最后已知估值 01
$1.7B [CV004] 尽调报告
Dragos, Inc.
私营公司尽调报告(May 2026)
Dragos 是定义 OT 网络安全品类的平台,威胁情报护城河有说服力;但财务不透明、2023 年裁员后的轨迹不确定,当前投资被卡住。若确认 ARR >$70M 且估值 <$2B,可继续跟踪未来切入机会。
封面要素
累计融资 02
$335M+ [CV004] OT 市场规模(2025) 03
$23.5B [CV001] OT 市场规模(2030) 04
$50.3B @ 16.5% CAGR [CV001] 跟踪的威胁组织 05
21+ named OT threat groups [CV002] Neighborhood Keeper 06
84+ utilities 70% of US electric customers [CV003] 财务不透明 07
4.5+ years no ARR/burn disclosed since Oct 2021 [CV007] 2023 裁员 08
~9–11% of global workforce [CV005] 公司概况
Dragos 是全球最突出的专用 OT/ICS 网络安全平台,2016 年由 Robert M. Lee(前 NSA / 美国空军) 创办。平台把资产发现、威胁检测、漏洞管理和工业威胁情报合在一起,保护关键基础设施。Dragos 在 Oct 2021 获得由 Koch Disruptive Technologies 和 BlackRock 领投的 $200M Series D 融资,估值 $1.7B。Gartner 将其评为 2025-2026 CPS Protection Platforms Magic Quadrant Leader。Neighborhood Keeper 信息共享网络已部署到 84+ 家公用事业公司,覆盖 70% 的美国电力用户。
- 成立时间
- 2016-01-01
- 创始人
- Robert M. Lee
- 创立地点
- Hanover, MD
- 总部
- Hanover, MD
- 产品
- Dragos Platform 3.0(Sept 2025):资产可视性、网络监控、威胁检测、漏洞管理(Insights Hub AI 优先级排序)、STS-50 传感器、Active Collection 模式。Dragos WorldView Threat Intelligence:21+ 个具名 OT 专属威胁组织。专业服务:事件响应、OT Watch 威胁狩猎、评估。Neighborhood Keeper:面向公用事业公司的匿名信息共享网络。OT-CERT:免费 CVE 协调和公开公告,注册成员 2,400+。
- 客户
- 电力公用事业、油气、制造、水务 / 污水处理、化工、制药和关键基础设施运营方。主要买家是大型企业和工业资产所有者中的 CISO、运营副总裁、OT 安全总监。
- 商业模式
- 企业 SaaS,收入来自年度 / 多年期平台订阅 + 威胁情报订阅 + 专业服务(事件响应、评估、培训)。 没有 SMB / 免费增值层级。靠平台采用、情报增购和服务绑定,先落地再扩张。
- 阶段
- Private (Series D)
- 融资情况
- Series A-D 累计融资 $335M+;最近一轮为 $200M,估值 $1.7B(Oct 2021)。公司未披露 IPO 时间表。 June 2023 裁员(约 9–11% 员工)发生在融资尝试失败后,说明公司在控成本,也可能意味着增长放缓。
执行摘要
主要优势
- 专为 OT 打造的平台,拥有最深的 ICS 威胁情报(已命名 21+ 个威胁组织,而竞争对手模型偏 IT)
- 2025-2026 年 Gartner CPS Protection Platforms Magic Quadrant 领导者——品类获得验证,也增强企业买家的信任
- Neighborhood Keeper 形成网络效应:84+ 家公用事业客户覆盖约 70% 美国电网,社区护城河可防守,也降低 CAC
- 高后果市场有顺风:NERC CIP 罚款最高 $1M/天,CISA Volt Typhoon 通报、TSA Pipeline Directives 都在把 OT 安全预算变成刚性支出
- 顶级投资方组合(Koch、BlackRock、Emerson、HPE、Rockwell)和战略合作伙伴(Microsoft、NERC E-ISAC、ONG-ISAC)验证了企业级定位
主要风险
- 财务不透明:自 2021 年 10 月以来(4.5+ 年)未披露收入、ARR 或烧钱速度;2023 年 6 月裁员(约 9–11% 员工)可能说明增长放缓或公司在保现金
- 估值标记过旧:2021 年 10 月 $1.7B 的估值早于 2022-2024 年私募市场调整;2026 年真实标记可能显著低于 $1.7B
- Microsoft 借 Defender for IoT 免费层扩张 OT,压缩入门级 TAM,也迫使 Dragos 仅靠情报深度证明溢价合理
- 竞争对手融资充足:Claroty 已融资 $635M+,Nozomi Networks 获溢价收购,Armis 估值 $4.3B——资本更厚的对手可在研发和销售上砸过 Dragos
- CEO 关键人风险:Robert M. Lee 兼具创始人、愿景提出者和运营者角色;品牌、投资人关系和思想领导力高度绑定一人,且未披露接班计划
未决问题
- 当前 ARR、收入增速、毛利率、烧钱速度、现金跑道——任何投资决策前都需要完整财务披露
- 客户数、logo 流失、净美元留存、平均合同额——没有财务材料,单位经济模型完全未知
- 产品路线图和研发预算分配——相较 Claroty 和 Nozomi 的 AI/ML 竞争追平程度仍不清楚
- 董事会构成和股权结构表——清算优先权、降轮保护、创始人 / 员工持股比例均未披露
- 下一轮融资时间、目标募资规模和资金用途——公司是在寻找增长资本,还是过桥到盈利,仍不清楚
目录
01公司概况
1.1 公司身份与市场定位
Dragos, Inc. 是一家私营网络安全公司,总部位于 Hanover, Maryland(Washington, DC 区域)。 公司的使命很聚焦:守住日常社会依赖的工业基础设施,防止攻击者扰乱文明运行。Dragos 由一批长期在政府和军方网络行动一线工作的从业者于 2016 年创办,已经做成运营技术(OT)和工业控制系统(ICS)网络安全领域最被认可的专用平台。Dragos Platform 为工业组织提供资产可视性、OT 网络监控、漏洞管理、威胁检测和事件响应能力;这些能力由 Dragos Intelligence Fabric 驱动,把十多年 OT 专属威胁情报直接嵌入软件。Dragos 的客户覆盖全球电力公用事业、油气、制造、水务、交通、采矿、制药、食品饮料和政府部门。March 2026,Gartner 连续第二年将 Dragos 评为 2026 Magic Quadrant for CPS Protection Platforms 的 Leader,并认可其执行能力和愿景完整性。Dragos 还在 Frost & Sullivan 的 FrostRadar: OT Cybersecurity Solutions, 2025 中拿到 #1 Innovation 排名,并连续第五年进入 Deloitte Technology Fast 500。Dragos 所处的 OT 安全市场规模大且增长快:MarketsandMarkets 预计全球 OT 安全市场将从 2025 年的 $23.5 billion 扩大到 2030 年的 $50.3 billion,复合年增长率 16.5%。主要竞争者包括 Claroty——其重点是工业、医疗和商业环境中的网络物理系统——以及 Nozomi Networks,后者强调以 AI 驱动的威胁检测来覆盖 OT 和 IoT 安全。Dragos 的差异化来自 OT 威胁情报深度、从业者基因,以及威胁组织研究的广度;截至 2026 OT/ICS Cybersecurity Year in Review,公司在全球跟踪 26 个具名 OT 威胁组织。[CO001, CO002, CO003, CO004, CO016, CO017]
| 指标 | 数值 | 日期 | 置信度 | 缺口 / 注意事项 |
|---|---|---|---|---|
| 成立时间 | 2016 | 2016 | 高 | 无;多方来源确认 |
| 总部 | Hanover, MD(Washington, DC 地区) | 2026-05-17 | 高 | None |
| CEO | Robert M. Lee(联合创始人) | 2026-05-17 | 高 | None |
| 阶段 | 私营;成长阶段;累计融资 ~$440M | 2026-01-31 | 高 | 未宣布 IPO 或 M&A |
| Series D 估值 | $1.7B(2021 年 10 月) | 2021-10-28 | 高 | Series D 后无估值更新;当前 FMV 未知 |
| 累计融资 | ~$440M(含 $74M Series D 延展) | 2024-01-31 | 高 | 约数;私人公司 |
| 平台收入增长(2021) | >100% 同比 | 2021-09-30 | 中 | 唯一披露增长指标;无当前 ARR |
| Gartner MQ 状态 | 领导者 – CPS 保护平台(第 2 年) | 2026-03-09 | 高 | None |
| Deloitte Fast 500 | 连续第 5 年 | 2024 | 高 | None |
| OT 安全市场(2025) | $23.5B → 2030 年 $50.3B(16.5% CAGR) | 2025 | 中 | MarketsandMarkets 估计;第三方预测 |
| Neighborhood Keeper 公用事业 | 84 家公用事业公司;>70% 美国电力客户 | 2021-10-28 | 中 | Series D 时点数字;可能已显著增长 |
| 跟踪的勒索软件组织(2025) | 119 个组织;3,300 家工业组织受影响 | 2026-02-17 | 高 | 据 Dragos 2026 Year in Review |
财务指标为 2021 年 Series D 时点的估计或披露;Dragos 没有公开披露当前收入或 ARR。市场规模来自 Dragos/Microsoft 新闻稿中引用的 MarketsandMarkets。Gartner MQ 数据来自 Dragos 2026 年 3 月 9 日新闻稿。
[CO001, CO002, CO003, CO013, CO014, CO016]Dragos 的一线从业者创始背景、平台、威胁情报、社区项目和战略投资者彼此咬合,拼出其 OT 网络安全竞争位置。
[CO001, CO002, CO003, CO004, CO005, CO016]1.2 创始人、管理层与治理
Dragos 由一支政府和军方背景深厚的网络安全从业者团队于 2016 年创办。CEO 兼联合创始人 Robert M. Lee 曾任美国空军网络战行动军官,并在创办 Dragos 前供职于美国国家安全局(NSA)。Lee 和联合创始人进入工业网络安全,是因为他们亲自调查过重大 ICS 攻击,包括 2015 年和 2016 年乌克兰电网攻击,以及 TRISIS 和 CRASHOVERRIDE 恶意软件行动;当时行业几乎没有框架能处理这些事件。Lee 多次就关键能源和水务基础设施安全在国会作证,使 Dragos 成为政策制定者眼中的可信声音。截至 2026 年中,执行团队包括 Jodi Schatz(首席产品官)、Eric Cross(首席营收官,任命于 August 19, 2025)和 Dawn Mitchell(首席人力资源官)。Cross 来自 Reltio、Appian、Google Cloud 和 Salesforce,拥有 20 多年企业级商业化经验,也有在 IPO 和并购节点扩张收入组织的记录。January 31, 2024,Dragos 任命 William J. “Bill” Fehrman 和 Ekta Singh-Bushell 加入董事会。Fehrman 曾任 Berkshire Hathaway Energy(BHE)总裁兼 CEO,仍参与关键基础设施网络安全政策。Singh-Bushell 曾在 Federal Reserve Bank of New York 和 Ernst & Young(EY)担任高管,并具备审计、风险、合规和安全方面的董事会经验。Robert M. Lee 是 Dragos 及其工业网络安全实践的核心门面,关键人风险偏高;一旦他离开或角色弱化,品牌资产、客户关系,以及公司在使命驱动文化下吸引人才的能力都会受到实质影响。Dragos 仍为私营公司,治理结构不需要公开披露。[CO001, CO002, CO005, CO006, CO007, CO008]
| 人物 | 角色 | 背景 | 创始人 | 关键人物风险 |
|---|---|---|---|---|
| Robert M. Lee | CEO、联合创始人 | 美国空军网络战行动;NSA;调查乌克兰 2015/2016 电网攻击和 TRISIS | 是 | 关键——品牌身份、政策关系、从业者可信度 |
| Jodi Schatz | 首席产品官 | OT 网络安全产品领导经验;在 Dragos 产品组织扩张阶段加入 | 否 | 高——负责平台路线图和 Insights Hub 推出 |
| Eric Cross | 首席营收官(2025 年 8 月任命) | Reltio、Appian、Google Cloud、Salesforce、Blue Coat;带领 GTM 穿越 Apigee IPO / 被 Google 收购 | 否 | 高——推动全球收入规模化和合作伙伴生态 |
| Dawn Mitchell | 首席人力官 | HR 和人才高管;出任 CPO 以扩展组织能力 | 否 | 中——竞争激烈的网络安全市场中,人才获取很关键 |
| Bill Fehrman | 董事(2024 年 1 月 31 日任命) | Centuri Group 总裁兼 CEO;前 BHE(Berkshire Hathaway Energy)总裁、CEO 兼董事;ESCC 联席主席 | 否 | 低——顾问性质;关键基础设施运营专长 |
| Ekta Singh-Bushell | 董事(2024 年 1 月 31 日任命) | 纽约联邦储备银行 COO 办公室;Ernst & Young(EY)全球 CISO;多家创业公司董事 | 否 | 低——顾问性质;财务和网络安全治理专长 |
| Jon Lavender | 联合创始人 / 工程 | 政府网络安全从业者;与 Robert Lee 共同创办 Dragos;具备深厚 ICS 平台架构经验 | 是 | 中——平台技术基础 |
| Justin Cavinee | 联合创始人 | 政府与情报界背景;联合创办 Dragos;业务 / 运营 | 是 | 低——运营型联合创始人角色 |
根据 Dragos 领导层页面、董事任命新闻稿(2024 年 1 月 31 日)、CRO 任命新闻稿(2025 年 8 月 19 日)以及 Gartner 2026 MQ 新闻稿(引用 CPO Jodi Schatz)整理。Dawn Mitchell 角色由 Dragos 新闻稿确认。联合创始人信息 来自 Dragos About 页面和 Wikipedia。Jon Lavender 和 Justin Cavinee 反映可得公开信息;完整 C-suite 名单和 VP 级团队没有公开披露。
[CO005, CO006, CO007, CO008, CO009, CO010]1.3 融资历史与资本结构
Dragos 多轮私募融资合计约 $440 million。最关键的事件是 October 28, 2021 的 Series D:融资 $200 million,估值 $1.7 billion,是当时任何 OT 网络安全公司拿到的最大轮次和最高估值。Series D 由 Koch Industries 的投资部门 Koch Disruptive Technologies,以及 BlackRock 管理的基金和账户共同领投。Series D 投资者包括 Emerson、Hewlett Packard Enterprise(HPE)、Allegis Cyber、Canaan、DataTribe、Energy Impact Partners、National Grid Partners、Schweitzer Engineering Labs、Rockwell Automation 和 Global Reserve Group——这是一组经过战略筛选的工业运营方和基础设施投资者,其中不少本身就是 Dragos 的客户或潜在客户。战略投资者对齐是一项结构性优势:Dragos 在向其他工业企业销售时,可以借到分销杠杆、联合营销机会和可信度信号。Series D 后续又延长融资 $74 million,使 Series D 总额达到 $274 million,所有轮次累计融资约 $440 million。这一延长轮与 Dragos January 2024 董事会任命同时宣布,释放出投资者持续支持的信号。截至 May 2026,Dragos 仍为私营公司,尚未宣布 IPO 或 M&A 交易。缺少公开文件意味着关键财务指标——包括收入、ARR、烧钱速度和毛利率——无法独立核验。早期融资奠定了基础:DataTribe 是专注 Baltimore-Washington 走廊国家安全技术的创业工作室,也是早期支持者和共址伙伴。Canaan Partners 参与了更早的机构轮。投资者从国家安全导向的早期支持者,演进到大型战略工业集团,反映了 Dragos 从政府相邻创业公司成长为商业企业平台的过程。[CO013, CO014, CO015, CO016, CO030, CO031]
| 利益相关方 | 类型 | 轮次 / 角色 | 控制权 / 经济重要性 | 尽调要求 |
|---|---|---|---|---|
| Koch Disruptive Technologies | 战略 VC(Koch Industries) | Series D 共同领投;2021 年 10 月 $200M 轮 | 领投方;Koch 拥有 500+ 个全球设施;Dragos 部署于 Georgia-Pacific(Koch) | 持股比例;董事席位状态;持续部署关系 |
| BlackRock(管理的基金 / 账户) | 机构投资人 | Series D 共同领投 | 大型机构仓位;关注财务回报 | AUM 配置;老股出售意向;锁定状态 |
| Rockwell Automation | 战略工业投资人 | Series D 参与方 | 自动化巨头;为 OT 安全提供嵌入式合作 | 商业关系;集成深度;排他条款 |
| Emerson | 战略工业投资人 | Series D 参与方 | 全球流程自动化;OT 网络安全买家和背书客户 | 部署范围;经销或 OEM 安排;续约状态 |
| Hewlett Packard Enterprise(HPE 公司) | 战略技术投资人 | Series D 参与方 | 可为 Dragos 提供 IT 基础设施分销杠杆 | 分销协议;客户引荐;IT/OT 桥接 |
| National Grid Partners | 企业 VC(National Grid) | Series D 参与方 | 电力公用事业投资人;增强电网运营商可信度 | National Grid 部署;参考客户质量 |
| DataTribe | 种子轮 / 国家安全 VC | 早期支持者;Dragos 源于 DataTribe 孵化器 | 创始伙伴;可能持有小额股权;政策 / 情报界网络 | 当前持股比例;董事会观察员权利 |
| Allegis Cyber | 网络安全专注 VC | Series D 参与方 | 行业专长;网络安全社区关系 | 投资组合冲突;董事会动态;退出时间线 |
| Energy Impact Partners | 能源专注 VC | Series D 参与方 | 公用事业导向 LP 基础;触达能源行业买家 | LP 身份;商业引荐;与 Claroty 的冲突 |
持股比例和准确董事会构成没有公开披露;Dragos 是私人公司。数据来自 Series D 新闻稿(2021 年 10 月 28 日)和董事任命 新闻稿(2024 年 1 月 31 日)。Series D 前投资人(Canaan、Schweitzer Engineering、Global Reserve Group)也有参与。 2024 年 1 月宣布的 $74M Series D 延展,可能包含未单独披露的新投资人或现有投资人。
[CO013, CO014, CO015, CO016, CO030, CO031]| 日期 | 事件 | 类型 | 金额 / 估值 | 参与方 | 影响 |
|---|---|---|---|---|---|
| 2015-2016 | Robert M. Lee 和团队调查乌克兰电网攻击(2015、2016);分析 CRASHOVERRIDE 恶意软件 | 创立 | — | Lee、NSA、SANS ICS | 确立从业者可信度,成为 Dragos 创立时的差异化基础 |
| 2016 | Dragos, Inc. 成立;Platform、Threat Intelligence、Professional Services 推出 | 创立 | — | Robert M. Lee 和联合创始人;DataTribe 孵化器 | OT 网络安全品类创建事件;从业者创办,对比 IT 安全厂商形成差异 |
| 2017 | Dragos 分析 TRISIS/TRITON 恶意软件(中东石化攻击) | 产品 | — | Dragos 威胁情报团队 | 提升全球对 OT 威胁复杂度的认知;把 Dragos 定位为 ICS 威胁权威 |
| 2019 | 在 Hanover, MD 开设新的全球总部和 ICS 网络靶场;Robert Lee 就能源基础设施安全在国会作证 | 规模化 | — | Dragos、U.S. Senate | 永久设施和政策可信度信号;开始围绕关键基础设施参与国会沟通 |
| 2020 | Neighborhood Keeper 推出;Dragos 扩张到澳大利亚、新西兰、英国、中东、欧盟;OT-CERT 成立 | 产品 | — | Dragos;NERC E-ISAC | 社区防御项目区别于竞争对手;全球触达建立 |
| 2021-10-28 | Series D:以 $1.7B 估值融资 $200M——史上最大 OT 网络安全融资 | 融资 | $200M,估值 $1.7B | Koch Disruptive Technologies、BlackRock、Emerson、HPE、Rockwell 等 | 独角兽状态;OT 网络安全最高估值;战略投资人验证 |
| 2022 | 获得 CVE Numbering Authority(CNA)资格;签署 Aramco MOU;面向水务 / 电力 / 燃气公用事业推出 Community Defense Program | 监管 | — | MITRE CVE、Aramco、Dragos | 漏洞研究获得行业认可;进入中东市场;执行社区使命 |
| 2023-06 | Dragos 在 OT 网络安全市场降温中裁员约 9% | 反向 | ~9% 员工削减 | Dragos 员工;SiliconAngle/Axios 报道 | 暴露宏观脆弱性;显示收入增长已低于招聘轨迹 |
| 2024-01-31 | 董事会扩容:Bill Fehrman 和 Ekta Singh-Bushell 获任;Series D 延展 $74M,总额至 $274M | 治理 | $74M 延展;累计融资 ~$440M | 两位董事:Fehrman(Centuri/BHE)、Singh-Bushell(Federal Reserve NY/EY) | 潜在 IPO 或退出前治理增强;累计资本显示投资人信心 |
| 2025-08-19 | Eric Cross 获任首席营收官;带来 Apigee、Google Cloud、Salesforce 的 GTM 经验 | 治理 | — | Eric Cross;Dragos | 收入职能专业化;显示公司准备进入加速增长阶段 |
| 2025-09-23 | Dragos Platform 3.0 推出:Insights Hub、AI 增强漏洞分析、STS-50 传感器、Active Collection | 产品 | — | Dragos;全球客户 | 重大平台发布,现代化 UX 和 AI 能力;支撑相对 Claroty/Nozomi 的竞争差异化 |
| 2026-02-03 | Microsoft 合作扩展:Azure 部署、Sentinel 集成、Marketplace 上架 | 合作 | — | Dragos、Microsoft | 云部署选项;企业 IT/OT 集成;通过 Microsoft 生态分销 |
| 2026-02-17 | 发布 2026 OT/ICS Year in Review:119 个勒索软件组织、3 个新威胁组织、累计跟踪 26 个 | 产品 | — | Dragos;第 9 份年度报告 | 年度思想领导旗舰;勒索软件组织同比增长 49%,验证市场紧迫性 |
| 2026-03-09 | Dragos 连续第二年被评为 Gartner Magic Quadrant CPS 保护平台领导者 | 监管 | — | Gartner;Dragos | 分析师对平台领导力的明确认可;Gartner Peer Insights 得分 4.5/5.0 |
时间线根据 Dragos About 页面、官方新闻稿、Wikipedia 和 CISA 咨询通告整理。日期采用公开来源中的最佳可得信息; 部分早期(2016-2019)事件使用近似年份。按尽调要求,纳入 2023 年裁员这一反向事件。2024 年 1 月的 Series D 延展 与董事任命在同一新闻稿中宣布。
[CO001, CO002, CO003, CO004, CO005, CO006]Dragos 自 2016 年由政府实务人员创立,到 $1.7B Series D 轮和 2026 年 Gartner Leader 评级的历程,其中包括 2023 年裁员这一负面事件。
[CO001, CO002, CO003, CO004, CO005, CO006]1.4 财务规模与客户牵引
作为私营公司,Dragos 不公开披露收入、ARR、客户数、员工数或盈利能力指标。最可靠的财务规模代理来自 Series D 公告(October 2021):公司披露截至 September 30, 2021 的平台经常性收入同比增长超过 100%,说明募资时商业势头很强。之后,Dragos 披露了一些定性和运营规模指标。Neighborhood Keeper 是面向所有 Dragos Platform 客户免费提供的匿名信息共享网络;在 Series D 时,借助与 NERC Electricity Information Sharing and Analysis Center(E-ISAC)的联合项目,该计划已被 84 家公用事业公司采用,覆盖美国超过 70% 的电力公用事业客户。对于一个本身高度集中的市场,这是很强的社区渗透指标。通过与 Oil and Natural Gas Information Sharing and Analysis Center(ONG-ISAC)以及 Downstream Natural Gas Information Sharing and Analysis Center(DNG-ISAC)合作,Dragos 把集体防御延伸到电网之外的能源行业利益相关方。全球层面,Dragos 已在 North America、EMEA(包括 Europe、UK 和 Middle East)以及 APAC(包括通过 Macnica 进入 Japan、通过与 Singapore 的 Digital and Intelligence Service 签署 MOU 进入 Singapore)设立办公室。公司在 UAE 建立了 OT Cybersecurity Center of Excellence。Dragos 的全球客户包括电力、油气、制造、水务、交通和采矿等行业中许多最大的工业组织。公司 2026 OT/ICS Cybersecurity Year in Review 是其第 9 份年度报告,跟踪到 2025 年有 119 个勒索软件组织影响 3,300 家工业组织,较上一年增长 49%;这一市场紧迫性支撑了 Dragos 的商业定位。Dragos 2025 OT Security Financial Risk Report(与 Marsh McLennan 的 Cyber Risk Intelligence Center 联合发布)估计,全球最坏情形 OT 网络损失每年最高可达 $329.5 billion,这也是一个有说服力的市场开发资产。[CO019, CO020, CO021, CO022, CO023, CO025]
截至 2026 年 5 月,Dragos, Inc. 的核心运营和市场指标,反映这家私营公司可取得的公开披露。
[CO001, CO013, CO016, CO020, CO024, CO025]1.5 风险与反向因素
Dragos 面临数项需要尽调认真评估的重大风险。第一,2023 年裁员:June 2023,网络安全市场降温、OT 行业企业预算增长慢于预期,Dragos 裁掉约 9% 员工。SiliconAngle 和 Axios 报道了这次裁员,Robert M. Lee 也承认该决定艰难。这一反向事件说明 Dragos 并不能免疫宏观逆风,也提出了收入可预测性和预算周期脆弱性问题。第二,作为私营公司,Dragos 没有可公开核验的财务数据——当前收入、ARR、流失率和烧钱速度都未知,估值判断只能依赖 October 2021 确定的 $1.7 billion Series D 价格。此后市场条件已实质变化,包括利率上行、多家上市网络安全公司估值下调,以及私募市场倍数降温。当前真实估值可能与 2021 年锚点有实质差异。第三,关键人风险:Robert M. Lee 的个人品牌与 Dragos 的公司身份、思想领导力和政策关系高度绑定。他离开会构成重大扰动。第四,资金充足的同业竞争:Claroty 获得知名投资者支持,服务更广的网络物理市场;Nozomi Networks 拥有 AI 驱动的 OT/IoT 分析和深度生态集成。两家公司都与 Dragos 直接竞争,并在扩展平台能力和全球覆盖。第五,客户集中和市场成熟度:OT 网络安全市场虽然在增长,但很多细分领域仍处早期。较小的关键基础设施运营方(水务公司、农村电力合作社)网络安全预算有限,而免费的 Community Defense Program 虽然契合使命,却限制了该细分市场的商业变现。收入依赖大型工业企业,带来客户集中风险。[CO037, CO028, CO029, CO030, CO033, CO034]
1.6 附录
02市场分析
2.1 市场边界与替代方案
Dragos 面向运营技术(OT)和工业控制系统(ICS)网络安全市场。这个类别在协议、风险画像、部署约束和采购节奏上都不同于 IT 安全。纳入的支出包括:面向 SCADA、DCS、PLC、历史数据库和 HMI 系统的资产可视性与盘点管理;OT 网络监控和异常检测;ICS 专属威胁检测和行为分析;OT 漏洞管理和风险评分;工业事件响应服务;以及为 OT 对手组织和 ICS 攻击战术专门打造的威胁情报。市场运行在工业协议之上(Modbus、DNP3、EtherNet/IP、Profinet、OPC-UA、BACnet),IT 安全工具没有专用解码器就无法解析,天然形成产品差异化边界。 Dragos 的核心市场不包括 IT 域安全品类(端点检测与响应、身份与访问管理、云工作负载保护、Web 应用防火墙)、消费者 IoT 安全、没有关键基础设施属性的楼宇管理系统,以及不在工业 OT 环境内运行的医疗设备网络安全。OT 安全与 IT 安全的关键区别在于,OT 风险本质上由运营和安全驱动——一次成功的 OT 攻击可能造成物理损坏、停产、环境事故或人员伤亡——而 IT 安全风险集中在数据机密性和可用性。不同的风险画像支撑了专用工具,而不是简单延伸 IT 安全平台。 现状替代方案和既有厂商因细分市场而异。电力公用事业过去依赖手工维护气隙隔离和 NERC CIP 合规清单;油气运营商使用 Honeywell Forge、GE Predix Security 和 Siemens OT 安全工具提供的专有 OEM 安全监控;制造商部署把能力延伸到 OT 的 IT 安全厂商(Claroty、Nozomi Networks、Microsoft Defender for IoT);较小的水务公司和农村电力合作社往往完全没有 OT 安全工具。从现状替代方案转向专用 OT 安全平台,是 Dragos 最主要的 TAM 扩张机会。 [CM001, CM002, CM003, CM004, CM005]
| 细分市场 / 类别 | 纳入支出 | 排除支出 | 买方 / 付款方 | Dragos 相关性 |
|---|---|---|---|---|
| 电力公用事业 | OT 网络监控、NERC CIP 合规工具、ICS 威胁检测、IR 服务 | IT 端点 / 身份安全、物理安全 | CISO、OT 安全工程师、运营副总裁;受监管公用事业采购 | 核心细分市场;渗透最深;NERC CIP 监管带来强制采购 |
| 油气(中游 / 下游) | SCADA/DCS 监控、管道控制系统安全、TSA 合规工具 | 企业 IT、业务应用安全 | OT 安全经理、运营副总裁;受 TSA 监管的运营商 | 高价值细分市场;周期长但客单大;国家级攻击者重点瞄准 |
| 制造业(离散 / 流程) | PLC/HMI 监控、ISA/IEC 62443 合规、OT 网络可视性 | 工厂 IT 安全、ERP 安全 | 工厂经理、CISO;自愿合规市场 | 组织数量大;异构性强;ISA/IEC 62443 推动认知 |
| 供水 / 污水处理 | SCADA 监控、AWIA 合规工具、OT 事件响应 | IT 网络安全、端点保护 | 供水公用事业主管;AWIA 强制评估 | 新兴细分市场;小运营商预算限制商业触达;Community Defense Program 覆盖 |
| 交通运输(海事、铁路、管道) | 控制系统 OT 网络监控、海事网络安全(USCG/MTSA) | 乘客安全系统、票务 IT | 安全总监、合规官;受 USCG/MTSA 监管的运营商 | 扩张中的细分市场;海事网络安全法规正在提速 |
| 现状替代方案 | 气隙维护、OEM 专有工具、IT 安全扩展 | N/A | 上述细分市场内的既有行为 | 替代机会;销售动作需要大量教育 |
买方 / 付款方分类反映 Dragos 只面向企业的 GTM 动作。排除类别是相邻市场,IT 安全厂商即使没有 OT 专业化也可触达。
[CM001, CM002, CM003, CM004]2.2 TAM、SAM 与 SOM 测算
OT/ICS 网络安全的市场规模会因分析师定义范围不同而大幅变化,因此必须交叉校准,不能照单全收。MarketsandMarkets 预计全球 OT 安全市场 2025 年为 $23.5B,2030 年增至 $50.3B,复合年增长率为 16.5%;这是 Dragos 自身市场定位材料中引用最多的数字,也出现在 February 2026 的 Microsoft-Dragos 合作公告中。该估计很可能采用最宽口径,包含网络安全硬件、服务和云 OT 安全相邻项。Gartner 的 CPS(Cyber-Physical Systems)Protection Platforms 市场是更窄的分析师视角,专注于 Dragos、Claroty 和 Nozomi Networks 竞争的平台软件类别;按美元计,这个市场要小得多,但它才是平台估值倍数的相关基准。Frost & Sullivan 的 FrostRadar: OT Cybersecurity Solutions 2025 将 Dragos 评为 OT 安全厂商创新 #1,为市场领导地位提供了定性验证。 2025 OT Security Financial Risk Report 由 Dragos 和 Marsh McLennan 的 Cyber Risk Intelligence Center 联合制作,提供了一个重要的需求侧测算视角:全球最坏情形 OT 网络损失估计每年 $329.5B,仅业务中断就有 $172.4B。这一财务风险规模是 $23.5B 平台市场的 14× 以上,说明 OT 安全市场相对于其保护的财务暴露严重资本不足,也暗示长期增长空间很大。SANS 2025 ICS/OT Cybersecurity 调研显示,采用率最高的三项 SANS Five Critical Controls 是:Incident Response Planning(18.5%)、Defensible Architecture(17.09%)和 ICS Network Visibility(16.47%)。这些都是 Dragos Platform 的核心能力,说明产品与从业者优先事项匹配。 扣除安全硬件、OEM 捆绑工具和纯 IT 安全支出后,2025 年全球 OT 平台软件与服务的可服务市场(SAM)估计为 $7–10B。Dragos 的可获取市场(SOM)在没有披露收入的情况下无法精确量化;但以 October 2021 的 $1.7B Series D 估值和成长阶段 SaaS 常见的 10–15× ARR 倍数反推,Dragos 募资时的 ARR 隐含约为 $113–170M。如果此后增长即便只有每年 30%,当前 ARR(未核验)也可能在 $200–350M 区间,相当于估计 $7–10B SAM 的约 2–5%,仍有可观上行空间。 [CM005, CM006, CM007, CM008, CM009, CM010]
| 发布方 | 年份 | 地域 | 估计值 | CAGR / 增长 | 方法 / 范围 | 置信度 | 主要限制 |
|---|---|---|---|---|---|---|---|
| MarketsandMarkets | 2025→2030 | 全球 | $23.5B (2025) → $50.3B (2030) | 16.5% CAGR | OT 安全,包含软件、硬件、服务、云 | 中 | 口径宽,可能包含非平台支出;方法透明度不足 |
| Gartner Magic Quadrant | 2026 | 全球 | 未披露(仅平台视角) | 未披露 | CPS Protection Platforms 软件市场;口径窄于 MarketsandMarkets | 中 | Gartner 未公开发布 MQ 类别的 TAM |
| Frost & Sullivan FrostRadar | 2025 | 全球 | OT 网络安全解决方案(金额未披露) | 未披露 | 解决方案版图评分;创新 + 增长矩阵 | 中 | 定性排名;未发布 TAM 金额 |
| Dragos / Marsh McLennan | 2025 | 全球 | $329.5B 最坏情形 OT 网络财务风险 | N/A(风险估计) | 保险精算损失建模;OT 网络财务敞口 | 中 | 风险敞口,不是市场规模;仅能从需求侧测算 |
| SANS ICS/OT Survey | 2025 | 全球(受访者样本) | 五项关键控制采用率 | N/A(调研数据) | 从业者调研;核心控制:IR 规划 18.5%、可防御架构 17.09%、网络可视性 16.47% | 中 | 自陈式调研;样本偏向安全意识较强的从业者 |
| 分析师估计(SAM) | 2025 | 全球 | $7–10B(平台软件 + IR 服务) | 估计 15-18% CAGR | 从 MarketsandMarkets TAM 中剔除 OT 硬件、OEM 捆绑 | 低 | 无一手来源;分析师基于自上而下 TAM 调整三角验证 |
| 分析师估计(SOM – Dragos) | 2025 | 全球 | $200–350M ARR(未验证) | 估计 >30% CAGR(2021 年锚点) | 由 $1.7B 估值和 10-15x ARR 倍数推导;未披露 | 低 | 私营公司;未披露收入;2021 年估值锚点已过时 |
MarketsandMarkets OT 安全市场采用最宽口径。Gartner CPS Protection Platforms 口径更窄 (仅软件平台)。Frost and Sullivan FrostRadar 广泛覆盖 OT 解决方案。Dragos 隐含 ARR 是 分析师基于 Series D 估值锚点做出的估计,不是公司披露数据。SAM/SOM 是分析师估计。
[CM005, CM006, CM007, CM010, CM011, CM012]OT/ICS 网络安全市场的 TAM/SAM/SOM 测算结构,展示从广义市场到 Dragos 估计可获取收入的嵌套可触达范围。
TAM 取自 MarketsandMarkets 2025 年估计。SAM 为分析师交叉测算,剔除 OT 硬件和 OEM 捆绑。SOM 是分析师按 $1.7B Series D 轮估值和 10–15x ARR 倍数推导的估计值;Dragos 未披露收入。所有数字均为近似值。
[CM005, CM009, CM010, CM011, CM012, CM013]OT/ICS 网络安全市场规模估算区间(2025 基线和 2030 预测),展示分析师分歧和置信边界。
低位边界基于分析师剔除 OT 硬件后的较窄口径估算。基准情景来自 MarketsandMarkets。高位边界反映若 ICS 安全支出快于基线 CAGR 增长时的上行空间。2030 年预测区间反映 CAGR 不确定性。
[CM005, CM006, CM007, CM010]2.3 买方与用户分层
OT 网络安全采购由行业特定监管要求、威胁暴露和运营风险容忍度驱动,而不是通用企业 IT 采购模式。电力公用事业是 Dragos 渗透最深的细分市场:NERC CIP 合规对大宗电力系统资产强制适用,形成 OT 安全投资的监管硬约束。在 Series D 时,借助 E-ISAC 合作,Dragos 的 Neighborhood Keeper 计划已被 84 家公用事业公司采用,覆盖美国超过 70% 的电力公用事业客户;对于一个本身高度集中的市场,这是很强的渗透指标。TSA Pipeline Security Directives(针对油气管道运营商)和 API RP 780 网络安全指南推动中游环节的 OT 安全投资;上游勘探和下游炼化的监管压力过去较低,但面临更高的民族国家攻击风险。 制造客户(离散、流程和混合型)按组织数量看是大市场,但监管压力更分散——ISA/IEC 62443 是主要标准,不过采用是自愿的。AWIA 2018 要求水务和污水处理公用事业每五年开展网络安全风险评估并制定应急响应计划,但服务少于 10,000 名客户的小系统预算能力高度有限。Dragos 通过 Community Defense Program(为资源不足组织提供免费 OT 安全资源)和 OT-CERT 触达这个群体,在不商业变现的情况下建立社区存在感。采矿、制药、食品饮料和交通(海事、铁路)属于新兴细分,OT 安全意识在增强,但采购还不成熟。 主要买方画像是大型公用事业或工业企业中的 OT 安全工程师或 CISO;在运营语境下,预算权通常在运营副总裁或工程副总裁层级,在安全更前置的组织中则在 CISO 或 CTO。用户画像通常是大型运营方内部的小型 OT 安全团队(2–10 名分析师),或代表多个较小运营方工作的托管安全服务提供商(MSSP)。企业交易规模估计每年 $100K–$500K+,具体取决于资产数量;多年期合同在公用事业行业较常见。 [CM014, CM015, CM016, CM017, CM018, CM019]
| 细分市场 | 主要买方 | 用户 | 付款方 | 关键工作流 | 预算负责人 | 采用触发因素 |
|---|---|---|---|---|---|---|
| 电力公用事业(大型 IOU) | CISO、OT 安全总监 | OT 安全分析师、ICS 工程师 | 公用事业 CFO / 资本项目副总裁 | NERC CIP 合规监控、威胁检测 | 工程副总裁或运营副总裁 | NERC CIP 强制合规;国家级威胁(VOLTZITE) |
| 电力公用事业(小型合作社 / MLP) | IT/OT 经理(合并岗位) | 同买方 | 公用事业总经理或董事会 | 基础 OT 网络可视性 | 总经理 | CISA Community Defense Program(免费);监管压力较轻 |
| 油气(中游管道) | OT 安全经理、CISO | 控制室分析师、ICS 安全工程师 | 运营副总裁、CFO | 管道 SCADA 监控、TSA 指令合规 | 运营副总裁 | TSA Pipeline Security Directive 强制要求;勒索软件事件 |
| 油气(上游 E&P) | IT 安全总监、HSE 经理 | OT 安全分析师 | 事业部 CFO | 远程钻井平台 / 设施 OT 监控 | 技术副总裁 | 风险驱动;无明确强制要求;OPEC+ 成本压力限制支出 |
| 制造业(大型流程) | CISO、工厂安全经理 | OT 安全分析师、工厂工程师 | 工厂副总裁或部门 CFO | DCS/PLC 可视性、ISA/IEC 62443 对齐 | 制造副总裁 / COO | ISA/IEC 62443 自愿合规;供应链中断风险 |
| 供水 / 污水处理(大型系统) | IT 总监、公用事业安全经理 | OT 分析师 | 公用事业主管 / 市政府 | SCADA 监控、AWIA 合规 | 市政府 CIO 或公用事业主管 | AWIA 2018 强制网络安全评估 |
| 交通运输(海事) | 港口 / 船舶安全官、CISO | OT 安全工程师 | 港务局 / 航运公司 CFO | 港口控制系统 OT 监控 | 运营副总裁 / 港口主管 | USCG/MTSA 海事网络安全要求 |
成交规模估计基于企业 OT 安全基准,由分析师估计;Dragos 未公开披露定价。 监管触发因素用于区分合规驱动和风险驱动的采购。
[CM014, CM015, CM016, CM017, CM018, CM019]Dragos 产品 / 服务在主要买方细分市场中的相关性矩阵,展示每项产品在各垂直行业最能创造价值的位置。
相关性评级(主要 / 高 / 中 / 低)为分析师判断,依据 Dragos 市场存在披露、NERC CIP 合规适用性和已报道客户细分数据。不是量化收入拆分。
[CM014, CM015, CM016, CM017, CM018, CM019]从全球 OT 运营方总量到 Dragos 商业平台客户的漏斗,展示各阶段的可触达约束。
除 Neighborhood Keeper 公用事业机构数量(Series D 时为 84 家)外,所有数量均为分析师估计。商业客户数量未公开披露。漏斗阶段基于 Dragos 市场报告和公开关键基础设施统计估算。
[CM015, CM018, CM020, CM021]2.4 增长驱动因素与采用约束
OT 网络安全最主要的需求驱动来自威胁活动升级。Dragos 的 2026 OT/ICS Cybersecurity Year in Review 跟踪到 2025 年有 119 个活跃勒索软件组织影响工业组织,较上一年增长 49%,全球受影响工业组织达到 3,300 家。与民族国家有关的威胁组织是最复杂的需求驱动:Dragos 跟踪 26 个具名 OT 对手组织,包括 VOLTZITE(中国关联,瞄准电力和电信基础设施)、CHERNOVITE(创造 PIPEDREAM/INCONTROLLER 恶意软件,可攻击多类工业安全系统)和 ELECTRUM(乌克兰电网攻击);其中 11 个组织被评估为 2025 年正主动瞄准运营技术环境。这个威胁版图与 IT 域威胁有实质差异,推动了对 ICS 专属检测和威胁情报的强需求。 监管顺风正在加速多个行业的采用。CISA 的 Cross-Sector Cybersecurity Performance Goals 为关键基础设施保护提供了自愿但越来越常被引用的框架。NERC CIP-015-2 Internal Network Security Monitoring(INSM)要求明确强制大宗电力系统资产具备网络可视性和监控能力,这正是 Dragos Platform 的核心。Transportation Security Administration(TSA)Pipeline Security Directives 要求管道运营商实施 OT 安全计划。欧盟 NIS2 Directive 为欧洲关键基础设施运营方制造合规紧迫感。AWIA 2018 强制水务公司开展网络安全评估。多行业、多司法辖区监管叠加,是结构性的需求驱动;它把可选 OT 安全支出转化为合规必需采购,从而缩短销售周期。 OT 环境的数字化转型——Industry 4.0 连接、IIoT 传感器部署、云端历史数据库集成、远程访问扩张——持续扩大 OT 攻击面,也带来新的监控要求。既有厂商如果没有专用 OT 工具,很难覆盖这些需求。这个结构性驱动对 Dragos 尤其有利,因为新的连接模式需要 ICS 专属行为基线。 采用约束同样实质存在。OT 安全预算不成熟仍是最大约束:许多工业组织对 OT 安全仍处早期认知阶段,OT 安全预算还要与资本基础设施项目争抢同一运营预算。IT/OT 技能缺口——真正同时理解 OT 环境和网络安全的从业者很少——限制自助式采用,也使 Dragos 的专业服务组件成为初始部署的关键。棕地 OT 环境里有遗留 PLC、专有协议,且几乎不能容忍变更管理,部署复杂且耗时。大型公用事业和能源公司的企业销售周期长达 12–24 个月,限制收入速度。较小运营方(水务公司、农村电力合作社)的年度网络安全预算往往低于 $50K,无法支撑商业化 Dragos Platform 部署,从而限制商业 TAM。 [CM022, CM023, CM024, CM025, CM026, CM027]
| 驱动因素 / 约束 | 方向 | 时间 | 机制 | Dragos 影响 | 尽调问题 |
|---|---|---|---|---|---|
