作者:飞凡创投投资经理杨玄

本文最早是在2021年2月1日首发于36氪,这里通过自己的公号再发一遍。

| 前言

最近同网络安全行业的创业者及投资人交流发现,明显感觉到越来越多资本开始关注网络安全行业,但另一方面,网络安全又是一个门道很深,商业信息又相对封闭的领域。

绝大部分公开的行业报告和文章,都充满了IT味的语言,对于非产业或技术出身的投资人十分不友好。

笔者非产业人士背景,亦非技术出身,于20年4月份首次接触到网络安全创业公司,下半年开始相对聚焦网络安全,非常能体会网络安全行业创业投资从零基础开始摸索入门的难度,故根据自己一路过来积累的经验与思考整理出此文。

最初只是想做一个简单的梳理,没想到写着写着就到了1万5千多字,部分内容出于多种原因未作进一步展开。

文中尽量将每个点阐述得通俗易懂,希望能够对刚开始接触网络安全领域的VC/PE投资人有所帮助,对推进网络安全产业投融资繁荣作出一些贡献。

文本将从以下三大方面来梳理整个网络安全行业:

1.网络安全领域创业投资基本面概述

2.为什么网络安全行业非常难看懂

3.网络安全赛道零基础创投入门方法论

涉及到公开研报和文章可以查询到的行业信息,则不再重点阐述。

| 一. 网络安全行业投资基本面概述

网安行业的基本面在很多公开的研报上都有相关描述,但大部分读起来都相对晦涩难懂,这里笔者按自己的理解,从投资的角度重新梳理。

- 1.1 网络安全行业的范围

网络安全这个概念听上去非常广,因为涉及到IT设施的地方都有网络安全。

但在国内,大部的市场范围,可以模糊的理解为面向一批自主IT建设能力不是很强,但又有较充足采购预算的企业或单位,单独提供能更好保障IT设施按设计要求正常使用,避免被人恶意破坏或使用的一些列产品或服务。

几乎所有涉及到联网计算设备的地方都需要网络安全,但并不是所有与建设或加强网络安全有关的事物,都可以纳入网络安全行业的统计范围。

比如某个计算设备或软件系统在设计时考虑并加入的安全措施,同样涉及大量的网络安全知识,但该部分的投入通常并不会计入网络安全行业的市场规模。

- 1.2 为什么会出现网络安全行业

网络安全行业的出现,笔者认为主要原因还是人才利用效率问题。对于大部分企业而言,所有网络安全需求,若均通过自主聘用相关人才来满足,管理成本过高。

而聚合了一批安全人才的网络安全公司,面向不同企业同时解决网络安全需求(通过产品及服务),大大摊薄了人力成本。

同时网络安全的本质是人与人之间的攻防对抗,所以大多数网络安全产品,其实是网安人才的部分能力的提炼。

比如将识别病毒、发现安全漏洞、阻断威胁等本由人完成的操作,通过固化规则或自动化脚本,使之具备更强的可复制性,而可复制性也进一步提升了网络安全公司的商业价值。

- 1.3 为什么网络安全行业有创业投资机会

资本会开始关注到某个行业,必然是因为有利可图,目前来看越来越多一级市场投资人开始关注网络安全,主要是因为科创板的放开大大降低了网络安全创业公司的上市周期,以及国家政策对于网络安全行业的支持,放开了较多网安公司的上市机会。

整个网安市场规模由于政策助推,预计会保持较长周期的高速增长,二级市场也普遍给予了较高的PE或PS倍数。

另外网络安全涵盖从IT建设的底层硬件到高层应用软件,任何IT设施的变化演进,往往都会带来新市场,比如移动互联网、云计算、工业互联网、物联网的普及催生了移动安全市场、云安全市场、工控安全市场以及物联网安全市场。

此外还有攻防对抗技术的升级迭代产生的新市场,任何一种防护手段,永远有攻击方会不断地琢磨如何找到破解方法,防护手段被破解后,也永远会有防守方不断琢磨如何找到新的防护方法,这个过程中往往就有新的产品源源不断出现。

所以总得来说,由于IT基础设施的变化,攻防对抗的演进都会产生新的技术要求,以及大公司由于船大难操控,对不是特别明确的新兴领域通常不会重点布局甚至不布局,这些都给行业内的小公司带来了很好的创业机会。

当然,新市场新玩家并不足以支撑完备的投资逻辑,新市场最后能涨多大往往是第一个要重点解决的问题,这也是网络安全创业投资碰到的最常见难题,因为这往往还涉及到新政策的具体动向。

- 1.4 网络安全行业到底值不值得看?

