圖片來源:視覺中國
文:鈦資本研究院(tmtcapital_cn)
作者注:網絡資訊安全的創新空間在未來數年內有望進入快速上升通道,特別在應用領域的安全防護有更大的空間,非常值得更多投資機構的關注和進入。同時,相比美國市場,國內資訊安全領域仍顯稚嫩,處於傳統網絡安全向新興應用安全的更新階段,特別需要投資機構在行業邊際和發展趨勢、產業細分和深度合作、退出模式和途徑等方面不斷形成越來越多的共識。
網絡安全是一個比較新的行業。在1995年之前,中國甚至連互聯網都很少有地方能接入;中國最早的一批網絡安全公司也都是在1995年以後成立的,所以這個行業從無到有也就二十多年時間。
這麽“稚嫩”的網絡安全行業,同時又是個比較複雜的行業。很多時候,不同攻擊手法和問題的出現,都超出業內人的“預料”。比如今年上半年的芯片漏洞事件,就讓業內人沒想到,因為大家都以為芯片是沒有漏洞的。再比如,2015年蘋果出現了一個大的漏洞,國內幾乎所有的主流App都被感染了後門。其實黑客只是用了一個特別簡單的手法,即在網上提供了一個開發者工具的下載,這個開發者工具被植入了後門,這就導致了國內所有的主流App在上傳到App Store以後都帶上了後門。這個攻擊手段其實並沒有技術含量,但是因為以前沒有人想到過,所以被打了個措手不及。
隨著時間的發展,網絡安全行業越來越顯示出重要性。尤其在過去五年,資訊技術已經從純粹的IT範疇演變成了社會的基本特徵——尤其是大量的設備聯網,包括手機等移動設備的普及以及物聯網的發展,導致資訊技術具有了社會屬性,這使網絡安全的外延不斷擴大,從一個狹小的電腦範疇擴大到了整個社會、國家以及全球的範疇。
面於如此“稚嫩”、複雜又重要的行業,鈦資本認為相關投資人有必要對此達成更多共識。在2018年10月舉辦的鈦資本“新一代企業級科技投資人投研社”在線研討會第五期上,蘋果資本創始人胡洪濤分享了對於國內外安全行業的發展和投資機會的看法。
網絡安全的外延在快速擴展
網絡安全的發展呈非線性增長。正如病毒那樣,最開始只有一個病毒,當一個病毒傳到兩台機器上、兩台機器再傳到四台機器上,就呈現指數型增長。網絡安全的發展也類似。
網絡安全領域擴張趨勢圖
從1995年前後到2015年,網絡安全一般都是指傳統意義上的網絡安全,也就是上圖左上角綠色區域,這也是目前網絡安全行業的上市公司或者將要上市公司的最主要領域。在這個領域,所有的產品包括防火牆、入侵檢測、UTM等都偏硬體,比如啟明星辰、天融信、綠盟、衛士通等主做傳統網絡安全的公司,基本上不太涉及非硬體產品。傳統網絡安全產品主要集中在防火牆、入侵檢測以及殺毒,稱為“老三樣”。“老三樣”從1995年一直到現在,依然有很大的存量市場,再加上周邊的加密硬體等產品,現在的總體規模約為300億到500億左右。
以前之所以有防火牆,主要是因為企業有內網和外網之分,需要防火牆隔離開。現在由於WIFI、移動設備、移動辦公等應用,以及企業由內網向外開放接口, 整個企業的網絡邊界被打破了、業務互聯網化了。業務互聯網化以後,內網和外網的區分就弱化了。一旦網絡邊界被打破,防禦的手段就要跟上變化——這就像戰爭從冷兵器時代到了現代化戰爭時代,整個作戰的方式都完全改變了。
隨著這幾年移動互聯網、雲、工業控制等技術的發展,以及對數據、業務安全等的重視,網絡安全開始往更廣的範圍發展。以前都是封閉系統,不存在大數據現象;現在系統開放了,就出現了大數據。以前只是在內網運營業務,業務不會被拉到外網處理,所以就不存在業務安全問題,一旦業務上了互聯網,安全問題就出來了。同時因為所有企業的所有業務都上了互聯網,網絡執法也就變得非常必要。特別是隨著政務網的上線,網絡入侵還會給社會的穩定帶來問題。