| 勒索软件激增(同比 +49%,2025 年 3,300 家工业组织) | 需求加速 | 近期 | 风险升级到董事会层面,推动 OT 安全预算获批 | 缩短销售周期;提升平台采用紧迫性 | 验证事后响应(IR 服务)是否带动平台采购 |
| 国家级攻击者瞄准 OT(26 个组织,11 个活跃) | 需求持续 | 持续 | 政府为应对 VOLTZITE/CHERNOVITE 等威胁,强制要求各行业部署 OT 安全计划 | 验证 Dragos 威胁情报差异化;形成监管硬约束 | 平台交易中,多少由国家级攻击归因触发,多少由勒索软件触发? |
| NERC CIP-015-2 INSM 要求(电力) | 监管顺风 | 近期(2025-2026 合规) | 电力公用事业必须为 EACMS、PACS、SCI 资产部署内部网络安全监控 | 公用事业细分市场直接获得平台型强制需求;降低竞争摩擦 | NERC CIP-015-2 合规截止日期是什么?还有多少公用事业尚未合规? |
| TSA Pipeline Security Directives | 监管顺风 | 近期 | 管道运营商必须落地 OT 安全计划;每两年复审 | 借强制支出扩大油气细分市场可服务范围 | Dragos 油气管道收入中,合规驱动与风险驱动各占多少? |
| CISA Critical Infrastructure Performance Goals(CISA 关键基础设施绩效目标) | 自愿但有影响力的顺风 | 中期 | 各行业风险管理机构采纳自愿性 CISA CPG;未来可能转为强制 | 为非强制行业(制造业、采矿)提供采购理由 | CISA CPG 是否会在更多行业被写入强制要求? |
| 工业 4.0 / IIoT 攻击面扩张 | 结构性需求驱动 | 持续 | 远程访问、云连接、IIoT 设备扩大 OT 攻击面,需要新的监控范围 | 新资产发现需求持续出现;推动平台续约和扩容 | 相比传统 PLC/DCS,Dragos Platform 3.0 如何覆盖新的 IIoT 资产类型? |
| OT 安全预算不成熟(中小运营商) | 采用约束 | 中期 | OT 安全与资本项目争预算;没有监管强制时优先级较低 | 商业 TAM 被限制在大型企业;小运营商由 Community Defense Program 覆盖 | Dragos Platform 客户中,大型企业与中端市场各占多少? |
| IT/OT 技能缺口 | 采用约束 | 结构性 / 持续 | 具备 OT 能力的网络安全从业者稀缺;部署需要 Dragos 专业服务 | 提高服务附加率;限制自助式采用和利润率扩张 | Dragos 是否跟踪客户 OT 安全团队成熟度?它如何影响流失? |
| 存量 OT 遗留复杂度 | 采用约束 | 结构性 / 持续 | 遗留 PLC 和专有协议需要定制集成;变更控制拖慢部署 | 部署周期拉长,降低收入速度;形成对专业服务的依赖 | 新的 Dragos Platform 企业部署通常多久见效? |
| 12-24 个月企业采购周期 | 采用约束 | 结构性 / 持续 | 公用事业和能源公司采购需要大量评估、安全审查和法律审查 | 限制每季度新增 ARR;收入波动大,季度预测更难 | Dragos 各细分市场平均销售周期多长?Platform 3.0 是否缩短了周期? |
时间分类:近期 = 0-2 年,中期 = 2-5 年。约束严重度是分析师基于 Dragos 市场报告做出的评估。
[CM022, CM023, CM024, CM025, CM026, CM027]2.5 附录
03竞争格局
3.1 竞争格局概览
2026 年的 OT/ICS 网络安全平台市场呈现三层竞争结构。第一层(纯 OT 专家):Dragos、Claroty 和 Nozomi Networks 共同占据 Gartner Magic Quadrant CPS Protection Platforms 的 Leader 象限,并争夺同一批企业公用事业和能源潜在客户。三家公司都在 2012 到 2016 年间创立,创始团队来自政府或 OT 工程背景;竞争重点主要是平台广度、威胁情报质量、专业服务和集成生态。Claroty(2015 年创办,Team82 研究人员超过 100 人,累计融资约 $635M)拥有最宽的网络物理系统范围,明确把医疗(医疗设备安全)和商业楼宇 OT 纳入工业 OT 之外。Nozomi Networks(2013 年创办,2023 年被 Hg Capital 以约 €600M+ 收购)以 AI 原生的被动 OT/IoT 监控深度和实时异常检测差异化,但没有 Dragos 强调的威胁情报覆盖层。 第二层(IT 平台延伸):Microsoft Defender for IoT 是最具破坏力的竞争力量,因为它被捆绑进 Microsoft Defender for Cloud,并与 Azure Sentinel 集成,为现有 Microsoft 企业客户提供了很有吸引力的 IT-OT 成本整合论点。Microsoft 于 June 2020 以约 $165M 收购 CyberX,并将产品重建为 Defender for IoT,如今覆盖 Enterprise IoT(IT 相邻设备)和 Operational Technology(工业 SCADA、DCS、PLC)环境。与 Microsoft Sentinel 的 SIEM/SOAR 能力、Purview 和 Azure Arc 集成,形成了纯 OT 厂商无法复制的平台相邻优势。Palo Alto Networks Strata OT Security 和 CrowdStrike Falcon for OT 则是端点和网络安全栈向 OT 延伸的类似打法。这些厂商用 OT 深度换取 IT 集成广度和合并许可。 第三层(OEM 原生和专门厂商):Honeywell Forge Cybersecurity、Siemens OT Security 和 GE Vernova cybersecurity 提供与自家自动化硬件装机基础深度集成的 OT 安全工具,在锁定客户场景下相关,但在公开市场评估中很少有竞争力。Tenable.ot(2019 年收购 Indegy)以漏洞管理深度竞争。Armis(通用 IT/OT/IoT/医疗资产管理,2023 年估值 $4.3B,融资 $547M)和 Forescout 更依赖更广的资产可视性与 NAC 集成,而不是 OT 威胁检测。TXOne Networks(Trend Micro OT 安全剥离公司)和 Otorio 分别专注分段和 OT 安全评估。 [CP001, CP002, CP003, CP004, CP005, CP006]
| 公司 | 成立时间 | 已融资金额 | 估值 / 退出 | 员工数(估计) | 范围 / 重点 | 主要市场 | 关键差异点 |
|---|---|---|---|---|---|---|---|
| Dragos, Inc. | 2016 | 累计 ~$440M | $1.7B(Series D,2021 年 10 月) | ~700(估计) | 纯 OT 玩家:ICS/SCADA/DCS/PLC | 电力公用事业、油气、制造业 | 26 个组织的 OT 威胁情报、NSA/ICS-CERT 创始团队、NERC E-ISAC Neighborhood Keeper |
| Claroty | 2015 | 已融资 ~$635M | 私营(上一轮估计为 ~$400M Series E) | ~700(估计) | CPS:OT + 医疗健康(Medigate)+ 商业楼宇 | 工业 OT、医疗健康、智能楼宇 | Team82 研究(50+ CVE)、医疗健康扩张(Medigate)、广泛 CPS 范围 |
| Nozomi Networks | 2013 | 收购前已融资 ~$220M | 被 Hg Capital 以 ~€600M+ 收购(2023) | ~400(估计) | OT/IoT 被动监控、AI 异常检测 | 电力、油气、制造业、交通运输 | AI 原生被动监控、Hg 私募股权支持的整合、实时 ML 基线 |
| Microsoft Defender for IoT(Microsoft OT 方案) | 2020(收购 CyberX,~$165M) | N/A(Microsoft 子公司) | N/A(Microsoft 市值 $3T+) | 大型(MS Security 团队) | OT + 企业 IoT + IT 融合 | 所有企业级 Microsoft 客户 | Azure/Sentinel SIEM 集成、捆绑许可、M365 生态普及度 |
| Claroty xDome(Medigate 医疗板块) | 2015/2020(收购 Medigate) | 计入 Claroty $635M | 私营 | ~150(医疗健康部门) | 医疗健康 OT(医疗设备安全) | 医院、医疗健康系统、制药 | 临床工作流集成、OT + 医疗设备统一视图、HIPAA 对齐 |
| Tenable.ot | 2019(收购 Indegy,~$78M) | 上市(TENB,市值 $5B+) | 上市(市值 $5B+) | ~2,500(全公司) | OT 漏洞管理(Indegy 平台) | 制造业、公用事业、油气 | IT+OT 统一漏洞管理、Tenable One 平台集成 |
| Armis | 2015 | 已融资 ~$547M | $4.3B 估值(2023 年轮次) | ~800(估计) | IT + OT + IoT + 医疗资产管理 | 企业 IT/OT 融合、医疗健康 | 无代理 IT/OT/IoT/医疗设备可视性、$4.3B 估值、NASDAQ 候选上市信号 |
| TXOne Networks | 2019(Trend Micro 拆分) | 未披露(Trend Micro、CDPQ 支持) | 私营 | ~350(估计) | OT 分段、边缘安全、OT 端点 | 制造业、关键基础设施 | OT 原生端点防护(PLC 上的 OT 代理)、分段网关 |
所有财务数字(融资、估值)来自公开披露轮次。员工数为估计值。 “范围”描述各厂商覆盖网络物理系统的重点。
[CP001, CP002, CP003, CP004, CP005, CP006]3.2 功能与能力对比
Dragos Platform 3.0 是核心竞争产品,强调三项 Dragos 声称竞争者无法在同等 OT 深度匹配的能力:(1)检测内容,包含 2,900+ 条映射到 MITRE ATT&CK for ICS 技术的行为分析,源自工业环境中活跃事件响应案例;(2)OT 原生威胁情报,跟踪 26 个具名对手组织,支持战术级 TTP 映射、行动关联和早期预警报告;(3)Neighborhood Keeper,这是一个匿名威胁共享覆盖网络,覆盖 84+ 家公用事业公司,代表超过 70% 的美国电力客户。MITRE ATT&CK Evaluations for ICS(Dragos 展示了对模拟 XENOTIME/TRITON 及相关 ICS 定向攻击的检测)提供了第三方检测有效性验证,竞争者尚未在同样深度复制。 Claroty 的主要平台(Claroty Platform / xDome for OT、Medigate for healthcare)覆盖更广的网络物理资产范围:OT、医疗(医疗设备)和商业楼宇 OT 系统。Team82 研究人员已发布超过 50 个 CVE,研究覆盖 OT、医疗和商业楼宇协议,使 Claroty 的漏洞研究覆盖面宽于 Dragos(仅 OT)。Claroty 与医疗专属工作流集成(Medigate 用于临床资产管理),形成 Dragos 明确不参与的差异化。 Nozomi Networks 的 Vantage 平台以被动监控模式下的实时 AI/ML 异常检测差异化,并声称通过机器学习基线建模降低误报率。Nozomi 还与 Azure Sentinel、Splunk 和 IBM QRadar 集成以实现 SIEM 汇聚,集成组合与 Dragos 类似。Hg Capital 收购为更多 M&A 提供了资产负债表强度(Nozomi 未披露收购后的企业或增长情况)。 Microsoft Defender for IoT 的独特之处,是把 OT 设备发现和监控直接集成进 Microsoft 365 Defender 门户和 Azure Sentinel,让已经采用 Microsoft 标准化的企业在同一 SIEM 工作流中统一 IT+OT 告警。这个工作流集成功能,对想整合安全工具的 IT 中心型企业买家最威胁 Dragos。不过,Microsoft Defender for IoT 的 OT 检测内容较浅,也没有与 Dragos 威胁组织情报或 Neighborhood Keeper 社区等同的能力。 Dragos 相对所有竞争者仍保持的关键功能缺口,是工业事件响应品牌可信度。当 VOLTZITE、CHERNOVITE 或 ELECTRUM 攻击公用事业公司时,Dragos 是重大已披露事件中的登记响应供应商。这种品牌联想强化平台留存,也让阅读过 Dragos 公告的公用事业公司主动进入销售漏斗。 [CP008, CP009, CP010, CP011, CP012, CP013]
| 能力 | Dragos | Claroty | Nozomi Networks | Microsoft Defender for IoT(Microsoft 方案) | Tenable.ot | Armis |
|---|---|---|---|---|---|---|
| OT 协议解析(深度) | ✓✓(300+ 协议) | ✓✓(300+ 协议) | ✓✓(200+ 个协议) | ✓(150+ 个协议) | ✓(150+ 个协议) | △(偏 IT,OT 有限) |
| ICS 威胁检测内容 | ✓✓(2,900+ 条分析,MITRE ATT&CK for ICS) | ✓(威胁分析,来自 Team82) | ✓(AI 异常检测、基于规则) | △(规则集较轻,Azure Sentinel 规则) | △(偏漏洞,行为分析有限) | ✗(偏资产可视化) |
| OT 威胁情报(命名组织) | ✓✓(26 个命名 OT 组织,2025 年 11 个活跃) | ✓(Team82 研究,OT + 医疗 CVE) | △(研究团队,无命名组织分类) | △(部分 MSTIC OT 威胁数据) | ✗(非核心能力) | ✗(非核心能力) |
| 资产清单 / OT 可视化 | ✓✓(被动 + 主动,深度高) | ✓✓(OT + IoT + 医疗 + 楼宇) | ✓✓(AI 驱动被动式,深度高) | ✓(被动发现,Azure 集成) | ✓(OT + IT 统一) | ✓✓(范围最广:IT/OT/IoT/医疗) |
| 漏洞管理(OT) | ✓(OT 漏洞评分、风险排序) | ✓(OT CVE、Claroty 暴露管理) | ✓(OT 漏洞监测) | △(基础 OT 漏洞可视化) | ✓✓(市场领先的 IT+OT 漏洞管理) | △(资产级风险评分) |
| SIEM/SOAR 集成 | ✓✓(集成 Splunk、IBM QRadar、MS Sentinel、Palo Alto XSOAR) | ✓(集成 Splunk、IBM QRadar、Sentinel、ServiceNow) | ✓(集成 Splunk、IBM QRadar、Sentinel、Elastic) | ✓✓(原生 Sentinel 集成,同类最佳) | ✓(Splunk、SOAR 集成) | ✓(广泛 SIEM 集成) |
| 云端 / 远程 OT 监测 | ✓(Dragos Platform 云交付,AWS 能力认证) | ✓(可选云部署) | ✓✓(Vantage 云原生,SaaS 优先) | ✓✓(Azure 原生,Defender for Cloud 集成) | ✓(云部署) | ✓✓(云原生资产管理) |
| 社区 / ISAC 集成 | ✓✓(Neighborhood Keeper + NERC E-ISAC 社区网络、OT-CERT) | △(社区项目有限) | △(社区共享有限) | △(OT 社区有限) | ✗(无 OT 社区) | ✗(无 OT 社区) |
| 工业事件响应服务 | ✓✓(ICS IR 品牌领导者,保留服务模式) | ✓(提供 IR 服务) | △(IR 服务有限) | ✗(无专门 IR) | △(通过合作伙伴提供通用 IR) | ✗(无专门 IR) |
| 医疗 / 医疗设备安全 | ✗(主动不竞争) | ✓✓(Medigate,专门医疗板块) | △(医疗设备支持有限) | ✓(Enterprise IoT 覆盖医疗) | △(有限) | ✓✓(包含医疗设备管理) |
评分:✓✓ = 市场领先;✓ = 具备且能力足够;△ = 有限 / 部分;✗ = 不具备或可忽略。 所有评分都是分析师基于公开披露、厂商文档和第三方评估(Gartner、MITRE ATT&CK for ICS)做出的判断。 厂商文档模糊时,评分采取保守口径。
[CP008, CP009, CP010, CP011, CP012, CP013]主要 OT/ICS 安全厂商的二维竞争定位,横轴为 OT 威胁情报深度,纵轴为平台范围广度。
所有位置均为分析师估计,依据公开披露、厂商文档、Gartner Magic Quadrant 位置和 MITRE ATT&CK 评估数据。X 轴(OT 威胁情报深度)反映具名组织分类规模、ICS 检测内容广度和 IR 品牌。Y 轴(平台范围广度)反映覆盖设备类别数量:仅 OT、OT+IoT、OT+IoT+医疗+楼宇。
[CP001, CP003, CP004, CP007, CP009, CP011]Dragos 与前三大竞争对手在关键竞争能力维度上的对比,展示 Dragos 领先之处和竞争对手追近的位置。
分数为分析师按 0–10 量表给出的判断,依据公开产品文档、Gartner MQ 评估、MITRE ATT&CK 评估和行业分析师报告。不是审计数据。
[CP008, CP009, CP010, CP011, CP012, CP013]3.3 定价、包装与 GTM 定位
Dragos 只在企业段竞争,没有自助服务、免费增值或 SMB 产品。定价基于资产数量(按设备 / 按节点),交易通常是多年期订阅,并绑定专业服务,用于部署、调优和持续事件响应保留服务。这带来高平均合同价值和低初始流失(多年锁定),但也限制市场速度,并使合同中期替换竞争者更难。 Claroty 同样只做企业市场,平台许可也基于资产数量。Team82 研究免费公开,用于建设品牌;平台许可规模则与 Dragos 可比。Claroty 大举投入渠道伙伴——VAR/MSSP——并与 Cisco、Rockwell Automation 和 Schneider Electric 合作,推进嵌入式 OEM 销售动作。Claroty 的医疗扩张(Medigate)为需要统一医疗设备与 OT 安全的医院系统 CISO 形成一个独立吸引点,而 Dragos 不覆盖这一买方群体。 Nozomi Networks 使用类似的资产数量许可模型,并与集成商(Accenture、Deloitte、IBM)建立渠道伙伴关系。Hg 收购后,Nozomi 似乎更投入地理扩张(EMEA、APAC)和潜在 M&A 相邻项,而不是针对 Dragos 打产品差异化竞争。 Microsoft Defender for IoT 被捆绑在 Microsoft Defender for Cloud Plans 2 内,并与 Azure Arc 集成以支持本地部署,实际上把 OT 监控变成现有 Microsoft 企业许可的一项功能,而不是单独预算项。对于 100% Microsoft 标准化的大型企业,这种捆绑给 Dragos 制造了非常困难的竞争动态,因为在既有 Microsoft 许可下,OT 监控成本可能看起来为零。Microsoft 的商业化动作由企业客户团队牵头,而不是专门 OT 渠道。 Dragos 的主要竞争护城河包括:(1)NSA / ICS-CERT 创始可信度,转化为政府和国防关键基础设施客户信任;(2)OT-CERT 和 Community Defense Program 作为市场开发和好感资产,从首次购买 OT 安全的客户处创造入站线索;(3)26 个具名对手组织情报,产出替代方案难以复制的可行动威胁告警;(4)MITRE ATT&CK for ICS 评估表现记录,提供第三方验证;(5)Microsoft 合作(February 2026)支持 Microsoft Sentinel 集成,且通过让 Dragos 进入 Microsoft 安全生态,部分吸收 Microsoft 捆绑威胁。 [CP015, CP016, CP017, CP018, CP019, CP020]
| 供应商 | 定价模式 | 包装 / 层级 | GTM 路径 | 渠道策略 | 试用 / 社区访问 | 估计交易规模(企业) |
|---|---|---|---|---|---|---|
| Dragos | 按设备 / 节点年订阅 | Platform;Platform + 威胁情报;+ 专业服务加购 | 企业直销;无 SMB / 免费增值 | VAR、MSSP、区域经销商;Microsoft Azure Marketplace | OT-CERT(免费);Community Defense Program(免费) | $100K–$500K+ / 年 |
| Claroty | 按设备 / 节点年订阅 | xDome(OT);Medigate(医疗);Claroty Platform(完整 CPS) | 企业直销 + 渠道;Medigate 走医疗 VAR | Cisco、Rockwell、Schneider Electric OEM 合作;MSSP | 无免费层;Team82 研究公开免费 | $100K–$500K+ / 年 |
| Nozomi Networks | 按设备 / 节点年订阅;可选硬件传感器 | Central Management Console + Guardian 传感器;Vantage 云 SaaS | 企业直销 + 渠道;MSSP/SI 合作 | Accenture、Deloitte、IBM、区域经销商 | 有限试用;研究报告免费 | $50K–$300K+ / 年 |
| Microsoft Defender for IoT(Microsoft 方案) | 按设备 / 站点 Azure 用量计费;可打包进 Defender for Cloud | OT(工业)和 Enterprise IoT;集成进 M365 E5 Defender 计划 | Microsoft 企业客户团队牵头;Azure Marketplace | Microsoft CSP、Azure Marketplace;ISV 合作伙伴 | 通过 Azure 免费试用;MS Sentinel 试用 | 打包时边际成本 $0;独立约 $50K |
| Tenable.ot | 按资产年订阅;Tenable One 平台加购 | Tenable.ot 独立版;Tenable One(统一平台层) | 企业直销;面向 Tenable.io 既有客户集成销售 | Tenable 经销商、GSI、MSSP | Tenable Lumin 免费试用;免费 OT 评估工具 | $30K–$200K / 年 |
| Armis | 按设备年订阅 | Armis Centrix(统一 IT/OT/IoT/医疗);模块化加购 | 企业直销;MSSP | Splunk、IBM、ServiceNow OEM 集成 | 无免费层;提供概念验证试用 | $100K–$500K+ / 年 |
所有 Dragos 定价均为分析师估计;Dragos 不公开披露价格。Microsoft Defender for IoT 定价可在 Azure 定价计算器中公开查到。其他供应商定价来自公开披露和行业信源估算。
[CP015, CP016, CP017, CP018]3.4 护城河耐久性与竞争风险
Dragos 的竞争护城河具备耐久性,但在两条战线上承受越来越大的结构性压力:IT 安全巨头的平台捆绑,以及 Claroty 向相邻垂直行业扩张。 Microsoft 竞争威胁在战略上最重要。February 2026 的 Microsoft-Dragos 合作,把 Dragos 威胁情报集成进 Microsoft Sentinel,并把 Dragos Platform 接入 Azure Marketplace;这代表 Dragos 押注竞合(Dragos 作为 Microsoft 栈内的 OT 深度层)优于与 Microsoft 捆绑 OT 监控正面竞争。面对捆绑威胁,这一战略回应是合理的,但也会削弱 Dragos 面向 Microsoft 企业客户的定价权,因为客户可能会期待 Dragos 为 Azure Marketplace 交付让价。 Claroty 的垂直扩张是范围风险,而不是直接 OT 威胁。Claroty 进入医疗(医疗设备安全)和商业楼宇后,覆盖更广的网络物理系统 TAM。如果医院系统 CISO 先为医疗采用 xDome/Medigate,并默认把 Claroty 延伸到其工业 OT 环境,Dragos 会失去这些账户的主要 OT 安全评估机会。这种交叉销售风险在制药制造(同时有 OT 和医疗设备环境)以及拥有公用事业厂房运营的一体化医疗系统等垂直行业真实存在。 Dragos 的 ICS 威胁情报库是行业内最全面的公开 OT 对手分类体系,覆盖 26 个具名组织。它来自多年活跃事件响应项目,无法购买,也难以逆向工程,因此形成复制壁垒。竞争者可以建设威胁研究能力(Claroty 的 Team82、Nozomi 的研究团队),但如果没有同样的事件响应足迹,就无法追溯性匹配 Dragos 在 OT 专属对手 TTP 上的深度。创始团队的政府背景(NSA、ICS-CERT)进一步强化了美国政府和国防关键基础设施买家对其情报可信度的认可。 AWS Manufacturing and Industrial Competency 认定(Dragos 首个获得)以及 AWS-Dragos 伙伴关系,形成一条云原生部署路径,把平台可触达基础扩展到在 AWS 基础设施上部署 OT 系统的组织。与 CrowdStrike(Falcon 集成)和 Palo Alto Networks 的类似关系扩大了生态足迹,也降低这些厂商在现有客户处替代 Dragos 的风险。 按评估严重性排序的竞争风险包括:(1)Microsoft 捆绑 OT 监控带来的价格替代;(2)Claroty 以医疗为入口向账户 OT 扩张;(3)Nozomi 在 PE 支持下整合 M&A;(4)基础 OT 资产可视性作为更广 IT 安全平台功能而商品化;(5)OT 合格从业者人才竞争限制 Dragos 的事件响应服务规模。 [CP022, CP023, CP024, CP025, CP026, CP027]
| 护城河 / 风险 | 类型 | 耐久性 / 严重性 | 机制 | 侵蚀因素 | 尽调问题 |
|---|---|---|---|---|---|
| 26 个组织 OT 威胁情报库 | 护城河 | 强(5 年以上) | 来自 IR 项目;买不到;多年沉淀 OT 专属 TTP | 竞争对手(Claroty Team82、Nozomi 研究)在扩张威胁研究能力 | 每年识别多少个新的命名组织?新威胁组织研究的管线是什么? |
| NSA/ICS-CERT 创始人可信度 | 护城河 | 强(作为品牌可持续) | 在美国政府、国防关键基础设施、公用事业 CISO 中积累信任资本 | 核心创始人 / 高管离职可能侵蚀品牌;创立已约 7 年 | 最初的创始实践者是否仍在产品领导岗位? |
| Neighborhood Keeper NERC E-ISAC 网络 | 护城河 | 强(5 年以上) | 网络效应:更多公用事业 → 更好的集体防御信号 → 更多公用事业采用 | E-ISAC 关系重新谈判;公用事业迁移到替代平台 | Series D 后 Neighborhood Keeper 还在增长吗?当前公用事业客户数量是多少? |
| MITRE ATT&CK for ICS 评估表现 | 护城河 | 中(3-5 年) | 第三方 ICS 检测效能评估;Dragos 展示了 XENOTIME 检测 | 竞争对手提交 MITRE ATT&CK ICS 评估;评估方法日趋成熟 | Dragos 是否参加了 2025-2026 年 MITRE ATT&CK for ICS 评估轮次? |
| Microsoft 捆绑 OT 监测替代 | 风险 | 有风险(正在侵蚀) | MS Defender for IoT 打包进 Azure Defender for Cloud;Microsoft 企业可用零边际成本 OT 监测 | Microsoft-Dragos 合作(2026 年 2 月)部分抵消;Dragos 上架 Azure Marketplace | Dragos 潜在客户中,100% Microsoft 体系的占比是多少?合作是否明显改变了胜率? |
| Claroty 医疗账户替代 | 风险 | 中(2-5 年窗口) | Claroty 靠医疗场景拿下药企 / 医院账户;在同一账户中延伸到 OT 环境 | Dragos 主动不碰医疗,跨垂直账户里很难反击 | 在药企和综合医疗系统账户中,Dragos 是否被 Claroty 替代?频率如何? |
| Nozomi PE 支持的整合并购 | 风险 | 中(2-5 年窗口) | Hg Capital 收购给了 Nozomi 追加并购的资产负债表空间;Nozomi 可收购 IR 公司或威胁情报创业公司,补齐与 Dragos 的差距 | Dragos 的 IR 和威胁情报护城河仍有差异化;Hg 的 OT 安全专业度待验证 | Hg 入主后,Nozomi 据报道有哪些 M&A 动作和管线? |
| OT 可视化商品化压力 | 风险 | 中(持续) | 基础 OT 资产可视化正在变成 IT 安全平台的一个功能;独立可视化的可寻址市场可能收缩 | Dragos 在可视化层之上,用检测内容和威胁情报拉开差异 | Dragos 是否跟踪潜在客户中已有基础 OT 可视化、正在采购检测 / 情报的占比? |
| OT 实战人才稀缺 | 风险 | 中(结构性) | 合格 OT 人才稀缺;Dragos 的 IR 服务扩张取决于能否从有限人才池招人 | 限制 IR 服务增长;抬高交付成本;竞争对手(Claroty、Nozomi)也在抢同一人才池 | Dragos 的 ICS/OT 工程师和 IR 实战人员人数增长轨迹如何?流失率是多少? |
耐久性评级:强 = 在当前市场动态下 5 年以上不会明显侵蚀;中 = 2-5 年且存在侵蚀风险; 有风险 = 少于 2 年,或正在发生主动侵蚀。风险严重性为分析师判断。
[CP019, CP020, CP021, CP022, CP023, CP024]基于可得证据评估 Dragos 截至 2026 年主要竞争护城河耐久性的关键指标。
KPI 分数为分析师基于公开证据给出的评级。分数反映当前证据质量和护城河耐久性,不是 Dragos 自评。鉴于 Dragos 是私营公司,所有分数都有重大不确定性。
[CP025, CP026, CP027, CP028, CP029]3.5 附录
04财务情况
4.1 收入流与商业模式
Dragos 的收入模型由多组件构成,核心是平台订阅软件,威胁情报和专业服务是重要的相邻收入流。投资人看重的主要价值驱动,是平台订阅收入(经常性 ARR):Series D 时,Dragos 披露截至 2021 年 9 月 30 日的财年平台经常性收入同比增长 >100%。这是唯一经过验证的收入增长指标。平台按设备或节点(ICS 资产)计价,采用年度订阅合同,面向订阅客户提供软件许可、内容更新(行为分析)和基于云的威胁情报集成。 威胁情报订阅可单独销售,也可与平台许可打包,覆盖 Dragos 自有的攻击者组织报告(Activity Group reports、Year in Review)、面向特定行业攻击活动的早期预警 Watch Notifications,以及 Threat Intelligence Management 门户访问。该情报产品没有直接对标竞品——没有其他 OT 安全厂商维护同等的命名组织分类体系——因此形成了独立于平台竞争的定价权。 专业服务收入包括:(1)事件响应预留服务(年度预留合同、面向 OT 环境的值守 IR);(2)OT/ICS 安全评估(架构审查、漏洞评估、NERC CIP 合规差距评估);(3)人才培养和 ICS 培训(Dragos Academy 合作);(4)通过 MSSP 渠道合作伙伴交付的托管 OT 安全服务(托管检测、托管 IR)。专业服务收入更可能是项目性而非完全经常性,会受 IR 项目和评估项目节奏不均的影响。 社区层级——OT-CERT(免费 ICS/OT 安全资源)、Community Defense Program(面向资源不足关键基础设施运营方的免费工具和威胁情报),以及 Neighborhood Keeper(通过 NERC E-ISAC 向符合条件的电力公用事业提供的免费社区威胁共享)——不产生直接收入,但能为商业平台采用沉淀销售线索:运营方安全项目成熟后,可能转向付费平台;同时也在政府和监管相关方中建立品牌可信度。AWIA 要求的水务公用事业评估、CISA 社区参与和 NERC E-ISAC 伙伴关系,都通过这个社区层级承接。 收入地域:北美(主要是美国)是核心市场。UAE OT Cybersecurity Center of Excellence、Macnica 日本合作、Singapore Digital and Intelligence Service MOU,以及覆盖 16 国的欧洲运营方论坛,都显示公司正在投入国际收入增长;但国际收入拆分没有公开披露。 [CI001, CI002, CI003, CI004, CI005, CI006]
| 收入支柱 | 定价模式 | 客群 | 合同类型 | 估计收入贡献 | 是否经常性? | 核心购买动因 |
|---|---|---|---|---|---|---|
| 平台订阅 | 按设备 / 节点年许可 | 企业(公用事业、油气、制造) | 多年订阅(1-3 年以上) | 估计占总收入 55–70% | 是(ARR) | OT 可视化、威胁检测、NERC CIP/TSA 合规 |
| 威胁情报 | 年度或季度订阅;Watch Notifications | 企业(安全团队、威胁分析师) | 年订阅;与平台打包或独立购买 | 估计占总收入 10–20% | 是(ARR) | 对手组织感知、面向行业攻击活动的早期预警 |
| 专业服务 — IR 保留服务 | 年度保留费;按事件计价 | 企业(公用事业、能源、关键基础设施) | 含待命小时的年度保留服务 | 估计占总收入 10–15% | 部分(保留费经常性) | OT 专属 IR 能力缺口;监管事件通报要求 |
| 专业服务 — 评估 | 项目制收费(按项目) | 企业(大型运营商、中端市场) | 一次性项目,可选后续服务 | 估计占总收入 5–10% | 否(项目收入) | NERC CIP 差距评估、架构审查、OT 安全成熟度评估 |
| 专业服务 — 培训 | 按席位或班级授权;Dragos Academy | 企业 OT 安全团队;政府机构 | 课程授权、年度培训订阅 | 估计占总收入 2–5% | 部分 | IT/OT 技能缺口;从业者认证需求 |
| 社区层(OT-CERT、Neighborhood Keeper) | 免费 | 资源不足的关键基础设施运营商 | 无合同 | 直接收入为零 | 否 | 市场培育、销售管线播种、监管善意 |
收入贡献占比为分析师估计;Dragos 不披露产品线收入拆分。社区层不产生直接收入。专业服务贡献按典型企业 OT 安全服务附加率估算。
[CI001, CI002, CI003, CI004, CI005, CI006]| 供应商 | 定价单位 | 估计单价 | 估计最低订单 | 估计企业订单(500+ 资产) | 合同期限 | 打包 / 包装 |
|---|---|---|---|---|---|---|
| Dragos | 按 OT 设备 / 节点 | $150–$500/设备/年(估计) | $50K–$100K(最低部署规模) | $200K–$500K+(大型公用事业) | 1–3 年;偏好多年期 | Platform + 威胁情报打包;专业服务加购;社区层免费 |
| Claroty | 按 OT 设备 / 节点 | $120–$400/设备/年(估计) | $50K–$100K(最低部署规模) | $150K–$500K+(大型企业) | 1–3 年 | Platform;Medigate(医疗加购);含 Team82 研究访问 |
| Nozomi Networks | 按 OT 设备 / 节点;可选传感器硬件 | $100–$350/设备/年(估计) | $50K(硬件 + 软件打包) | $100K–$300K+(大型企业) | 1–3 年 | Guardian 传感器 + Vantage 云 SaaS;离线部署可选硬件 |
| Microsoft Defender for IoT(OT 工业方案) | 按站点 / 设备;Azure 用量计费 | $3–$15/设备/月(Azure 公开定价) | $5K–$20K(小型 OT 站点) | $30K–$100K 独立;若与 Defender for Cloud 打包,边际成本 $0 | Azure 月度或年度订阅 | 打包进 Defender for Cloud Plan 2;可选独立版;Azure Marketplace |
| Tenable.ot | 按 IP/OT 资产年订阅 | $80–$250/资产/年(估计) | $30K(最低) | $100K–$200K(大型制造) | 1–3 年 | Tenable.ot 独立版;Tenable One 平台集成加购 |
所有 Dragos 定价都是分析师基于行业信源和交易结构推断做出的估计;Dragos 不发布价目表。竞争对手定价估计同样来自公开披露和市场分析。 数字仅代表指示性的数量级区间。
[CI001, CI003, CI008, CI009]示意性收入桥,展示 Dragos 估计 ARR 在平台订阅、威胁情报和专业服务三大支柱之间的构成,并锚定 2021 年 Series D 隐含 ARR 基线。
所有数值均为分析师估计。2021 年基准 ARR 由 $1.7B 估值按 10-15x ARR 倍数推算(约 $113-170M)。2025 年估计 ARR 采用 2021 年基数 30% CAGR 推算(未验证)。产品线拆分为分析师按行业基准估计。Dragos 未披露收入。
[CI001, CI002, CI003, CI004, CI007]4.2 单位经济模型与变现
Dragos 的单位经济模型无法精确量化,因为 CAC、LTV、毛利率和净收入留存均未披露。但业务结构本身可以支撑分析框架,给可能区间划出边界。平台订阅按设备计价并采用多年合同,结构上抬高 LTV:若一家公用事业客户监控 500+ 个 OT 资产,签下 $300K/年的平台订阅和 3 年首期合同,不计扩容、续约或专业服务附加,合同价值约 $900K。工业 OT 安全部署黏性高——切换成本包括传感器重新配置、协议解码器重新训练、SOC 工作流重配和 OT 员工再培训——说明成熟平台客户的净收入留存(NRR)可能高于 100%,由 OT 环境扩张带来的资产数量增长驱动。 专业服务附加率是混合毛利率的关键变量。纯 SaaS 订阅毛利率通常为 75–85%;专业服务毛利率为 30–50%。如果 Dragos 的专业服务占总收入 25–35%(考虑到部署较重的企业 OT 市场,以及公司强调由实战人员驱动 IR,这一区间较可能),混合毛利率会落在 55–70%——低于纯 SaaS 标杆,但对一家企业安全公司仍可持续。这会影响退出时的终局价值倍数。 客户获取成本结构由企业直销驱动,评估周期长(12–24 个月),技术评估要求高(概念验证部署、现场勘查、协议分析)。这意味着单客户 CAC 高于 SMB SaaS,但平均合同价值在规模化后可以支撑这类 CAC。Dragos 的社区项目(OT-CERT、Community Defense Program、Year in Review 报告)充当内容驱动的需求生成机制:客户先通过社区参与自我识别,再进入商业评估,从而降低入站 CAC。 2023 年 6 月裁员(约 9% 员工)释放出一个信号:2021 年后利率环境变化后,Dragos 的资本消耗快于收入增长可支撑的水平。Series D 在增长资本估值高点(2021 年)完成,2023 年市场回调迫使公司调整员工规模。自 2024 年 1 月 Series D 延展至总额 $274M 后,公司没有公开宣布后续融资。截至 2026 年 5 月仍未宣布 Series E(距延展约 30 个月),引出几个问题:Dragos 是否接近盈利、是否在主动寻求战略选项,或是在考虑推迟 IPO 或通过 M&A 退出。 [CI008, CI009, CI010, CI011, CI012, CI013]
| 指标 | 估计 / 区间 | 假设依据 | 置信度 | 风险因素 |
|---|---|---|---|---|
| 平台 ACV(企业,500+ 资产) | $200K–$400K/年(估计) | 按设备定价 $150-500 × 500-800 个受监测资产 | 低 | 每客户资产数未披露;定价未公开 |
| 平均合同期限 | 初始 2–3 年;多年期是常态 | 企业 OT 安全合同初始期限通常为 2-3 年 | 中 | 续约率和合同期限未披露 |
| 估计客户 LTV(3 年合同) | $600K–$1.2M(估计) | 3 年 ACV × 1(持平);不含扩张和 PS 附加 | 低 | 净留存和扩张未披露 |
| 混合毛利率(平台 + 服务) | 估计 55–70% | 平台 SaaS 毛利率约 75-85%;专业服务约 35-50%;服务收入占比估计 25-35% | 低 | 专业服务收入占比和毛利未披露;实际值可能明显不同 |
| 净留存率(NRR)估计 | >100%(推断) | 部署后 OT 资产数量通常会增长;切换成本高;技术型安全平台的企业合同续约历史上较强 | 低 | 未披露 NRR;单个大客户流失会显著压低 NRR |
| CAC(企业客户,直销) | 估计每个新客户 $50K–$150K | 企业安全销售周期 12-24 个月;销售团队成本按成交订单摊销;参考典型企业 IT 安全基准 | 低 | 未披露 CAC;社区入站线索(OT-CERT/Year in Review)可能降低部分交易的 CAC |
| LTV/CAC 比率(估计) | 估计 4:1–15:1 | LTV $600K-$1.2M / CAC $50K-$150K = 4:1 至 24:1;中点约 8-10:1 | 低 | 区间很宽,因为 LTV 和 CAC 输入项都不确定;未披露前无法验证 |
| 年收入流失率(总额) | 估计 <10%(结构性推断) | 初始多年期合同压低年度流失;基于 OT 传感器的平台部署切换成本很高 | 低 | 未披露总流失率;大客户集中风险可能造成阶段性高流失 |
所有数字都是分析师基于结构推断给出的估计;Dragos 不披露任何单位经济模型。LTV 计算假设初始合同 3 年、续约率 90%+(典型企业 OT 安全水平),并因资产增长带来 15% 扩张。 CAC 参照企业安全行业技术直销基准估计。毛利率按 SaaS(75-85%)和服务(30-50%)加权平均估算。
[CI008, CI009, CI010, CI011, CI012, CI013]分析师对 Dragos 每个企业客户单客经济性的估计,从总 ACV 到扣除估计混合毛利率和估计 CAC 摊销后的估计净贡献。
所有数值均为代表性中型企业客户(500 个 OT 资产、3 年合同)的分析师估计。混合毛利率假设为 65%,基于估计 70% 平台毛利率、40% 服务毛利率和估计 25% 服务占比。CAC 取自企业安全行业基准估计。上述数字均未获 Dragos 披露验证。
[CI007, CI008, CI009, CI010, CI011, CI012]Dragos 当前和预测收入的财务估算情景区间;在缺少公开财务披露的情况下,展示 2025 和 2028 年乐观 / 基准 / 悲观情景。
所有数值均为分析师估计。基准情景采用从 2021 年 $140M 锚点起算的 30% CAGR。乐观情景采用 40% CAGR。悲观情景采用 20% CAGR。2028 年预测假设同一 CAGR 延续。没有 Dragos 公开财务数据可锚定这些估计。不确定性很高。
[CI013, CI015, CI024, CI025, CI026]4.3 资本结构与融资历史
Dragos 已通过多轮风险投资和增长股权融资约 $440M,战略投资者包括 Koch Disruptive Technologies、BlackRock Alternative Capital、Rockwell Automation、Emerson Electric 和 Hewlett Packard Enterprise,财务领投方包括 National Grid Partners、AllegisCyber Capital、DataTribe 和 1011 Ventures。2021 年 10 月的 $200M Series D、投后估值 $1.7B,是公司单轮最大融资;2024 年 1 月的延展把 Series D 总额提高到 $274M,说明 Dragos 更可能调用已承诺但尚未部署的资本,而不是完成单独新一轮融资——这是延长跑道、同时不触发新估值标记的常见机制。 战略投资者画像反映 Dragos 的商业与国家安全双重定位。Koch Industries(Koch Disruptive Technologies)带来能源和工业运营方客户引荐。BlackRock 通过其实物资产平台连接关键基础设施资产所有者。Rockwell Automation 是一线工业自动化厂商,拥有大量 PLC 和控制系统装机基础,天然适合部署 Dragos Platform。Emerson Electric 同样在流程工业中提供 OT 环境入口。HPE 提供边缘计算和基础设施集成语境。这些战略投资者并不被动:Rockwell Automation 合作和 Macnica 日本分销合作,都是投资者关系带来的产物。 总融资 $440M、峰值估值 $1.7B,意味着 Series D 后的所有权稀释结构需要足够大的 ARR 才能让投资人收益超过 $1.7B 估值标记。按私募股权或战略收购退出中典型 SaaS 估值 5–15× ARR 计算,ARR 需要达到 $300M–$700M。如果 Dragos 的 ARR 处在分析师估算的 $200–350M 区间(未验证),当前运营 ARR 可能还不足以让 Series D 投资人在 2021 年估值上回本。这种财务动态可能更有利于战略收购,并相较公开市场可比公司获得溢价(Dragos 的政府可信度和 OT 威胁情报,对防务承包商、国家安全买家,或寻求 OT 深度的 IT 安全平台具有额外战略价值),而不是在当前 SaaS 倍数下 IPO。 未有公开披露的未偿债务工具、可转债或授信额度。Dragos 连续五年入选 Deloitte Technology Fast 500(截至 2024 年),并持续获得分析师认可(Gartner Leader、Frost & Sullivan FrostRadar #1 Innovation),说明收入增长动能健康;但缺少财务披露,$440M 融资对应的烧钱速度和跑道影响无法量化。 [CI016, CI017, CI018, CI019, CI020, CI021]
| 融资轮次 | 日期 | 金额 | 投后估值 | 领投投资方 | 重要战略投资方 | 隐含 ARR(估计) | 用途 / 里程碑 |
|---|---|---|---|---|---|---|---|
| 种子轮 / Series A 轮 | 2016–2017 | 约 $10M(估计) | 未披露 | DataTribe, 1011 Ventures | — | 收入前到早期产品阶段 | 初始产品开发;ICS 检测平台 MVP |
| Series B 轮 | 2018 | ~$37M | 未披露 | DataTribe, AllegisCyber | National Grid Partners | — | 平台商业化;首批电力公用事业客户 |
| Series C 轮 | 2019 | ~$110M | 未披露 | Blackstone、Koch Disruptive Technologies、NightDragon 等财务投资方 | Rockwell Automation, Emerson Electric | 约 $30–50M ARR(估计) | 扩充销售团队;扩大政府客户和国际覆盖 |
| Series D 轮 | Oct 2021 | $200M | $1.7B | Koch Disruptive Technologies、BlackRock Alternative Capital 等领投方 | HPE, Emerson, Rockwell Automation | 约 $113–170M ARR(估计,10-15x 收入倍数) | 披露平台经常性收入同比增长 >100%;在全球扩展 OT 市场 |
| Series D 延展轮 | Jan 2024 | $74M(延展轮) | $1.7B(估计未变) | 现有投资方(未披露新领投方) | 现有战略投资方 | 约 $150–250M ARR(估计,仍在增长) | 延长现金跑道;估值未上调;2023 年裁员后管理运营成本 |
| 累计融资 | 2016–2024 | 累计约 $440M | $1.7B 峰值(2021) | 多家财务和战略投资方 | Koch、BlackRock、Rockwell、Emerson、HPE、National Grid 等投资方 | — | 截至目前的融资全貌;截至 May 2026,公司尚未宣布 Series E 轮 |
所有财务数字来自公开披露的融资轮或投资人公告。Series D 隐含 ARR 是基于估值锚点的分析师估计。烧钱速度估计来自员工数 × 平均全成本薪酬基准;Dragos 未验证或披露。
[CI016, CI017, CI018, CI019, CI020, CI021]Dragos 资本结构流向图,展示从投资者资本到收入模型、现金流用途和退出可选性的路径。
这是结构性 / 方向性流图;边上的美元数均未验证。节点值反映已披露融资总额和分析师收入估计。现金流用途根据商业模式结构、员工数和公开披露推断。