根据Frost&Sullivan以及国盛证券研究所数据,国内的软件及信息技术服务行业是一个7-8万亿的市场,网络安全(网络安全公司本质上提供的也是软件和服务)占其中1%不到,其中的门道又并不比软件行业要更简单。

客观的讲,综合考虑网络安全行业创业投资深耕所需要付出的精力,网络安全创业公司的估值增长速度以及整体市场容量,网络安全赛道的性价比至少在过去10年来看是比较低的。

所以这么多年除了产业出身的投资人,其实也没太多人关注这个领域,且鲜有投资人只看网络安全赛道,不少网络安全项目的投资人,是在看企业服务赛道或IT软件赛道的时候扫到网络安全项目,看着本身质地不错就出手投资。

但从投资的角度来看,任何一个赛道都存在投资人才和投资项目变化匹配的情况。优质项目多的赛道,机会多,抢机会的人也多。优质资产稀缺的赛道,机会少,争机会的人也少。

市场很大,公司发展快,看懂门槛也不高的赛道,竞争往往也非常激烈,如果投不到头部或至少质地中上的项目,这个赛道好不好可能跟你也没啥关系。

而能不能投到头部项目,跟你努不努力做研究,判断能力是不是超群又没特别紧密的联系,进入那个赛道的创业投资核心圈才是第一生产力。

所以这里就涉及到对自身情况的评估,基于自身的能力、兴趣、资源的积累、基金的品牌、基金投资组合策略等等,综合考虑来判断是否值得看网络安全赛道。

再好的赛道也不是大家都看,再差的赛道也依然会有高回报项目,还是要不断的反思不断的突破自身限制条件。

网络安全行业目前的一个情况是,科创板和政策使得网络安全行业的资产端产生了重要变化,投出上市公司(至少对B轮及以后的项目而言)和并购退出的机会相对变多了,以前人才和项目端的平衡状态被打破,另一方面由于行业门槛比一般赛道高,使之在这段时间内出现了机会和竞争激烈程度不匹配的窗口期。

当然,这样看起来,好像半导体跟生物医药赛道要更好,的确。不过还是回到上面说的结合自身情况做评估,半导体与生物医药领域项目的技术门槛,比网络安全还是要高深太多。

且根据笔者粗浅的了解,半导体跟生物医药行业,商业因素和技术因素对一个项目的影响程度大约是三七开。

而网络安全行业,商业因素和技术因素对一个项目的影响程度大约是六四开甚至七三开。

如果再把时间线拉长,那么网络安全的价值可能就看得更清晰一些。

除了涉及到国家安全战略,对绝大多数企业和单位来说,搞IT建设永远是满足业务需求为先,因为这才符合资源投入的产出比最高,所以要先让业务能跑起来,再多考虑安全的问题。

最后等到业务功能满足得差不多了,IT预算空出来一部分,对于增加安全投入显得比较富足了,再重点建设安全。

这点特性有些像奢侈品,当其基础需求充分满足后,才开始有更昂贵的投入,提前奢侈消费的还是属于少数人。

这点在企业IT化建设更加成熟的美国也可以看出来,根据IDC数据,美国网安投入占整个IT投入大约是4.78%,中国只有1.84%。

所以网络安全行业做提早布局的一个重要逻辑也在于此,目前我国非互联网以外的企业,IT建设成熟度还有很大提升空间,整个产业互联网也还未到达下半场,长期来看,网络安全至少还有数倍的市场增长空间。

至于现在到底是不是最佳入场时间点,如果不是的话最佳入场时间点又在何时,这个就需要再做深入的研究才好得出了。

| 二. 为什么网络安全行业非常难看懂

可能每个非产业出身,首次接触网络安全创业项目的投资人,都容易觉得企业看起来总是特别的模糊,首先了解他们在做什么,没有IT技术背景的投资人就得花好一番精力。

即使有技术背景的投资人,要站在全行业视角梳理产业情况、市场定位的时候,也容易陷入一团乱麻,毕竟接近100个纵横交错的细分领域,要做到简单又划分清晰的定位难度很高。

不少网络安全项目的创始人也曾向笔者抱怨,不希望再跟没看过网络安全项目的投资人接触,因为沟通起来特别费劲。

而笔者交流过的网安领域的资深投资人,即使网安产业出身,行业经验丰富,加上不短的投资年限,也都表示还有很多门道正在摸索,只出手中早期项目的资深投资人也非常少,此中门道可见一斑。

- 2.1 产品与业务关联度低,抽象程度高,定位难以梳理,造成理解困难

网络安全产品是为了攻防对抗而产生,而攻防对抗手段又大部分与计算机系统运行的底层原理息息相关。

除了业务安全和身份认证这俩离业务比较近的领域,产品具体发挥的场景都远离非IT技术出身投资人的认知,导致了解半天也很难理清楚这个产品实质上到底在解决哪个问题。

一些AI领域的项目,即使技术原理上比网络安全更加难懂,但一对应业务场景就容易理解到产品的价值,比如人脸识别,工业自动化分拣,产品质量检测等等。

网络安全产品对应到业务上,无非都是为了保障业务正常运行,没有超出设计范围外的被恶意利用,大方向上的价值肯定没问题,但具体到对业务的价值到底能有多大,不同产品相互对比,就很难通过业务视角来辅助分析。

- 2.2 细分市场众多,产品功能范围纵横交错

别看网络安全行业市场只有600-700亿,但细分领域非常多。

按安全牛发布的全景图,网络安全细分领域共有15个大类,90个小类。按FreeBuf发布的全景图,网络安全细分领域共有约20个大类,80多个小类。

并且本就不大的总市场容量中,防火墙类产品(防火墙、下一代防火墙、统一威胁管理)又占去150多亿,等于剩下每个小类平均是7亿不到的市场空间。

但最让人PTSD的,并不是去理解快100类细分市场,而是近100类细分市场彼此之间还存在大量功能上纵横交错的情况。

比如FreeBuf定义的NTA/NDR产品通常又包含了APT高级威胁检测/恶意软件检测沙箱的功能,以及威胁情报的功能,而SOC或SIEM类产品通常又包含了NTA/NDR产品的部分功能,以及UEBA的功能,再比如UTM其实就是一个把防病毒、入侵检测、VPN等产品顺带集合在一起的防火墙.....

