点。
2024年12月,扎夫里尔出任Check Point首席执行官——这家公司三十年前由同一部队的另一位退役人员创立。颇具讽刺意味的是,他在这个职位上的主要任务是……追赶Palo Alto Networks。
"新红色势力"(2010年代)
第一部分——那些走错路的人
巴勒斯坦大起义、反恐行动、对巴勒斯坦武装分子和活动人士设备的持续攻击,使得8200部队多年来在其业务中最不光彩的领域——大规模监控方面积累了大量专业能力。没错,Pegasus就是这样诞生的。更直白地说:它的出现是必然的。
2009年春,一位欧洲情报机构代表找到两位以色列企业家(沙勒夫·胡利奥和奥姆里·拉维——当然都来自8200部队)。当时,他们的初创公司CommuniTake正在开发一款远程技术支持工具:允许移动运营商连接到客户手机并排除故障。这些以色列人被问到一个改变网络安全世界的问题:能否在用户不知情的情况下做同样的事?于是在2010年,NSO Group诞生了——由尼夫·卡尔米、沙勒夫·胡利奥和奥姆里·拉维创立。公司名称是三位创始人名字首字母的缩写:Niv、Shalev、Omri。胡利奥和拉维是童年好友,被认为是8200部队的前成员;尼夫·卡尔米则来自摩萨德。
第一款产品甚至没有名字。这是一套漏洞利用工具包,能够完全控制目标的智能手机。从技术角度看,这是一个优雅的解决方案:利用浏览器、操作系统和系统进程中的漏洞,程序将自己安装到设备上,然后开始向操作员传输一切信息:短信、通话、即时通讯软件中的聊天记录、地理位置、文件。设备变成了一个监听装置,而其主人对此毫不知情。
其商业模式与普通网络安全公司截然不同。NSO不出售软件许可证,而是出售"情报平台"——一个包括漏洞利用工具、基础设施、管理操作系统、操作员培训和技术支持的整体方案。客户只能是国家。为特定客户安装系统的单次"部署"价格高达数百万美元。
该公司2013年的年收入约为4000万美元,到2015年增长至1.5亿美元。当时以色列人还没有开发出0-click攻击,主要使用1-click方式。2016年8月10日,来自阿联酋的人权活动家艾哈迈德·曼苏尔在iPhone上收到两条短信,承诺提供"阿联酋监狱酷刑的新秘密"。曼苏尔经验丰富,没有点击链接。相反,他将这些消息转发给了Citizen Lab——多伦多大学的加拿大研究机构。
研究人员识别出了这些链接:域名属于他们已经与NSO Group关联的基础设施。他们用测试iPhone点击了链接——并实时记录了攻击过程。
他们的发现成为Pegasus存在的首个公开实证。这个被命名为Trident的漏洞利用链包含三个iOS零日漏洞,可以远程对iPhone进行完全越狱。这是曼苏尔第三次成为商业间谍软件的目标:2011年针对他使用了FinFisher,2012年使用了Hacking Team的产品。但魔鬼已经从瓶子里放出来了。Citizen Lab发布了详细的技术报告,Washington Post、Guardian和数十家媒体转载了其内容。世界得知:存在一家商业公司,向各国政府出售iPhone破解工具,其能力不亚于美国国家安全局。
但最引起轰动的是另一件事。
2018年秋,沙特记者贾迈勒·卡舒吉在沙特阿拉伯驻伊斯坦布尔领事馆被杀害并肢解。调查显示,在谋杀前的几个月里,Pegasus被用于监控这位记者的亲密圈子。国际特赦组织确认,卡舒吉未婚妻哈蒂杰·詹吉兹的手机在他被杀后的几天内成功被感染。首席执行官胡利奥声称公司与这起"可怕的谋杀"无关,但拒绝就他本人飞往利雅得签署5500万美元合同的报道发表评论。
2021年,最大的神话被打破——关于"外科手术般的精准"和纯粹反恐用途的说法不攻自破。在已识别的潜在目标中,有189名记者、600多名政治家和政府官员、至少65名高管、85名人权活动家以及几位在任国家元首。2021年11月,拜登政府将NSO Group列入贸易制裁名单,认定其行为"违背美国外交政策和国家安全利益"。
第二部分 ——那些承诺要"正确行事"的人
到2018年,NSO集团已成为一个有毒品牌。Pegasus在墨西哥被用于监控记者,在阿联酋被用于监控人权活动人士,国际特赦组织和公民实验室开始围绕这家公司展开调查。西方政府——潜在买家——面临着尴尬的选择:技术是需要的,但公开与NSO产生关联却是不可能的。
以色列情报界对这个问题的看法则不同。围绕NSO的丑闻威胁的不仅是一家公司的声誉——而是整个行业。
如果以色列作为情报技术供应商失去信任,将打击该国二十年来精心构建的战略影响力工具。
以色列人做了什么?没错,成立一家新公司!