[CI016, CI017, CI018, CI019, CI020, CI022]4.4 财务透明度缺口与尽调问题
在同等规模的主要私营网络安全公司中,Dragos 属于财务透明度最低的一类。几个因素叠加,造成严重的财务尽调挑战:(1)估值锚点已过去五年($1.7B,2021 年 10 月);(2)2021 年后没有 ARR 或收入披露;(3)2024 年 1 月做的是 Series D 延展而非新一轮融资(说明公司可能在延长跑道,也可能无法在 2021 年后倍数压缩环境中拿到更高估值);(4)没有 IPO S-1 或公开 M&A 交易。唯一可独立验证的财务数据点是:Series D 融资轮次(已披露)、平台经常性收入同比增长 >100% 的指标(2021 年披露)、2023 年 6 月裁员(约 9%,公开报道)以及 Deloitte Fast 500 多年排名。 任何投资或 M&A 场景下的财务尽调,都需要查看 Dragos 经审计财务报表;最低限度也要拿到按产品线拆分的 ARR(平台、威胁情报、专业服务)、按产品线拆分的毛利率、净收入留存、按合同规模划分的客户数量,以及当前烧钱速度和跑道。2021 年披露的 >100% 增长,很可能来自较小的绝对基数;如果当前增长率低于 50%,就意味着相较 Series D 披露出现了明显减速。 CISA 与 Dragos 联合发布的网络安全公告(涉及多个关键 OT 威胁)间接验证了 Dragos 的市场地位和政府信任度,但不提供财务数据。CISA 公告共同署名关系是产品质量和品牌信号,不是财务指标。 IPO/退出时点仍然开放。网络安全 IPO 市场在 2025 年部分恢复(数家安全公司完成 IPO 或 SPAC 合并),但专注 OT 的纯厂商在公开市场面临估值压缩风险,问题集中在市场规模边界是否足够明确、专业服务对毛利率的拖累,以及销售周期过长。如果估值没有显著修复,2026–2028 年窗口内,更可能的退出路径是被防务承包商(Leidos、SAIC、Booz Allen)、IT 安全平台(Palo Alto Networks、CrowdStrike、Cisco)或工业自动化厂商(Rockwell Automation、Honeywell、Emerson 已是投资者)战略收购,而不是 IPO。 [CI023, CI024, CI025, CI026, CI027, CI028]
| 财务指标 | 是否公开可得? | 最后已知数值 / 日期 | 最佳代理信号 | 缺口严重性 | 尽调问题 |
|---|---|---|---|---|---|
| 总 ARR / 收入 | 否 | 平台经常性收入同比增长 >100%(仅限截至 Sep 30, 2021 的期间) | Series D 估值锚点暗示 2021 年 ARR 约 $113-170M;分析师估计 2025 年为 $200-350M(未经验证) | 关键 | 要求提供 FY2022-FY2025 按产品线拆分的 ARR 经审计财务数据 |
| 收入增长率(当前) | 否 | 同比 >100%(2021,基准年份未知) | 连续 5 年入选 Deloitte Fast 500,显示仍在增长;未披露增速 | 关键 | 2021 至 2025 年 ARR CAGR 是多少?增长率是否已降至 30% 以下? |
| 毛利率(综合) | 否 | 未披露 | 企业 SaaS + 服务行业基准;基于服务收入占比估计作结构性推断 | 高 | 要求提供按收入线拆分的经审计毛利率(平台软件 vs. 专业服务) |
| 净留存率 | 否 | 未披露 | 企业 OT 安全切换成本和多年期合同显示 NRR 可能 >100%;未经验证 | 高 | Dragos 平台订阅客户的 NRR 是多少?是否高于 110%? |
| 客户数 | 否 | 未披露(Oct 2021 披露 84 家 Neighborhood Keeper 公用事业单位——只是客户子集) | 分析师估计商业客户总数为 500-1,000 家(未经验证) | 高 | 要求按产品档位和合同规模提供商业客户总数 |
| 烧钱速度 / 月度现金消耗 | 否 | 未披露 | June 2023 裁员和 Series D 延展轮(Jan 2024)显示公司主动管理烧钱速度;未披露具体速率 | 高 | 截至 Q1 2026,Dragos 月度烧钱速度和现金跑道是多少? |
| 总留存 / 流失 | 否 | 未披露 | 多年期合同和 OT 传感器切换成本暗示总流失率 <10%;未经验证 | 中 | 要求按队列年份提供总 Logo 留存率和总收入留存率 |
| CAC / LTV | 否 | 未披露 | 企业安全行业基准显示 CAC 为 $50K-$150K;LTV 模型为 $600K-$1.2M;未经验证 | 中 | 要求按细分市场(公用事业 vs. 制造业)和交易规模档位提供综合 CAC 和 LTV |
| EBITDA / 经营亏损 | 否 | 未披露 | June 2023 裁员显示存在经营亏损;Deloitte Fast 500 显示收入增长;没有可用利润数据 | 高 | 要求提供 FY2022-FY2025 的 EBITDA 和经营性现金流 |
| 国际收入结构 | 否 | 未披露 | UAE CoE、Macnica Japan、Singapore MOU、European Forum(16 个国家)显示公司积极投入国际市场;未拆分披露收入 | 中 | 北美以外贡献了多少 ARR?国际 ARR 增长率是多少? |
本表记录尚不清楚的事项。代理信号只是间接证据,不能替代经审计披露。所有缺口都会给任何估值分析带来重大不确定性。
[CI023, CI024, CI025, CI026, CI027, CI028]4.5 证据要点
05产品与技术
5.1 Dragos Platform 3.0——产品组合与模块架构
Dragos Platform 3.0 于 2025 年 9 月 23 日发布,是公司的旗舰 OT 网络安全软件套件。它通过一个为工业控制系统(ICS)和运营技术(OT)环境专门打造的统一界面,交付四项集成能力:资产可视化、OT 网络监控与威胁检测、漏洞管理和事件响应。平台面向电力、油气、制造、水务、交通和化工等行业的资产所有者销售,部署对象是负责保护 SCADA 系统、PLC、HMI 以及控制物理流程的工程工作站的安全团队。 3.0 版本的核心是 Insights Hub。它把风险加权后的漏洞、资产和威胁告警整合成一个按优先级排序的单一视图,替代手工关联分散工具输出的工作。每个告警都配有专家编写的 playbook,因此任何经验水平的分析师都能获得清晰指引:应该调查什么、如何响应。Dragos 的目标是清除缺乏上下文的通知带来的告警疲劳,从而压缩平均分诊时间。 Platform 3.0 的硬件创新包括 STS-50 传感器——一种占用空间更小的设备,使过去缺少机架空间或供电预算、无法部署全尺寸传感器的分布式和远程 OT 站点也能接入。除 STS-50 外,Dragos 还推出了面向小型环境的 Sensor/SiteStore 一体化形态,并扩展 Active Collection 模式。该模式使用基于轮询的查询,把资产发现延伸到隔离网络和间歇连接站点;如果只靠被动监控,这些站点会留下覆盖缺口。 平台软件之外,Dragos 提供两档 OT Watch 托管服务。OT Watch 提供 24/7 专家威胁狩猎和高置信度告警升级。OT Watch Complete 增加主动安全加固、平台调优,以及从检测到调查全生命周期的专家管理。两档服务都由受过 OT 训练的分析师交付,而不是从 IT SOC 转岗来的人员;Dragos 将这一点列为区别于进入 OT 领域的 IT 安全厂商的重要差异。 [CE001, CE002, CE003, CE006, CE007, CE008]
| 模块 | 主要用户 | 核心能力 | 状态(May 2026) | 关键差异点 | 尽调缺口 |
|---|---|---|---|---|---|
| 资产可视化 | OT 安全团队 | 被动发现 OT/IT/IoT/IIoT 资产;支持 600+ 协议 | 正式可用 — Platform 3.0 | 无需 Agent;适用于零停机 OT 环境 | 未公布确切资产盘点覆盖率和传感器部署指引 |
| 威胁检测 | OT 安全分析师 | 行为分析、映射到 MITRE ATT&CK for ICS 的 TTP、异常与配置监控 | 正式可用 — 持续更新 | WorldView 每周发布 Knowledge Pack;检测逻辑来自真实 OT 事件 | 误报率和精确率 / 召回率基准未公开披露 |
| 漏洞管理 | 安全 / 风险团队 | OT 校正的 CVSS 评分;Now/Next/Never 优先级;约 2-6% 标记为需立即处理 | 正式可用 — 3.0 中加入 AI 增强 | 专家分析师提供 OT 上下文;2025 年发现 25% 的 NVD CVSS 评分有误 | 相对于全量 ICS 产品范围的覆盖完整度未披露 |
| Insights Hub | 安全负责人、分析师 | 按风险加权的统一视图,整合漏洞、资产和威胁告警,并附专家处置手册 | 正式可用 — Platform 3.0 新功能 | 单一优先级视图省掉跨平台模块的人工关联 | 分诊耗时改善指标尚无独立基准 |
| 威胁情报(WorldView) | 分析师、CISO | 对 26 个已跟踪 OT 威胁组织做对手研究、IOC 和 TTP;ICS 恶意软件分析 | 正式可用 — 订阅 | OT 专属情报;没有同等商业产品以这一深度覆盖 OT 原生 TTP | WorldView 订阅价格未披露;与非 Dragos SIEM 的集成深度不清楚 |
| OT Watch / 托管服务 | 资源不足的 OT 团队 | 7×24 小时专家监控、威胁狩猎、经验证的高置信度升级 | 正式可用 — 两档(OT Watch、OT Watch Complete) | OT 专家团队;不是外包 IT SOC;与平台 Insights Hub 集成 | SLA、升级时间和容量上限未公开披露 |
| 事件响应服务 | IR / 恢复团队、高管 | Rapid Response Retainer、取证、桌面演练、IR 计划评估 | 正式可用 — 预先审批的预付服务模式 | 预先审批合同缩短动员时间;具备 OT 专用处置手册和取证能力 | 响应时间保证和预付服务定价未公开对标 |
| Neighborhood Keeper | 所有 Dragos Platform 客户 | 匿名化集体防御;自动分发 Knowledge Pack;可信洞察告警 | 正式可用 — 可选择加入,免费 | 双重匿名化;截至 2021 年,84+ 家公用事业单位以机器速度共享 | 2026 年当前参与数量和活跃共享指标未确认 |
| OT-CERT | 全球资源不足的公用事业单位 | 免费 CVE 协调、指南、培训、桌面演练模板和工作会议 | 正式可用 — 免费会员 | 覆盖 64 个国家的 2,400+ 名成员;同等规模下唯一免费的 OT 专用 CERT 项目 | 修复跟进率和成员参与指标未公开跟踪 |
| Community Defense Program | 营收低于 $100M 的美国 / 加拿大公用事业单位 | 永久免费使用 Platform + Neighborhood Keeper + OT-CERT + Dragos Academy | 正式可用 — 美国(Dec 2023)、加拿大(Mar 2025) | 永久免费访问;与 Elastic 合作实现可扩展部署 | 注册组织数量和平台采用率未披露 |
状态依据截至 May 2026 的 Dragos 官方产品页和新闻稿。按模块拆分的收入贡献未披露(私营公司)。列出的尽调缺口是正式尽调时应追问的目标。
[CE001, CE002, CE003, CE004, CE007, CE008]Dragos Platform 是一套六层 OT 安全架构,覆盖物理传感器、核心平台模块、威胁情报、AI 工作流、托管服务,以及社区 / 生态项目。
[CE001, CE002, CE007, CE008, CE015, CE016]5.2 Dragos WorldView 威胁情报与攻击者跟踪
Dragos WorldView 是公司仅面向 OT 的威胁情报产品,向安全分析师和高管干系人提供攻击者研究、ICS 恶意软件分析、漏洞洞察和战略情报。WorldView 是唯一专注运营技术的商业威胁情报服务;CrowdStrike、Mandiant 等 IT 威胁情报厂商会顺带覆盖 ICS,但没有同等规模或深度的专门 OT 攻击者跟踪团队。 截至 2026 年 2 月年度报告发布,Dragos 在全球跟踪 26 个命名 OT 威胁组织,其中 11 个在 2025 年活跃。年内识别出三个新组织:SYLVANITE 担任初始访问经纪人,把立足点移交给 VOLTZITE 以便后者深入 OT 入侵;AZURITE 针对工程工作站开展长期 OT 数据外传,并与 Flax Typhoon 存在技术重叠;PYROXENE 在航空、航天、防务和海事行业开展供应链入侵,并与 IRGC-CEC 存在重叠。KAMACITE 在 2025 年系统性扫描美国基础设施控制回路;ELECTRUM 则对波兰能源系统部署 wiper 恶意软件,显示攻击者正从侦察推进到试图影响实际运营。 情报通过每周 Knowledge Packs 落地,并自动推送到 Dragos Platform,其中包含更新后的检测、OT 专用漏洞评分,以及与当前攻击者战术对齐的 playbook。这个从情报到平台的反馈回路,意味着客户无需分析师手工介入,也能持续获得更新后的威胁覆盖。WorldView 可作为独立门户订阅,也嵌入到平台层级客户的部署中。 2026 年年度报告发现,针对工业组织的勒索软件团伙同比增加 64%,共有 119 个团伙攻击全球 3,300 家组织。Dragos 还发现,2025 年 ICS-CERT 和 NVD 漏洞公告中,25% 的 CVSS 评分错误,26% 没有补丁或缓解指引——这说明 Dragos 经 OT 校正的漏洞情报价值,超出了通用公共公告。 [CE004, CE011, CE012, CE013, CE014, CE016]
| 日期 / 时段 | 功能 / 里程碑 | 状态 | 战略含义 |
|---|---|---|---|
| 2016–2019 | Platform v1.0:面向 ICS/OT 环境的资产可视化和基础威胁检测;创始实战团队来自 NSA/USAF 背景 | GA — 基础版本 | 确立商业化 OT 监测市场;首个由一线实战人员打造的 ICS/OT 安全平台 |
| 2020–2022 | 推出 Neighborhood Keeper;与 E-ISAC、ONG-ISAC、DNG-ISAC 建立合作;84 家公用事业采用 NK;Series D 轮($200M,估值 $1.7B) | GA — 社区项目成熟 | 在竞争对手之前筑起集体防御护城河;社区模型得到验证;全球扩张获得资金 |
| Sept 2025 | Platform 3.0:Insights Hub、AI 增强漏洞分析、STS-50 传感器、Active Collection、OT Watch Complete 层级 | GA | 按风险整合平台数据;分析师更快拿到价值;AI 加速后台漏洞运营 |
| Jan–Mar 2026 | 入选 2026 Gartner Magic Quadrant 领导者(连续第二年;March 9, 2026) | 认可已发布 | 品类领导地位获得独立背书;推动企业销售验证,也增强合作伙伴信心 |
| Feb 2026 | Microsoft 合作:Azure SaaS 部署(Q1 2026)、Microsoft Sentinel OT 集成、Marketplace 上架 | GA(Q1 2026) | 押注 IT/OT 融合;SaaS 交付打开新市场;Marketplace 采购降低企业落地摩擦 |
| Feb 2026 | 2026 OT/ICS Cybersecurity Report:新增 3 个威胁组织(SYLVANITE、AZURITE、PYROXENE);跟踪总数 26 个;勒索软件同比 +64% | 已发布 — 年度报告 | 年度研究领导力维持分析师心智;26 个跟踪威胁组织是竞争护城河指标 |
| Q1 2026 | Azure 上 SaaS 部署启动;Platform MCP Server 支持企业 AI 工具集成 | 交付中 | 云交付模型打开中端市场和 Azure 深度绑定企业;MCP Server 扩展 AI 集成触点 |
| 2026(未确认) | FedRAMP 授权;扩展 AI 分析师工作流;覆盖新的工业行业 | 路线图 — 尚未公开宣布 | FedRAMP 到位前,美国联邦 OT 安全市场无法进入;AI 工作流成熟度关系到分析师留存和竞争定位 |
标为「未确认」的路线图项目来自战略方向或市场背景推断,不来自公开公告。已确认里程碑引用 Dragos 官方新闻稿。
[CE001, CE017, CE018, CE025, CE026, CE029]Dragos 的核心 OT 监控平台已经完全成熟且高度差异化;AI/SaaS 功能仍处早期,来自 IT 原生厂商向 OT 迁移的竞争风险更高。
[CE001, CE002, CE004, CE005, CE015, CE020]5.3 技术架构——OT 原生、被动优先、情报驱动
Dragos Platform 的核心架构原则是 OT 原生:它从底层为工业环境构建,而不是从 IT 安全工具改造而来。平台把被动网络监控作为主要数据采集模式,部署传感器对网络流量做深度包检测,并用专有解析器解析 600+ 种工业协议,包括 MODBUS、DNP3、EtherNet/IP、IEC 61850、OPC-UA、Profinet 以及数十种厂商专有协议。这种被动方式不需要在 OT 设备上安装代理——这是关键设计选择,因为许多 ICS 设备运行在专有固件上,无法支持代理软件;PLC 或 HMI 系统上的计划外软件变更还可能触发安全停机。 Dragos Intelligence Fabric 位于平台 AI 与知识架构中心。它把攻击者跟踪数据、客户环境中的 OT 遥测、资产与协议专长、漏洞研究,以及一线事件响应观察整合成持续反馈回路。这个专有数据集建立在近十年的 OT 事件响应和威胁狩猎之上,支撑平台的 AI 增强漏洞分析,以及 2025–2026 年引入的自然语言查询能力。分析师可以用普通英文查询自己的 OT 环境,并获得基于 Intelligence Fabric、而非通用 AI 模型的答案。 2026 年 2 月与 Microsoft 合作后,云与集成架构显著扩展。自 2026 年 Q1 起,除既有本地部署和混合模式外,Dragos Platform 还支持在 Microsoft Azure 上以 SaaS 方式部署。OT 专用遥测、威胁情报和资产上下文现在可以直接流入 Microsoft Sentinel,使已经把 Sentinel 作为 SIEM 的组织能够统一开展 IT/OT 检测、调查和响应。客户可通过 Microsoft Marketplace 采购 Dragos,并使用 Azure 消费承诺,从而降低企业买家的采购摩擦。 AWS 集成早于 Microsoft 合作。2023 年 1 月,Dragos 获得 AWS Manufacturing and Industrial Competency,成为首个带有 OT Security 资质标识的合作伙伴。Koch Industries 在 AWS 上部署该平台,并报告称由此获得了过去无法实现的 ICS/OT 资产可视化。 [CE002, CE015, CE016, CE017, CE018, CE019]
| 层级 / 组件 | 技术 / 方法 | 外部依赖 | 关键风险 |
|---|---|---|---|
| 数据采集 — 传感器 | STS-50 被动传感器;Combined Sensor/SiteStore;专有硬件;面向隔离站点的 Active Collection 模式 | 专有硬件供应链;第三方制造 | 硬件供应中断;远程和隔离站点部署复杂 |
| 协议解析器 | 600+ ICS/OT 协议解码器(MODBUS、DNP3、EtherNet/IP、IEC 61850、OPC-UA、Profinet 等);专有解析器库 | 内部 R&D;部分协议规范需要厂商授权 | 新的或厂商专有协议需要持续 R&D 投入;可能存在覆盖缺口 |
| 检测引擎 | 行为分析 + 威胁指标匹配(IOC)+ 异常检测 + 配置监控;四机制设计 | Dragos WorldView 威胁情报团队产出;Knowledge Pack | 情报团队人员流失或产能受限,可能拖慢新检测覆盖 |
| 情报底座 | 自有 OT 知识库:对手跟踪、OT 遥测、资产 / 协议专长、IR 数据;积累 10+ 年数据 | 仅内部使用;未披露该底座本身依赖第三方 AI 模型 | 数据集质量取决于 Dragos 服务项目量;无法独立审计 |
| AI / 分析师工作流 | AI 增强漏洞分析;用自然英语查询 OT 环境;Dragos Platform MCP Server 用于企业 AI 集成 | 基于云的 AI 推理(具体提供商未完全披露);Microsoft Azure 合作关系 | 新型 OT 边缘场景存在准确性风险;截至 2026 年,大规模企业采用尚未验证 |
| 云 / SaaS 部署 | SaaS 运行在 Microsoft Azure 上(Q1 2026);也支持混合部署和本地部署 | Microsoft Azure 基础设施 | SaaS 客户面临 Azure 中断风险;非美国市场有数据主权要求 |
| SIEM 集成 | Microsoft Sentinel OT 连接器;OT 遥测、威胁情报和资产上下文写入 Sentinel | Microsoft Sentinel API 和 schema 版本 | 集成质量取决于 Sentinel API 稳定性;非 Sentinel SIEM 集成功能较少 |
| Knowledge Pack 分发 | 通过 Neighborhood Keeper 网络每周自动更新;包括新 CVE、检测和处置手册 | 互联网连接;Neighborhood Keeper 网络可用性 | 隔离站点必须手动应用 Knowledge Pack;隔离环境存在更新滞后风险 |
架构来自 Dragos Platform 3.0 新闻稿、Microsoft 合作公告、AI for OT security 页面和 Gartner 同行评论。Dragos 未发布详细技术架构规格。
[CE002, CE015, CE016, CE017, CE018, CE030]Dragos 的关键外部依赖包括 Microsoft(云部署和 SIEM)、AWS(云能力)、ISAC 合作(集体防御)、硬件供应链(传感器)和渠道合作伙伴生态。
[CE017, CE018, CE019, CE025, CE026, CE029]5.4 专业服务——事件响应、评估与托管监控
Dragos 的专业服务组合补充平台能力,也构成单独收入流,并把情报反哺产品开发。服务组织由具备政府和军方网络背景的 OT 安全实战人员组成,和创始团队画像一致;在 ICS 事件响应项目中,这种可信度是 IT 背景顾问难以匹配的。 Rapid Response Retainer 为组织提供预先审批的合同,缩短活跃 OT 事件发生时的动员时间。预留服务客户会获得入门工作坊,用来评估现有 IR 计划,并通过桌面演练在真实事件发生前识别缺口。Burndown 选项允许组织把预留小时数用于培训和演练,而不是等待事件发生。该模式类似危机管理中的法律顾问预留服务,在平台订阅之外创造经常性服务收入。 评估服务包括 OT Cybersecurity Assessments(评估网络设计和安全控制)、Network Vulnerability Assessments、OT 环境渗透测试,以及同时测试防御检测和进攻模拟的 Purple Team 演练。Architecture Reviews 对 NERC CIP 合规尤其相关,因为它们会评估分段和监控配置是否满足监管要求。 OT Watch 和 OT Watch Complete 把托管服务延伸给缺少内部 OT 安全人员的组织。OT Watch 提供 24/7 专家监控和升级;OT Watch Complete 管理完整的检测到调查生命周期,并包括主动安全加固。两档服务都与平台的 Insights Hub 集成,并受益于每周 Knowledge Pack 更新。托管服务模式也提高黏性:采用 OT Watch 的客户更不容易从底层平台订阅流失,因为服务团队已经嵌入其运营。 [CE007, CE008, CE009, CE022, CE023]
| 操作方待完成任务 | 当前挑战 | Dragos 解决方案 | 可衡量收益 | 已知限制 |
|---|---|---|---|---|
| 在不扰动运营的情况下发现并盘点 OT 资产 | 传统 OT 环境缺少集中资产登记;IT 工具无法解析 OT 协议 | 用 600+ 协议解析器做被动网络发现 + 面向隔离站点的 Active Collection | 无需安装 Agent,也不造成生产停机,即可完成 OT/IT/IoT 资产盘点 | 准确性取决于传感器部署位置;部分厂商专有协议可能需要定制解析器 |
| 在 OT 专用威胁造成运营中断前发现它们 | IT SIEM 工具未针对 ICS 调优,告警疲劳严重;分析师缺少 OT 上下文,难以分诊 | 针对 ICS TTP 调优的行为分析、配置监控和 Knowledge Pack 检测 | 具备 OT 可视化的组织平均 5 天遏制 OT 勒索软件,行业平均为 42 天 | 尚无独立第三方发布检测精确率 / 召回率基准;驻留时间对比来自公司自报 |
| 在不危及生产正常运行的情况下确定漏洞优先级并修复 | 数千个 CVE 缺少 OT 上下文;CVSS 分数不能反映运营或生产安全风险 | Now/Next/Never 框架结合 OT 校正 CVSS;专家制定 OT 安全的替代修复方案 | 只有约 2-6% 的 CVE 被标记为需立即处理,大幅减少分析师噪声 | 覆盖度取决于 Dragos 分析师产能;新披露的 ICS CVE 可能比 NVD 滞后数天到数周 |
| 用 OT 专门能力响应 OT 网络事件 | 缺少 OT 专用 IR 处置手册;IT IR 团队缺乏 ICS 流程知识,难以安全恢复 | Rapid Response Retainer 配 OT 专家响应人员;预先审批合同;桌面演练 | 预先审批的预付服务缩短动员时间;OT 取证在不扰动流程的情况下保全证据 | 预付服务价格、容量和 SLA 条款未公开披露;多客户事件同时发生时,容量可能受限 |
| 为电力公用事业 OT 环境证明 NERC CIP 合规 | 不同变电站和发电环境面对复杂 CIP 要求,文档负担重 | 平台被动监控对齐 CIP-015 INSM;Architecture Reviews 用于评估 CIP 缺口 | 平台日志生成兼容 CIP 审计的证据;Architecture Reviews 将控制项映射到具体 CIP 要求 | Dragos 支持 CIP 项目,但不保证通过认证;服务项目会在平台订阅之外增加成本 |
5 天 vs. 42 天的勒索软件驻留时间来自 Dragos 2026 OT/ICS Cybersecurity Report。其他收益是基于 Dragos 官方文档和从业者评论的定性评估。
[CE002, CE010, CE004, CE009, CE024]Dragos Platform 支持闭环 OT 安全运营周期,从被动资产发现到威胁响应和持续加固,社区情报再回流到检测。
[CE002, CE003, CE004, CE010, CE016, CE032]5.5 社区防御——Neighborhood Keeper、CDP、OT-CERT 与 ISAC 伙伴关系
Dragos 的社区防御策略,使其区别于任何 IT 安全厂商和大多数 OT 安全竞争者。公司建立了三个不同的社区项目,产生网络效应——每个参与者都会让所有参与者更安全——同时为较小公用事业构成长线客户获取漏斗;这些组织安全项目成熟后,可能升级为付费平台订阅。 Neighborhood Keeper 是面向所有 Dragos Platform 客户的免费自愿加入匿名威胁情报共享网络。它采用双重匿名化:组织 ID 不会映射到连接证书,因此参与者可以共享威胁遥测,而不暴露数据来自哪家组织。Knowledge Packs 会自动分发给所有参与者,确保某家公用事业观察到的威胁指标,可以在数小时内被 84+ 家参与公用事业全部阻断。Neighborhood Keeper 合作伙伴包括面向电力行业的 North American Electric Reliability Corporation E-ISAC、面向油气行业的 ONG-ISAC,以及面向下游天然气的 DNG-ISAC。 OT-CERT(OT Cyber Emergency Readiness Team)是 Dragos 面向资源不足 ICS/OT 运营方的免费社区。截至 2025 年 3 月,OT-CERT 在 64 个国家拥有 2,400 多名成员,向他们提供免费的操作指南、桌面演练模板、培训材料和互动工作会。OT-CERT 可免费加入,是 Dragos 覆盖面最广的漏斗顶部社区参与机制。 Community Defense Program(CDP)是三者中最定向的项目。它向符合条件的美国和加拿大水务、电力、天然气公用事业提供永久免费的 Dragos Platform 软件、Neighborhood Keeper 和 OT-CERT 会员资格,条件是年收入低于 $100M USD。CDP 于 2023 年 12 月在美国启动,2025 年 3 月扩展到加拿大,由 Elastic 合作支持;Elastic 免费提供 Elasticsearch,以支撑平台部署。这些小型公用事业往往是勒索软件和民族国家侦察最容易下手的目标;CDP 服务这一使命,同时在运营方中建立品牌忠诚度。随着这些组织成长,相关人员未来可能成为决策者或客户背书。 [CE025, CE026, CE027, CE028]
5.6 生态、伙伴计划、合规支持与平台缺口
Dragos 的销售生态包括 100 多家渠道合作伙伴,覆盖托管安全服务提供商、系统集成商和技术经销商。Dragos Global Partner Program 于 2023 年 6 月启动,是唯一把技术、威胁情报、专业服务和培训纳入同一计划的 OT 渠道项目。它在 2024 年获得 5-Star CRN Partner Program 评级,Dragos 渠道副总裁也入选 2024 CRN Channel Chief。合作伙伴包括 Booz Allen Hamilton、Optiv、CyberCX 等全球公司,也包括 1898 & Co.、ABS Group 等专业 OT 公司。 战略技术集成不止 Microsoft 和 AWS。平台包含面向主要 SIEM 平台的连接器,并与安全编排工具集成。Dragos Platform MCP Server 于 2025–2026 年推出,使企业 AI 工具可以直接连接平台数据,让组织用既有 AI 环境查询 OT,而不要求用户学习新界面。 NERC CIP 合规是电力公用事业客户的重要使用场景。Dragos Platform 的被动监控方式与 NERC CIP-015 内部网络安全监控要求一致,平台生成的事件日志和告警也兼容 CIP 审计文档。Dragos 服务团队的 Architecture Reviews 帮助客户把部署映射到 CIP 控制要求,从而降低合规负担。 关键平台缺口包括:截至 2026 年 5 月,尚无确认的 FedRAMP 授权。这会阻止 Dragos 在没有额外采购绕道的情况下竞争美国联邦机构 OT 安全合同。公司没有发布 FedRAMP 路线图或时间表。此外,虽然 Platform 3.0 已提供 AI 增强漏洞分析和自然语言查询,但这些 AI 功能在规模化场景下的准确性和企业采用度仍未验证。最后,Dragos 平台运营没有确认公开的 SOC 2 Type II 或 ISO 27001 认证,这可能成为部分企业安全买家的采购门槛。 [CE019, CE020, CE021, CE024, CE029, CE033]
| 控制 / 认证 | 状态(May 2026) | 范围 | 缺口或尽调问题 |
|---|---|---|---|
| Gartner Magic Quadrant — 领导者 | 连续第二年被评为领导者(March 2026) | CPS(Cyber-Physical Systems)保护平台类别 | Gartner 评级依据其公开评估标准;不是独立安全审计或合规认证 |
| Frost & Sullivan FrostRadar — #1 创新领导者 | 已获得(2025 报告) | OT 网络安全解决方案市场 | 分析师评估使用专有方法论;不是认证;结果未经独立审计 |
| CRN 5 星合作伙伴计划 | 已获得(2024) | 渠道合作伙伴计划质量、培训和支持 | 合作伙伴满意度或计划结果指标没有独立验证 |
| AWS Manufacturing and Industrial Competency — OT 安全 | 已获得(首个 OT 安全合作伙伴,Jan 2023) | 部署在 AWS 云上的 OT 网络安全解决方案 | AWS Competency 验证架构和客户案例;不是安全认证或审计 |
| NERC CIP 合规支持 | 平台对齐 CIP 要求,包括 CIP-015 INSM | 电力公用事业关键基础设施保护标准(美国 / 加拿大) | Dragos 提供支持,但不保证取得 CIP 合规认证;完全合规需要服务项目;范围因客户环境而异 |
| 被动 / 无代理架构 | 已在所有平台层级落地 | 所有要求零停机的 OT 环境 | 部分网络拓扑仍可能出现覆盖缺口;传感器布点指引很关键;一些 OT 设备可能不在被动监测视野内 |
| OT 校正 CVSS 评分 | 已落地 — 分析师持续投入 | 平台客户的 ICS/OT 漏洞优先级排序 | 2025 年发现 ICS-CERT/NVD 的 CVSS 中 25% 有误;Dragos 的校正依赖分析师团队产能和研究覆盖面 |
| FedRAMP 授权 | 截至 May 2026 未确认 | 美国联邦政府云安全要求 | 阻挡美国联邦机构 OT 安全市场进入;Dragos 未披露公开路线图或时间表 |
| SOC 2 Type II / ISO 27001(Dragos 内部运营) | 截至 May 2026 未公开确认 | Dragos 平台和数据运营安全控制 | 没有公开披露,会成为有第三方安全要求的企业买家的采购门槛;需在尽调中直接索取 |
认证来自官方新闻稿和第三方分析师报告。未出现的认证按缺口标注。SOC 2 / ISO 状态需在正式尽调中向 Dragos 直接确认。
[CE020, CE021, CE022, CE023, CE024, CE034]5.7 证据要点
06客户
6.1 客户基础与工业垂直细分
Dragos 服务于九个公开确认垂直行业中的工业资产所有者和运营方:电力公用事业、油气、制造、水务与污水、化工、制药、食品饮料、交通和采矿。采购画像分三类。企业商业层由拥有专门 OT 安全预算的大型工业组织构成(例如全国性公用事业、全球制造商、Fortune 500 能源公司),它们购买完整 Dragos Platform,并叠加 WorldView 情报和专业服务。中端市场和专业层包括中型工业企业与公共部门运营方,采购路径通常是渠道合作伙伴、托管服务提供商或国家网络安全项目。社区层则包括 Community Defense Program(CDP)成员、OT-CERT 成员和 Neighborhood Keeper 参与者,作为 Dragos 集体防御使命的一部分,获得免费或高度补贴的访问。 电力行业是 Dragos 公开材料最充分的垂直。公司与 North American Electric Reliability Corporation 的 E-ISAC 共同推进集体防御计划,覆盖 84+ 家公用事业,代表美国超过 70% 的电力公用事业客户。油气买家受益于 ONG-ISAC Neighborhood Keeper 合作,该合作把全行业威胁可视化延伸到北美石油行业所有会员公司。制造业也已确认:Koch Industries 旗下 Georgia-Pacific 子公司(160+ 个地点)和 Boston Beer Company 都是具名生产客户。水务行业通过 CDP 覆盖,重点服务无力承担商业定价、资源不足的水务公用事业。 地域覆盖包括北美(主要市场)、英国(截至 2023 年 7 月有 25 名 FTE)、欧洲大陆(首届 European Forum 覆盖 16 国)、阿联酋(2026 年 3 月建立 OT Cybersecurity Centre of Excellence)、日本(2026 年 4 月任命 Country Manager),以及澳大利亚 / 新西兰。中东(GCC、沙特阿拉伯)在 Series D 融资公告中被提及,说明公司已有直接接触。渠道合作伙伴——包括 Booz Allen Hamilton、Optiv、CyberCX 在内的 100+ 家公司——把覆盖范围延伸到 Dragos 直接人员之外的所有区域。 [CU001, CU002, CU003, CU004, CU005, CU006]
| 客户细分 / 层级 | 买方 / 用户 / 付款方 | 使用场景 | 地理覆盖 | 收入区间 | 关键尽调缺口 |
|---|---|---|---|---|---|
| 企业商业客户 — 大型电力公用事业 | OT 安全团队 + CISO;资本预算已批准 | 平台可视化、威胁检测、WorldView 情报、OT Watch 托管服务 | 美国 / 加拿大为主;英国 / 欧洲扩张中 | 未披露;完整平台 + 服务的 ACV 可能为 $200K–$1M+ | 未披露公开客户数或 ACV 区间 |
| 企业商业客户 — 油气巨头 | OT 安全工程师 + CISO;IT/OT 融合预算 | 面向管道 / 炼厂 SCADA 的平台检测、WorldView 行业情报、IR 预留服务 | 美国、加拿大、中东及国际市场 | 未披露;与电力层级相当 | ONG-ISAC 集成证明行业触达;未披露单个客户数 |
| 企业商业客户 — 制造 / 化工 | 工厂安全经理 + IT/OT 团队;运营风险预算 | 资产可视化、PLC/HMI 监测、漏洞管理、AWS 云部署 | 美国 / 加拿大为主;欧洲增长中 | 未披露;Georgia-Pacific(160+ 个地点)和 Boston Beer 已确认 | 未披露制造业客户数或细分 ARR |
| 中端市场 / 公共部门(经渠道) | 中型公用事业 / 工业客户 + MSP 中介 | 通过 SI 合作伙伴或 MSSP 部署平台 + OT Watch 托管服务 | 通过 100+ 渠道合作伙伴覆盖所有地区 | 未披露;平台 + 托管组件的 ACV 可能为 $50K–$200K | 渠道合作伙伴收入贡献未披露;经销条款不透明 |
| 社区防御项目(免费) | 资源不足的公用事业(收入低于 $100M);该层级无直接收入 | 完整 Dragos Platform + Neighborhood Keeper + OT-CERT 免费访问(美国 / 加拿大水、电、燃气) | 美国(自 Dec 2023 起),加拿大(自 Mar 2025 起) | 平台收入 $0;Elastic 覆盖基础设施成本 | CDP 客户数和升级为付费的比例未披露 |
| OT-CERT / 社区(免费) | 资源不足的全球 ICS/OT 运营方;64 个国家 2,400+ 名成员 | 免费指引、桌面演练模板、漏洞披露、工作会 | 全球(64 个国家) | $0 直接收入;有利于品牌投入和威胁情报收集 | OT-CERT 免费层转化到任何付费层的比例未披露 |
| ISAC 集体防御(补贴) | 行业 ISAC(E-ISAC、ONG-ISAC、DNG-ISAC)作为聚合渠道 | Neighborhood Keeper 威胁遥测共享、行业级 Knowledge Pack 分发 | 北美关键基础设施行业 | 无直接收入;战略合作;威胁情报网络效应 | ISAC 参与条款和财务安排未公开披露 |
细分收入贡献拆分、客户数和 ACV 区间,Dragos 均未公开披露。所有层级和区间都是分析师基于交易类型和可比私营 OT 安全厂商的推断。CDP 和 OT-CERT 层级属于非收入客户关系。
[CU001, CU002, CU003, CU005, CU006]Dragos 客户从初始 OT 事件或威胁认知,到完整平台部署和社区嵌入,共经历六个阶段;图中展示直销和社区获客动作。
旅程阶段为定性判断,来自 Dragos 平台文档、服务描述、合作伙伴项目材料和具名客户证言。Dragos 未公开披露各阶段之间的具体转化率。
[CU002, CU027, CU028]6.2 具名客户证据——企业部署与公开背书
Dragos 最实质的具名客户证据,来自 2021 年 10 月 Series D 融资公告。公告包含四家客户的直接背书,而它们同时也是战略投资者:Georgia-Pacific、Koch Industries、Rockwell Automation 和 National Grid。这种投资者—客户重叠提供了相互印证的部署证据,但需要谨慎解读——商业关系可能受到投资关系影响。 Georgia-Pacific LLC 是 Koch Industries 旗下子公司,拥有 160+ 个全球地点,品牌包括 Dixie、Angel Soft 和 Brawny。该公司在制造和化工运营中部署 Dragos Platform,用于 OT 可视化、威胁检测和事件响应。CISO Francis Cioffi 表示,该平台提供“我们保护运营、守住业务所需的可视化、检测和响应能力”。这是高质量背书:来自一家大型、可识别公司的具名 CISO,并给出了具体运营结果。 Koch Industries 在其 500+ 个全球制造和加工设施中,于 AWS 上部署 Dragos Platform,并据 AWS Industrial Competency 公告获得了“过去无法实现的 ICS/OT 资产可视化”。Koch Disruptive Technologies(投资部门)Managing Director and COO Byron Knight 表示,Koch 已“快速证明自己是关键合作伙伴”,该平台“在管理整个企业风险方面发挥关键作用”。Koch 多轮重复投资 Dragos,也进一步印证了持续平台采用。 National Grid plc 是全球最大的投资者持有公用事业公司之一。该公司在初次订阅 Dragos 的 OT 威胁情报服务后,于 2018 年投资 Dragos。CTIO Lisa Lambert 在 2021 年英国扩张公告中确认,Dragos “对 ICS 威胁的可视化为我们的英国和美国业务都带来了价值”。这提供了关键基础设施运营方具名高管确认的多年部署证据。 Rockwell Automation 是领先工业自动化厂商,作为战略合作伙伴和客户投资 Dragos。VP and GM of Global Services Rachael Conrad 确认,“Dragos 的工业网络安全平台帮助我们的客户保护运营环境,并最大化其数字化转型价值”。Boston Beer Company 被列为 Dragos 行业页面上的具名制造业客户,但没有发布案例研究或高管引述;这属于 logo 级证据。 [CU008, CU009, CU010, CU011, CU012, CU013]
| 客户 | 行业 | 部署范围 | 成果 / 证言 | 证据质量 | 投资者关系 |
|---|---|---|---|---|---|
| Georgia-Pacific LLC | 制造 / 化工(Koch 子公司;160+ 个全球地点) | 生产环境 — Dragos Platform 用于 OT 可视化、威胁检测和事件响应 | CISO Francis Cioffi:「我们需要可视化、检测和响应能力,来保护运营安全并守住业务。」生产部署已确认。 | 高 — 具名 CISO、官方新闻稿 | 间接(Koch Disruptive Technologies 是投资者) |
| Koch Industries | 多元化工业(500+ 个全球设施) | 生产环境 — AWS 上的 Dragos Platform;覆盖制造和加工运营的 ICS/OT 资产可视化 | COO Byron Knight(KDT):「Dragos Platform 在管理整个企业风险中发挥关键作用。」AWS ICS/OT Competency 首个合作伙伴身份确认部署。 | 高 — 具名高管、官方新闻稿 + AWS 公告 | 是 — Koch Disruptive Technologies 领投 Series D |
| National Grid plc(公用事业公司) | 电力公用事业(英国 + 美国;投资者所有制) | 生产环境 — 自 2018 年订阅 OT 威胁情报服务;多年合作暗示完整平台范围 | CTIO Lisa Lambert:「对 ICS 威胁的可视化为我们英国和美国业务都带来价值。」National Grid 在订阅威胁情报服务后于 2018 年投资 Dragos。 | 高 — 具名高管、带多年背景的官方新闻稿 | 是 — National Grid Partners 是投资者 |
| Rockwell Automation | 工业自动化技术(全球) | 生产环境 — Dragos Platform 集成进 Rockwell 客户部署;战略技术合作已确认 | VP Rachael Conrad:「让我们的客户……进一步保护其运营环境。」投资 + 合作关系确认商业一致性。 | 中 — 具名高管;使用场景主要面向客户,未确认是 Rockwell 自身的 OT 部署 | 是 — Rockwell Automation 是投资者 |
| Boston Beer Company | 食品饮料制造 | 生产环境 — 在 Dragos 制造业行业页面列为具名客户 | 未发布案例研究或高管引述。仅有 Logo 级证明。 | 低 — 仅网页引用;无成果证据或具名联系人 | 否 |
| ONG-ISAC | 油气行业级 ISAC(北美) | 集体部署 — Neighborhood Keeper 集成后,在 ONG-ISAC 成员公司之间共享行业级威胁遥测 | Angela Haun(ONG-ISAC 执行董事):「通过快速共享网络威胁情报,为我们的成员提供实时态势感知。」生产级集体部署。 | 高 — 具名高管、官方联合公告 | 否 |
所有具名部署来自 Dragos 官方新闻稿和行业页面引用。「证据质量」反映公开证明质量:高 = 官方新闻稿中具名高管证言;中 = 有具名高管但范围含糊;低 = 仅网页 Logo 引用。投资者关系按 Series D 新闻稿披露。
[CU008, CU009, CU010, CU011, CU012, CU013]六个公开具名 Dragos 客户在关键证据维度上的矩阵,记录部署范围、结果质量和投资者关系状态。
部署确认基于 Dragos 官方新闻稿和 ISAC 联合公告。“生产部署”状态基于明确的运营部署表述。Rockwell 是否在自身 OT 环境部署,是从战略合作关系推断出来的;公开表述的主要用例是面向客户。投资方关系来自 Series D 新闻稿。
[CU008, CU009, CU010, CU011, CU012, CU013]6.3 社区防御层——Neighborhood Keeper、OT-CERT 与 CDP
Dragos 运营三个社区项目,它们共同服务庞大的非商业客户基础,并为商业平台建立长期获取漏斗。这些项目在运营上很重要:它们提供真实 OT 威胁遥测,为所有 Dragos 客户改善 Intelligence Fabric(网络效应),在资源不足的公用事业细分中建立 Dragos 品牌,并在小型公用事业成长或整合时播下未来商业关系的种子。 Neighborhood Keeper 是基础性的集体防御网络。所有 Dragos Platform 客户都可以免费自愿加入;它使用双重匿名化,以机器速度聚合和分发威胁指标。截至 2021 年 10 月,84+ 家公用事业参与 E-ISAC 联合计划,代表美国超过 70% 的电力公用事业客户;ONG-ISAC 也为北美油气行业集成了 Neighborhood Keeper。DNG-ISAC 则代表下游天然气运营方参与。这些 ISAC 伙伴关系意味着 Neighborhood Keeper 的集体可视化延伸到整个行业,而不只是 Dragos 平台客户。 OT-CERT(OT Cyber Emergency Readiness Team)是 Dragos 面向资源不足 ICS/OT 运营方的免费社区,提供操作指南、桌面演练模板、漏洞披露和互动工作会。截至 2025 年 3 月,OT-CERT 在 64 个国家拥有 2,400 多名成员。对买不起 Dragos 商业产品、但能受益于公司威胁情报和实战社区的组织而言,OT-CERT 是一层品牌互动入口。 Community Defense Program(CDP)向符合条件的美国(自 2023 年 12 月起)和加拿大(自 2025 年 3 月起)水务、电力和天然气公用事业,提供永久免费的 Dragos Platform 软件、Neighborhood Keeper 和 OT-CERT 会员资格,条件是年收入低于 $100M USD(约 $140M CAD)。CDP 由 Elastic 合作支持,Elastic 免费提供 Elasticsearch,以支撑大规模平台部署。加拿大渠道合作伙伴 VARS Corporation(Montreal)正在向该国符合条件的公用事业交付 CDP。CDP 客户不产生平台收入,但会贡献威胁遥测,并代表潜在未来付费客户。 [CU015, CU016, CU017, CU018, CU019, CU020]
| 指标 | 数值 / 日期 | 来源 | 置信度 | 含义 | 分母 / 缺口 |
|---|---|---|---|---|---|
| 平台经常性收入增长(最后一次披露) | 截至 Sep 30, 2021 期间 >100% YoY | Series D 新闻稿(Oct 2021) | 高 — 公司官方披露 | 早期强劲超高速增长;2021 年后的增长率未知 | Oct 2021 后未披露增长指标;现已过期 4+ 年 |