通常看一家中早期的网络安全公司,其产品涉及的领域也就1-3个小类,甚至有的虽然产品涉及到7-8个小类,但一看销售额,基本只有2-3个小类能攻入市场贡献主要业绩。

所以在做公司市场定位以及竞争对手比较的时候,如果不是类似领域每家都深入聊过,很难通过侧面获取的信息来做对比。

- 2.3 需求端信息较为封闭,调研难度大

商业的本质是交易,有需求才会产生交易。所以看一家网安创业公司,或一款安全产品,不能光从技术和安全效果来评估,还要结合下游采购方的需求情况,从投资的角度来看,后者更为重要。

但网络安全行业的主要客户,政府单位、军工单位、金融能源电信等国有资本主导的企业占到绝对大头,可以说是一个ToG属性比较明显的行业。

本身G端用户就不太容易接触调研,加上网络安全涉及到国家安全战略,属于比较敏感的领域,下游单位的网络安全是怎么建设的,具体的需求是什么,目前还面临哪些问题,对于哪类产品或服务未来会有更多的预算,绝不会轻易告知。

公开研报的确可以查阅到部分下游客户的需求,但最多也只到产品大类层面,而背后的需求原因,毕竟涉及到敏感信息,很少能见到阐述得较为清晰的。此外不同行业客户的IT基础不同,对网安的需求也存在不少差异之处。

想要较为准确的调研某款产品或一项技术当前的市场规模以及未来市场前景,理想情况下需要同大量不同政府部门、军工单位、银行、电信运营商、能源等企业或单位的网络安全总负责人以及IT总负责人进行深入的交流。

光是能聊完这一圈,门槛就已经非常高。

- 2.4 大部分公开商业信息较为模糊,在创投领域无法落地

如果去一个个翻阅网络安全上市公司的年报或招股书,会发现关于产品功能的描述也只能看个大概,往往宣传描述的是一回事,跟甲方用户了解具体功能场景又是另一回事。

现实中网络安全大厂都至少有几十款产品,上百也不奇怪,但年报中最多分5-6类产品大类进行划分,而且每家的产品大类划分维度还不一样,横向对比非常头痛。

关于网络安全行业的公开研报和各种分析报告,确实也有不少,但信息颗粒度相对于一级市场来说还是太粗,永远是我们面临的网络安全环境越来越严峻,每个提到的新技术、新品类都是未来的趋势。

Gartner年年都推出新概念,每个新概念也都是前途大大的有。

对于整体网安产业演进趋势以及个中变化背后的大逻辑,比如政策合规、IT基础设施变化、网络安全事件等因素,公开报告的确已经梳理得很好。

但具体到细分产品会发现宏观逻辑远不够用,市场大盘增长的逻辑,与不同网安产品之间更新换代此消彼长的逻辑还是非常不一样,具体门道分不同的下游行业以及产品领域又各有各的差异。

加上大部分产品,市面上根本没有三方机构市场规模的统计数据,只能靠非常模糊的推测。

部分新兴技术和产品你去向一线的甲方安全人员核实,回答多半是的确能提升安全效果,但是由于各种各样的原因,具体落地还有待考察,未来预算在这一块能给到多少还不是很好说。

所以网络安全是一个一二级市场信息差很大的行业,想要通过研究二级市场信息入门网络安全一级市场,不是特别可行。

- 2.5 当前主体市场偏合规导向,市场化程度不足

网络安全行业,虽然对技术的要求比一般的IT领域要更高,但不得不说,主体的市场量还是由政策在支撑。

从九五攻关,2003年的27号文件到信息安全等级保护、网络安全法等等,这些政策几乎是过去20多年驱动网络安全市场最重要的增长因素。

但这几年由于HW行动的开展,以及一些较为出名的安全事件比如勒索病毒等,也在逐渐推动各个下游客户单位从原来的仅仅为了合规要求,随便买一台,过渡到认真考察对比谁家的产品防护效果更好,从而决定采购。

这个变化的确给了不少能力型的小创业公司更多机会,但这个过程目前来看并不是非常快,还需要一定时间。

总体上偏合规的市场,再加上下游客户普遍对于网络安全产品好坏的辨识能力不足,共同导致了销售能力对于一家网络安全公司来说,往往比技术能力的影响要更大。

所以对于早期网络安全项目来说,有的投资人可能好不容易把产品和技术这块摸得差不多了,但对于企业后续到底能不能预期增长,依然不好判断。

这里也确实又引申出一个很有意思的问题,为什么网络安全,这样一个大家都知道非常重要的东西,其主体市场在过去的那么多年,却偏偏是以合规导向为主呢?