Paragon Solutions于2019年由8200部队前指挥官埃胡德·施内奥尔松,以及伊丹·努里克、伊戈尔·博古德洛夫、利亚德·阿夫拉姆和以色列前总统埃胡德·巴拉克共同创立——显然最后一位负责政府关系。施内奥尔松是扎弗里尔的继任指挥官。当时就爆发了第一桩丑闻:许多人认为他只是从8200部队挖走了一批经验丰富的团队成员(不是义务兵,而是合同制人员),向他们提供军队根本无法承受的商业薪酬。努里克担任首席执行官,博古德洛夫担任技术总监,阿夫拉姆担任研究总监,构成了运营骨干。三人都来自以色列军事情报界,从任何以色列机构"挖走"所需人才对他们来说都不是什么难事。毕竟,这家公司是由前总统创立的!
讽刺的是,Paragon的定位是"民主国家的NSO"——其产品精准如外科手术,不允许滥用,仅用于打击"坏人",不再监控记者、前妻和卡舒吉……呵呵,信你才怪!
据公民实验室(Citizen Lab)的描述,Graphite提供的是"对设备上即时通讯应用的访问权限,而非对整部手机的完全控制"。实际操作中,这意味着:拦截WhatsApp、Telegram和Signal的通讯内容,提取这些应用关联的文件,访问云端备份。这种区别是真实存在的,但并非本质性的。对于大多数目的而言,即时通讯软件中的对话就是情报机构感兴趣的全部私人生活。能够访问Signal,就等于能够访问现存最加密的通讯渠道。声称Graphite"侵入性低于"Pegasus,大致相当于声称阅读他人邮件比在公寓里安装一台硕大的摄像头问题更小。
从技术角度看,Graphite使用的是零点击漏洞利用——无需受害者进行任何操作即可完成感染。2025年记录在案的攻击中使用的CVE-2025-43200漏洞,是iOS处理媒体文件时的一个逻辑错误,在CVSS评分体系中获得9.8的严重等级,可通过iCloud链接传输的恶意照片或视频激活。
讽刺的是,拜登政府一边将NSO GROUP列入黑名单,一边又与Paragon签订合同——这种定位策略奏效了。除了美国人,还有其他美国北约盟友客户。其中之一是意大利,该国情报部门采购这款软件,当然是为了国家重要目的。呵呵,信你才怪……
2025年1月18日,WhatsApp公布了一份包含90名记者的名单,他们遭到Paragon公司Graphite间谍软件的攻击。2025年3月19日,公民实验室发布了第183号报告——首份关于Graphite基础设施和操作的完整技术调查。
Paragon以滥用为由终止了与意大利的合同。而到了2026年2月11日,Paragon首席法律顾问罗伊特·亚门(Reut Yamen)在LinkedIn上发布了一张照片。照片中可以看到她显示器屏幕上打开的Graphite控制面板。
界面中包含:一个捷克电话号码,姓名为"Valentina",拦截状态显示为2026年2月10日"已完成",收集数据的类别——"应用程序"、"账户"、"媒体",以及来自加密应用的数据。
安全研究员尤雷·范贝亨(Jurre van Bergen)以@DrWhax的网名注意到这张照片并进行了传播。当亚门删除帖子时,截图已经在所有相关渠道传开。公民实验室将此事件称为"史诗级的行动安全失败"。
不过,Paragon历史上最大的丑闻发生得稍早一些。
2024年12月,Paragon被出售给美国私募投资公司AE Industrial Partners,并与弗吉尼亚州的REDLattice合并。交易金额为9亿美元。巴拉克在第一阶段获得了约2000万美元。促成这笔交易的关键原因是在美国的销售问题——美国人愿意从美国公司采购此类服务,但不愿从以色列公司采购。
问题的解决方式相当简单。
8200部队的一名高级军官向以色列媒体透露:"当我们意识到Meta披露了Paragon用于入侵手机的漏洞时,立即引发了恐慌。我们召开了会议,决定必须关闭针对我们目标的相关功能。在我们这个领域,这意味着失去关键情报信息——而这一切都发生在战时。"
什涅奥尔松和巴拉克被指控在战争期间出售国家战略资产。"这些强大的工具一旦脱离以色列的控制,可能会被用来对付我们,"当时有人这样写道。而在Meta披露了部分使用的漏洞后,8200部队的现役人员开始恐慌,消息随即泄露给媒体。这首次证实了Paragon和以色列情报机构使用的基本上是同一套漏洞利用工具。