去年,WannaCry病毒導致了車管所所有車輛的任何變更都無法辦理、一部分加油站無法加油、一部分醫院由於不能使用電腦而無法看病;在2016年的時候,一個黑客組織曝出有某個團隊專門給美國國家安全局提供各種網絡入侵的工具,儲備了大量人們不知道、沒有暴露出來的漏洞,積累了很多攻擊手段、攻擊工具;更早的時候,斯諾登事件更曝出美國通過網絡手段對各個國家的部長及以上的政要人物進行了網絡竊聽和網絡監控……這些例子都充分說明,網絡安全已經不僅僅隻涉及到企業內網和外網邊界的安全問題,它已經從傳統的網絡安全本身,牽涉到了數據安全、業務安全、社會維穩和國家安全。
甚至一旦網絡安全出現問題還會導致更多的危害。比如車聯網的安全、工業控制的安全等,還會涉及到生命安全。比如,對於工廠特別是化工廠都有高壓反應釜,可達上百個大氣壓,相當於幾噸TNT炸藥,一旦反應釜被控制而導致爆炸,將威脅方圓一兩平方公里內所有人的生命和財產安全。再比如,機器人雖然可能不會直接拿刀殺人,但是漏電、觸電或者點燃煤氣等等,也會威脅到人身安全。因此,網絡安全已經延伸到了人身安全和財產安全。
網絡安全市場呈現指數型增長
網絡安全需求在以下六個維度的同時增長,將帶來網絡安全市場整體的指數型增長:
安全市場增長呈指數型
維度一:在同一個行業,隨著核心業務互聯網化程度提高,網絡安全越來越成為剛需。比如銀行業,以前,辦理銀行業務必須去銀行櫃台,後來可以在線辦理了,甚至可以在各種設備上辦理銀行的絕大部分業務。銀行業務越開放,帶來的安全問題就越多。所以隨著銀行的互聯網化和移動化,銀行的安全需求是在不斷增長的;
維度二:隨著傳統行業逐個被互聯網化,越來越多的行業需要網絡安全;
維度三:隨著聯網設備的增多,需要保護的對象就多了。以前的網聯設備只有PC與伺服器,現在有手機、車聯網、工業互聯網、雲基礎設施等等,這些網聯設備的種類和數量都呈現指數型增長,網絡安全需求隨之爆發式增長 ;
維度四:隨著網絡安全法規、政策的頒布,新的安全領域與安全需求不斷出現。這幾年,尤其是2016年4月份以來,中國至少每個月都有三四條網絡安全相關的法規和細則頒布。這些法規對網絡安全行業的發展有著巨大的推動作用。比如數據安全,現在有了個人隱私保護相關法規,數據就無法買賣;還需要有監控跟蹤手段來保證所有用戶數據的安全,否則就會被處罰。再比如,去年頒布的GDPR導致騰訊從歐洲市場退出,就是因為GDPR的罰款特別重,佔整個企業收入的很大一部分。其實歐洲市場可能都沒有多大,但整個公司收入的4%可能是很大的一部分,所以騰訊為了規避安全風險,寧可撤出歐洲市場。
維度五:隨著數據資產化、貨幣數字化,它們本身在互聯網上,又都能直接變現,引發黑產的興趣,由此帶來的經濟損失呈指數型增長。近兩年,每年損失的數字貨幣達幾百億美金,網絡安全需求隨之指數型增長 。
維度六:經濟環境、國際局勢對網絡安全的影響。大家可以明顯感覺到,今年上半年以來,與經濟走勢相對應的是,網絡犯罪較往年尤為猖獗,網絡安全人員和警察局聯合執法,基本上處於忙不過來的狀態。而且網絡詐騙非常隱蔽和難於抓捕。有的人通過微信給別人轉了幾十萬、上百萬,連別人電話號碼都不知道,什麽資訊都沒有。而對方的微信號可能是買來的,或用他人的身份證、手機號注冊的,手機可能也是租來的,甚至是虛擬手機。或者遠程控制手機或微信的人壓根就不在國內,而是在馬來西亞、菲律賓或者泰國,所以導致犯罪成本低、收益高、難抓捕。