个人推测原因主要有二:

一是对网络安全需求最为强烈的主体(典型的比如互联网公司),通常都会自主聘用大量安全人才,即使管理成本比一般IT人员更高,但带来的收益(或避免的损失)也更高,足以覆盖外部采购网络安全产品或服务的成本。

这一部分能力导向的网络安全投入,并不会纳入到网络安全市场的统计中去,因为并未产生商业交易行为。

二是剩下那些对网络安全需求相对没那么强的企业,通常对网络安全的投入产出比难以估算,除非政策强制要求,否则预算分配难度大。

这里就涉及到网络安全这件事在商业上的一个缺陷,那就是对很多企业来说,很难较为准确地评估网络安全建设到底值不值,比如你今年投入了100万建设网络安全,它明年就帮你成功防御了10次攻击,并且其中有9次攻击本来会给你造成10万的损失,有1次攻击本来会造成你500万的损失。

因为这些攻击并没有成功,你并不知道本来你会有500多万的损失,因为它没有实际发生过,你最多知道成功防御了10次攻击,甚至可能很多失败的攻击你都没有发现,所以效益非常难评估。

绝大部分企业规划预算,说白了都是要考虑投入产出(包括直接或间接的效益)比的,所以对于那些没有因为安全问题火烧到屁股上的企业或单位来说,除了公认必做的基础边界防护(不然就等于裸奔了),进一步升级防护的投入,更多靠统管领导的安全意识,或者靠政策强制要求。

而政策要求下驱动的采购,就天然倾向于采购大品牌厂商的产品,因为一旦出了事情,还可以用大厂的品牌来扛雷,毕竟连安全大厂的产品都防不住,也不能完全怪你。若采购的是创业公司的产品(即使它真的更好),有可能让人怀疑是不是有利益输送,所以才去购买。

因此对于纯粹满足合规的采购需求,小厂面对大厂的劣势明显。

| 三. 网络安全赛道零基础创投入门方法论

由于笔者无产业背景,亦无技术背景,基金内部也没有在网络安全赛道看得比较深入的同事,所以对整个网络安全行业的摸索上道最初完全没有方向,走了很多弯路,虽然到现在也只是学习了些皮毛,不过好在跟半年前比已有了明显进步。

但正是由于从零开始摸索,也使得自己的方法论应该能够同时适用于无网络安全产业经验以及IT技术基础的投资人,当然最重要还是在实战中磨练。

- 3.1 技术基础知识入门

想了解网络安全技术,首先计算机基础是必备的,不然直接去看网络安全相关的技术书籍,容易完全看不懂,看了也白看。

这里按个人认为比较推荐的学习顺序来推荐相关书籍,实操中完全可以根据个人情况自由安排。

首先是基础中的基础,计算机是怎么来的,如何从一个二进制的计算器演变成我们今天的电脑?Charles Petzold 的《编码》(或直接读原版《Code》)算我读过对零基础学习者算最友好的教材。

接着可以读 J. Glenn Brookshear 的《计算机科学概论》,对计算机的整个体系有一个大概的轮廓。

之后可以同时看 Ben Forta的《SQL必知必会》,Aditya Bhargava 的《算法图解》,重点是要对关系型数据库这个概念要有一个基础的认知。

接着读 William Stallings 的《操作系统 : 精髓与设计原理》,重点是理解何为操作系统,硬件、操作系统、软件有什么区别和联系。

最后再进阶的时候就来到最重要的计算机网络基础知识。谢希仁的《计算机网络》或者英文还行就建议读 Andrew S. Tanenbaum 的《computer networks》(这里面对原理讲解的更加深刻)。

重点是理解整个网络通讯架构的精髓思想,即通过各种协议一层一层的抽象,各层之间相互独立但又精妙的各司其职,对网络的基本架构和常见协议有概念之后,再看一些网络安全产品的场景示意图就不难理解。

以上所有书籍,要深入理解确实有难度,一些细节不一定要求甚解,实在不懂的可以配合B站上的学习视频来看,只要搜索相关关键词,找一个点击量比较高,你自己看着也顺眼的学起来就可以了。

如果额外还有精力,特别是想再深入了解业务安全和Web安全领域,可以找一些Web前端即HTML、CSS、JavaScript入门的书籍或视频,核心是理解Web网页的大致架构原理,学完之后应该也能很清楚的区分互联网跟万维网的区别。

- 3.2 行业专业词汇入门

刚开始聊网络安全项目,行业专有词汇是一大难点,这里即使是有技术背景的投资人,如果对网安行业的产品及概念不熟悉,也容易陷入云里雾里。

如果事先对各种概念熟读于心,理解项目的难度会降低很多,跟创业者交流起来也会更顺畅。可以跟以上的书籍阅读同步进行,如果书实在读不下去,但有能力把行业词汇的概念啃下来也可。

同理从投资视角看,不一定要甚解,重点是了解某款产品或技术的应用场景(部署在哪里,核心交换机旁还是服务器旁,或者是直接装在终端上;功效是什么,是检测出威胁并警告,还是直接阻断恶意行为,还是把系统做加固的防护;同一功效对应的不同产品,在实现原理上的大致区别是什么,各有什么优点缺点等等)。