| 电力行业 Neighborhood Keeper 参与者 | 截至 Oct 2021,84+ 家公用事业,代表 >70% 的美国电力公用事业客户 | Series D 新闻稿 + E-ISAC 计划 | 高 — 官方披露且有背景 | 集体防御网络在该行业渗透占优;ISAC 合作关系已锁定 | 2026 年参与数量未确认;数据较旧 |
| OT-CERT 成员数 | 截至 March 2025,64 个国家 2,400+ 名成员 | CDP Canada 新闻稿(Mar 2025) | 高 — 公司官方披露 | 全球认知触达远超商业客户基数 | 成员转客户转化率未披露 |
| European Forum 参会者(2022) | ~150 名来自 16 个国家的 OT 资产所有者 — 首届活动,伦敦,June 2022 | European Forum 新闻稿 | 高 — 官方 | 区域一线人员兴趣强;欧洲商业化仍在早期 | 论坛参会者转化为付费客户的比例未披露 |
| 欧洲员工数 | 截至 July 2023 为 25 名 FTE | 欧洲增长新闻稿(Jul 2023) | 高 — 官方 | 对欧洲投入可观;团队包括 SR 事件响应人员 | 欧洲收入和客户数未披露 |
| 日本扩张 | 国家经理于 April 1, 2026 上任;基于 Macnica 合作推进 | 日本国家经理新闻稿(Apr 2026) | 高 — 官方 | 日本市场进入活跃阶段;Macnica 渠道已经建立 | 日本商业客户数和收入未披露 |
| UAE CoE 建立 | March 2026 与 UAE Cyber Security Council 建立公私合作 | UAE CoE 新闻稿(Mar 2026) | 高 — 官方 | 通过政府合作守住 GCC 市场存在感 | CoE 带来的商业客户管线未披露 |
所有已披露指标均来自 Dragos 官方新闻稿。平台 ARR、客户数、NRR 或 GRR 均未披露。2021 年增长指标是唯一可用的量化收入增长数据点。
[CU003, CU004, CU005, CU007, CU017, CU019]从 OT-CERT 社区认知到付费平台部署的定量和定性漏斗,展示社区到商业转化路径及各层规模。
OT-CERT 成员数(2,400+)来自 2025 年 3 月 CDP Canada 新闻稿。Neighborhood Keeper 公用事业机构(84+)来自 2021 年 10 月 Series D 新闻稿。CDP 客户数量、渠道触达组织和商业客户总数未由 Dragos 公开披露。null 值代表真实数据缺口,不是零。相对于未披露的商业层级,漏斗顶部社区规模很大。
[CU004, CU005, CU006, CU016, CU017]6.4 地域客户存在与国际扩张
Dragos 的地域扩张策略采用枢纽—辐射模式:在高价值市场建立直接存在,在相邻市场依靠合作伙伴覆盖,并借助社区项目在直接商业销售之前提前建立品牌认知。 北美仍是主要商业市场。英国办公室于 2021 年 10 月建立,截至 2023 年 7 月已在欧洲拥有 25 名全职员工,由 AVP Tony Atkins(英国 / 欧洲)、Chief of Staff Phil Tonkin(能源行业 23 年)、IR Director Kai Thomsen(前 Audi、钢铁行业)和 Technical Director Magpie Graham(前 Microsoft intelligence)领导。2022 年 6 月在伦敦举办的首届 Dragos European Forum 吸引了来自 16 个国家约 150 名 OT 资产所有者和运营方——这证明区域内有实战人员需求,但也反映该市场仍处早期社区阶段,而不是成熟商业足迹。 UAE OT Cybersecurity Centre of Excellence(CoE)与 UAE Cyber Security Council 合作建立,并在 “Make it in Emirates” 论坛下宣布(2026 年 3 月),让 Dragos 在 GCC 区域拥有实体存在。CoE 为实战人员提供真实世界 OT 攻防场景,既是培训场地,也是面向区域能源、石化和公用事业等关键基础设施运营方的客户获取资产。 2026 年 4 月,Dragos 任命 Kaori Nieda 为首任日本 Country Manager,日本扩张随之加速;这建立在既有 Macnica 分销合作之上,该合作覆盖日本关键基础设施和制造业。Dragos 也在澳大利亚和新西兰保持商业存在,这一点在 Series D 公告和组织材料中均有提及。 关键地域尽调缺口:Dragos 没有公开披露按地区划分的收入或客户数量。欧洲业务到 2023 年已有 25+ 名员工,但商业客户基础规模未披露。中东业务在 Series D 公告中被提及,但没有公开具体客户名称或商业指标。 [CU021, CU022, CU023, CU024, CU025]
| 指标 | 数值 / 状态 | 置信度 | 结构基础 / 代理指标 | 尽调要求 |
|---|---|---|---|---|
| 净收入留存率(NRR) | 未公开披露 — 私营公司 | 无(无数据) | 结构性:复杂 OT 部署带来高切换成本;暗示存在多年合约 | 尽调时向 Dragos 索取 NRR 和 GRR;OT 安全最佳公司的行业代理约 ~120–130% |
| 总美元留存率(GDR) | 未公开披露 | 无(无数据) | 结构性:考虑到变更的运营风险,OT 平台替换很少见;典型替换周期 3–5 年 | 索取过去 3 年 GDR 和 Logo 流失率 |
| 客户合同期限 | 未公开披露;OT 部署复杂性暗示通常为多年期 | 中(根据 OT 市场常态推断) | OT 仪表 / 监测接入通常需要 12–18 个月才能完整部署;运营方偏好多年期合约,便于预算可预测 | 索取平均合同期和续约率 |
| Gartner Peer Insights 评分 | 评分强;一线用户持续认为 OT 原生深度是区别于 IT 厂商的差异点 | 中 — 评测平台代理 | 独立一线用户评价;存在样本偏差(评价者自我选择) | 索取完整评价数据集和 CSAT 趋势 |
| 平台经常性收入增长(最后已知) | 截至 Sep 30, 2021 期间 >100% YoY(已过期 4+ 年) | 对所述期间置信度高;用于当前评估则过期 | 投资者披露的增长指标;后续增长未知 | 索取当前 ARR、YoY 增长率以及平台与服务收入结构 |
| 2023 裁员信号 | 2023 年 6 月融资尝试失败后裁撤 9% 员工 | 高 — 公开记录 | 增长较 2021 年速度放缓;融资未按目标成功;需要降本 | 评估增长是否恢复;索取 2023–2025 ARR 轨迹 |
这家私营公司未披露任何留存指标。结构因素说明高留存有可能成立,但没有披露的 NRR/GRR,投资者无法验证这个假设。2023 年裁员是反向信号,尽调需核实重组后增长是否重新加速。
[CU031, CU032, CU033, CU034]按部署年份估算企业客户留存,依据 OT 切换成本结构因素和可比 OT 安全市场基准。Dragos 不披露队列留存数据。
所有数值均为分析师估计,依据:(1)更换 OT 平台的结构性切换成本,(2)Gartner 和可比 OT 私营公司的 OT 安全市场留存基准,(3)工业部门多年合约惯例。2023 年队列显示估计小幅下滑,反映宏观逆风和 2023 年裁员信号。Dragos 不披露 NRR、GRR 或队列留存表;这些数字仅具方向性,不应视为公司报告数据。
[CU031, CU033, CU034]6.5 渠道伙伴、ISAC 生态与投资者—客户重叠
Dragos 的 100+ 家渠道合作伙伴——包括 Booz Allen Hamilton、Optiv、CyberCX、1898 & Co. 和 ABS Group——在 Dragos 直接团队有限的地区和行业中,延伸 OT 安全评估、平台部署和托管服务的销售与交付覆盖。Dragos Global Partner Program 于 2023 年 6 月推出,是唯一把技术、威胁情报、专业服务和培训置于同一结构下的 OT 渠道项目,并在 2024 年获得 5-Star CRN Partner Program 评级。 ISAC 合作建立了行业级渠道关系。E-ISAC(电力)、ONG-ISAC(油气)和 DNG-ISAC(下游天然气)共同覆盖北美最大的 OT 买家细分。这些合作让 Neighborhood Keeper 成为美国关键基础设施 ISAC 实际上的集体防御层,使 Dragos 更像嵌入式行业基础设施层,而不是一次性交易型供应商。 Dragos-Axio OT 网络风险量化合作(2024 年宣布)把买方接触面从 OT 安全团队扩展到 CFO 和风险委员会,后者现在可以用财务语言量化潜在 OT 网络损失。2026 年 2 月的 Microsoft Azure Marketplace 集成,使企业买家能通过既有 Microsoft EA 协议采购 Dragos,显著降低已与 Microsoft 对齐的企业细分采购摩擦。 投资者—客户重叠(Koch Disruptive Technologies、National Grid Partners、Emerson、Rockwell Automation、HPE、Schweitzer Engineering)创造了独特的背书基础,但也带来尽调模糊性:这些部署是由商业价值驱动,还是由投资关系牵引?单个背书的质量(具名 CISO、具体运营结果)说明存在真实商业采用,但如果能获得非投资者客户的独立印证,证据会更强。 [CU026, CU027, CU028, CU029, CU030]
| 风险因素 | 当前评估 | 缓释因素 | 剩余风险等级 |
|---|---|---|---|
| 客户集中度 — 收入 | 未披露客户数或细分收入;具名客户是大型工业企业,ACV 可能较高 | 84+ 家 E-ISAC 公用事业加 100+ 渠道合作伙伴显示覆盖面;但商业层级广度未经验证 | 中 — 未披露;需一级尽调 |
| 投资者与客户重叠 | 6 个具名企业客户中 5 个也是战略投资者;商业客观性未经验证 | 具名 CISO 证言显示真实运营采用;Koch 多轮投资提供佐证 | 中 — 受投资者影响的参考客户降低独立证明质量 |
| 垂直集中度 — 能源 / 公用事业主导 | 具名证明集中在电力和油气;制造、水务、制药证明很少或仅 Logo 级 | 多垂直营销和社区项目扩大覆盖面;WorldView 有行业专属路线 | 中 — 能源依赖使 Dragos 暴露于公用事业网络安全预算周期 |
| 地理集中度 — 北美 | 未披露地理收入拆分;英国 / 欧洲 25 名 FTE(2023);日本 / UAE 仍在早期 | 积极扩张 EMEA 和 APAC;CDP 和 OT-CERT 建立全球品牌存在 | 中 — 国际收入仍可能 <20% 总收入;在增长 |
| 渠道合作伙伴依赖 | 100+ 合作伙伴,包括 Booz Allen Hamilton、Optiv;经销商利润率和协同条款未公开 | OT 专属渠道项目(同类唯一);5-Star CRN 评级确认伙伴质量 | 中 — 关键伙伴流失或竞争格局变化可能削弱地理触达 |
| 销售周期长 — 管线转收入滞后 | OT 采购通常需 6–18 个月,原因包括工程审查、运营风险评估、多方审批 | 复杂采购一旦签约,会带来粘性和前瞻收入可见度 | 中 — 若宏观预算压力压缩企业 OT 支出,管线风险上升 |
集中度和扩张风险评估基于现有公开证据和分析师推断。没有披露的客户数、ARR 或细分拆分,剩余风险等级只能估计。一级尽调应索取按垂直行业和区域划分的客户数、前 10 大客户收入集中度,以及渠道与直销收入拆分。
[CU035, CU036, CU037, CU038]6.6 留存韧性、负面信号与集中度风险
Dragos 是私人公司,不披露客户数、年经常性收入(ARR)、净留存率(NRR)、总留存率(GRR) 或队列留存指标。唯一公开的增长指标是「截至 2021 年 9 月 30 日期间,平台经常性收入同比增长超过 100%」——距今已经超过四年。缺少更新或已披露的指标,留存和增长轨迹只能从结构性因素和定性证据推断。 支撑高留存的结构性因素:OT 安全平台部署需要大量工程投入——传感器布点、协议调优、网络集成、团队培训—— 切换成本很高。OT 环境相对 IT 环境变化更慢;平台一旦在复杂 ICS 环境中验证通过,运营方不愿打断它。考虑到 部署复杂度和运营连续性要求,OT 安全通常采用多年合同。OT 从业者在 Gartner Peer Insights 的评价持续显示, 他们对 Dragos 的威胁情报深度和 OT 专业能力满意度高。 反向信号:2023 年 6 月,Dragos 在一次融资尝试失败后裁员约 9%。公司曾寻求追加资本,但未能以有利条款 达成目标,说明 2021 年的估值和增长假设没有穿越 2022-2023 年市场环境。这不能直接证明客户流失,但意味着 平台收入增长已从 2021 年披露的 >100% 放缓到一个水平:如果没有额外资本,无法支撑公司的烧钱速度和招聘计划。 OT 销售周期长(通常 6-18 个月,因为要经过工程审查、运营风险评估和多方审批),带来收入可预测性,也拉长了 从管线到收入的滞后。IT 安全优先事项占据大多数组织的安全预算,是持续逆风:许多 OT 资产所有者没有专门的 OT 安全预算科目,只能从 IT 预算里为 Dragos 付款,而 IT 团队更愿意把钱花在 IT 原生工具上。 由于没有披露客户数或收入分布数据,集中度风险难以评估。有名可查的客户证明集中在能源 / 公用事业,以及少数 与投资人有关系的大型工业集团。水务公司、制药、交通运输、食品饮料领域的客户证明仅限于网页引用,没有公开成果。 [CU031, CU032, CU033, CU034, CU035, CU036]
6.7 附录
07风险
7.1 监管与法律风险
Dragos 所处监管环境既是顺风,也是风险来源。NERC CIP(Critical Infrastructure Protection)标准 CIP-002 至 CIP-014 要求大电力系统运营方为工业控制系统落实安全控制,不合规罚款最高可达每项违规每天 $1M。这一强制要求为 Dragos 的核心客户群创造了非可支配预算义务。CISA Volt Typhoon 咨询通告(AA24-057A,2024 年 2 月)和 PIPEDREAM 联合通告(AA22-103A)都明确建议配置 OT 专用监测和检测能力。TSA Pipeline Security Directives(SD-02C,延长至 2025 年)同样要求管道运营方调整 OT 安全架构。 监管风险不是要求会消失,而是监管变化节奏会让买家陷入停滞。NERC CIP 标准更新时(例如 CIP-013 在 2022 年针对供应链安全更新),公用事业公司可能会推迟可支配支出,等待合规团队评估新要求。此外,如果 Dragos 的威胁情报出版物中任何归因或技术主张被证明错误,而受监管实体又在事件响应中依赖它,公司会暴露在责任风险下。 截至 2026 年 5 月,Dragos 没有披露重大诉讼。2023 年 5 月,一个网络犯罪团伙通过社会工程获得新入职员工账号访问权,并试图用下载的销售情报报告勒索 Dragos。CEO Robert Lee 在社交媒体上公开披露该事件。NERC CIP-013 供应链风险管理要求可能要求 Dragos 客户在合同续约时开展正式供应商安全评估。 [CR001, CR002, CR003, CR004, CR005, CR006]
| 风险 | 司法辖区 | 发生概率 | 严重性 | 缓释成熟度 | 剩余暴露 |
|---|---|---|---|---|---|
| Dragos 客户 NERC CIP 不合规,导致采购周期延后 | 美国(FERC/NERC) | 中(30%/yr) | 高 — 合规冻结暂停可自由支配的 OT 安全支出 | 部分 — Dragos NERC CIP 合规页面覆盖该问题;客户预算周期是外部因素 | 中 — 标准更新期间可能出现 6-12 个月管线延迟 |
| CISA 指令扩张,强制要求 Dragos 未持有的产品认证 | 美国(CISA/TSA) | 低(15%) | 高 — 若强制认证把 Dragos 排除在外,主要客户合同存在风险 | 早期 — Dragos 持有 SOC 2 Type II;FedRAMP 尚未启动 | 中 — 缺少 FedRAMP 已经阻挡美国联邦政府垂直市场 |
| Dragos 威胁情报因错误归因或 ICS 通告主张引发责任 | 美国 / 国际 | 低(10%) | 中 — 若客户因依赖错误 Dragos 情报受损,可能产生 E&O 暴露 | 部分 — 据报道有 E&O 保险,但条款未披露;此前无索赔 | 低-中 — 此前无诉讼;归因错误的公开记录有限 |
| NERC CIP-013 供应链安全供应商评估在续约时造成摩擦 | 美国(NERC) | 高(持续) | 低-中 — 采购延迟,而非取消资格;有文档即可管理 | 部分 — dragos.com 发布 CIP-013 合规指南;完成验证未知 | 低 — 带来行政摩擦,若无反向发现,不太可能取消资格 |
| 社会工程复发 — Dragos 作为网络安全目标 | 全球 | 低(15%/yr) | 中 — 声誉受损,客户情报可能被外泄 | 部分 — 2023 事件已公开披露;补救步骤未发布 | 中 — Dragos 仍是高价值目标;入职安全改进未获外部验证 |
| 来自前员工或竞争对手的 IP / 商业秘密诉讼 | 美国 | 低 (5%) | 中 -- 自研 ICS 威胁研究方法具备竞争敏感性 | 低 -- 商业秘密天然受保护;未披露专利组合 | 低 -- 未披露在审诉讼;属于常规商业秘密管理风险 |
可能性评估为分析师的定性估计。行业每年都会审视 NERC CIP 的执法态势。FedRAMP 状态由独立渠道评估,并不基于 Dragos 管理层说法。
[CR001, CR002, CR003, CR004, CR005, CR006]7.2 竞争与市场风险
OT 网络安全平台市场竞争迅速升温。Dragos 面临三层竞争:(1) 专注 OT 安全的纯玩家——Claroty(累计融资 $635M;Schneider Electric 和 Rockwell Automation 为战略投资者)、Nozomi Networks(Series D 已融资;IPO 路径)、Armis(2023 年估值 $4.3B);(2) 向 OT 扩展的 IT 安全厂商——Microsoft Defender for IoT(对 Azure/Sentinel 客户免费)、Palo Alto Networks Industrial OT Security、Fortinet OT 能力;(3) 构建原生 OT 安全的工业自动化厂商——Honeywell Forge、Siemens Eos.ii。值得注意的是,Rockwell Automation 同时是 Dragos 投资人和 Claroty 战略投资者——这是直接利益冲突,可能影响 Rockwell 的平台采购决定。 Dragos 的主要竞争护城河是 ICS 威胁情报深度:WorldView 威胁情报平台、只有 Dragos 跟踪并命名的 ICS 威胁组织(CHERNOVITE、ELECTRUM、VOLTZITE),以及 250+ 个 ICS 威胁指标目录,都是 IT 原生竞争对手短期难以复制的壁垒。不过 Microsoft Defender for IoT 的免费层为 Azure/Sentinel 客户以接近零边际成本提供基础 OT 资产盘点,挤压 Dragos 入门级产品层的市场空间。 市场教育风险实质性存在:相当一部分工业资产所有者还没有专门 OT 安全预算。转化这些潜在客户需要 12-18 个月销售周期、现场价值验证部署和持续高管关系建设。销售周期被拉长,再叠加 Dragos 对 100+ 渠道合作伙伴网络的依赖,让从管线到收入的转换对宏观逆风高度敏感。2022-2023 年工业软件支出放缓,最终体现为 Dragos 融资尝试失败和 2023 年 6 月裁员。 [CR008, CR009, CR010, CR011, CR012, CR013]
| 风险 | 可能性 | 严重性 | 缓释成熟度 | 剩余敞口 |
|---|---|---|---|---|
| 中端市场被 Microsoft Defender for IoT 免费层竞争替代 | 中 (35%) | 高 -- 挤压 OT 资产可视化市场,迫使 Dragos 重新定位高端层 | 部分 -- Dragos 以威胁情报深度拉开差异,Microsoft 免费层不具备 | 中 -- 需要持续投入情报,才能守住差异化 |
| 宏观下行时销售周期拉长 / 管线转化失败 | 中 (30%) | 高 -- 2023 年融资失败已经说明问题;收入增长会被直接拖累 | 部分 -- 社区项目和渠道合作伙伴分散管线来源;直销周期仍长 | 中高 -- OT 安全市场的结构性特征;无法完全缓释 |
| 若客户部署增长停滞,WorldView 情报质量下降 | 低 (20%) | 高 -- 核心差异化被侵蚀;没有替代情报飞轮 | 低 -- 取决于客户部署增长,但该指标未披露 | 中 -- 潜在风险,只有增长停滞 12 个月以上才会显性化 |
| 多起重大事件同时发生时,ICS 事件响应产能受限 | 低 (15%/yr,产能受限事件) | 高 -- IR SLA 失守,声誉受损,并可能引发法律责任 | 低 -- 未披露产能扩张计划;专有人才池有限 | 中 -- Dragos 是全球少数具备 OT IR 能力的供应商之一 |
| 云端 SaaS 宕机中断 OT 客户的实时威胁检测 | 中 (25%/yr,重大事件) | 受影响客户为高 -- 活跃威胁活动期间出现检测缺口 | 部分 -- 假设存在冗余基础设施;具体 DR 架构未披露 | 中 -- 单一 SaaS 依赖,且未披露故障切换规格 |
可能性百分比代表估计年度概率。严重性评级假设受影响实体是一家大型 OT 客户(电力公用事业或管道运营商)。
[CR010, CR013, CR018, CR017, CR016]Dragos 风险热力图按可能性(行:高 / 中 / 低)和影响(列:低 / 中 / 高 / 关键)绘制已识别风险,显示财务和竞争风险集中在中等可能性 / 高影响象限。
可能性评级:高为每年大于 30%,中为每年 10-30%,低为每年小于 10%——均为分析师估计,并非精算。影响评级:低 = 可管理且不改变投资逻辑;中 = 对收入或运营有实质影响;高 = 对客户或财务有重大影响;关键 = 投资逻辑被打穿。
[CR010, CR013, CR024, CR028, CR038, CR030]7.3 运营与技术风险
Dragos 的平台交付模式是云端管理 + 本地传感器部署,形成双重运营依赖:SaaS 管理层和 WorldView 情报更新需要云可用性,客户现场的 Dragos Network Sensors 需要本地硬件持续运行。云基础设施一旦长期中断,客户就无法收到更新后的威胁情报,在活跃 OT 威胁活动期间可能出现检测缺口。 Dragos 的事件响应能力构成结构性运营风险。全球能够可信应对复杂 ICS 事件的供应商很少,公司是其中之一。如果两个或更多重大 ICS 事件同时发生,Dragos 的 IR 团队容量可能被耗尽,造成服务级别失守。WorldView 威胁情报飞轮又形成强化依赖:准确性取决于已部署客户群的活跃传感器遥测,也就是说新部署一旦停滞,直接削弱 Dragos 最核心差异化的情报质量。 Dragos 的分布式、远程优先员工模式覆盖美国 40+ 个州和多个国际办公室。它降低了设施集中度风险,但增加了沟通开销。公司的技术团队需要与 Booz Allen Hamilton、Accenture、Deloitte 争夺资深 OT 安全工程师;Dragos 上市前股权薪酬流动性较差,又放大了人才流失风险。 [CR016, CR017, CR018, CR019, CR020, CR021]
| 依赖项 | 对手方 | 失效模式 | 严重性 | 缓释措施 |
|---|---|---|---|---|
| 云端 SaaS 基础设施(威胁情报交付) | AWS 或同类服务 | 长时间宕机打断面向 OT 客户的实时检测告警交付 | 高 -- 活跃攻击活动期间出现检测缺口 | 标准云 SLA;具体 DR 架构未披露 |
| ICS 威胁情报遥测(WorldView 飞轮) | Dragos 客户传感器基座 | 部署停滞削弱情报广度和新鲜度 | 高 -- 核心产品差异化面临风险 | 自研传感器和 HUMINT 研究;没有外部替代品 |
| 渠道合作伙伴网络(100+ 家伙伴) | Booz Allen Hamilton、Optiv、CyberCX、1898 & Co. 等合作伙伴 | 合作伙伴流失,或转向 Claroty / Nozomi 等竞争阵营 | 中 -- 削弱中端市场触达和社区项目交付 | Dragos Global Partner Program 获 CRN 5-Star 评级;激励机制未披露 |
| 投资者兼客户集中(Koch、National Grid、Rockwell) | 三个具名战略账户 | 合同不续约,或平台整合到竞争对手 | 高 -- 收入影响叠加负面市场信号,超出账户规模本身 | 投资者关系带来粘性;Rockwell 与 Claroty 的重叠仍是未缓释冲突 |
| ISAC 合作(E-ISAC、ONG-ISAC、DNG-ISAC),用于 Neighborhood Keeper | 行业级 ISAC | ISAC 政策变化,撤销第三方商业平台集成授权 | 中 -- 移除社区漏斗入口;84+ 家公用事业关系面临风险 | 与 ISAC 签有 MoU;ISAC 治理由行业控制,受政策变化影响 |
依赖严重性评级假设受影响功能在 30 天响应窗口内不可替代。考虑到 2024 年 CRN 5-Star 评级,渠道合作伙伴流失可能性评估为低至中。
[CR016, CR012, CR014, CR019, CR027]有向图展示 Dragos 主要风险事件如何沿商业模式传导,并对收入、市场位置和投资者信心造成二级、三级影响。
风险传导路径是分析师对 ICS 网络安全企业因果关系的定性建模。存在反馈环,但为保持 DAG 无环性,图中仅方向性展示。所有边都代表实质性因果连接。
[CR023, CR028, CR036, CR037, CR022, CR018]7.4 财务与资本风险
Dragos 最大的财务风险,是融资不透明与 2023 年融资尝试失败叠加。公司最后一次公开确认的融资事件,是 2021 年 10 月以 $1.7B 投后估值完成 $200M Series D,距今已经超过 4.5 年;此后没有公开披露任何新增股权融资。The Register 和 Bloomberg 报道,2023 年 6 月约 9% 员工裁撤,直接源于一次未达目标的融资尝试。这意味着两种情况之一:增长已经放缓到足以让投资人拒绝按 Series D 估值继续出资,或者 Dragos 寻求的融资价格被投资人认为缺乏支撑。 没有公开财务披露,外部无法评估烧钱速度。按阶段、团队规模和市场基准估计,Dragos 的 ARR 区间可能在 $50-$150M;这一档网络安全公司通常每年运营成本为 $100-$200M+,包括研发、销售团队、IR 服务和情报运营。若烧钱速度为每年 $80-$120M——考虑已披露团队规模,这是合理假设——2021 年 10 月的 $200M Series D 大约可提供 20-30 个月现金跑道,意味着现金压力从 2023 年中开始出现。 客户集中度放大财务风险。Dragos 最可见的三个具名客户——Koch/Georgia-Pacific、National Grid Partners、Rockwell Automation——也都是 Series D 投资人。如果任何锚定关系因合同不续约或整合到竞争对手平台而弱化,收入冲击会不成比例。Rockwell 利益冲突又增加了一个公开披露中看不到的特定集中度风险向量。 [CR023, CR024, CR025, CR026, CR027, CR028]
7.5 关键人物与治理风险
CEO 兼联合创始人 Robert M. Lee 是 Dragos 最重要的非财务资产。Lee 在美国空军网络司令部和 NSA 担任 ICS/SCADA 专家后,于 2016 年创办 Dragos;他共同发现了 2016 年攻击乌克兰电网的 Industroyer/CRASHER 恶意软件,并已成为全球 ICS 网络安全最核心的思想领袖。他的公众影响力——主持 CyberWire 的 Control Loop 播客,每年在 S4、RSA、Black Hat 演讲——形成的品牌资产很难转移给继任者。 Dragos 除投资人代表(Koch Disruptive Technologies、BlackRock、National Grid Partners、Rockwell Automation)之外的董事会构成没有公开披露。2023 年加入 Bill Fehrman 和 Ekta Singh Bushell 扩充董事会,带来独立董事;但审计委员会结构、薪酬委员会细节和正式治理文件都没有公开。这种不透明限制了外部评估:公司是否对 CEO 薪酬决策、财务控制,以及与投资人兼客户的关联方交易建立了足够独立监督。 2023 年 5 月的社会工程事件释放了治理信号:一家销售 OT 威胁检测的公司自身也被成功社会工程攻击。透明披露是正面治理指标,但事件暴露了非技术行政职能中的运营安全漏洞。竞争对手可能在销售场景中利用这一点。 [CR030, CR031, CR032, CR033, CR034, CR035]
| 风险 | 可能性 | 严重性 | 缓释措施 | 剩余敞口 |
|---|---|---|---|---|
| Robert M. Lee 离任 CEO(关键人) | 低 (8%) | 致命 -- 品牌身份、投资者信心和威胁情报可信度都锚定在 Lee 身上 | 产品和研究领导层梯队较强;未披露正式继任计划 | 高 -- 市场上找不到同等级 ICS 网络安全 CEO 画像 |
| 高级 OT 威胁研究团队流向 IT 安全公司或政府 | 中 (25%) | 高 -- 核心研究人员离开后,WorldView 情报质量和 ICS 威胁组织追踪都会下降 | Pre-IPO 股权激励;ICS 领导者雇主品牌;研究职业声望 | 中 -- 人才市场竞争激烈;政府 ICS 岗位具备吸引力 |
| 董事会治理不透明,以及投资者兼客户的关联交易风险 | 中(持续) | 中 -- 未披露的投资者兼客户条款可能在续约或 M&A 中制造冲突 | 2023 年新增独立董事(Fehrman、Singh Bushell)改善治理 | 中 -- 披露不足,无法评估交易审计质量 |
| 2023 年社会工程事件复发与 HR 安全漏洞 | 低 (15%) | 中 -- 客户销售情报暴露;作为网络安全专家声誉受损 | 事件已公开披露;补救措施未获外部确认 | 中 -- Dragos 是高价值目标;入职控制改进未验证 |
关键人可能性参考风投支持网络安全公司 C-suite 任期的标准基准率。董事会治理评级基于有限公开披露。
[CR030, CR031, CR032, CR033, CR034, CR035]Dragos 关键技术、情报、合作伙伴和客户依赖的有向图,突出单点故障,以及依赖栈顶部投资方-客户集中度。
云基础设施供应商未公开披露;基于行业惯例,假设为主要超大规模云厂商。渠道合作伙伴数量(100+)来自 Dragos 官方合作伙伴计划页面。ISAC 关系由联合新闻稿确认。
[CR016, CR019, CR027, CR030, CR031, CR034]7.6 投资逻辑破裂触发条件与终止标准
Dragos 的投资逻辑建立在三根支柱上:(1) 监管和地缘政治顺风,为关键基础设施运营方创造非可支配 OT 安全预算;(2) 威胁情报深度(21+ 个命名 ICS 威胁组织、PIPEDREAM/Volt Typhoon 专长、WorldView 平台)构成抵御 IT 原生竞争对手的可防守护城河;(3) 社区漏斗(OT-CERT、Neighborhood Keeper、CDP)形成未来商业客户管线,并随时间降低获客成本(CAC)。每根支柱都有不同的终止标准。 监管顺风方面:如果 NERC CIP 执法姿态逆转,或 CISA 政策转向技术中立框架,推动 Dragos 管线的紧迫性溢价会下降。考虑地缘政治威胁环境,这一概率较低,但在重大政治转向下结构性存在。情报护城河方面:如果 Microsoft、Palo Alto 或政府情报机构以免费可访问格式发布等效 OT 威胁情报,WorldView 订阅模式会承受严重压力。社区漏斗方面:如果 OT-CERT、CDP 和 Neighborhood Keeper 在 24-36 个月内无法以商业上有意义的比例转化,社区项目成本就会变成没有 ARR 收益的拖累。 最可执行的投资逻辑破裂标准是财务:Dragos 必须在重组后现金跑道耗尽前,以至少 $1.5B 估值完成 Series E。若下轮估值低于 $1.0B,将较 Series D 入场点下跌超过 40%,对所有现有投资人都构成投资逻辑破裂。第二个标准是一次归因于 Volt Typhoon 的破坏性 ICS 攻击,同时压垮 Dragos 的 IR 能力,并损害公司在准备度上的声誉。 [CR036, CR037, CR038, CR039, CR040]
| 风险类别 | 主要缓释措施 | 监测指标 | 投资逻辑破裂 / 暂停触发器 |
|---|---|---|---|
| 财务跑道 -- Series E 轮失败 | 成本重组(2023 年裁员延长跑道);社区项目降低 CAC;潜在战略 M&A | 新股权融资公告;披露 ARR 轨迹;员工数增长信号 | 估值低于 .0B 的被迫下轮融资;未有新资金注入却再次裁员 |
| 竞争替代 -- IT 供应商打包销售 | 依靠 WorldView 威胁情报深度、ICS 专属 IR 品牌和 OT 原生平台护城河 | 相对 Microsoft Defender for IoT 的胜率;Claroty 或 Nozomi 市占公告;ACV 趋势 | Microsoft 或 Palo Alto 面向企业协议的 OT 捆绑包定价低于 Dragos ACV |
| 监管顺风逆转 | 核心 NERC CIP 和 CISA 强制要求处于立法层面,可跨政治周期延续 | NERC CIP 执法频率;CISA 关于 ICS 威胁的通告数量;TSA 指令续期 | 废除 NERC CIP(需要立法行动);CISA 强制要求被技术中立框架取代 |
| 关键人(Robert Lee 离任) | 独立董事会;高级领导层梯队;社区品牌(OT-CERT、CDP) | 公开媒体露出频率;会议演讲;高管招聘公告 | Lee 离任且未预先公布过渡计划;两名或更多 C-suite 成员同时离任 |
| 社区漏斗转化失败 | CDP、OT-CERT 设计为免费服务,并保留商业升级路径;OT-CERT 拥有 2,400+ 名成员;Neighborhood Keeper 覆盖 84+ 家公用事业 | OT-CERT 成员数增长;CDP 商业转化公告;Neighborhood Keeper 参与者数量 | 到 2027 年 OT-CERT 成员增长停在 3,000 人以下;CDP 在上线后 24 个月内未宣布任何商业转化队列 |
终止标准阈值由分析师推导,非 Dragos 认可。监测指标仅引用公开可观测信号。
[CR036, CR037, CR038, CR039, CR040]7.7 附录
08估值
8.1 建议与投资逻辑
Dragos 在企业安全市场中增长最快、由监管驱动的细分领域之一,呈现高确信度市场逻辑。投资逻辑有四根证据支撑支柱:(1) 非可支配监管顺风——NERC CIP 执法(罚款最高 M/day)、CISA Volt Typhoon 咨询通告(AA24-057A)和 TSA Pipeline Security Directives,为 Dragos 的电力公用事业、管道、制造业客户创造强制 OT 安全预算义务。(2) 最宽的 ICS 威胁情报护城河——21+ 个命名 ICS 威胁组织(CHERNOVITE、ELECTRUM、VOLTZITE)、WorldView 情报平台,以及为检测质量供血的自有传感器遥测飞轮,构成 IT 原生竞争对手短期难以复制的壁垒。(3) 社区飞轮创造耐久管线——OT-CERT(2,400+ 名成员)、Neighborhood Keeper(84+ 家公用事业公司)和 CDP(2023 年 12 月推出),正在为一个通常需要 12-18 个月销售周期的市场细分降低获客成本(CAC)。(4) OT 原生专注优势——Dragos Platform 从第一天起就为 ICS 环境打造;Microsoft、Palo Alto、Fortinet 等 IT 安全厂商加装 OT 模块,本质上是在把 IT 原生架构适配到完全不同的运营技术环境。 反向逻辑同样有证据支撑:(1) 财务不透明阻断估值精度——4.5+ 年没有披露 ARR、烧钱速度或增长率;2023 年融资失败意味着增长放缓。(2) Microsoft Defender for IoT 免费层压缩入门级 TAM,迫使 Dragos 完全靠情报深度证明溢价定价合理。(3) Robert M. Lee 关键人物集中——公司的品牌、投资人关系和思想领导资产都独特地锚定在一人身上,且没有披露继任计划。(4) 投资人兼客户集中——Koch/Georgia-Pacific、National Grid Partners、Rockwell Automation 同时是投资人和客户,带来未披露的关联方交易风险。 建议是继续研究 / 有条件跟踪,而不是买入或卖出。市场位置值得持续关注,也需要明确入场纪律。但缺少财务披露时,无法从分析上支持以 .7B 参考价或更高价格新建仓。尽调路径清晰:把完整财务披露作为入场条件。如果确认 ARR 高于 0M 且增长 30%+,.0-2.5B 基准情景估值可支持以 Series D 价格或略高价格合理进入。 [CV001, CV002, CV003, CV004, CV005, CV006]
| 维度 | 评估 | 置信度 | 证据基础 |
|---|---|---|---|
| 建议 | 继续研究 / 有条件观察 | 低至中 | 市场投资逻辑有吸引力;财务不透明阻止给出买入判断 |
| 估值立场 | 在 .5-2.5B 区间可辩护;.7B 参考价既不明显便宜,也不明显昂贵 | 低 | 基于 ARR 的框架;ARR 未披露,因此区间必然很宽 |
| 风险评级 | 高 | 高 | 2023 年融资失败、无财务披露、关键人集中、Rockwell 冲突 |
| 入场纪律 | 低于 .0B 入场需要确认 ARR 超过 0M 且增长 25%+;满仓需要治理问题解决 | 高 | 阈值来自对保守 ARR 估计套用 20-25x 前瞻 ARR 倍数 |
| 决策含义 | 没有财务披露不启动投资;按 V04 节设置监测触发器 | 高 | 符合高不透明度私营投资的继续研究标准 |
建议对价格和证据敏感。这不是投资逻辑质量分数 -- Dragos 的市场投资逻辑很优秀。它评估的是估值和信息质量。若入场估值低于 .0B,并确认 ARR 超过 0M 且增长 25%+,建议可上调为买入。
[CV001, CV007, CV008, CV013, CV014]| 支柱 | 投资逻辑 | 反向逻辑 | 可改变观点的证据 |
|---|---|---|---|
| 监管顺风 | NERC CIP、CISA 和 TSA 强制要求创造非可选 OT 安全预算;执法具有结构性且可持续 | 政治过渡期监管暂停,会让管线短期冻结;合规预算未必等于 Dragos 专属支出 | 废除 NERC CIP 或暂停执法(需要立法行动) |
| 情报护城河 | 21+ 个具名 ICS 威胁组织、WorldView 平台和 HUMINT 研究深度,对 IT 原生竞争对手而言结构性难以复制 | Microsoft 收购 OT 威胁情报公司,或 CISA 免费发布深度等同 WorldView 的 OT 威胁情报 | Microsoft、Palo Alto 或政府机构以零成本发布同等威胁组织情报 |
| 社区飞轮 | OT-CERT 2,400+ 名成员和 Neighborhood Keeper 84+ 家公用事业会随时间降低 CAC,并沉淀长期管线 | 社区项目尚未证明商业转化率;24 个月内成本可能超过 ARR 贡献 | CDP 或 OT-CERT 宣布首个商业转化队列,并确认 ARR 贡献 |
| 财务轨迹 | 重组后的效率和市场动能,让公司无需新增股权融资也能回到 30%+ ARR 增长 | 2023 年融资失败意味着增长低于支撑 .7B+ 估值所需门槛;尚无公开复苏信号 | ARR 披露确认过去 12 个月增长超过 25% |
| 关键人 | Lee 离任会造成重大不利影响,但 ICS 研究团队、平台和客户基础构成了不依赖个人的机构价值 | 没有继任计划,没有具名二号人物,品牌资产又高度集中在 Lee 身上;一旦离任,客户信心会受到质疑 | 宣布具名继任者,或可比网络安全 CEO 变更实现公开顺利交接(如 Palo Alto、CrowdStrike 模式) |
所有投资逻辑和反向逻辑均由第 1-7 章证据支持。没有任何投资逻辑支柱是推测性的。建议为继续研究而非买入,是因为公开信息尚未充分回答财务轨迹和关键人风险上的反向逻辑。
[CV001, CV002, CV003, CV004, CV005, CV006]决策流从市场投资逻辑、情报护城河和财务风险出发,经过估值分析和入场纪律,落到继续研究建议。
该流程代表分析师判断框架。决策权重(监管顺风 vs 财务不透明)是定性判断,并非精算。财务不透明风险节点主导推荐结果——这并不常见,反映一家 .7B 私营公司在 Series D 后没有任何财务披露的特殊不透明性。
[CV001, CV007, CV008, CV013, CV014, CV015]8.2 融资背景与估值锚
Dragos 最后一个确认估值锚,是 2021 年 10 月 Series D:从 Koch Disruptive Technologies、BlackRock、National Grid Partners、Rockwell Automation 等处融资 00M,投后估值 .7B。截至 2026 年 5 月,之后没有公开披露任何股权融资;对这一阶段的风投支持网络安全公司来说,4.5 年间隔并不寻常。2023 年 6 月裁员和融资尝试失败,是这段期间唯一披露的财务信号。 用 OT 网络安全市场收入倍数框架看:2021 年 Series D 时,Dragos 估值约 .7B,披露增长超过 100% YoY,团队 800+ 人。在 2021 年末高增长网络安全 SaaS 常见的 20-30x ARR 倍数下,该估值隐含 ARR 约 5-85M。面向 30-50% 增长队列的网络安全 SaaS 私募市场倍数,从 2021 年峰值到 2023 年低谷压缩约 40-60%。这种压缩叠加 2023 年事件暗示的增长放缓,说明 .7B 估值在 2023 年可能已经受到结构性挑战——这与报道中的融资失败一致。 可比私有 OT 安全交易提供额外锚点:Claroty 于 2021 年 11 月融资 00M,隐含投后估值约 .8-2.2B(与 Dragos 时点相近)。Armis 在 2023 年达到 .3B 估值,但 Armis 面向更广的 IT/OT 资产管理 TAM,收入模型也不同。Nozomi Networks 仍处于 IPO 前阶段,基于 Series D 可比项估计私有估值为 00M-.2B。Tenable Holdings(TENB)在 2019 年收购 Indegy(OT 安全),其包含 OT 能力的综合平台目前按约 5-6x 过去收入交易——说明纯 OT 溢价在与 IT 安全平台整合后会被侵蚀。 我们的估值区间锚定在估计 ARR 0-100M(无披露)之上,并采用 20-25x 远期 ARR 倍数(监管顺风耐久性和情报护城河支持该倍数,但因倍数压缩和增长放缓风险,较 2021 年峰值折让 30-40%)。由此得到:基准情景为 ARR 0M、增长 35% 时 .0-2.5B;悲观情景为 ARR 0M、增长 20% 时 .5-1.7B;乐观情景为 ARR 00M、增长 40%+ 时 .5-3.5B。 [CV009, CV010, CV011, CV012, CV013, CV014]
| 情景 | 关键假设 | 隐含 ARR | 隐含估值 | 概率信号 | 关键风险 |
|---|---|---|---|---|---|
| 悲观 | ARR 大约 0M;增长低于 25%;倍数压缩至 28-34x(增长停滞的 OT 安全 SaaS 同行底部);跑道担忧推动被迫融资 | 5-55M | .5-1.7B(较 Series D 持平至小幅下降) | 20-25% -- 与 2023 年融资失败信号一致 | 需要折价 Series E 轮;Rockwell 退出;以困境估值被迫 M&A |
| 基准 | ARR 大约 0M;增长 30-40%;对估计 10M 的 NTM ARR 套用 20-25x 前瞻 ARR 倍数;监管顺风支撑管线 | 5-90M | .0-2.5B | 55-60% -- 需要 2023 年重组后的财务恢复 | 18 个月内需要以可辩护估值完成新股权融资;Microsoft 竞争压力 |
| 乐观 | ARR 高于 00M;社区项目转化和企业扩张推动增长超过 40%;以 .5B+ 完成 Series E 轮,打通 IPO 路径 | 00-130M | .5-3.5B | 15-20% -- 需要尚未公开确认的 ARR 恢复证据 | 溢价倍数需要持续 >40% 增长证明;IPO 窗口时点风险 |
本表所有 ARR 和估值数字均为分析师推断;Dragos 自 2021 年 10 月以来未披露 ARR、烧钱速度或增长率。情景概率是分析师估计,不是精算数据。2023 年融资失败事件是悲观情景概率偏高的主要依据。
[CV009, CV010, CV011, CV012, CV013, CV014]Dragos 在不同 ARR 假设和远期收入倍数下的隐含企业价值,展示未披露财务带来的巨大估值不确定性。
所有 ARR 数值均为分析师估计;Dragos 未披露 ARR。倍数假设基于 2023-2026 年私营市场中增长率相当的可比网络安全 SaaS 公司。2021 年峰值倍数(40-60x ARR)不适用;倍数压缩之后,带监管顺风的成长型 OT 安全 SaaS 远期 ARR 倍数区间为 20-30x。所示数值单位为百万美元。
[CV009, CV010, CV011, CV012, CV013]相对 .7B Series D 参考价,列出乐观、基准、悲观情景的回报区间;情景加权预期区间反映财务不透明折价。
回报按 .7B Series D 参考入场价计算。悲观情景:.5-1.7B 区间意味着 -12% 到持平。基准情景:.0-2.5B 意味着 +18% 到 +47%。乐观情景:.5-3.5B 意味着 +47% 到 +106%。情景权重:悲观 22%、基准 57%、乐观 21%——较高悲观权重反映财务不透明和 2023 年融资失败信号。回报代表企业价值升值,不是 IRR;退出时间和稀释未建模。
[CV009, CV010, CV011, CV012, CV013, CV014]8.3 可比估值分析
Dragos 的可比公司横跨四组:(1) 私有纯 OT 安全公司(Claroty、Nozomi);(2) 私有 IT/OT 融合平台(Armis);(3) 拥有 OT 组件的上市网络安全公司(Tenable TENB、CrowdStrike CRWD 新兴 OT 模块);(4) OT 安全 M&A 交易(Tenable/Indegy 2019 年 8M、Armis/Aperio 2021 年、Rockwell 投资 Claroty)。 最相关的可比对象是 Claroty 和 Nozomi,它们都是直接的纯 OT 安全同行。Claroty Series D(00M,2021 年 11 月)隐含投后估值约 .8-2.2B——可比于 Dragos 两周前的 .7B Series D。两家公司都没有披露 2021 年后的财务数据,增长调整后的可比分析因此困难。Armis 2023 年 .3B 估值可作为有用的天花板可比,但 Armis 的 TAM(面向 ITAM/CAASM 用例的 IT 与 OT 资产管理)明显大于 Dragos 更聚焦的 OT 威胁检测和 IR 市场。 上市公司倍数方面:Tenable Holdings(TENB)在约 .0B ARR 的 VM 与 OT 安全综合平台上,以约 4.5-5.5x NTM ARR 交易。CrowdStrike 的 OT 安全模块仍处早期(估计低于 0M ARR),尚未公开拆分;CRWD 交易倍数超过 20x ARR,但这一倍数反映的是核心 Falcon EDR 优势,不是 OT 组件。把 Tenable 作为规模化、具备 OT 能力的平台中最相关的上市代理,并对 Dragos 估计 ARR 区间 0-100M 应用 15-25x 倍数,得到 bash.75B-.5B 的估值区间——与我们的悲观到基准情景建模一致。 可比集合确认:在基准情景下(ARR 约 0M、增长 30-40%、20-22x 远期倍数),.7B Series D 估值可以自洽,但并不显著便宜。新投资人如果以 .7B 参考价进入,需要确信 ARR 增长 25%+,并且未来 24-36 个月内有清晰 Series E 或退出路径。 [CV017, CV018, CV019, CV020, CV021, CV022]
| 可比项 | 阶段 / 状态 | 估值 / 倍数 | 与 Dragos 的相关性 | 局限 |
|---|---|---|---|---|
| Claroty(私营) | Series D 轮(Nov 2021,00M);OT 安全纯玩家 | Series D 轮隐含投后估值 .8-2.2B | 最接近的直接同行:OT 安全平台,客户基础相似(公用事业、制造业),时间点相近 | 2021 年后无财务数据;与 Dragos 同样不透明;与 Rockwell 重叠 |
| Nozomi Networks(私营) | 已完成 Series D 轮;OT 安全纯玩家;IPO 路径 | 估计 00M-.2B(分析师估计,未确认) | 直接 OT 安全同行;IPO 路径可能在 24 个月内带来公开市场数据拐点 | 规模小于 Dragos;GTM 不同(更贴近 IT);IPO 尚未确认 |