再者就是今年以來,受國際關係影響,國際間的網絡間諜活動也特別多,網軍對抗也比較厲害。在網軍上,各國都在投入更大的力量。美國今年就專門成立了一個網軍司令部,所以未來肯定會出現國家間的網絡軍備競爭。相對於其它行業來說,網絡安全受經濟環境、國際關係的影響更大。
從以上六個維度可以看出來,網絡安全市場規模在急劇增大,處於爆發式增長和呈指數型增長。但整個網絡安全的邊界還沒弄清楚,也無法準確地估計和計算出整個網絡安全市場到底有多大,呈現怎樣的增長態勢,目前只能初步估計為一兆的規模。
網絡安全產品的形態變化和規模增長
網絡安全市場的增長,還可以從產品形態的變化來分析。從1995年到2011年、再從2011年到2017年,產品形態其實沒有太大的變化,基本上都是標準硬體產品的形式,也就是賣“盒子”,只不過第二代比第一代略有改進。
現在的很多網絡安全企業,已經沒有固定的硬體,基本上都是軟體形態。銷售方式是按業務場景或者按數據量,即企業方的業務要和安全產品結合,這樣隨著業務場景的發展或者是隨著數據量的增長,安全業務的規模也同等增長。所以經常會出現一個企業買了某公司的安全產品後,今年是50萬,明年可能是200萬,後年可能是500萬;不再像以前防火牆那樣,一台防火牆今年五萬,明年還是五萬甚至可能降價,而且一台防火牆基本上用三年沒有問題。新的場景+解決方案的網絡安全產品形態,讓市場每年都存在新增機會。
中美網絡安全市場的比較
2004年的時候,全球的網絡安全市場大概只有35億美元,到了2017年這個數字變成了1380億美元,也就是13年時間增長了大約39倍,平均年複合增長率大約33%。這個增長速度平均下來相當高,後面的增長速度還會更快,從2017年到2021年預計將增長到一兆美金。
中國市場通常是全球市場的1/10,到2021年差不多也就是一兆人民幣。但是同樣的機構預測的網絡安全給企業帶來的損失要遠遠高於這個數字,到2021年將是六兆。
美國網絡安全上市公司分析
通常的說法是美國的網絡安全市場比中國超前三到五年,其實絕大部分網絡安全的細分領域都是在五年以上。分析美國2012年左右上市的這批公司,這幾年的年複合增長率都在50%到100%之間。2017年、2018年上市的公司有一個特點,即不再是一個綜合性的安全公司,而是專注於單一產品,但是增長速度非常快,每年以80%以上甚至100%、200%的速度增長。成立越早的公司,像Symantec、Mimecast,“老三樣”佔的銷售額比較高,相比於成立年頭比較短、專注於單一產品的公司來說,增長速度就不一樣。
中國網絡安全市場的增長趨勢
國內的幾家網絡安全上市公司最近三年的年複合增長率普遍都在30%左右,相當於還處於美國五年前甚至十年前的狀態。國內的啟明、綠盟等上市公司,有點類似於Symantec、Mimecast,還是賣標準硬體,所以只能有這麽一個增長率和增長水準,不可能更快了。相反,對於一些新出現的創業公司,按場景+解決方案而不是硬體設備來銷售,這樣隨著業務場景的發展或者是隨著數據量的增長,安全業務的規模也同等增長。尤其是2015年以後,安全對於企業來說變成剛需。2016年、2017年這兩年,安全公司的收入比前幾年增長得都快,尤其是從2018年一季度和上半年的數據看,有一些公司的業績可能是去年的好幾倍。