中文词汇相对容易有个大致的概念,最容易让人懵逼的还是英文缩写词汇,故这里就重点梳理一下网络安全行业常见的英文缩写词汇(肯定还不够全面,如有遗漏请多多包涵):IDS、IPS、WAF、UTM、NGFW、SIEM、SOC、EPP、EDR、NTA、APT、IAM、MFA、SSO、IDaaS、TEE、SE、TA、ZTNA、MSG、SDP、DevSecOps、DAST、IAST、SAST、RASP、SCA、DLP、UEBA、NFV、CASB、CWPP、CSPM、SDL、SOAR

以上词汇,限于篇幅这里也无法一一展开,但绝大部分完全可以通过搜索引擎(百度、知乎、安全牛、FreeBuf、微信搜索等等)来弄清楚大概是怎么一回事,如果搜出来的答案看着跟网络安全无关,可以多试试关键词+网络安全的组合方式,搜索信息对投资来说也是基本功。

熟读以上的产品和概念也只是让你在聊项目或者阅读资料时不会突然懵圈,最重要的还是要了解对应产品或概念的市场前景,这一点主要就得靠实践了,因为公开的信息,基本都是说某个新兴产品好,非常有前途,能解决很多问题。

不是说讲得不对,而是一个从0到5亿的市场,跟一个从0到50亿的市场,对项目价值的影响还是非常大的。

公开研报的市场核算方式,大部分是对标全球,但我国的网络安全下游环境跟美国比还是有很大的差距。

比如SaaS的普及程度,客户的付费习惯等等,这也直接导致了中美两国短期来看,网络安全市场产品组成结构很难趋同。

- 3.3 细分领域调研入门

之前已经提到,网络安全细分领域众多,一二级信息差非常大,行业信息比较封闭。

可能除了像零信任、云安全这些比较热门的领域,公开信息多一些以外,调研难度非常大,想通过看网安上市公司的招股书或者年报来对比竞品,几乎不可能,因为信息太粗糙。

所以网络安全领域的细分市场到底应该怎么划分,才简单易懂、维度清晰,这也是笔者一直以来特别头痛的问题,除了安全牛和FreeBuf的全景图划分以外,也见过很多种不同维度的分法,但拿实际看过的项目与比对,还是经常发现划分不清晰的情况。

元起资本的何总在之前的文章《安全创业企业,如何从巨头环伺中逆袭突围?》里提到的Kill-Chain杀伤链模型来划分领域,是非常专业的划分方法,比较资深的甲方安全人员通常也会以Kill-Chain的视角来评估一款网络安全产品,对安全领域全景图 PTSD 的投资人,可以先尝试使用这个模型。

也的确想自己整理一张版图,但目前聊过的项目量着实还不够全面(全行业至少有几百种产品),并且不少领域的产品已经是后期项目或者大厂的天下,按现有资源难以深入接触了解。

通过与下游甲方安全人员的交流后,对于自己划分领域感到有困难,上述提到的Kill-Chain模型一时半会也未上手的投资人,这里就建议先参考安全牛或FreeBuf的全景图,因为这些全景图划分的领域也是通过大量行业专家的调研,并且考虑了下游甲方视角整理而成。

所以公开信息上,一般建议除了百度之外,通过安全牛和FreeBuf站内搜索要调研的安全领域,不只是对于产品概念的科普,还有根据全景图来寻找同领域或相近领域的公司,找到之后去把官网(虽然官网的信息通常也很模糊,不一定准确得告诉你做啥)都翻阅一遍,把觉得相近的全部记录下来,之后直接问项目公司我们跟ABCD公司的差别。

其次通过萝卜投研可以从搜寻到一些市场数据信息和券商研究报告,如果这个细分领域相对热门的话,一般可以查到市场数据和赛道研究报告。

非公开信息上,重点还是在于下游客户的调研,根据每家企业跟客户的客情关系,安排的难度可能会有不同,最好每个重点行业的典型客户都能聊到。

包括但不限于需要重点了解的方面有:客户用它为了解决什么样的问题、以前对这个问题是怎样解决的、现在为什么用它来解决、要解决的问题在所有网络安全问题里有多重要、预计前后要花多少钱来解决这个问题。

另外如有大型渠道商的,也建议交流交流,渠道商对业内各种网络安全公司一般也比较了解,并且通常具备一定的产品技术判断能力。

此外签完保密协议后可以要一份产品白皮书,里面往往对于这个产品设计的背景,具体的功能,实现的架构都有详细的描述,可以加深对产品的理解。

以上说了一通,那么到底从哪些细分领域先入手比较好呢?

根据笔者梳理的100多家网络安全一级市场有过融资历史的创业公司,看下来这几年的融资领域主要集中在数据安全、身份认证与零信任、业务安全、工控安全、威胁检测与响应、云安全、终端安全、开发安全这些领域。

以上受限于个人的信息搜集全面程度而可能有所遗漏,仅供参考。并不是非融资热门领域就没有机会,有的领域虽然市场空间不算大,但也存在一些具备较强特色的公司,可以称得上是优质标的。