当下时代(2010年代末至今)
- 最大的灾难
到2010年代末,8200部队达到了以色列军事界所称的"完全信息优势"状态。针对伊朗的行动持续多年且有条不紊:2020年对沙希德·拉贾伊港口基础设施的攻击、对核计划设施的纵火和爆炸、对科学家的物理清除。2020年,8200部队成员因对伊朗港口的网络攻击获得勋章——这是对德黑兰试图攻击以色列水处理站的报复性打击。
与此同时,该部队正在经历一场内部转型,其重要性要到10月7日之后才会显现。2019年,准将约西·萨里埃尔成为8200部队指挥官——他是一位技术官僚,坚信机器学习和大数据。在他的领导下,该部队开始系统性地从作为分析学科的情报工作转向作为工程任务的情报工作。以色列认为:未来属于大数据的快速分析。他们的判断是对的……但只对了一部分。以色列打造了一支"小型技术化军队",用监控系统、传感器、围墙和炮塔将加沙包围起来。
监控专家……被调往其他任务。
事实上,除了"黑客"和安全专家,8200部队一直配有阿拉伯语专家团队:他们协助攻击设备,参与情报行动,并能更好地理解语境——比如,更准确地理解加沙居民的讲话,因为他们的语言中充斥着大量当地隐喻、委婉语等表达方式。仅用"标准阿拉伯语"训练的程序无法足够准确地翻译这些内容。而人类可以做到。
504部队(人工情报)将重点转向黎巴嫩,辛贝特和军队关闭了阿拉伯语部门,而"智能"机器却无法理解哈马斯特工使用"西瓜"一词作为炸弹的暗语。2022年,8200部队停止监听哈马斯的无线电通讯,认为这是浪费时间。
2023年10月7日凌晨(哈马斯袭击),8200部队没有在加沙边境开展情报工作。这个配备最先进设备的全球最大信号情报部队,在以色列历史上最严重恐怖袭击发生的那个早晨根本没有工作——他们正在休法定假日。
- 资金、云计算与人工智能
到2017年,以色列网络安全领域形成了一个全球独一无二的投资生态系统。四家基金——Team8、Cyberstarts、Glilot Capital和YL Ventures——占据了世界其他地方不存在的利基市场:早期阶段、专注网络安全、专投情报部队退役人员。
Cyberstarts创始人兼红杉资本合伙人吉利·拉南表示,即使他有意不专门寻找具有军事背景的创始人,他接触的团队中仍有90%到95%由8200部队退伍军人组成。
这是一个自我强化的循环,外部很难打破。8200部队最优秀的退役人员会去Cyberstarts或YL Ventures,因为这些机构能更快给钱且不问太多问题。Cyberstarts和YL投资他们,是因为在共同服役期间就已相识。投资组合公司招聘8200部队的新退役人员,因为信任他们。而这些人后来创办初创企业时——又会找同样的基金。
数据证实了这一闭环系统的有效性:四家以色列一线风投机构投资了所有退出金额超过1亿美元公司中的25%;在所有超过1亿美元的退出案例中,它们参与融资的占比达到41%。Cyberstarts拥有最多退出金额超过1亿美元的案例,在以色列网络安全领域的退出总数上也处于领先地位。
2017年,Axonius诞生了(创始人Dean Sysman、Ofri Shur、Avidor Bartov——均出身8200部队):这家公司解决了一个CISO们多年来心知肚明、却从未将其明确定义为产品品类的问题。到2017年,任何大型企业都已部署了数十种工具来管理设备、身份、云资源和终端代理。但却没有一个统一的真相来源:无法回答"究竟有哪些设备连接到我们的网络,上面安装了什么"这个简单问题。这家初创公司正是要解决这一痛点。
不到五年时间,公司估值达到26亿美元,年度经常性收入(ARR)突破1亿美元。到2024年,Axonius已服务于超过70个美国联邦机构,包括五角大楼和国土安全部。2024年12月,国防部选择Axonius来升级其持续风险监控系统(CMRS)——这是一个在国防部所有网络范围内追踪网络风险的系统。
新冠疫情对以色列云安全行业的推动作用,就如同10月7日事件对情报失误认知的冲击——迫使所有人立即行动。2020年初短短几周内,全球企业将数十万员工转为远程办公。原本存储在办公网络安全边界内的数据,突然分散到家用电脑、云应用和Zoom会议中。全球CISO们同时意识到,他们根本不清楚数据究竟在哪里,谁有权访问这些数据。