至於說發展空間,美國的改革比中國要早,美國的軍工採購已經是開放市場,中國才剛剛開始。2015年,國家首次提出把軍民融合發展上升為國家戰略,軍民融合就是把軍工採購從非市場化變成市場化。所以在美國做安全的企業,主要奔著世界500強客戶。在中國,能做的優質客戶其實就是央企,而央企大概就128家,而且涉及到很多個行業,想把128家都做下來不太現實,能做個20家已經很不錯了。
但是在中國有另一塊更大的市場,就是各級政府機構。政府市場可能要遠遠大於市場化的企業級市場。此外像警察、軍隊、國安等特別的市場,市場規模可能更遠大於政府市場。
網絡安全行業的投資邏輯
美國網絡安全市場的投資規模
美國網絡安全市場的投資規模從2010年到2017年增長了6.5倍,也就是安全企業拿到資金的規模增長了6.5倍。尤其是從2012年開始,每年美國在網絡安全上的投入成倍增長。其實這幾年中國安全市場的投資規模也是在成倍增長,但是總量處於10億人民幣到20億人民幣之間,相比來說還很早期。
從1995年到2013年這18年時間,我國網絡安全行業存在劣幣驅逐良幣,就是依靠關係型銷售,採購完了有些不好用的產品就堆在庫房,或者把防火牆當一根網線使用(不設安全規則)。在2013年的時候,因為斯諾登事件再加上伊朗核設施被美國震網病毒入侵,推動了國家層面的高度重視,把網絡安全推到了繼陸地、海洋、天空、外空之外的第五空間,上升到了國家安全的高度,也跟電腦一樣變成了一級學科。
這兩年網絡安全變成剛需,已經從可有可無的“保健品”,變成了“藥品”。同時網絡安全的防禦思想、防禦技術發生了很大變化,傳統產品如防火牆、IDS等已經完全不管用了。在這個大的背景下,產生了大量的技術創新,給投資帶來了機會。
而網絡安全的創業公司往往也需要投資機構的支持。對於網絡安全行業,除了資金方面和一般行業投資都會有的管理、業務支持外,投資機構還可以在其它方面更好地幫助創業者。
為什麽?網絡安全行業特別分散,需要非常緊密的合作。甚至從某種意義上,黑產的產業化程度和合作配合程度要比安全圈更好、更順暢。所以,投資機構其實起到了一個信用擔保的作用,能夠讓被投的公司之間有更好、更緊密的合作。同時投資機構在投後也能發揮比較大的作用,一個大客戶可能對被投的很多家安全公司產品都有需求,所以投後可以起到一個非常好的複用和1+1>2的效果。
那麽,網絡安全行業的投資邏輯是什麽呢?
第一,找準商業機會。這個商業機會一定是“天花板”要高。
第二,找準時間視窗。投早了就死在沙灘上了,投晚了就比較貴,或者沒有機會了。
第三,確定技術形態。不是每一個創新都能夠維持比較久或者能夠真正解決問題。創新分為兩種,一種是顛覆式技術創新,一種是比較淺層次的微創新,後者其實走不了太遠。比如說在2012年、2013年的網頁防篡改產品,只存活了兩三年,就是因為解決不了實際問題。有的產品能夠持續,像防火牆就持續了將近20年。這就要求投資人既要抓住創新的機會,又要識別創新的陷阱。
第四,判斷企業的投資價值。在安全領域有一些針對新出現的各類安全問題的專家型團隊,服務方式通常是谘詢式,沒有特定的產品,也沒有持續性穩定的增長模式。這類公司中人就是壁壘。由於完全靠人工服務,沒法快速複製,也不可能規模化。但這樣企業的價值其實還很高,在網絡安全領域有一個詞叫“網絡尖刀”,通常這把“刀”就是所謂的安全挖洞、防禦、方案高手或者谘詢高手,只要一出手就能拿下客戶,獲得後面的單子。所以,這種團隊比較適合被戰略投資或者被收購。
第五,重視創始團隊的格局和綜合能力。企業級創業有其特殊性,舉例而言,防火牆公司可能不下500家,其中只有幾家能達到比較大的規模,但其它四百多家也都能存活下來或許還活得很好。為什麽呢?一家企業級公司能不能存活下來,取決於有沒有優質客戶,是否能做大則取決於有沒有好的管理團隊、大的格局。企業級創業難就難在對創始團隊的要求非常高而且非常綜合,方方面面都不能有短板,各方面都要很強才能做大。