| Armis Security(私营) | .3B 估值(2023 年融资轮);IT/OT 资产管理 | .3B;约为该轮估计 ARR 的 20-25x | 有用的估值上限可比;说明联网设备安全可能拿到 B+ 溢价 | TAM 更宽(IT 与 OT CAASM);收入模型不同;买方画像不同(CISO vs OT 工程师) |
| Tenable Holdings (TENB) | 公开上市(NASDAQ);VM 与 OT 安全平台(.0B+ ARR) | 约 4.5-5.5x NTM ARR;B 市值(May 2026) | 有用的底部可比;显示平台成熟后倍数会收缩 | 大规模集成 VM+OT 会压低 OT 溢价;在可比增长下,纯 OT 玩家应享有更高倍数 |
| CrowdStrike(CRWD,OT 模块) | 公开上市(NASDAQ);Falcon OT Security 初露头角;核心 EDR 占主导 | CRWD 以 20x+ ARR 交易(全平台);OT 模块未单独披露 | 显示 IT 原生扩张溢价;OT 模块增加可选性,但尚未对 CRWD 倍数形成实质影响 | OT 模块仍处早期(估计 ARR 低于 0M);CRWD 倍数反映 Falcon 主导地位,而非 OT 位置 |
| Tenable/Indegy M&A(2019) | 收购;Indegy 是被 Tenable 收购的 OT 安全初创公司 | 8M 收购价;约为退出时估计 ARR 的 8-10x | 提供早期 OT 安全 M&A 可比;为困境或战略收购结果设定底部 | 2019 年交易;此后市场明显成熟;2026 年战略价值显著更高 |
所有估值数字均来自最新公开可得数据。私营公司估值(Claroty、Nozomi、Armis)是分析师基于二级来源的估计;未获公司披露确认。Tenable/Indegy 2019 年 M&A 交易是历史案例,仅用作底部参考。
[CV017, CV018, CV019, CV020, CV021, CV022]8.4 投资逻辑破裂与监测
Dragos 投资的主要破裂条件,是以低于 .0B 估值完成 Series E——这意味着较 Series D 参考价下跌超过 40%,也意味着业务被根本重估。次要破裂触发因素包括:大型 IT 安全平台(Microsoft 或 Palo Alto Networks)推出价格低于 Dragos 企业客户平均合同价值的 OT 安全捆绑包;Dragos 在没有宣布新股权融资的情况下裁员;或 Robert M. Lee 离职且没有预先宣布过渡计划。 会正向更新投资判断的监测指标:(1) 以 .0B+ 估值确认完成 Series E,可验证基准情景并支持建仓;(2) 任何 ARR 披露(自愿披露,或如果 Dragos 推进 IPO / 直接上市,则来自监管文件)确认增长高于 30%;(3) Dragos 宣布 IPO,这会要求足以解决多数证据缺口的财务披露;(4) 与 Fortune 100 关键基础设施运营方宣布重大企业 OT 安全合同,且该客户尚未出现在已披露客户名单中。会负向更新判断的指标:(1) 第二次裁员;(2) 关键高管离职(SVP Research、SVP Sales、CTO);(3) Claroty 或 Nozomi 赢下一个具名 Dragos 客户账户。 建仓确信阈值:入场前要求 (a) 确认 ARR 高于 0M,过去 12 个月增长高于 25%;(b) 确认现金跑道超过 18 个月,或宣布新融资;(c) 估值处于或低于 .0-2.5B 基准情景。满仓还需要解决董事会治理不透明,以及 Rockwell 投资人兼客户利益冲突。 [CV024, CV025, CV026, CV027, CV028, CV029]
| 触发器 | 阈值 / 事件 | 对投资逻辑的传导 | 行动含义 |
|---|---|---|---|
| 被迫 Series E 下轮,估值低于 .0B | Dragos 以低于 .0B 的投后估值融资 | 较 Series D 轮下降超过 40%;释放基本面恶化信号;现有投资者账面估值受损 | 退出任何现有仓位;下调为放弃 |
| 无新增资本情况下第二轮裁员 | 宣布第二轮裁员,且没有同步股权或债务融资公告 | 确认现金跑道告急;增长恢复失败;困境融资或 M&A 可能性上升 | 下调为放弃;关注困境 M&A 入场机会 |
| Robert M. Lee 离任且无过渡安排 | 宣布 CEO 离任,且没有具名继任者或计划内过渡 | 品牌、投资者信心和思想领导力资产受冲击;客户信心存在风险 | 若已持仓则减仓;重新入场前要求新 CEO 证明业绩 |
| Microsoft / Palo Alto 的 OT 捆绑包低于 Dragos ACV | 主要 IT 既有厂商面向同等规模企业的 OT 资产可视化捆绑定价低于 Dragos ACV | 中端市场进入利润被侵蚀;Dragos 被迫只靠 IR 服务和情报竞争;TAM 收缩 | 将基准情景下调至 .5B;任何入场前要求 ARR 披露 |
| Claroty / Nozomi 赢下具名 Dragos 客户 | Claroty 或 Nozomi 公开宣布赢下已披露的 Dragos 锚定客户(电力公用事业或大型管道) | 竞争护城河证据被削弱;参考客户中已证明价格或功能达到同等水平 | 将基准情景下调为悲观情景;进一步持仓前调查输赢单数据 |
触发阈值是分析师推导的监测标准,非 Dragos 披露指引。每个触发器的传导估计基于可比网络安全公司先例(如 CrowdStrike Q3 FY2022 指引失误、Ping Identity 下轮融资)。行动含义假设在确认基准情景后已建立完整尽调仓位。
[CV024, CV025, CV026, CV027, CV028, CV029]投委会评分卡按 1-10 分评价 Dragos 的七个维度:市场机会、产品验证、竞争护城河、财务质量、风险画像、估值入场和证据质量。
分数是分析师按 1-10 分做出的定性判断。财务质量和证据质量分数反映一家 .7B 私营公司在 Series D 后没有财务披露的根本不透明性。如果财务披露确认基准情景,这些分数会显著改善。市场机会分数反映 MarketsandMarkets、IDC 和 Mordor Intelligence 的 OT 安全市场规模测算。
[CV001, CV008, CV013, CV014, CV016, CV037]8.5 最终尽调问题
Dragos 最关键的未解决尽调事项,都与财务透明度和治理有关;每一项都可能把建议从继续研究实质性推向买入或放弃。第一,财务披露:公司必须提供 2021-2026 年 ARR 桥接、当前年化 ARR、过去 12 个月增长率、毛利率、按成本类别划分的烧钱速度、当前现金余额,以及任何授信额度或过桥融资。第二,估值语境:2023 年融资失败的具体条款——包括目标估值、哪些投资人放弃、给出的理由——会为当前企业价值评估提供关键三角校验。第三,资本结构:完整股权结构表必须列出优先股堆叠、清算优先权、反稀释条款和投资人权利协议,这是回报建模的基础。第四,治理:完整董事名单、委员会章程,以及与客户有关系的投资人董事(尤其 Rockwell Automation)是否已有回避或利益冲突政策。 如果财务披露确认悲观情景(ARR 约 0M,增长低于 25%),合适动作是在低于 .5B 入场价时放弃或观察。如果披露确认基准情景(ARR 约 0M,增长 30-40%),合适动作是在 .0B 或以下半仓。如果披露确认乐观情景(ARR 高于 00M,增长高于 40%),合适动作是在 .5B 或以下满仓。建议框架对价格和证据都敏感:Dragos 市场位置质量本身不足以在缺少财务验证时支持入场。 [CV031, CV032, CV033, CV034, CV035, CV036]
| 主题 | 缺失证据 | 重要性 | 负责人 / 尽调路径 |
|---|---|---|---|
| ARR 与收入增长 | 2021-2026 年 ARR 桥接;过去 12 个月增长率;2021 年以来季度 ARR 节奏 | 没有 ARR 无法确认基准、悲观、乐观情景;整个估值区间(.5-3.5B)都取决于这一点 | 将其作为投资条款清单条件向管理层索取 |
| 烧钱速度与现金跑道 | 按成本类别划分的月度烧钱速度(R&D、S&M、G&A、服务);当前现金余额;信贷额度 | 缺少烧钱数据,无法评估 Series E 轮紧迫性或困境融资概率 | 索取 FY2022、FY2023、FY2024、FY2025 经审计财务报表(或管理账) |
| 2023 年融资失败细节 | 哪些投资者放弃;目标估值是多少;向潜在投资者呈现的增长率是多少 | 理解 2023 年叙事,是判断复苏与持续减速价值差异的关键 | 直接询问管理层;创始人 / 投资者访谈(背景访谈) |
| 股权结构表与优先股堆叠 | 完整股权结构表及经济所有权;清算优先权结构和反稀释条款;任何老股交易 | 新投资者以 .7-2.5B 入场的回报建模,高度取决于优先权包袱 | 在数据室中索取股权结构表 |
| 治理与董事会构成 | 完整董事名单;委员会章程;Rockwell 回避政策;关联交易登记册 | Rockwell 作为投资者兼客户的利益冲突未披露、未缓释;关联交易影响估值 | 索取治理文件及任何现有利益冲突政策 |
| Series E 轮时间线与条款 | Dragos 是否在主动推进 Series E?目标估值和时间线是什么?是否有桥接融资? | Series E 状态决定现金跑道,以及被迫融资与自愿融资事件的概率 | 管理层访谈;跟踪监管披露和新闻稿中的融资信号 |
所有尽调问题都是该规模后期私营公司投资的标准问题。没有任何问题需要非公开内幕信息。财务披露问题是验证基准情景、把建议从继续研究推进到有条件买入所需的最低门槛。
[CV031, CV032, CV033, CV034, CV035, CV036]8.6 附录
免责声明
本报告为内部投资尽调文件,仅供研究和分析使用。不构成投资建议,也不构成买卖证券的要约或招揽。分析依赖公开信息和分析师估计,可能不完整或后续修订。前瞻性陈述、估值情景和目标价格均为估计,存在重大不确定性。可比公司的过往表现不代表未来结果。读者在做出投资决定前,应自行尽调并咨询合格投资专业人士。
证据索引
| 编号 | 陈述 | 可信度 | 来源 |
|---|---|---|---|
| CO001 | Dragos, Inc. was founded in 2016 by cybersecurity practitioners with government intelligence and military backgrounds. | 高 | SO001, SO011 |
| CO002 | Dragos is headquartered in Hanover, Maryland, in the Washington, DC area, and is privately held. | 高 | SO001, SO002 |
| CO003 | Dragos's stated mission is to safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day. | 高 | SO001, SO002 |
| CO004 | The Dragos Platform provides asset visibility, OT network monitoring, vulnerability management, threat detection, and incident response capabilities for industrial and OT environments. | 高 | SO001, SO021 |
| CO005 | Robert M. Lee is the CEO and co-founder of Dragos, Inc., and served as a U.S. Air Force Cyber Warfare Operations officer and at the National Security Agency before founding Dragos. | 高 | SO001, SO002 |
| CO006 | Robert M. Lee and the Dragos founding team investigated the 2015 and 2016 Ukraine power grid attacks and analyzed CRASHOVERRIDE and TRISIS malware, establishing the company's practitioner credibility. | 高 | SO001, SO009 |
| CO007 | Robert M. Lee has testified before the U.S. Congress multiple times on the security and resiliency of critical energy and water infrastructure. | 高 | SO001, SO010 |
| CO008 | Jodi Schatz serves as Chief Product Officer of Dragos and is responsible for the Dragos Platform roadmap including Platform 3.0 and the Insights Hub. | 高 | SO003, SO004 |
| CO009 | Eric Cross was appointed Chief Revenue Officer of Dragos on August 19, 2025, bringing more than 20 years of enterprise GTM experience including roles at Reltio, Appian, Google Cloud, and Salesforce. | 高 | SO006, SO010 |
| CO010 | Dawn Mitchell was named Chief People Officer of Dragos to lead the company's organizational and talent strategy. | 高 | SO027, SO010 |
| CO011 | William J. Fehrman and Ekta Singh-Bushell joined the Dragos Board of Directors on January 31, 2024, bringing executive experience from Berkshire Hathaway Energy and the Federal Reserve Bank of New York respectively. | 高 | SO005, SO011 |
| CO012 | Bill Fehrman previously served as President, CEO, and Director of Berkshire Hathaway Energy (BHE) and led the implementation of cybersecurity programs to protect BHE's critical infrastructure including deployment of Dragos technology. | 高 | SO005, SO010 |
| CO013 | Dragos raised $200 million in Series D funding at a valuation of $1.7 billion on October 28, 2021—the largest funding round and highest valuation achieved by any OT cybersecurity company at that time. | 高 | SO002, SO014 |
| CO014 | The Series D was co-led by Koch Disruptive Technologies, an investment arm of Koch Industries, and funds and accounts managed by BlackRock. | 高 | SO002, SO014 |
| CO015 | Additional Series D investors included Emerson, Hewlett Packard Enterprise, Allegis Cyber, Canaan, DataTribe, Energy Impact Partners, National Grid Partners, Schweitzer Engineering Labs, Rockwell Automation, and Global Reserve Group. | 高 | SO002, SO011 |
| CO016 | Dragos's Series D was extended by $74 million, bringing the total Series D to $274 million and total funds raised across all rounds to approximately $440 million, announced on January 31, 2024. | 高 | SO005, SO011 |
| CO017 | Dragos was named a Leader in the 2026 Gartner Magic Quadrant for CPS Protection Platforms for the second consecutive year, recognized for Ability to Execute and Completeness of Vision, published March 9, 2026. | 高 | SO003, SO028 |
| CO018 | Dragos received a 4.5 out of 5.0 rating on Gartner Peer Insights in the CPS Protection Platform category as of the 2026 Gartner MQ report. | 高 | SO003, SO028 |
| CO019 | Dragos appeared on the Deloitte Technology Fast 500 list of fastest-growing companies for the fifth consecutive year as of 2024. | 高 | SO003, SO005 |
| CO020 | Dragos was ranked #1 in Innovation and named an overall Leader in Frost and Sullivan's FrostRadar: OT Cybersecurity Solutions, 2025. | 高 | SO003, SO010 |
| CO021 | The Dragos Platform 3.0, launched September 23, 2025, introduced the Insights Hub, AI-enhanced vulnerability analysis, new STS-50 sensor hardware, and Active Collection mode for air-gapped environments. | 高 | SO004, SO015 |
| CO022 | Dragos expanded its Microsoft collaboration on February 3, 2026, enabling Azure deployment, Microsoft Sentinel integration, and Microsoft Marketplace availability for the Dragos Platform. | 高 | SO007, SO010 |
| CO023 | The global OT security market is expected to grow from $23.5 billion in 2025 to $50.3 billion by 2030, representing a 16.5% compound annual growth rate per MarketsandMarkets. | 中 | SO007, SO019 |
| CO024 | Dragos tracked 26 OT threat groups globally as of the 2026 OT/ICS Cybersecurity Year in Review, of which 11 were actively conducting operations in 2025. | 高 | SO008, SO009 |
| CO025 | Dragos tracked 119 ransomware groups impacting 3,300 industrial organizations in 2025, a 49% year-over-year increase from 80 groups in 2024. | 高 | SO008, SO009 |
| CO026 | Three new OT threat groups were identified in the Dragos 2026 Year in Review: AZURITE, PYROXENE, and SYLVANITE. | 高 | SO008, SO009 |
| CO027 | Dragos's Neighborhood Keeper program had been adopted by 84 utilities representing over 70% of electric utility customers in the United States through a joint initiative with NERC's Electricity Information Sharing and Analysis Center (E-ISAC). | 高 | SO002, SO022 |
| CO028 | Robert M. Lee is a key-person risk for Dragos as his personal brand, practitioner credentials, and policy relationships are tightly intertwined with Dragos's corporate identity and market position. | 中 | SO001, SO010 |
| CO029 | Dragos is privately held as of May 2026, with no IPO, merger, or acquisition announcement disclosed publicly. | 高 | SO001, SO010 |
| CO030 | The Koch Disruptive Technologies investment in Dragos reflects an operator-as-investor strategy: Koch deploys Dragos technology at its 500+ global facilities including Georgia-Pacific operations. | 高 | SO002, SO011 |
| CO031 | Rockwell Automation's investment in Dragos signals the increased prioritization of OT cybersecurity in manufacturing and industrial automation, with the two companies collaborating on customer deployments. | 高 | SO002, SO010 |
| CO032 | Dragos's Community Defense Program (CDP) provides free industrial cybersecurity technology to water, electric, and natural gas providers with under $100 million in annual revenue in the United States. | 高 | SO001, SO023 |
| CO033 | Primary competitors in the OT/ICS cybersecurity platform market include Claroty, which serves industrial, healthcare, and commercial cyber-physical environments, and Nozomi Networks, which emphasizes OT and IoT security with AI-powered analysis. | 中 | SO018, SO019 |
| CO034 | Dragos is expanding internationally with offices and partnerships in Canada, Australia, New Zealand, the United Kingdom, continental Europe, the UAE (OT Cyber Center of Excellence), Japan (via Macnica), and Saudi Arabia (Aramco MOU). | 高 | SO024, SO025 |
| CO035 | Dragos disclosed over 100% year-over-year growth in platform recurring revenue for the period ending September 30, 2021—the most recent financial growth metric publicly disclosed by the company. | 高 | SO002, SO014 |
| CO036 | Dragos established a partnership with Singapore's Digital and Intelligence Service through a three-year MOU to jointly develop OT cybersecurity capabilities and facilitate two-way information sharing. | 中 | SO001, SO026 |
| CO037 | Dragos laid off approximately 9% of its workforce in June 2023 amid a cooling of the OT cybersecurity market, as reported by SiliconAngle and Axios. | 中 | SO012, SO013 |
| CO038 | CISA's April 2022 ICS advisory AA22-103A (CHERNOVITE/PIPEDREAM) referenced ICS-specific threat research, representing government-level recognition of OT threat intelligence from the industrial cybersecurity community including Dragos. | 中 | SO016, SO017 |
| CO039 | Dragos established a partnership with ONG-ISAC (Oil and Natural Gas Information Sharing and Analysis Center) and DNG-ISAC (Downstream Natural Gas ISAC) to extend Neighborhood Keeper community defense to energy sector ISACs. | 高 | SO002, SO022 |
| CO040 | Dragos's current revenue, ARR, customer count, gross margin, burn rate, and headcount as of 2025–2026 are not publicly disclosed; Dragos operates as a private company with no regulatory reporting obligation. | 低 | |
| CM001 | The OT/ICS cybersecurity market includes asset visibility, network monitoring, threat detection, vulnerability management, and incident response for industrial control systems including SCADA, DCS, PLC, historian, and HMI environments. | 高 | SM024, SM002 |
| CM002 | OT security differs fundamentally from IT security in operating on industrial protocols (Modbus, DNP3, EtherNet/IP, Profinet, OPC-UA) that standard IT security tools cannot parse without specialized decoders, creating a natural differentiation boundary. | 高 | SM024, SM021 |
| CM003 | OT risk is fundamentally operational and safety-driven—a successful OT attack can cause physical damage, production outages, environmental incidents, or loss of life—versus IT security risk centered on data confidentiality and availability. | 高 | SM024, SM001 |
| CM004 | Status-quo substitutes for OT security platforms include manual air-gap maintenance, OEM-bundled security tools (Honeywell Forge, GE Predix Security, Siemens), IT security vendors extended to OT (Microsoft Defender for IoT, Claroty), and no security tooling at all in smaller operators. | 中 | SM020, SM026, SM029 |
| CM005 | MarketsandMarkets projects the global OT security market at $23.5B in 2025, growing to $50.3B by 2030 at a 16.5% compound annual growth rate. | 中 | SM005, SM020 |
| CM006 | Frost & Sullivan's FrostRadar: OT Cybersecurity Solutions 2025 ranked Dragos as the #1 Innovation leader in the OT cybersecurity solutions market, validating Dragos's technology and go-to-market differentiation among key OT security vendors. | 高 | SM007, SM008 |
| CM007 | The Dragos and Marsh McLennan 2025 OT Security Financial Risk Report estimates worst-case global OT cyber financial losses at $329.5B annually. | 中 | SM001, SM004 |
| CM008 | Of the $329.5B worst-case global OT cyber financial risk estimate, $172.4B is attributable to business interruption—the largest single loss category—underscoring operational continuity as the primary OT security value driver. | 中 | SM001 |
| CM009 | At $23.5B in annual OT security market spend versus $329.5B in worst-case OT cyber financial exposure, the protection-to-risk ratio is approximately 7%, suggesting the market is structurally under-protected relative to financial exposure. | 低 | SM001, SM005 |
| CM010 | Gartner's CPS Protection Platforms Magic Quadrant represents a narrower platform-software market definition than MarketsandMarkets OT security TAM, focused specifically on the platform category where Dragos, Claroty, and Nozomi Networks compete. | 中 | SM006, SM005 |
| CM011 | The serviceable addressable market (SAM) for OT platform software and professional services is estimated at $7–10B globally in 2025, excluding security hardware, OEM-bundled tools, and IT-only security spend from the MarketsandMarkets total. | 低 | SM005, SM006 |
| CM012 | Dragos's $1.7B Series D valuation (October 2021) at typical growth-stage SaaS multiples of 10–15× ARR implies an ARR of approximately $113–170M at the time of fundraising—an analyst estimate not disclosed by Dragos. | 低 | SM028, SM027 |
| CM013 | If Dragos's platform ARR has grown at 30% annually from the 2021 anchor, current unverified ARR (2025) could be in the $200–350M range, representing approximately 2–5% penetration of the estimated $7–10B SAM—all figures are analyst estimates. | 低 | SM028, SM005 |
| CM014 | Electric utilities are Dragos's deepest-penetrated segment, driven by mandatory NERC CIP compliance requirements for bulk electric system assets that create a regulatory forcing function for OT security investment. | 高 | SM022, SM018 |
| CM015 | Dragos's Neighborhood Keeper program had been adopted by 84 utilities representing more than 70% of U.S. electric utility customers through the NERC E-ISAC partnership as of the October 2021 Series D announcement. | 高 | SM022, SM028 |
| CM016 | TSA Pipeline Security Directives mandate OT security programs for pipeline operators, creating a compliance-driven procurement mechanism for midstream oil and gas OT security. | 高 | SM013, SM019 |
| CM017 | Water and wastewater utilities are mandated by AWIA 2018 to conduct cybersecurity risk assessments every five years, but small systems (under 10,000 customers) have annual cybersecurity budgets well below Dragos's enterprise minimum deal size. | 高 | SM015, SM023 |
| CM018 | Dragos addresses under-resourced operators (small water utilities, rural electric co-ops) through the Community Defense Program and OT-CERT free resources, creating community presence without commercial monetization in this segment. | 高 | SM023, SM022 |
| CM019 | OT security enterprise deals at large utilities and energy companies are estimated at $100K–$500K+ annually depending on asset count and scope; multi-year contracts are common in the regulated utility sector. | 低 | SM024, SM028 |
| CM020 | The primary buyer persona for OT security platform procurement is the CISO or OT Security Engineer at a large industrial enterprise, with budget authority typically resting at the VP of Operations or VP of Engineering level. | 中 | SM024, SM012 |
| CM021 | International OT security market opportunities include Europe (NIS2 Directive driving critical infrastructure compliance), UAE (Dragos established a Center of Excellence), Japan (Macnica partnership), and Singapore (Digital and Intelligence Service MOU). | 中 | SM024, SM003 |
| CM022 | Dragos tracks 26 named OT adversary groups globally, of which 11 were actively targeting operational technology environments in 2025, representing the most comprehensive OT threat group taxonomy in the industry. | 高 | SM002, SM016 |
| CM023 | Industrial ransomware incidents increased 49% year-over-year in 2025, affecting 3,300 industrial organizations globally across 119 active ransomware groups—a rate of growth that directly drives board-level OT security budget approval. | 高 | SM002, SM017 |
| CM024 | NERC CIP-015-2 Internal Network Security Monitoring (INSM) requirements mandate network visibility and monitoring for EACMS, PACS, and SCI assets in the bulk electric system—capabilities central to the Dragos Platform—creating a regulatory mandate for the product. | 高 | SM018, SM010 |
| CM025 | CISA's Cross-Sector Cybersecurity Performance Goals provide a voluntary but increasingly adopted framework for critical infrastructure protection that converts discretionary OT security spending into a documented compliance objective across non-mandated sectors. | 中 | SM019, SM011 |
| CM026 | The EU NIS2 Directive creates binding cybersecurity obligations for European critical infrastructure operators across energy, transport, water, digital infrastructure, and manufacturing sectors—expanding regulatory OT security demand in European markets. | 中 | SM003, SM025 |
| CM027 | Industry 4.0 connectivity, IIoT sensor deployment, cloud historian integration, and remote access expansion continuously expand the OT attack surface, creating new monitoring requirements that drive demand for purpose-built OT security tooling. | 中 | SM021, SM014 |
| CM028 | SANS 2025 ICS/OT survey identifies Incident Response Planning (18.5%), Defensible Architecture (17.09%), and ICS Network Visibility (16.47%) as the top three adopted controls among the SANS Five Critical Controls—all core capabilities within the Dragos Platform. | 中 | SM009, SM024 |
| CM029 | Multi-sector regulatory accumulation (NERC CIP for electric, TSA directives for pipelines, AWIA for water, NIS2 for European operators, CISA performance goals broadly) converts discretionary OT security spending into compliance-required procurement across Dragos's primary segments. | 高 | SM018, SM019, SM011 |
| CM030 | OT security budget immaturity is the largest adoption constraint: many industrial organizations still treat OT security as a discretionary line item competing with capital infrastructure projects rather than a mandatory operational cost. | 中 | SM015, SM009 |
| CM031 | The IT/OT skills gap—very few practitioners who understand both OT environments and modern cybersecurity—limits self-service platform adoption and makes Dragos's professional services component structurally necessary for initial deployments. | 中 | SM009, SM024 |
| CM032 | Brownfield OT environments with decades-old PLCs, proprietary protocols, and zero-tolerance change management policies make OT security platform deployment complex, extending time-to-value and creating professional services dependency. | 中 | SM021, SM014 |
| CM033 | Enterprise OT security procurement cycles at large utilities and energy companies typically run 12–24 months due to extensive evaluation, vendor security review, legal review, and board approval requirements, limiting Dragos's quarterly revenue velocity. | 中 | SM024, SM028 |
| CM034 | Divergent OT security market TAM estimates—MarketsandMarkets $23.5B (broad OT security) versus Gartner CPS Protection Platforms (platform software only, no public figure)—complicate valuation benchmarking for private OT security companies like Dragos. | 中 | SM005, SM006 |