2020年1月,四位8200部队校友——Assaf Rappaport、Ami Luttwak、Roy Reznik和Yinon Costica(我们前文已提到过他们)——在特拉维夫创立了一家公司。四人此前曾有过合作:2012年他们创立了Adallom(CASB),2015年以3.2亿美元卖给微软。出售后,Rappaport担任微软以色列研发中心总经理。2020年1月,他离开了这个职位。
新公司取名为Wiz。
产品概念简单但执行复杂:Wiz通过API连接到云环境——AWS、Azure、Google Cloud——无需安装任何代理即可扫描漏洞。CISO获得一个仪表板,呈现云安全的完整画面:所有攻击面按风险优先级排列。这一技术理念源自8200部队。Rappaport及其团队在军事情报部门处理的任务,成为企业需求的镜像:如何在没有内部访问权限的情况下,全面了解他人的基础设施。
无代理方法——通过公共API读取云配置,而非在每台机器上安装代理——是将情报思维移植到企业网络安全的体现。
这家初创公司成为全球现象级企业,创下惊人增长纪录:仅用18个月就从100万美元营收飙升至1亿美元。几年后,Wiz将成为以色列有史以来最成功的网络安全初创公司。
2021年,以色列网络安全公司在超过100笔交易中募集了创纪录的88亿美元。这一数字几乎是2020年的三倍,占全球网络安全风险投资总额的40%。当年有11家新公司达到"独角兽"地位——彼时全球每三家网络安全独角兽中就有一家来自以色列。
其中大多数公司由8200部队的毕业生创立。
以色列网络安全初创公司如雨后春笋般涌现,数量众多。其中包括Orca Security(由Check Point资深人士Avi Shua和Gil Geron创立)、Cyera(由Yotam Segev和Tamar Bar-Ilan创立)等诸多企业。不过,最令人惊叹的公司还要稍晚一些才出现。
- AI智能体与我们的时代
这个故事中出现了许多不寻常的人物,他们都是男性。然而,这个故事中最令人惊叹的主角却是一位女性。
Sanaz Yashar于八十年代初出生在德黑兰。这个女孩聪慧过人,才华横溢,学习成绩优异。九十年代中期,她跳级两年,成为唯一参加市级化学竞赛的女生。巧合的是,她赢得了比赛。
头奖是参观一座真正的核反应堆——而以色列将为摧毁这一设施耗资数十亿美元。对孩子们来说,这个暗示再明显不过:你们是国家的未来,这里就是你们的归属。
雅沙尔面临着两个问题。首先,和许多伊朗青少年一样,她非常厌恶伊朗当局。其次,雅沙尔是犹太人——这一点她并不隐瞒。17岁时,在遭受多次威胁后,她的家人逃往了以色列。
大约21岁时,在特拉维夫大学获得学士学位后,她进入了8200部队。萨纳兹在军队"待"了很长时间——她以少校军衔服役15年后才退役。她的"专长"是针对伊朗的网络行动。
之后她加入了Cybereason,在FireEye/Mandiant领导网络威胁分析团队,包括调查针对多家以色列医院的网络攻击——在此期间她结识了本·塞里和斯尼尔·哈夫达拉。需要了解的是,哈夫达拉是8200部队的老兵,服役十年,曾获以色列国防奖和总参谋长技术奖。塞里毕业于专门从事硬件开发的81部队,同样是国防奖获得者。
也就是说,即使以8200部队的标准来看,这些都是非常重量级的人物。当时他们发现了一个问题:现有的信息安全系统都在各自的"领域"内运作,彼此之间缺乏互动,尤其是涉及不同供应商的软件时。它们不交换信息,反而相互干扰。
2022年,Google以54亿美元收购了Mandiant。离开一家刚被Google以数十亿美元估值收购的公司,意味着在大多数员工都在等待股权兑现的时刻选择离开。显然,雅沙尔有着不同的价值坐标。
Zafran公司成立于2022年——这不是又一个安全工具,而是一个整合所有现有工具(EDR、防火墙、云系统、漏洞扫描器)数据的平台,并提出了一个以前没有人系统性提出的问题:在你拥有的成千上万个漏洞中,哪些是当前真正可被利用的——它们是否已经被现有的防护手段所覆盖?