網絡安全行業單領域其實可以做大,像Splunk、Okta、Duo Security、Sailpoint等都是在單領域做大。僅一個在線身份認證或者企業內部的身份認證,就能做到一個上市公司,或者做到二十幾個億美金被收購,這在美國市場已經驗證過。在中國同樣可以,只不過還需要一段時間來證明,因為中國畢竟比美國發展的慢。
第六,能夠退出。在2009年到2015年這段時間投資安全企業,想通過企業上市退出是比較難的,因為這個行業還處於發展的初期,基本上只能通過企業被收購來退出。而誰能出得起大價錢呢?很簡單,就是BAT。國內做網絡安全的上市公司,其實沒有能力收購非營利性的企業,這跟國外很不一樣。國外網絡安全上市公司的收購,基本上不會看重利潤或者是否可以上市,而是看重技術。
從2015年開始,投資機構就有機會通過網絡安全企業上市退出了。如果上不了市,還可以通過其它方式退出。當然,今天BAT已經對收購一家普通的安全企業沒有太大興趣,但是對一些在企業級領域長遠來看很重要、有技術含量的企業,一旦BAT轉向企業服務時還是會有興趣。但是不像以前,以前的收購全部是為了人才。這裡面有一個歷史的原因,就是3Q大戰以及360與各家互聯網公司在網絡安全上的糾紛,導致了對網絡安全人才的需求非常旺盛。這幾年因為沒有“戰爭”,所以對收購的需求也沒有那麽大,這是個空檔期。現在騰訊全面轉向企業級服務,阿里早已轉了,未來騰訊和阿里等在重量級網絡安全產品上或許有收購需求,短期依然沒有。
短期的退出策略比較簡單:對估值比較高、規模比較大的企業,找後面能長期持有、接盤的大基金;對估值不那麽高的企業,依然可以採用人才收購的方式,可以找大型安全企業或者BAT;更重要的是,非安全企業對安全人才的收購需求也起來了,比如系統集成公司有良好的客戶基礎,但沒有相關的安全產品,甚至必須要把底層的問題解決了,才能做上層的系統集成,所以集成公司對收購網絡安全團隊有需求。此外,建了安全實驗室的央企、需要保證物聯網安全的物聯網公司等等,都有收購網絡安全團隊的需求。
網絡安全領域有望進入快速上升通道
網絡資訊安全行業正在面臨國產技術的視窗期和爆發期。Gartner預測,到2021年,中國八成以上的大型企業將部署由本地供應商提供的網絡安全設備。實際上,在其它國家和地區也傾向於採購本國的網絡資訊安全技術。所以,我國的網絡資訊安全市場是一個長線市場,創業者可以靜下心來找到差異化的技術創新點,而不是走同質化競爭路線。另一方面,大廠商的安全體系正在建立和成熟中,包括各大公有雲和私有雲的安全體系、區塊鏈帶來的信用體系、芯片級的安全保護等,創業者的創新空間也在被壓縮。
總體來說,網絡資訊安全的創新空間在未來數年內有望進入快速上升通道,特別在應用領域的安全防護有更大的空間,非常值得更多投資機構的關注和進入。同時,相比美國市場,國內資訊安全領域仍顯稚嫩,處於傳統網絡安全向新興應用安全的更新階段,特別需要投資機構在行業邊際和發展趨勢、產業細分和深度合作、退出模式和途徑等方面不斷形成越來越多的共識。而跟隨“一帶一路”等走出去的“中國夢”,中國的網絡資訊安全創業也可以關注國際市場,通過服務國際市場而提升產品與服務的國際化程度,進一步獲得全球市場的退出機會。“風物長宜放眼量”,是對網絡資訊安全市場的基本共識。
香港九龍灣馬來街興發大廈15樓D室