所以说除以上领域外,应该会有一些在过去投融资较为冷淡,但后面可能会热闹起来的领域。

- 3.4 行业下游格局入门

网络安全行业的下游基本都是体制内或国资单位,这里就拆出份额占比相对高的行业做一个简单的基本面梳理。

为什么不提上游供应商,因为上游基本都是通用的服务器硬件厂商,极度分散,甚至可以靠电商平台下单来满足大部分采购需求。

网络安全公司硬件产品的交付,通常就是购买一批硬件盒子,进行软件的灌装和测试,最后到客户现场部署调试。

整体来看,网络安全企业在跟下游客户签单时,对于中间方的依赖程度很高,不少大厂也都是以分销为主。甚至有的业务明明是直销,还是要额外拉一个中间商进来合作。

各位可以仔细品品这是为啥。

此外下游客户光了解甲方安全人员的需求还不一定够,因为安全的建设往往不是由安全人员独立说了算,还涉及到安全部门在甲方的定位以及其他方的配合程度,甲方安全部门对于安全的诉求,到最后形成实际的采购依然有一段距离。

3.4.1 各类政府部门

政府基本上可以算作是网安行业下游市场绝对主力,每年采购预算估计可以占到整个网络安全市场的35%-45%,并且相对重视服务,不仅仅是产品。

政府行业中又可以根据不同部委办局做进一步细分,其中网安相关监管部门又尤其重要,因为不但占据了相当的市场份额,同时对产业的整体指引也起着关键作用。主要有公安部、工信部、网信办、中国信息安全测评中心、国安局、保密局、机要局等等。

公安部门可以算是对网络安全行业来说最重要的政府部门,首先无论从人数还是每年的各项预算来看,公安部都是中华人民共和国第一大部委。

其次对网安行业来说最重要的几项监管政策,比如等保和HW行动,也都出自公安部,并且大部分的网络安全政策落地也是由公安部门来监督执行。

其余各个监管部门各有不同侧重点,但也有相当多需求重合之处,具体需求点这里不方便展开。

如果创业公司是以直销方式做政府行业(包括下面提到的军工)或以分销方式签了大量背靠背协议(渠道商拿到甲方的钱,再付给网安公司钱),应收账期是一个需要关注的点。

大G的账期长度超过半年是非常常见的,虽然坏账的可能性低,但创业公司现金流普遍不宽裕,即使业绩很好看,仍有资金续不上的可能。

3.4.2 军工单位

军工行业不便多聊。但值得一提的是,军工可能是各个细分领域里对前沿网安技术需求最多,要求最高的。

市场上,前几年的军改的确给这个领域带来了一波结构性的机会。

3.4.3 金融机构

金融机构的市场毛估能占到网安大盘子的10% - 15%,其中银行差不多能占到90%,剩下的10%才是保险、证券等金融机构。

银行可以算得上是网安下游客户中,对能力的要求,市场化程度,以及总市场量(确实银行也有钱采购啊)都比较高的一类,对创业公司而言银行业标杆客户案例的含金量很高。

首先银行对产品的稳定性要求极高,除了业务直接与大量的资金相关这一特殊性外,还有银监会对于银行的强制监管,关键系统宕机超过10分钟,基本上负责人就要被请去喝茶,超过30分钟,行长可能也得登门汇报。

采购进来的任何设备,如果出现不稳定情况结果影响到关键系统,基本上这家的产品在银行界可能就要被拉黑。

所以很多创业公司一上来,产品未打磨成熟前,太敢轻易切金融行业,得等到产品在其他行业客户使用稳定的时候再进入。

如果是串接的网络安全设备,能打入银行核心IT场景,那是真的牛逼,串接的设备一旦出故障,比通过旁路引流方式并联接入的设备出故障,那要严重得太多,要么导致断网,要么导致安全裸奔。

所以不少网络安全设备,即使本身设计以串接的方案为主,但是到了银行那里,改成了通过旁路引流方式并联接入才被允许使用。

其次值得注意的是,进一步看银行客户的市场也是相对集中的,全国4000多家银行,对进阶一些的网络安全产品,采购量可能就集中在前200家。

特别是针对ToC业务的网络安全场景,那么需求更集中,五大国有行就占了大半的C端用户,剩下部分12家股份制又占了大半,134家城商行和几千家农商行的C端客户数量占比并不多。评估产品潜在空间的时候,并不能简单的拿全国有4000多家银行来算。

最后很多大行其实也有自己的打算,知道有无数安全厂商都想把安全产品卖进去他们家,从而增添拿的出手的客户案例。

所以在采购的时候价格往往压得很低,特别是集中采购,价格压得惨绝人寰,加上大行账期也长,靠做大行真不一定赚钱,最优质的反而是中上游的银行,当然标杆案例该拿的还是得拿。

3.4.4 电信运营商

运营商由于其主营业务就与网络基础设施息息相关,因此对网络安全的需求量也不亚于金融领域,但侧重点会因为业务与银行的差别而有所不同。网络安全预算上移动最富有,电信次之。