| CM035 | IT/OT convergence from major IT security vendors (Microsoft Defender for IoT bundled in Azure E5, Palo Alto Networks OT security, CrowdStrike Falcon for OT) creates a commoditization risk where enterprise IT security budgets may be redirected to bundled OT coverage rather than standalone OT platforms. | 中 | SM020, SM026, SM029 |
| CM036 | ISA/IEC 62443 is the primary voluntary OT security standard for manufacturing and process industries, creating a compliance awareness driver even in sectors without mandatory regulatory requirements. | 中 | SM021, SM014 |
| CM037 | Dragos's international expansion—UAE Center of Excellence, Japan Macnica partnership, Singapore Digital Intelligence Service MOU, 16-country European forum—signals active geographic TAM expansion beyond the North American core market. | 中 | SM003, SM027 |
| CM038 | The OT security market is valued on Dragos.com as protecting operations for 'the industrial infrastructure we depend on every day'—signaling that the company positions market urgency, not feature competition, as the primary demand driver. | 中 | SM024 |
| CM039 | Dragos's 2026 Year in Review is the 9th annual industry report, establishing a track record of threat intelligence publication that functions as both a market development asset and a demand-side signal for OT security investment urgency. | 高 | SM002, SM003 |
| CM040 | No independent source publicly confirms Dragos's current ARR, customer count, gross margin, or burn rate; the $1.7B Series D valuation anchor from October 2021 remains the only verifiable financial scale reference. | 中 | |
| CP001 | The OT/ICS cybersecurity platform market in 2026 is a three-tier competitive structure: pure-play OT specialists (Dragos, Claroty, Nozomi Networks), IT platform extensions (Microsoft, Palo Alto Networks, CrowdStrike), and OEM-native/specialist vendors (Honeywell Forge, Tenable.ot, Armis, TXOne Networks). | 高 | SP001, SP016 |
| CP002 | Claroty was founded in 2015, has raised approximately $635M, employs the Team82 threat research unit (50+ CVEs published), and addresses cyber-physical systems broadly including OT, healthcare (Medigate), and commercial buildings. | 中 | SP012, SP024 |
| CP003 | Nozomi Networks was founded in 2013 and acquired by Hg Capital for approximately €600M+ in 2023, providing PE-backed balance sheet strength for potential add-on M&A and geographic expansion. | 中 | SP013, SP023 |
| CP004 | Microsoft acquired OT security capabilities through CyberX for approximately $165M in June 2020, rebuilding the product as Microsoft Defender for IoT and integrating it with Azure Sentinel, Defender for Cloud, and Microsoft 365 Defender. | 高 | SP021, SP011 |
| CP005 | Armis has raised approximately $547M at a $4.3B valuation (2023) and competes on agentless IT/OT/IoT/medical device asset visibility—broader scope than pure-play OT vendors but with shallower OT threat detection depth. | 中 | SP022, SP016 |
| CP006 | Tenable.ot (Indegy acquisition, 2019) competes on unified IT/OT vulnerability management integrated with the Tenable One platform, differentiating on vulnerability depth rather than behavioral threat detection. | 中 | SP022, SP016 |
| CP007 | OT security market M&A consolidation (Nozomi/Hg, Microsoft/CyberX, Tenable/Indegy, Claroty/Medigate) indicates IT platform giants and PE acquirers are consolidating the fragmented OT security landscape—a trend that favors well-funded scale players over specialists. | 中 | SP013, SP021, SP022 |
| CP008 | Dragos Platform 3.0 contains 2,900+ behavioral analytics mapped to MITRE ATT&CK for ICS techniques, developed from active incident response casework in industrial environments—the most extensive ICS detection content library claimed by any OT security vendor. | 中 | SP003, SP002 |
| CP009 | Dragos tracks 26 named OT adversary groups with tactical-level TTP mapping, campaign correlation, and early warning reporting—the most comprehensive public OT threat group taxonomy in the industry, built from active incident response engagements. | 高 | SP005, SP006, SP026 |
| CP010 | Dragos participated in MITRE ATT&CK Evaluations for ICS, demonstrating detection of simulated XENOTIME/TRITON activity targeting safety instrumented systems—providing third-party validation of ICS detection efficacy that competitors have not replicated at equivalent depth. | 高 | SP006, SP014 |
| CP011 | Claroty's Team82 has published 50+ CVEs across OT, healthcare, and commercial building protocols, giving Claroty a broader vulnerability research footprint than Dragos but less OT-specific threat group intelligence depth. | 中 | SP012, SP024 |
| CP012 | Nozomi Networks differentiates on real-time AI/ML anomaly detection in passive monitoring mode with machine learning baseline modeling, claiming lower false-positive rates—a different detection philosophy from Dragos's behavior-analytics and threat-intelligence-driven approach. | 中 | SP013, SP023 |
| CP013 | Microsoft Defender for IoT integrates OT device discovery and monitoring natively into the Microsoft 365 Defender portal and Azure Sentinel, enabling unified IT+OT alerting within the same SIEM workflow—a workflow integration advantage that pure-play OT vendors cannot replicate natively. | 高 | SP021, SP011 |
| CP014 | Microsoft Defender for IoT has shallower OT detection content than Dragos and no equivalent to Dragos's 26-group threat intelligence or Neighborhood Keeper community threat sharing—the SIEM integration advantage trades OT depth for IT workflow breadth. | 中 | SP021, SP003 |
| CP015 | Dragos competes exclusively in the enterprise segment with no self-serve, freemium, or SMB offering; deals are structured as multi-year subscriptions with professional services attached, creating high average contract values and multi-year lock-in. | 高 | SP014, SP020 |
| CP016 | Enterprise OT security platform deals at Dragos, Claroty, and Nozomi Networks are estimated at $100K–$500K+ annually depending on asset count; Microsoft Defender for IoT can appear zero marginal cost for existing Microsoft enterprise licensees. | 低 | SP021, SP014 |
| CP017 | Microsoft Defender for IoT OT monitoring is bundled within Microsoft Defender for Cloud Plans and integrated with Azure Arc for on-premises OT deployment, creating a zero-marginal-cost competitive option for 100% Microsoft enterprise customers. | 高 | SP021, SP011 |
| CP018 | Claroty has invested in channel partnerships with Cisco, Rockwell Automation, and Schneider Electric for OEM sales motions, and with VARs/MSSPs for healthcare distribution—a channel strategy with broader OEM reach than Dragos's current ecosystem. | 中 | SP012, SP024 |
| CP019 | The February 2026 Microsoft-Dragos partnership integrates Dragos threat intelligence into Microsoft Sentinel and lists Dragos Platform on Azure Marketplace, representing Dragos's co-opetition response to the Microsoft bundling competitive threat. | 高 | SP011, SP021 |
| CP020 | Dragos achieved the AWS Manufacturing and Industrial Competency designation—the first OT security vendor to do so—and the AWS partner relationship creates a cloud-native OT deployment pathway extending the platform's addressable base. | 高 | SP007, SP012 |
| CP021 | Dragos's ecosystem integrations with CrowdStrike, Palo Alto Networks, and Rockwell Automation extend the platform's reach within existing customer security stacks and reduce the risk that those vendors displace Dragos at existing accounts. | 中 | SP014, SP015 |
| CP022 | Claroty's expansion into healthcare (Medigate for medical device security) and commercial buildings creates a cross-sell OT displacement risk: in pharmaceutical manufacturing and healthcare-adjacent OT environments, Claroty may win accounts on healthcare and extend into OT without a head-to-head OT competition. | 中 | SP012, SP024 |
| CP023 | The Microsoft bundling threat to Dragos's addressable market is partially mitigated by the February 2026 partnership but not eliminated: for enterprises that are 100% Microsoft shops, Defender for IoT remains the path of least resistance for OT compliance monitoring. | 中 | SP011, SP021 |
| CP024 | Dragos's deliberate refusal to pursue healthcare and commercial building OT maintains pure-play ICS category focus and practitioner credibility but cedes the broader cyber-physical systems TAM to Claroty—a strategic trade-off with long-term market share implications. | 中 | SP014, SP012 |
| CP025 | Dragos's ICS threat intelligence library—26 named OT adversary groups built from active incident response engagements—cannot be replicated by competitors without the same IR footprint, making it a structurally durable competitive moat. | 高 | SP005, SP006, SP009 |
| CP026 | Nozomi Networks' Hg Capital acquisition provides PE balance sheet strength for potential add-on M&A to close gaps in Dragos's primary differentiators (threat intelligence, IR brand), representing a 2–5 year consolidation risk. | 中 | SP013, SP023 |
| CP027 | Basic OT asset visibility is becoming commoditized as a feature of broader IT security platforms (Microsoft, Palo Alto, CrowdStrike); Dragos's sustainable differentiation requires continuous investment in detection content, threat intelligence depth, and community programs that cannot be feature-copied. | 中 | SP021, SP022 |
| CP028 | Dragos's founding team from NSA TAILORED ACCESS OPERATIONS and ICS-CERT provides practitioner credibility with U.S. government and defense-critical infrastructure buyers that competitors cannot replicate through hiring or acquisition. | 高 | SP015, SP018 |
| CP029 | Competitive risks in assessed order of severity: Microsoft bundled OT monitoring displacement (most severe, active); Claroty healthcare account cross-sell; Nozomi PE-backed M&A; OT visibility commoditization; and OT practitioner talent competition limiting IR services scale. | 中 | SP011, SP012, SP013, SP021 |
| CP030 | Nozomi Networks and Dragos employ fundamentally different detection philosophies: Nozomi relies on AI/ML anomaly detection with machine learning baselines (lower false-positive claim), while Dragos uses behavior-analytics mapped to MITRE ATT&CK for ICS with threat-group context—prioritizing precision and actionability over coverage breadth. | 中 | SP013, SP003, SP023 |
| CP031 | Tenable.ot (built on the Indegy acquisition) integrates with Tenable One to provide a unified IT+OT vulnerability management platform, differentiating on asset-centric vulnerability depth rather than behavioral threat detection—a complementary rather than directly competitive capability in most enterprise OT security stacks. | 中 | SP022, SP016 |
| CP032 | Dragos's practitioner IR brand—built from responding to major disclosed OT attacks including VOLTZITE targeting U.S. electric utilities, Triton/XENOTIME at a Middle East petrochemical facility, and CHERNOVITE's PIPEDREAM/INCONTROLLER malware discovery—creates inbound RFP pull that competitors with less IR history cannot replicate. | 高 | SP005, SP006, SP015 |
| CP033 | The Hg Capital acquisition of Nozomi Networks for approximately €600M in 2023 represented a PE-led market consolidation bet on OT security growth, signaling that institutional investors with deep technology sector experience view the OT security market as sufficiently mature for a non-IPO private equity exit cycle. | 中 | SP013, SP023, SP022 |
| CP034 | Microsoft's $165M acquisition of CyberX in June 2020 demonstrated that OT security capabilities can be acquired rather than built organically, creating a precedent for IT platform consolidation of pure-play OT security vendors—a strategic risk that Dragos, Claroty, and Nozomi all face as potential acquisition targets or displacement risks. | 中 | SP021, SP011, SP022 |
| CP035 | Among OT security pure-plays, Dragos maintains the widest community engagement moat: OT-CERT's free ICS security resources, the Community Defense Program's free tooling for under-resourced operators, and Neighborhood Keeper's network-effect threat sharing collectively create a competitive wall that requires multi-year sustained investment to replicate—not just product development. | 中 | SP004, SP025, SP015 |
| CI001 | Dragos's commercial revenue model has three monetizable pillars: Platform Subscription (per-device/per-node annual ARR), Threat Intelligence (annual/quarterly adversary reporting subscriptions), and Professional Services (IR retainers, assessments, training). | 高 | SI013, SI002, SI003 |
| CI002 | Dragos Platform subscription is priced per OT device or node under annual contracts, estimated at $150–$500 per device annually, with enterprise deals at 500+ monitored assets generating estimated $200K–$500K+ in annual contract value. | 低 | SI013, SI023 |
| CI003 | Dragos Threat Intelligence subscriptions (Activity Group reports, Watch Notifications, Threat Intelligence Management portal access) are sold separately or bundled with Platform subscriptions, with no direct competitor equivalent at the same OT adversary group depth. | 高 | SI002, SI024 |
| CI004 | Dragos Professional Services revenues include incident response retainers (annual with on-call hours), OT/ICS security assessments (NERC CIP gap, architecture review), Dragos Academy workforce development training, and managed OT security through MSSP channel partners. | 高 | SI003, SI011 |
| CI005 | The Community tier—OT-CERT, Community Defense Program, and Neighborhood Keeper (84+ utility members)—generates no direct revenue but functions as a market development and pipeline generation asset for commercial platform adoption. | 高 | SI026, SI013 |
| CI006 | Dragos is building international revenue through geographic expansion: UAE OT Cybersecurity Center of Excellence, Macnica Japan distribution partnership, Singapore Digital and Intelligence Service MOU, and a 16-country European operator forum in 2025. | 高 | SI010, SI014 |
| CI007 | Dragos reported >100% year-over-year platform recurring revenue growth for the fiscal year ending September 30, 2021—the only verified financial growth metric disclosed by the company in its history. | 高 | SI001, SI019 |
| CI008 | Dragos's unit economics are structurally characterized by high average contract value (enterprise-only, multi-year), high deployment switching costs (sensor reconfiguration, SOC workflow), and professional services attach that increases near-term revenue but depresses blended gross margin below pure SaaS benchmarks. | 中 | SI013, SI023 |
| CI009 | Dragos's estimated blended gross margin is 55–70%, derived from an assumed 75–85% platform SaaS margin blended with a 30–50% professional services margin at an estimated 25–35% professional services revenue mix—well below pure SaaS benchmarks of 75–85%. | 低 | SI013, SI003 |
| CI010 | Net revenue retention (NRR) is inferred to be above 100% for Dragos platform customers due to OT asset count growth post-deployment, high switching costs, and multi-year contract renewal dynamics—but NRR has not been publicly disclosed. | 低 | SI013, SI023 |
| CI011 | Customer acquisition cost (CAC) for Dragos's enterprise direct sales motion is estimated at $50K–$150K per new logo, reflecting 12–24 month sales cycles, high technical evaluation requirements, and dedicated enterprise account team costs. | 低 | SI013, SI021 |
| CI012 | Dragos's OT-CERT, Community Defense Program, and Year in Review reports function as content-led demand generation that reduces inbound CAC for customers who self-identify through community engagement before entering a commercial evaluation. | 中 | SI024, SI026 |
| CI013 | Estimated LTV per enterprise customer (500 assets, 3-year contract) is approximately $600K–$1.2M from platform and threat intelligence ARR alone, before professional services attach and expansion revenue—implying an LTV/CAC ratio of approximately 4:1 to 15:1 at the estimated CAC range. | 低 | SI013, SI021 |
| CI014 | The professional services revenue mix is the most critical unknown in Dragos's unit economics: if services represent 35%+ of total revenue, blended gross margin would be below 60%, materially compressing exit valuation multiples relative to pure SaaS benchmarks. | 中 | SI003, SI013 |
| CI015 | Bear-case 2025 revenue estimate for Dragos is approximately $170M (20% CAGR from 2021 anchor); base case is approximately $270M (30% CAGR); bull case is approximately $390M (40% CAGR)—all are analyst estimates with very high uncertainty given no public disclosure. | 低 | SI001, SI021 |
| CI016 | Dragos has raised approximately $440M in venture and growth equity across Seed, Series B (~$37M), Series C (~$110M), Series D ($200M, October 2021), and Series D extension ($74M, January 2024). | 高 | SI001, SI019, SI020 |
| CI017 | Dragos's strategic investors include Koch Disruptive Technologies (energy sector access), BlackRock Alternative Capital (critical infrastructure asset owners), Rockwell Automation (OT automation installed base), Emerson Electric (process automation), HPE (edge computing integration), and National Grid Partners (UK utility sector). | 高 | SI001, SI013 |
| CI018 | Dragos's strategic investor profile—Rockwell Automation, Emerson Electric, Koch Disruptive Technologies—represents a cohort of industrial automation vendors with strategic rationale for acquiring Dragos's OT security platform at a premium to financial-buyer multiples. | 中 | SI013, SI021 |
| CI019 | The January 2024 Series D extension ($74M) rather than a new equity round at a higher valuation suggests Dragos drew on previously committed capital or acceptable runway extension mechanics—implying either runway need or inability to achieve a valuation mark-up from the 2021 $1.7B post-money in a compressed multiples environment. | 中 | SI001, SI020 |
| CI020 | Total capital raised ($440M) at $1.7B peak valuation implies investor break-even at exit requires ARR of approximately $300M–$700M at typical SaaS exit multiples of 5–15× ARR, creating return pressure that may favor a strategic acquisition premium over an IPO. | 低 | SI021, SI019 |
| CI021 | Dragos's Deloitte Technology Fast 500 recognition for five consecutive years through 2024 validates sustained revenue growth trajectory but provides no revenue figure, growth rate, or absolute ARR metric. | 中 | SI014, SI021 |
| CI022 | No Series E, IPO S-1, or public M&A transaction has been announced for Dragos through May 2026—approximately 30 months after the January 2024 Series D extension—leaving the exit and runway timeline unresolved. | 中 | SI020, SI001 |
| CI023 | The June 2023 reduction of approximately 9% of Dragos's workforce (publicly reported by Axios and SiliconAngle) occurred approximately 20 months after the Series D and is consistent with over-hiring into 2021 growth expectations followed by burn rate correction as revenue growth decelerated. | 高 | SI017, SI018 |
| CI024 | Dragos has made no financial disclosure since the >100% YoY platform recurring revenue growth metric in October 2021. ARR, revenue, gross margin, net retention, customer count, burn rate, and runway are all undisclosed—creating severe financial due diligence constraints. | 中 | SI001, SI020 |
| CI025 | Any investment or M&A evaluation of Dragos requires access to audited financials for FY2022–FY2025 at minimum, including disaggregated ARR by product line, gross margin by product line, net revenue retention, customer count by contract size tier, and current burn rate. | 高 | SI013, SI021 |
| CI026 | The June 2023 layoffs were not followed by any publicly disclosed profitability milestone, suggesting Dragos continues to operate at a net loss as of 2025-2026 despite revenue growth—consistent with a growth-stage company investing in GTM and product ahead of profitability. | 中 | SI017, SI018 |
| CI027 | The absence of a new round of financing for 30+ months after the January 2024 Series D extension creates ambiguity: it could indicate Dragos is approaching profitability (reducing capital need), pursuing an M&A sale process, or unable to raise at an acceptable valuation in the current market. | 中 | SI020, SI001 |
| CI028 | CISA advisories jointly co-authored with Dragos (including AA22-103A on APT tools targeting ICS/SCADA and AA23-263A on ransomware against critical infrastructure) serve as indirect government endorsement of Dragos's OT security position but provide no financial metrics. | 高 | SI015, SI016 |
| CI029 | Most likely exit scenarios for Dragos, in assessed order of probability: (1) strategic acquisition by a defense contractor or IT security platform at 8–15× revenue premium; (2) strategic acquisition by one of the industrial investor-partners (Rockwell, Emerson, Honeywell); (3) delayed IPO in 2027–2029 pending multiple recovery; (4) PE-led recapitalization; (5) IPO in 2026 (least likely given current multiples). | 低 | SI021, SI018, SI025 |
| CI030 | Customer concentration risk—whether a small number of large utility or energy customers represent a disproportionate share of Dragos ARR—is a material undisclosed risk that could result in episodic high churn if a major customer is lost, but cannot be assessed from public information. | 中 | SI013 |
| CI031 | Dragos's platform subscription revenue is high-quality recurring ARR with multi-year contracts, high deployment switching costs, and asset-count expansion dynamics—these structural characteristics produce more predictable revenue than professional services or one-time project revenue and support favorable valuation multiples. | 中 | SI013, SI023 |
| CI032 | Capital intensity at Dragos is driven primarily by human capital (OT practitioners for IR services, sales engineers for technical evaluations, threat intelligence analysts for adversary group tracking) rather than physical infrastructure—a services-heavy cost structure that limits gross margin expansion but also limits capital expenditure requirements. | 中 | SI003, SI013 |
| CI033 | Dragos's total commercial customer count is not publicly disclosed as of 2025-2026; analyst estimates of 500–1,000 commercial platform customers are unverifiable without internal data access, and the Neighborhood Keeper figure of 84 electric utilities (2021) represents only a subset of total customers. | 中 | |