这听起来像是技术细节,实际上却是范式转变。传统的漏洞管理说:这是需要修复的所有问题清单。Zafran则说:从这个清单中,这些是在你当前配置下此刻真正危险的——而这些是AI代理在你阅读报告时已经自主修复的。AI在这里执行两个功能。第一是优先级排序:模型分析来自不同工具的数据与攻击场景之间的关联,这在合理时间内无法手动完成。第二是自主修复:代理不仅指出问题,还自动应用缓解措施——修改防火墙配置、更新EDR规则——无需等待人工干预。
在AI热潮的顶峰,公司获得了大量资金。2024年——两轮融资共计7000万美元:Sequoia Capital、Cyberstarts,以及对于网络安全融资来说并不常见的NBA球星斯蒂芬·库里的Penny Jar Capital。
2025年12月——再获6000万美元融资,由Menlo Ventures领投,Sequoia和Cyberstarts参投。至2026年初,累计融资1.3亿美元,年度ARR增长两倍,公司估值达数亿美元。
它远非唯一:2023年出现了Prompt Security(创始人Itamar Golan和Lior Drihem——均出身8200部队)。该产品扫描企业环境与AI工具的所有接触点:浏览器扩展、编程助手、内部应用、API集成。它检测提示词中的数据泄露、提示词注入攻击企图以及使用政策违规。到2024年,Prompt Security成为并购热潮的焦点。此外还有Web3平台Blockaid(创始人Ido Ben-Natan和Raz Niv——均出身8200部队)等众多公司。
到2023年,以色列网络安全生态系统面临新的动态变化。市场开始整合。Palo Alto Networks、CrowdStrike、Microsoft不断扩充自身平台,收购专业化厂商。以色列初创公司面临抉择:IPO上市(与平台公开竞争)、出售给战略买家,或自身转型为平台。
数据显示:过去十年中,公司被以超过1亿美元收购的以色列创始人中,近50%曾在8200部队服役。8200部队校友创立公司的平均收购价超过3.17亿美元。
Wiz选择了第三条路——通过激进并购自主成为平台。2024年,公司以约3.5亿美元收购Gem Security,以约4.5亿美元收购Dazz。与此同时,Google开出230亿美元报价——Rappaport拒绝,决定走IPO路线。2025年3月,Google以320亿美元再次出价。这次Wiz同意了。
这是网络安全史上最大的交易,也是Google史上最大的收购案。这家2020年1月成立的公司,五年内达到320亿美元估值。四位创始人均为8200部队老兵。
总结
据2023-2024年估算,8200部队校友创立了超过1000家初创公司——仅限网络安全领域。若算上消费科技、电信及其他行业,公司总数远超这一数字。至少有五家8200部队校友创立的公司在美国交易所上市,总市值约1600亿美元——这还不包括已被行业巨头收购的公司。
2024年,以色列网络安全公司通过75笔交易融资38亿美元,占该国科技融资总额的36%,而网络安全公司仅占以色列科技企业总数的7%。
2021年,以色列网络安全技术出口额达110亿美元,约占全球市场的10%。
2024年,以色列网络安全领域的私募融资规模较2023年几乎翻了一番,相当于美国网络安全风险投资市场总规模的40%。
- 8200部队早已从军事单位演变为类似大学的存在。
过去十年间,斯坦福大学校友创办的公司共获得1660亿美元风险投资。哈佛大学为1735亿美元。MIT为459亿美元。8200部队约为440亿美元。在大学中,斯坦福培养的独角兽创始人数量最多:285名校友创办了207家估值超过10亿美元的公司。
再看背景数据。斯坦福大学每年培养约1.7万名学生,包括本科生、硕士生和博士生。8200部队每年约有1250人退役。