运营商的网络安全场景大致可以划分为两类,一类是内部人员自用业务系统的网络安全建设,另一类是提供给客户那部分网络基础设施的安全建设。

针对前者采购的各类安全设备种类会比较多,针对后者,需要采购的产品种类比较有限,但若涉及到对这部分流量的安全检测,采购量就特别大(毕竟流量大小摆在那里)。

另外需要注意,各省运营商网厅是独立运营的,不像银行那样,搞定了总部,剩下的各省分行都可能由总行统一采购。

3.4.5 能源企业

能源企业主要就是电网和石油,由于规模巨大,其IT设施的正常运转关系到国计民生,也比较有钱(预算充足),因此在市场量上也可与金融和运营商掰手腕。

但能源行业渠道的重要程度明显比银行和运营商要高。能源企业都涉及到大量的工业设备,如果是工控安全领域,那么电网和石油客户绝对是重中之重。

3.4.6 教育、医疗、交通等其他行业

以上介绍的政府、军工、金融、运营商、能源行业的客户采购额加起来差不多可以占到整个网络安全行业的70%-80%往上,因此剩下的行业通常不会是一家网络安全公司的主攻行业。

剩下的份额里相对大一些的有教育(主要采购方是国内高校)、医疗(主要采购方是医院)和交通(主要采购方是航空公司物流公司等)。

偶尔能见到一些初创公司在以上领域做得特别好的,能达到该行业收入过千万,但估摸着很快也会碰到天花板,可以贡献一些收入,但若冲着上市去,一定要抓住重点行业。

当然,产品化做得非常好,价廉易用,再通过强大的渠道建设来抢尾部市场也是一种策略,尾部市场即使按网安总市场的10%算,若能吃掉尾部市场的5%,也可以达到3-4个亿的收入,科创板上市可以冲一冲。

最后提一下,一些互联网企业其实也会采买网络安全公司的产品和服务,但目前来看主要还是集中在业务安全领域。

互联网客户应该可以算得上是市场化程度最高,对技术和服务要求也数一数二的客户。

只是互联网公司的风格一般是能自己做的就自己做,所以这一块的市场量在当前来看不是很大,但互联网公司普遍能接受SaaS形式的安全产品,这点比一次性卖硬件盒子还是一个更优的商业模型。

- 3.5 网络安全项目判断入门

这里主要从团队、市场空间、销售能力、产品技术四个角度来评估一家网络安全公司,仅供初步参考,这四个维度的判断,离深入研究出一个项目的投资逻辑还有很长距离。

实战中几乎没有一个项目是完美的,要么团队很强可惜市场空间有限,要么市场足够大但销售能力拼不过大厂,一个项目能占到三项尚可,或者两项都很不错,就值得进一步聊聊。

3.5.1 创始团队判断

首先是团队,这也是VC阶段投资的重中之重,并且项目越早期,创始人本身对项目的影响就越大。

网络安全公司的创始人,绝大部分是技术出身。通常不用太担心创始人技术能力如何,在这一行能做到拉拢一帮技术人才出来创业的,通常自身技术能力也过硬。

所以如果同时也做过销售且成就还不错的,会是一个很好的加分项。

至于团队学历和工作背景等等,没有特定的标准,看最近几年做得不错的创业公司创始团队,既有海归精英派,也有本土老江湖。

由于网络安全这行只要有不错的技术团队,哪怕在销售上完全依赖合作伙伴,控制一下产品研发投入的比例,多卖卖服务,做一家有小而美有利润的公司并不难。

但要做大又完全不是现有做法的简单扩展,所以创始团队对于如何把网络安全做成一个大生意的思考就特别重要。

做好一款网络安全产品,技术门槛当然很高,但技术必须对应到需求,才会产生商业价值。

团队对于自身产品的定位思考,为什么认为自己做的新产品会有机会,新产品要解决的问题过去是如何解决的,过去解决这个问题的方式有多大的市场,用新方式来解决这个问题能催生出多大的市场等等。

总之商业感很强的创始团队,在网安领域非常加分。如果创始团队过于强调技术,不一定是好事。

3.5.2 市场空间判断

这一块可能是每个中早期网络安全项目的重难点,行业内有公开市场统计数据的细分领域/产品,估计也就10-20个,剩下还有大几十类细分领域没有较为明确的市场数据。关于这一块的测算更多就需要靠下游客户的调研。

一种方法是根据每个行业的需求分开做测算,政府、金融、能源、运营商这样的重点行业,每个行业典型的客户大概有多少家(比如某个政府部门的部委、全国省厅、各个地市局的数量),总部以及旗下拥有独立网络安全预算口的分部/分公司都有多少,不同级别分部/分公司对该产品的理论需求量,网络安全预算口这几年的变化趋势如何等等。

市场大致测算出来以后,还有一点比较重要(但不是必须)的因素 —— 即一家公司对应的目标市场,能不能顺着监管政策或标准,找到一个很好的切入点。

前面已经提到,目前国内的网络安全市场,大盘子还是靠合规驱动,虽然在逐步向能力驱动转型,但短时间内估计难有大的结构性改变,所以由新合规政策推动的市场,依然是网络安全公司的重要增长点。

但对于中早期创业公司而言,覆盖面广、普遍性适用的合规政策如等级保护2.0、网络安全法等,容易面临大厂的正面竞争。

一种方式是在政策风声已起之时提前布局,比如针对尚未正式落定的数据安全法、个人信息保护法研发出创新型产品,提前跑马圈地,但这种方式对核心团队的综合能力要求很高,不光是业务能力和技术能力要领域内领先,还需要能够搞定快节奏一轮又一轮的融资。