| CI034 | NRR (net revenue retention) for Dragos's platform subscription customers is inferred above 100% based on high OT asset count growth post-deployment and multi-year renewal dynamics, but no NRR figure has been publicly disclosed; structural inference may be wrong if customer churn exceeds the asset expansion rate. | 低 | SI013, SI023 |
| CI035 | The financial diligence blockers for any investment or acquisition of Dragos—absence of disclosed ARR, growth rate, gross margin, NRR, burn rate, and customer count for FY2022-FY2025—are so material that the 2021 Series D $1.7B valuation anchor provides no reliable current valuation basis without access to audited financials. | 高 | SI001, SI021, SI016 |
| CE001 | Dragos Platform 3.0, launched September 23, 2025, added the Insights Hub, AI-enhanced vulnerability processes, the STS-50 sensor, Active Collection mode, and OT Watch Complete as significant new capabilities. | 高 | SE001, SE025 |
| CE002 | The Dragos Platform uses passive-first network monitoring with 600+ ICS/OT protocol parsers and requires no agents on OT devices, preserving operational uptime in zero-downtime environments. | 高 | SE001, SE002 |
| CE003 | The Insights Hub in Platform 3.0 consolidates risk-based vulnerability, asset, and threat alerts into a single prioritized view with expert-authored playbooks to accelerate analyst triage and action. | 高 | SE001, SE025 |
| CE004 | Dragos applies a proprietary 'Now, Next, Never' OT vulnerability prioritization methodology, identifying approximately 2-6% of ICS-relevant CVEs as requiring immediate action, reducing analyst noise from raw CVSS scoring. | 高 | SE003, SE007 |
| CE005 | Platform 3.0 introduces AI-enhanced vulnerability analysis that uses AI models to accelerate back-end vulnerability processing and extends automated identification to software and operating systems. | 中 | SE001, SE006 |
| CE006 | The STS-50 is Dragos's next-generation sensor with a smaller physical footprint enabling deployment at distributed, smaller, and remote OT sites previously unable to host full-size sensor hardware. | 中 | SE001, SE025 |
| CE007 | Dragos OT Watch provides 24/7 expert-driven OT threat hunting, validated high-confidence escalations, and direct access to OT specialists — distinct from IT SOC services that lack industrial protocol expertise. | 高 | SE005, SE013 |
| CE008 | OT Watch Complete adds proactive security hardening, ongoing platform tuning, and expert management of detections, triage, and investigations on top of the base OT Watch tier. | 中 | SE005, SE013 |
| CE009 | Dragos professional services include OT Cybersecurity Assessment, Network Vulnerability Assessment, Penetration Testing, Purple Team exercises, Tabletop Exercises, and a Rapid Response Retainer with pre-cleared contracts and burndown options. | 高 | SE005, SE013 |
| CE010 | Organizations with comprehensive OT visibility detected and contained OT ransomware incidents in an average of 5 days, compared to the industry-wide average of 42 days, according to the Dragos 2026 OT/ICS Cybersecurity Report. | 高 | SE014, SE025 |
| CE011 | Dragos identified 119 ransomware groups targeting industrial organizations in 2025, a 64% increase year-over-year, with manufacturing accounting for more than two-thirds of all victims and 3,300 organizations impacted globally. | 高 | SE014, SE004 |
| CE012 | Dragos determined that 25% of ICS-CERT and NVD vulnerabilities had incorrect CVSS scores in 2025, and 26% of advisories contained no patch or mitigation, illustrating why OT-corrected vulnerability intelligence is a product differentiator. | 高 | SE014, SE003 |
| CE013 | KAMACITE systematically scanned U.S. infrastructure control loops throughout 2025 while ELECTRUM deployed wiper malware against Polish distributed energy systems, demonstrating adversary progression from reconnaissance to attempted operational effects. | 高 | SE014, SE004 |
| CE014 | Dragos's 2026 annual report identified three new OT threat groups: SYLVANITE (initial access broker for VOLTZITE), AZURITE (OT data exfiltration with Flax Typhoon overlap), and PYROXENE (supply chain + social engineering with IRGC-CEC overlap), bringing the total tracked to 26. | 高 | SE014, SE004 |
| CE015 | The Dragos Intelligence Fabric integrates adversary tracking, OT telemetry, asset and protocol expertise, vulnerability research, and frontline IR data into a continuous feedback loop that powers platform AI capabilities and analyst workflows. | 中 | SE006, SE023 |
| CE016 | Weekly Knowledge Packs automatically push updated detections, OT-specific vulnerability data, and analyst playbooks to the Dragos Platform, ensuring continuous currency of threat and vulnerability content without manual intervention. | 高 | SE001, SE004 |
| CE017 | Beginning Q1 2026, following the February 2026 Microsoft partnership, the Dragos Platform supports SaaS deployment on Microsoft Azure in addition to on-premises and hybrid models. | 高 | SE026, SE027 |
| CE018 | Dragos integrates OT-specific telemetry, threat intelligence, and asset context directly into Microsoft Sentinel, enabling unified IT/OT detection, investigation, and response from a single SIEM. | 高 | SE026, SE027 |
| CE019 | Dragos achieved the AWS Manufacturing and Industrial Competency as the first partner with an OT Security category designation in January 2023; Koch Industries deployed the platform on AWS reporting previously unachievable OT/ICS visibility. | 高 | SE009, SE022 |
| CE020 | Gartner named Dragos a Leader in the 2026 Magic Quadrant for CPS Protection Platforms for the second consecutive year (published March 2026), with a Gartner Peer Insights rating of 4.5 out of 5 based on practitioner reviews. | 高 | SE018, SE025 |
| CE021 | Frost & Sullivan ranked Dragos #1 in Innovation and an overall Leader in its FrostRadar: OT Cybersecurity Solutions 2025 report, recognizing the company's product differentiation and market momentum. | 中 | SE026, SE025 |
| CE022 | Dragos's Rapid Response Retainer includes pre-cleared contracts with burndown options, onboarding workshops to evaluate IR plans, and tabletop exercises designed to reduce OT incident mobilization time. | 高 | SE005, SE013 |
| CE023 | Dragos's 2025 OT Security Financial Risk Report, co-authored with Marsh McLennan's Cyber Risk Intelligence Center, quantified global OT cyber risk at up to $329.5 billion in a 1-in-250-year tail event; ICS network visibility and monitoring correlated with up to 16.47% financial risk reduction. | 高 | SE010, SE007 |
| CE024 | Dragos's NERC CIP compliance support includes passive monitoring aligned with CIP-015 INSM requirements, event logging for CIP audit documentation, and Architecture Reviews that map customer environments to specific CIP control requirements. | 中 | SE008, SE015 |
| CE025 | Neighborhood Keeper uses double anonymization — no organization ID is mapped to its connection certificate — and distributes threat data at machine speed, enabling threat indicators from one utility to propagate to all participants within hours. | 高 | SE021, SE019 |
| CE026 | At the time of the Series D announcement in October 2021, Neighborhood Keeper had 84 North American electric utilities representing over 70% of U.S. electric utility customers participating in the program. | 中 | SE028, SE021 |
| CE027 | OT-CERT (OT Cyber Emergency Readiness Team) had over 2,400 members in 64 countries as of March 2025, providing free OT cybersecurity resources including tabletop exercise templates, training materials, and community working sessions. | 高 | SE020, SE019 |
| CE028 | The Community Defense Program provides perpetually free access to the Dragos Platform, Neighborhood Keeper, OT-CERT, and Dragos Academy to qualifying US/Canada water, electric, and gas utilities under $100M USD in annual revenue, enabled by an Elastic partnership for scalable deployment. | 高 | SE019, SE020 |
| CE029 | The Dragos Global Partner Program, launched June 2023, is the only OT channel program spanning technology, threat intelligence, services, and training; it earned a 5-Star CRN Partner Program rating in 2024 and is supported by over 100 channel partners globally. | 高 | SE011, SE012 |
| CE030 | Dragos's platform does not require agents for OT monitoring, relying on passive network taps as its primary approach and Active Collection for air-gapped environments, avoiding disruption to safety-critical industrial processes. | 高 | SE002, SE001 |
| CE031 | Platform 3.0 includes a combined Sensor/SiteStore deployment option for smaller sites and Active Collection capability supporting air-gapped and intermittently connected environments that previously lacked passive sensor coverage. | 中 | SE001, SE025 |
| CE032 | Dragos's threat detection uses four mechanisms: behavioral analytics (modeling detections), configuration monitoring, threat indicators from WorldView, and behavior analytics — each continuously updated via weekly Knowledge Packs. | 高 | SE002, SE004 |
| CE033 | Gartner Peer Insights reviews for Dragos include practitioner statements such as 'Dragos understands the ICS environment. Most vendors in this space are IT with an OT sticker on them' and 'World class, an essential component of any mature cybersecurity program.' | 高 | SE018, SE025 |
| CE034 | Dragos has not confirmed FedRAMP authorization as of May 2026, creating a gap in access to the U.S. federal agency OT security market; no public roadmap or timeline for FedRAMP has been disclosed. | 中 | SE008, SE024 |
| CE035 | The Dragos Platform MCP Server, introduced in 2025-2026, allows organizations to connect enterprise AI tools directly to platform OT data, enabling natural-language querying of asset and threat information in existing enterprise AI environments. | 中 | SE006, SE023 |
| CU001 | Dragos serves industrial customers across nine publicly confirmed verticals: electric utilities, oil & gas, manufacturing, water and wastewater, chemical, pharmaceutical, food & beverage, transportation, and mining. | 高 | SU001, SU002, SU003, SU023 |
| CU002 | Dragos customer segments include enterprise commercial buyers (dedicated OT security budget), mid-market via channel partners, and a community tier (CDP, OT-CERT, Neighborhood Keeper) that receives free or subsidized access. | 高 | SU023, SU027, SU026 |
| CU003 | Over 100% year-over-year growth in platform recurring revenue was reported for the period ending September 30, 2021 — the only disclosed revenue growth metric; no subsequent growth rate has been made public. | 高 | SU016, SU011, SU030 |
| CU004 | 84+ utilities participate in the E-ISAC Neighborhood Keeper joint initiative, representing more than 70% of US electric utility customers, per the October 2021 Series D announcement; 2026 count not updated publicly. | 高 | SU016, SU018 |
| CU005 | OT-CERT has over 2,400 members in 64 countries as of March 2025, providing free cybersecurity guidance to under-resourced ICS/OT operators globally. | 高 | SU005, SU019 |
| CU006 | The Community Defense Program (CDP) provides perpetually free Dragos Platform access to qualifying US (since December 2023) and Canadian (since March 2025) water, electric, and gas utilities with under $100M USD in annual revenue. | 高 | SU005, SU027 |
| CU007 | Dragos has direct operations in the US, Canada, UK, Australia, New Zealand, UAE (CoE March 2026), and Japan (Country Manager April 2026), and covers the Middle East/GCC and continental Europe through channel and partnership networks. | 高 | SU007, SU021, SU004, SU020 |
| CU008 | Georgia-Pacific LLC (160+ global locations, Koch subsidiary) deployed the Dragos Platform in production. CISO Francis Cioffi stated: 'Visibility, detection, and response capabilities we need to secure our operations and protect the business.' | 高 | SU016, SU011, SU029 |
| CU009 | Koch Industries deployed the Dragos Platform on AWS across 500+ global facilities. COO Byron Knight confirmed: 'Dragos Platform plays a key part in managing risk across our enterprise.' | 高 | SU016, SU011, SU029 |
| CU010 | National Grid plc invested in Dragos in 2018 after first subscribing to Dragos's OT threat intelligence service. CTIO Lisa Lambert confirmed Dragos ICS threat visibility value for UK and US businesses as of October 2021. | 高 | SU004, SU016, SU029, SU033 |
| CU011 | Rockwell Automation VP Rachael Conrad stated Dragos's platform 'allows our customers to have further protection of their operational environments,' confirming a strategic partner-and-customer relationship. | 高 | SU016, SU031 |
| CU012 | Boston Beer Company is listed as a named manufacturing customer on Dragos's website industry page without a published case study or executive quote — providing logo-level proof only. | 低 | SU003 |
| CU013 | Five of six named enterprise customers (Georgia-Pacific, Koch, National Grid, Rockwell Automation, Emerson) have strategic investment relationships with Dragos, creating potential conflict of interest in interpreting their commercial deployments. | 高 | SU016, SU015 |
| CU014 | Koch Industries deployed the Dragos Platform on AWS and was the first OT security company to achieve the AWS Manufacturing and Industrial Competency designation, per January 2023 announcement. | 高 | SU016, SU009 |
| CU015 | The ONG-ISAC (Oil and Natural Gas ISAC) integrated Neighborhood Keeper to provide its member companies with anonymous, aggregated ICS threat data, extending collective defense visibility to the North American oil and gas sector. | 高 | SU008, SU018, SU032 |
| CU016 | The DNG-ISAC (Downstream Natural Gas ISAC) also participates in Neighborhood Keeper, extending collective defense coverage to natural gas pipeline and distribution operators. | 高 | SU016, SU018 |
| CU017 | Approximately 150 OT asset owners and operators from 16 countries attended the inaugural Dragos European Forum in London in June 2022, demonstrating practitioner demand in Europe. | 高 | SU006, SU020 |
| CU018 | Since establishing UK operations in October 2021, Dragos grew to 25 full-time employees across Europe by July 2023, including senior OT security practitioners and incident responders. | 高 | SU020, SU009 |
| CU019 | Kaori Nieda was appointed as Dragos's first Japan Country Manager on April 1, 2026, building on the existing Macnica distribution partnership for Japan's critical infrastructure and manufacturing sectors. | 高 | SU007, SU022 |
| CU020 | The UAE OT Cybersecurity Centre of Excellence, established in partnership with the UAE Cyber Security Council in March 2026 under the 'Make it in Emirates' forum, provides Dragos a regional presence and market access vehicle in the GCC. | 高 | SU021, SU009 |
| CU021 | Dragos has 100+ channel partners including Booz Allen Hamilton, Optiv, CyberCX, 1898 & Co., and ABS Group, operating under the Dragos Global Partner Program launched June 2023 with a 5-Star CRN rating in 2024. | 高 | SU026, SU023 |
| CU022 | Dragos does not publicly disclose a total customer count, platform subscriber count, or annual recurring revenue (ARR) figure as a private company, preventing independent verification of commercial customer scale. | 高 | SU015, SU023 |
| CU023 | Gartner Peer Insights reviews consistently highlight Dragos's OT-specific threat intelligence depth and practitioner expertise as differentiators, with reviewers noting that competitors are 'IT with an OT sticker.' | 中 | SU017, SU010 |
| CU024 | Dragos's second consecutive Gartner Magic Quadrant Leader designation for CPS Protection Platforms (2026) provides independent analyst validation of commercial market position and customer adoption quality. | 高 | SU024, SU010 |
| CU025 | VARS Corporation (Montreal) is delivering the CDP to qualifying utility providers in Canada, demonstrating channel-driven customer acquisition for the community tier beyond Dragos's direct team. | 高 | SU005, SU027 |
| CU026 | The Dragos-Axio OT cyber risk quantification partnership (announced 2024) expands Dragos's buyer contact to CFOs and risk committees who can now quantify OT cyber risk in financial terms, reducing budget approval friction. | 中 | SU012, SU025 |
| CU027 | The February 2026 Microsoft Azure marketplace integration allows enterprise buyers to procure Dragos through existing Microsoft EA agreements, lowering procurement friction for Microsoft-aligned enterprises. | 高 | SU009, SU028 |
| CU028 | Dragos's land-and-expand motion moves customers from platform-only deployment to WorldView intelligence subscription, then Neighborhood Keeper collective defense, then OT Watch managed services, then Incident Response Retainer. | 中 | SU028, SU001 |
| CU029 | No Dragos customer has publicly disclosed NRR, GRR, or cohort retention data, consistent with Dragos's private company status; retention durability is structurally inferred rather than metrically verified. | 高 | SU015, SU022 |
| CU030 | Dragos's Neighborhood Keeper double anonymization model, which hides organization identity while sharing threat telemetry at machine speed, directly addresses the key obstacle to ISAC threat sharing — the fear of exposing sensitive operational details. | 高 | SU018, SU008 |
| CU031 | In June 2023, Dragos laid off approximately 9% of its workforce after a fundraising attempt that did not succeed, suggesting platform revenue growth decelerated significantly from the >100% YoY rate reported in October 2021. | 高 | SU013, SU014 |
| CU032 | OT security procurement involves 6–18 month approval cycles due to engineering reviews, operational risk assessments, and multi-stakeholder approvals that differ from IT security purchasing, creating pipeline-to-revenue lags. | 中 | SU023, SU009 |
| CU033 | CDP and OT-CERT community participants do not generate platform revenue; their contribution to network effects and future customer pipeline is strategic but not metrically measurable from public data. | 高 | SU005, SU027 |
| CU034 | Named customer evidence is concentrated in the energy/utilities sector (National Grid, E-ISAC utilities, ONG-ISAC members) and a small set of large Koch-connected industrials; customer proof across water, pharma, and transportation is limited to webpage references. | 高 | SU001, SU002, SU003 |
| CU035 | The 100+ channel partner ecosystem creates geographic reach but also concentration and execution risk if major SIs (e.g., Booz Allen Hamilton) reduce Dragos allocations in favor of Claroty or Microsoft Defender for IoT. | 中 | SU026, SU015 |
| CU036 | Five of six named enterprise customer testimonials come from investors in Dragos, creating a potential conflict of interest that reduces the independent commercial weight of those references for diligence purposes. | 高 | SU016, SU015 |
| CU037 | Dragos's oil and gas customer proposition is reinforced by WorldView intelligence tracks for GRAPHITE and BAUXITE threat groups specifically targeting petroleum operations, giving the sector value beyond generic OT platform features. | 中 | SU002, SU025 |
| CU038 | Dragos does not disclose segment-level revenue, customer count by vertical, or geographic revenue breakdown, making the relative commercial weight of each vertical and region an evidence gap requiring primary diligence. | 高 | SU015, SU023 |
| CR001 | NERC CIP standards CIP-002 through CIP-014 mandate cybersecurity controls for bulk electric system operators in North America, with fines of up to $1 million per violation per day -- creating non-discretionary OT security budget urgency for Dragos's primary utility customer segment. | 高 | SR001, SR031 |
| CR002 | CISA's joint advisory AA22-103A (PIPEDREAM malware, April 2022) explicitly recommended that critical infrastructure operators deploy OT-specific anomaly detection, network monitoring, and incident response capabilities -- directly endorsing the category of solutions Dragos Platform provides. | 高 | SR025, SR010 |
| CR003 | CISA's joint advisory AA24-057A (Volt Typhoon, February 2024) warned that PRC state-sponsored actors had pre-positioned in US electric, water, communications, and transportation critical infrastructure networks, creating urgent OT threat detection demand in Dragos's core customer verticals. | 高 | SR003, SR006 |
| CR004 | TSA Pipeline Security Directive SD-02C (March 2022, extended through 2025) requires critical pipeline operators to implement OT network monitoring, segmentation, access controls, and incident reporting -- the core capabilities Dragos Platform delivers to the oil and gas segment. | 高 | SR003, SR014 |
| CR005 | Dragos has no material disclosed litigation, patent claims, employment suits, or regulatory enforcement actions as of May 2026 -- a positive legal risk signal for a company whose services include publishing ICS threat intelligence and executing incident response at regulated critical infrastructure operators. | 中 | SR016, SR022 |
| CR006 | In May 2023, a cybercrime group gained access to a newly hired Dragos employee's account through social engineering and downloaded sales intelligence reports, then attempted to extort Dragos. CEO Robert Lee disclosed the incident publicly; no ransom was paid and the attack was contained, but it revealed HR onboarding security vulnerabilities. | 高 | SR021, SR022 |
| CR007 | NERC CIP-013 (Supply Chain Cybersecurity Risk Management, effective October 2022) requires bulk electric system operators to assess software and hardware vendor security controls, which could require Dragos customers to complete formal vendor security assessments -- adding procurement friction at contract renewal and new logo stages. | 中 | SR001, SR014 |
| CR008 | Claroty has raised approximately $635M in total equity funding including a $400M Series D in November 2021, with Schneider Electric, Rockwell Automation, and Team8 as strategic investors -- making it the best-funded pure-play OT security competitor to Dragos globally. | 高 | SR008, SR019, SR028 |