如果粗略比较人均产出:截至2026年,8200部队退役人员创办的公司总估值超过2000亿美元(仅计算上述统计范围,不包括Check Point和Palo Alto),与斯坦福大学处于同一量级,而"毕业生"人数仅为后者的十三分之一。
换句话说,平均每位8200部队退役人员创造的市场价值,约为斯坦福校友的10至15倍。而斯坦福已运营九十年,8200部队作为创业孵化器的历史仅约二十年。
- 选拔与编制方法
首先需要谈谈以色列军队的编制体系,8200部队正是这一体系的"血肉组成部分"。
以色列国防军的基础是义务兵役制,服役期满后转入预备役。这被称为"miluim",预备役军人则称为"miluimnik"。与大多数其他国家不同,以色列的"预备役"并非流于形式——预备役军人在固定编制单位(预备役旅、营等)服役,定期以建制单位形式参加预备役集训和演习,必要时也像现役部队(义务兵)一样参加实战。与以色列体系最接近的是瑞士的兵役制度。
以色列军队整体上有一些对我们而言不太典型且难以理解的特点:
- 没有高等军事教育 (除了面向将军级别的国家安全学院)。无论是军官还是复杂技术岗位人员(包括飞行员)都只接受"培训课程"。步兵军官培训约9个月,只学必需内容,其任务纯粹实用——作战。飞行员培训3年(不包括学术学位)。而普通士兵的培训时间大致相同——8-9个月。
- 军队主体是预备役人员即使在技术专业岗位(如航空机械师)中,大多数也是预备役人员。甚至70%的飞行员都是预备役,他们每周飞行1-2次,其余时间从事民间职业。军队有一种职位持续轮换的文化,从排长到海军司令都是如此(这被称为"kadenция"任期制)。退役人员与军队保持着持续联系。
- 军队决定社会关系网络在以色列,大多数人都要服兵役,而军队往往决定了应征者的"人脉网络"。例如,在空军飞行部队或海军担任军官是非常有声望的,在8200部队服役同样如此。
8200部队与全球其他类似单位的根本区别在于,该部队超过一半的成员是义务兵。
也就是说,这些人是高中毕业后入伍的(少数情况下是完成大学第一阶段学业后),他们几乎肯定会在服役期满后离开。
8200部队不寻找现成的专业人才,而是寻找学习潜力最大的人——并在他们还是青少年时就投入国家资源进行培养。
由此产生了一个反直觉的原则:在选拔过程中,先前的技术知识是次要的。例如,Magshimim项目(培养有天赋的青少年学习编程和信息安全)录取约30%的申请者——通过测试和面试评估他们的决心、敬业精神和社交能力,而不是之前的计算机经验。也就是说,现有技能是次要的,学习速度才是关键。该项目由国防部和私人基金会Rashi Foundation共同管理——通常约三分之一的毕业生会进入8200部队和其他技术部门。
最早识别潜在应征者的是Gvalim项目,招收4-6年级左右的学生。这是一种针对有天赋青少年的"标记"——在那里学习机器人技术、逻辑和编程基础。
9-12年级是军队"选拔"的关键时期。这里有其他项目——Magshimim/Mamriot、Gvalim(面向极端正统派犹太人)、Nahshon(面向边远地区学校)、Maantech(面向阿拉伯人)。这些项目首先是为了"在边远地区发现人才"——从相对富裕的特拉维夫等地区几乎不可能报名参加,那里的问题通过私人课程和"精英"学校解决。
重要的是,现役和退役军人都深度融入了这些项目,尤其是在贝尔谢巴这样的地方——8200部队的基地就设在那里,这座城市本身还享有"网络安全之都"的地位,附近有本-古里安大学和高科技园区。需要再次强调的是,测试的关键不在于找到"最优秀的专业人才",而在于找到学习速度最快的人。这种做法有明显的优势,也有明显的劣势。
在16岁左右,最优秀的候选人(或Magshimim/Mamriот项目的毕业生,他们的个人档案中会自动标注)会收到参加扩展测试的邀请——涵盖数学、编程、密码学和心理评估。与此同时还有网络防御学员联赛(CTF),但这更多属于入伍前的准备。总体而言,在以色列为入伍做准备是相当普遍的现象。