另一种方式是切入细分行业(如电信、银行、能源等等)的网络安全相关专项合规标准(行标),并且核心团队最好要作为主笔参与到标准制定的专家组中去,这里注意要进一步评估,公司切入的标准在行业内覆盖面到底有多广,上面的支持力度到底有多大。

细分行标这件事很早以前就有,但大部分都未能推动潜在市场的全部落地。

3.5.3 销售能力判断

中后期项目的销售能力,基本看实际表现的业绩、客户组成成份,额外可能再看看直销与渠道的比例。

如果渠道占比很大(一般网安创业公司能做大,渠道建设的重要性很高),那么再重点调研一下渠道方,了解下公司对于渠道的建设管理能力。

早期项目,就主要看销售团队在这方面是否有比较资深的履历,毕竟ToG哪怕是ToB市场做销售还是需要资源的积累,基本不太可能出现一个没有背景的“天才青年”可以超越大部分前辈。

另外一些项目创始团队可能没有销售人员,主要通过渠道出货,这部分可以通过判断创始人的识人能力,以及是不是一个好的“领导者”来间接判断。

3.5.4 产品技术判断

团队技术能力的判断,除了看履历以及业界口碑了解以外,对于非技术出身的投资人,建议通过懂技术的外部专家协助判断。

技术落地到产品,做得好不好,更多则是要通过下游的客户调研访谈,那些测试过多个不同厂家的行业重点甲方负责网络安全的人员往往比较有发言权,并且还可以通过询问招投标信息,找到目标企业的主要竞争对手。

不光是要了解产品所解决的问题,用户的体验,还要尽可能从各个角度判断这个问题的刚需性如何,刚需性越低的产品,即使市场很大,那么也容易沦为销售资源丰富的大厂的天下,除非企业有一些特殊的资源。

产品的定制化程度也是一个重点考察项,有的产品可能迟迟难以做到标准化,每单合同都需要投入不少额外人力,在财报当中又没有把这部分投入的人力纳入成本而是归为费用,那么就会造成虚假的毛利水平。

- 3.6 关于网络安全行业创投新兴领域展望

在未来资本较大概率重点关注的领域里,其中确定性和市场预估量比较大的,各类公开研报已经说了很多了。

这里提一点可能较为少见的:网络安全与业务系统运维的结合,从需求端看是一个非常好的切入方向,当然,能否在技术成本上比原来的方式更优,还待市场验证。

现有的大部分企业里,网络安全监测系统,跟业务运维监测系统基本都是分离的,其对应的运维检测体系也亦然是分离的,但网络安全问题可能导致业务运维的指标监测出现异常。

反之业务系统的运行异常亦然可能导致网络安全监测设备的报警,通常需要安全运维人员与业务运维人员耗费不少精力双边核对排查定位问题。

同时在人才上,网络安全运维人才,与业务系统的运维人才,通常都属于两个不同方向的职能,即懂安全又懂业务的人很少,这也造成一旦发生同时涉及网络安全与业务系统异常的事件发生,双边的沟通成本较高。

站在上层的视角,关注点永远是业务能不能正常的跑,是否按照预期设计被合理的利用,至于是因为某处电线坏了,某个线程崩掉了,某个程序出BUG了,某台服务器被黑客攻击了,某台电脑中病毒了,都是次要关注点。

能够直指更根本需求的产品,通常会是更好的产品,而且业务运维的预算空间,通常远高于网络安全的预算空间。但不得不承认依然有两点问题需要解决。

一是企业组织能力的边界,一家企业擅长做什么事,能把什么事情做好,是有管理半径的。

不然芯片厂商早就把手机电脑给做了,华为和电信运营商早就把网络安全这事儿给包办了。肯定不是简单招一批安全专家,再招一批运维专家,凑在一起就能把产品做好。

有没有一家网络安全公司能够突破大部分同行的边界,实现价值链的拓展是一个问题。就像海底捞,远不只是因为服务做得好而已,向上游供应链端的延伸打通,对于其商业模型也非常重要。

二是如无过高的沟通损耗,甲方往往倾向于将一份大的需求分散给不同的乙方,削弱乙方的强势程度,增加自己的议价能力和话语权。

如果一家公司的产品能将甲方的所有IT维护事项大包大揽,提升原有效率,从产品上看是好事,从商业上看未必是好事。

- 3.7 从企业服务切过来看网络安全需要注意的点

不要简单把ToB行业的逻辑平移到ToG,跟体制内组织以及国有资本主导企业打交道,相比一般的企业,需要更多的“艺术性”技巧,怎么去“品鉴”这部分艺术,对项目的判断也非常重要。

一般而言,这类艺术水平出众的人,汇报能力都比较强。聪明克制且目光长远的,还会把最艺术性的工作交给其他专业人士来做,这样才能让企业不因为艺术审美问题严重影响基本面。

跟其它艺术一样,这里的艺术也是从上往下熏陶的,界内有多少KOL、多大粉丝量的KOL为企业代言,一般也能看出来企业的艺术水平。

一家有潜力的网络安全企业,既要讲科学,也要懂艺术。

| 结语

本文作为一篇纯粹的入门梳理,很多内容限于篇幅没有进一步展开,也可能存在不少遗漏和勘误之处,还请各位多多包涵。

声明:本文来自面屏思过,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。