| CR009 | Nozomi Networks has raised a Series D funding round and has been consistently mentioned as an IPO candidate since 2023, with competitive positioning in OT asset visibility and anomaly detection that directly overlaps Dragos's core platform capabilities. | 中 | SR020, SR023 |
| CR010 | Microsoft Defender for IoT includes a free sensor tier for Azure/Sentinel customers that provides basic OT asset inventory and network visibility at near-zero marginal cost, compressing the market for Dragos's entry-level product and forcing Dragos to compete on threat intelligence depth rather than price. | 高 | SR029, SR008 |
| CR011 | Armis Security achieved a $4.3B valuation in a 2023 funding round primarily for IT/OT asset management convergence -- a market that directly overlaps with Dragos's asset visibility capabilities and demonstrates that well-funded competitors are converging on the same asset management use case from the IT side. | 中 | SR028, SR008 |
| CR012 | Rockwell Automation is simultaneously an investor in Dragos (Series D participant, October 2021) and a strategic investor in Claroty -- creating a direct conflict of interest in which a major Dragos customer and investor also funds the primary dedicated OT security competitor. | 高 | SR019, SR030 |
| CR013 | Industrial OT security platform sales cycles typically extend 12-18 months due to engineering approval requirements, operational risk assessment processes, and multi-stakeholder budget authority involving OT engineering, IT security, and C-suite -- creating pipeline-to-revenue lags that amplify macro headwind sensitivity. | 高 | SR007, SR014 |
| CR014 | A substantial share of industrial asset owners -- particularly mid-market utilities and manufacturers -- have not yet established dedicated OT security budgets, representing a TAM realization risk that constrains Dragos's pipeline conversion rate and requires significant market education investment. | 中 | SR007, SR022 |
| CR015 | IT security vendors including Palo Alto Networks Industrial OT Security, Fortinet OT capabilities, and Cisco Industrial Security are all expanding their OT feature sets, creating platform consolidation risk where large enterprise customers may prefer to add OT modules to existing IT security agreements rather than deploy a separate OT-native solution. | 中 | SR008, SR023 |
| CR016 | Dragos's cloud-managed SaaS architecture means that a sustained cloud infrastructure outage would interrupt customers' access to real-time threat detection alerts and WorldView intelligence updates -- a potential detection gap during active OT threat campaigns where response time is measured in seconds, not hours. | 中 | SR013, SR029 |
| CR017 | Dragos is one of a very small number of vendors globally capable of credibly responding to complex ICS incidents. The simultaneous occurrence of two or more major ICS incidents across different customer sectors could exhaust Dragos's IR team capacity and create service level failures with undisclosed SLA implications. | 中 | SR011, SR017 |
| CR018 | The WorldView threat intelligence platform's real-time accuracy and breadth depend on active sensor telemetry from Dragos's deployed customer base. If new customer deployments stall -- due to competitive losses or budget freezes -- the intelligence flywheel weakens within 12-18 months, directly degrading the product's core differentiation. | 高 | SR013, SR010 |
| CR019 | Dragos reported tracking 21 ICS-specific threat groups in the 2026 OT Cybersecurity Year in Review -- including CHERNOVITE (PIPEDREAM creator), ELECTRUM (Ukraine power grid attacker), and VOLTZITE (Volt Typhoon-connected) -- requiring sustained multi-million-dollar threat research investment to maintain attribution quality year-over-year. | 高 | SR010, SR011 |
| CR020 | Dragos's distributed and remote-first workforce model spans 40+ US states and multiple international offices, reducing facilities concentration risk but potentially slowing coordinated incident response for geographically distributed OT customer environments with time-sensitive detection requirements. | 中 | SR016, SR015 |
| CR021 | Dragos's professional services and ICS incident response capacity competes directly with Booz Allen Hamilton, Accenture, and Deloitte OT security practices for the same senior OT engineer talent pool -- creating a structural constraint on Dragos's service headcount scaling that limits IR capacity expansion. | 中 | SR017, SR022 |
| CR022 | Dragos's ICS threat intelligence advantage requires continuous HUMINT and TECHINT research investment. Researcher attrition of key ICS threat analysts would degrade intelligence quality within one to two annual report cycles, eroding the WorldView differentiation that underpins the platform's detection library. | 高 | SR009, SR010 |
| CR023 | The June 2023 layoff of approximately 9% of Dragos's workforce directly followed a fundraising attempt that did not achieve its target valuation -- the only public signal of Dragos's financial trajectory since the $200M Series D in October 2021, and a clear adverse indicator that growth decelerated from the rate previously reported. | 高 | SR021, SR005 |
| CR024 | Dragos has not disclosed its post-Series D financial position -- including ARR, burn rate, cash balance, or revenue growth rate -- and has not announced a new equity raise in 4.5+ years, creating significant uncertainty about current cash runway and the immediacy of a capital raise requirement. | 高 | SR021, SR022 |
| CR025 | Cybersecurity companies at Dragos's estimated ARR range ($50-$150M, based on stage, team, and market benchmarks) typically carry annual operating costs of $100-$200M+ including R&D, sales and marketing, professional services, and intelligence operations -- establishing a reasonable burn rate framework for runway estimation. | 中 | SR005, SR022 |
| CR026 | At an $80-$120M/year estimated burn rate, the $200M Series D proceeds (October 2021) would have implied a 20-30 month runway without new capital -- suggesting that cash management became critical by mid-2023, directly preceding the June 2023 layoffs and restructuring. | 中 | SR021, SR004 |
| CR027 | Three of Dragos's most visible named customers -- Koch/Georgia-Pacific, National Grid Partners, and Rockwell Automation -- are also Series D investors, creating customer concentration risk where a single investor-customer departure would carry a disproportionate revenue and market signaling impact. | 高 | SR030, SR019 |
| CR028 | The failure of Dragos's 2023 fundraising attempt implies that private market investors assessed either that growth had decelerated below the expected trajectory to support a $1.7B+ valuation, or that execution risks (key-person, market education, competitive dynamics) justified declining to invest at the prior round's entry point. | 高 | SR005, SR004 |
| CR029 | A potential Dragos down-round Series E at less than $1.0B valuation would represent a greater than 40% decline from the Series D entry point and would create significant mark-down obligations for existing investors including Koch Disruptive Technologies and BlackRock, potentially triggering secondary sale pressure or governance changes. | 中 | SR030, SR004 |
| CR030 | CEO Robert M. Lee co-founded Dragos in 2016 after US Air Force Cyber Command and NSA ICS work, co-discovered the Industroyer malware that attacked Ukraine's power grid, hosts the Control Loop podcast with CyberWire, and speaks at S4, RSA, and Black Hat annually -- creating brand and thought-leadership equity uniquely anchored to his personal profile. | 高 | SR015, SR022 |
| CR031 | Dragos's board composition beyond confirmed investor representatives (Koch Disruptive Technologies, BlackRock, National Grid Partners, Rockwell Automation) is not publicly disclosed. The Rockwell simultaneous investment in Claroty creates a potential board-level conflict of interest with no disclosed recusal or management mechanism. | 中 | SR016, SR018 |
| CR032 | Dragos expanded its board in 2023 with independent directors Bill Fehrman (former Berkshire Hathaway Energy CEO) and Ekta Singh Bushell (former CIO roles), providing energy sector and enterprise technology governance depth -- but no formal CEO succession plan or operational leadership succession framework has been disclosed. | 中 | SR015, SR016 |
| CR033 | The May 2023 social engineering attack on Dragos's new employee demonstrated that Dragos's own HR onboarding and security awareness training had vulnerabilities. Competitors may leverage this incident in OT security platform sales competitions to question Dragos's own security maturity. | 高 | SR021, SR022 |
| CR034 | Dragos SVP of Research Lesley Carhart and the core ICS threat research team represent a secondary key-person cluster: the OT threat analyst bench required years of recruitment and training from government and critical infrastructure backgrounds and cannot be quickly replaced if key researchers depart. | 中 | SR015, SR016 |
| CR035 | Dragos's LinkedIn headcount signals approximately 1,400 employees as of early 2026, consistent with stabilization after the 2023 layoffs rather than aggressive growth-mode hiring -- suggesting the company has not yet returned to the expansion trajectory of the 2020-2022 period. | 中 | SR018, SR022 |
| CR036 | The primary thesis-break scenario for a Dragos investment is failure to raise a Series E at a valuation of at least $1.5B before post-restructuring cash reserves deplete -- forcing a distressed or down-round financing that would signal fundamental business model challenges and likely trigger management and board changes. | 高 | SR004, SR005 |
| CR037 | A secondary thesis-break trigger is feature parity from a large IT security platform (Microsoft or Palo Alto) at a price point below Dragos's current ACV, with OT security bundled into existing enterprise security agreements -- effectively commoditizing the OT asset visibility layer that is Dragos's entry product. | 中 | SR008, SR023 |
| CR038 | A Volt Typhoon-attributed destructive ICS attack on US critical infrastructure would simultaneously validate Dragos's market thesis and potentially overwhelm its IR capacity -- the scenario that could paradoxically validate and then damage Dragos's reputation as the category leader if response quality is insufficient. | 高 | SR003, SR006 |
| CR039 | If the OT-CERT (2,400+ members), CDP (launched December 2023), and Neighborhood Keeper (84+ utilities) community programs fail to convert at commercially meaningful rates within 24-36 months of program maturity, the cost of these community programs becomes a drag without a corresponding ARR benefit. | 中 | SR013, SR022 |
| CR040 | Dragos's investment thesis depends heavily on regulatory tailwinds (NERC CIP enforcement, CISA mandates, TSA directives) remaining in force. A reduction in regulatory enforcement posture -- low-probability given the geopolitical threat environment but possible under significant political shifts -- would reduce the urgency premium that differentiates Dragos from IT security alternatives in utility budget conversations. | 中 | SR001, SR003 |
| CV001 | Dragos operates in the OT security market projected to grow from approximately 23.5 billion USD in 2023 to 50.3 billion USD by 2030 at a CAGR of approximately 16.5 percent, driven by NERC CIP, CISA, and TSA regulatory mandates requiring critical infrastructure operators to deploy OT security monitoring. | 高 | SV001, SV004, SV008 |
| CV002 | Dragos has publicly documented 21 or more named ICS/OT threat actor groups in its WorldView threat intelligence platform, representing the most comprehensive ICS-specific threat intelligence database among commercial OT security vendors. | 高 | SV010, SV014 |
| CV003 | Dragos's OT-CERT community program had more than 2,400 registered members as of the most recently disclosed figure, and its Neighborhood Keeper passive sensor network had more than 84 participating utilities, establishing a community flywheel that reduces customer acquisition cost over time. | 中 | SV010, SV014 |
| CV004 | Dragos raised its Series D at a 1.7 billion USD post-money valuation in October 2021 with investors including Koch Disruptive Technologies, National Grid Partners, Hewlett Packard Enterprise, and Rockwell Automation. | 高 | SV010, SV030 |
| CV005 | Dragos eliminated approximately 9 to 11 percent of its global workforce in a restructuring announced in June 2023, following a failed attempt to raise new equity capital, representing roughly 125 to 165 employees. | 高 | SV015, SV016 |
| CV006 | Rockwell Automation is simultaneously a Dragos Series D investor, a named Dragos customer, and a strategic investor in Claroty -- Dragos's primary OT security competitor -- creating an undisclosed investor-customer-competitor conflict of interest that has not been publicly addressed. | 中 | SV010, SV017 |
| CV007 | Dragos has not disclosed ARR, burn rate, revenue growth rate, or cash balance in any public communication since the October 2021 Series D, representing more than 4.5 years of financial opacity for a company at 1.7 billion USD valuation. | 高 | SV010, SV030 |
| CV008 | The combination of financial opacity since 2021, failed 2023 fundraising, and key-person concentration on Robert M. Lee constitutes a high risk profile that prevents a Buy recommendation at any entry price above 2.0 billion USD without prior financial disclosure. | 高 | SV010, SV015, SV016, SV003 |
| CV009 | Under the bear case scenario, Dragos ARR is estimated at approximately 45 to 55 million USD growing below 25 percent, implying a valuation of 1.5 to 1.7 billion USD at 28 to 34 times forward ARR -- consistent with the 2023 failed fundraising signal and post-compression private cybersecurity SaaS company multiples. | 低 | SV002, SV007 |
| CV010 | Under the base case scenario, Dragos ARR is estimated at approximately 75 to 90 million USD growing 30 to 40 percent, implying a valuation of 2.0 to 2.5 billion USD at 20 to 25 times forward ARR -- requiring evidence of post-2023 restructuring growth recovery not yet publicly confirmed. | 低 | SV002, SV007 |
| CV011 | Under the bull case scenario, Dragos ARR exceeds 100 million USD growing above 40 percent, implying a valuation of 2.5 to 3.5 billion USD at 25 to 27 times forward ARR -- contingent on community program commercial conversion and enterprise expansion evidence not yet in the public record. | 低 | SV002, SV007 |
| CV012 | Valuation sensitivity analysis across ARR ranges from 40 to 130 million USD and multiples from 28 to 34 times yields an enterprise value range of 1.1 to 3.5 billion USD, illustrating that the entire valuation depends on undisclosed ARR. | 中 | SV002, SV009 |
| CV013 | The analyst recommendation is Research More / Conditional Track, not Buy, because the market thesis and competitive moat are compelling but the financial opacity and failed fundraising prevent confirmation of the base case scenario. | 高 | SV001, SV003, SV004, SV007 |
| CV014 | Entry discipline for Dragos requires confirming ARR above 70 million USD growing at least 25 percent before initiating a position below a 2.0 billion USD entry price; a full position requires governance resolution of the Rockwell Automation conflict of interest. | 高 | SV001, SV003, SV004, SV007 |
| CV015 | The scenario-weighted expected enterprise value range for Dragos is 1.6 to 2.4 billion USD based on Bear 22 percent, Base 57 percent, Bull 21 percent scenario weights, reflecting a high bear probability driven by the failed 2023 fundraising event. | 低 | SV002, SV009 |
| CV016 | Dragos's financial quality dimension scores 3 out of 10 in the investment committee scorecard, reflecting no ARR or burn disclosure, a failed 2023 fundraising event, and an estimated ARR range of 50 to 100 million USD too wide for responsible entry pricing. | 中 | SV010, SV030 |
| CV017 | Claroty, the closest Dragos OT security peer, raised a Series D at an implied post-money valuation of 1.8 to 2.2 billion USD in November 2021; no post-2021 financial data is publicly available, creating a comparable set gap. | 中 | SV017, SV002 |
| CV018 | Nozomi Networks is estimated at 800 million to 1.2 billion USD valuation based on analyst estimates from PitchBook and secondary market data; Nozomi has indicated an IPO track that may produce public market comparable data within 24 months. | 低 | SV018, SV002 |
| CV019 | Armis Security raised at a 4.3 billion USD valuation in 2023, representing a useful ceiling comparable for connected device security at scale, implying approximately 20 to 25 times estimated ARR at the time of the round. | 中 | SV005, SV002 |
| CV020 | Tenable Holdings trades at approximately 4.5 to 5.5 times NTM ARR with a market capitalization of approximately 6 billion USD as of May 2026, providing a public market floor comparable for integrated VM/OT security at platform maturity. | 中 | SV003, SV007 |
| CV021 | CrowdStrike's Falcon OT Security module is an emerging product adding OT asset visibility to the Falcon platform; CrowdStrike does not break out OT module revenue in public filings as of May 2026, limiting its usefulness as a direct comparable. | 中 | SV007, SV011 |
| CV022 | Tenable's 2019 acquisition of Indegy for 78 million USD provides a historical M&A floor comparable for OT security, representing approximately 8 to 10 times estimated ARR at acquisition -- a multiple that significantly undervalues 2026 OT security strategic value. | 中 | SV003, SV012 |
| CV023 | The comparable set analysis yields a 2026 peer median valuation of approximately 2.0 to 2.5 billion USD for a company at Dragos's estimated scale and growth profile, consistent with the base case scenario. | 低 | SV002, SV003, SV007 |
| CV024 | A forced Series E down-round below 1.0 billion USD would represent more than a 40 percent decline from Series D and would signal fundamental business deterioration requiring immediate exit from any existing investment position. | 高 | SV002, SV003, SV007 |
| CV025 | A second headcount reduction without concurrent new capital announcement would confirm cash runway criticality and high probability of distressed financing or forced M&A, triggering a downgrade to Pass. | 高 | SV015, SV016, SV003 |
| CV026 | An unplanned departure of CEO Robert M. Lee without a named successor would disrupt brand equity, investor confidence, and thought leadership, representing a material adverse event requiring position reduction. | 高 | SV010, SV023, SV003 |
| CV027 | If Microsoft or Palo Alto Networks bundles OT asset visibility below Dragos's average contract value for comparable enterprise sizes, the mid-market entry margin would be eroded and Dragos would be forced to compete on IR services and intelligence depth only. | 中 | SV011, SV028 |
| CV028 | A public announcement of Claroty or Nozomi winning a disclosed Dragos anchor customer in electric utility or major pipeline would undermine competitive moat evidence and establish pricing or feature parity in reference accounts. | 中 | SV017, SV018 |
| CV029 | NERC CIP enforcement suspension or regulatory pause would reduce OT security budget certainty for utilities, compressing Dragos pipeline velocity and extending sales cycles in its primary customer vertical. | 中 | SV025, SV026 |
| CV030 | Microsoft's free OT asset visibility tier in Defender for IoT, available to all Azure customers, represents the most plausible single-event thesis-break trigger if functionality reaches parity with Dragos asset inventory features. | 中 | SV011, SV028 |
| CV031 | Dragos has not provided audited financial statements, management accounts, or any financial disclosure in any public communication since October 2021, which is structurally unusual for a company at 1.7 billion USD valuation. | 高 | SV010, SV003, SV030 |
| CV032 | Confirming Dragos burn rate by cost category (R&D, Sales and Marketing, G&A, and Services) is required to assess urgency of Series E requirement and probability of distressed financing within 18 months. | 高 | SV010, SV003 |
| CV033 | Understanding the specific reason for the 2023 Series E process failure -- whether growth rate concern, governance issue, valuation ask, or macro environment -- is essential for distinguishing business deterioration from a cyclical financing freeze. | 高 | SV015, SV016, SV003 |
| CV034 | The full cap table with economic ownership, liquidation preferences, and anti-dilution provisions is required before any return model for a new Series E investor at 1.7 to 2.5 billion USD can be validated. | 高 | SV010, SV003 |
| CV035 | Board composition for Dragos is unknown -- no board member names are publicly confirmed beyond Robert M. Lee as CEO co-founder and the presence of Rockwell Automation and National Grid Partners as investor-directors. | 中 | SV010, SV030 |
| CV036 | Rockwell Automation's simultaneous roles as Series D investor, named Dragos customer, and strategic investor in Claroty require a formal recusal policy and related-party transaction disclosure before a new investment can be recommended. | 高 | SV010, SV017, SV003 |
| CV037 | Dragos has not confirmed whether it is actively pursuing a Series E round in 2025 or 2026, what valuation it is targeting, or whether bridge financing has been arranged since the failed 2023 process. | 高 | SV010, SV030, SV003 |
| CV038 | CEO Robert M. Lee has not publicly disclosed terms of any long-term employment agreement; equity vesting schedule and retention arrangements are unknown, creating key-person risk that cannot be quantified from public data. | 中 | SV023, SV010 |
| CV039 | Dragos net revenue retention rate (NRR), gross margin, and average contract value (ACV) are not publicly disclosed; these metrics are required to assess whether Dragos estimated ARR is growing or declining. | 高 | SV010, SV003 |
| CV040 | No secondary market transaction for Dragos equity -- including tender offers, employee secondary sales, or fund stake transfers -- has been publicly disclosed since the 2021 Series D, limiting independent valuation benchmarking below the 1.7 billion USD reference price. | 中 | SV002, SV010 |