另一个值得关注的是Atuda项目,这本质上是一个获取学位的"延期服役"计划。该项目在技术领域很受欢迎,通常与工程或计算机科学学位相关。许多知名成功企业的创始人都参加过Atuda项目(当然也有很多人没有参加)。
内部主要培养方向:
- Gama(进攻方向) ——这是主要培养方向,大多数新兵都会经历这个项目。包括红队行动、社会工程学、设备隐蔽渗透等内容。这就是民间所说的进攻性安全(offensive security)。
- Erez/Erezim ——数据科学方向。新兵可以通过军队资助在两年内获得双学位(数学和计算机科学)。要求:具备卓越的数学能力。这实际上是在服役期间同步进行大学学习。
- Havatzalot ——分析情报培训项目。该项目为8200部队、9900部队及其他情报单位培养情报分析人员。学员毕业后将获得中尉军衔。这里服役的往往是精通所需语言(阿拉伯语、波斯语)的人才。
- Talpiot ——在技术上独立于8200部队的项目,但与其联系紧密。本质上是军事训练与学术学位的结合,是高科技中的高科技。
退役并不意味着与这个体系断绝联系。
8200部队校友会汇聚了全球约14,000名成员,并推出了EISP(初创企业加速器)和Impact(社会技术)等项目。这些项目已支持超过300家公司,其中半数以上仍在持续运营。实际上,庞大的预备役人员群体形成了强大的社会网络,使得寻找合适人选成为可能。
这是军事与民用部门之间罕见的反馈机制,在其他任何国家都不存在。
这种模式在俄罗斯有多大的复制可能性?
简短的答案是:不可能。
详细的答案则更为复杂。俄罗斯已经拥有相当强大的数学教育体系、奥林匹克竞赛系统,以及对中小学生技术技能(包括网络安全)的培训。俄罗斯不缺乏适合此类部队的人才储备——我们有发现天才儿童的机制,启动类似Magshimim的项目并不困难,CTF社区也已经存在。问题出现在学生年满18岁的那一刻。
俄罗斯事实上并不存在强制兵役制度。在以色列,尽管大量应征者也会逃避服役,但军队对社会的影响要深刻得多。在俄罗斯,义务兵役与合同兵役相互隔离,义务兵通常不参加实战(这与以色列不同,在以色列他们构成战备部队的主力)。同样,义务兵役对那些找不到正当理由逃避的人来说只是"必须完成的任务",而学位则是完全合法的免服兵役理由。
最关键、最根本且无法解决的问题在于,以色列的体系会有意识地放人离开。这个系统之所以有效,是因为退役人员进入民用市场并创办公司。新兵从入伍那一刻起就知道这一点。这使得服役变得有吸引力: 你不仅仅是在履行义务,你还在为未来的职业生涯积累启动资本。。
在俄罗斯的背景下,这一体系将面临明显的矛盾——那些可能在军队中获得网络安全实际能力的人,面对的不是进入风险投资市场的"出口",而是保密协议、出境限制,以及将所获技能变现的极其模糊的前景。
以色列体系之所以有效,是因为国家有意识地放人离开——并通过税收、出口和地缘政治影响力间接从他们的成功中获益。这需要一种制度性信念,即资本和技术向民用部门的"流失"是好事而非威胁。这在哲学上与联邦安全局或格鲁乌将其前雇员首先视为控制对象的逻辑格格不入。而且往往他们的技术能力还达不到"商业"部门同行的水平——根本就没有什么可流失的。
或许最有前景的类似模式是企业培训项目——私营和国有企业试图打造一条从中学生到信息安全专家的培养路径。但即便如此,仍有许多东西在流失——人们直接进入企业环境,跳过了以色列所谓的"军队"这一环节。
8200部队并非偶然的异常现象。这是一个在特定条件下培育出来的系统:一个面临生存威胁的小国、每年通过义务兵役制输送大量年轻人才、拥有风险投资支持的开放民用市场、保护知识产权的法律体系,以及——最重要的——三十年持之以恒的积累。
我们无法复制这样的模式。我们需要走出自己的路。