Rain Capital创始合伙人：全球安全产业发展迅猛，对标中美企业可发掘投资机会

过去10余年间，全球网络安全事件频发，迫使各类企业纷纷增设信息安全部门应对威胁。然而，公司内的单一部门难以应对网络安全中所有可能出现的情况，于是全球安全产业开始迅速崛起，各类安全项目如雨后春笋般不断出现，据统计，过去10年，网络安全供应商数量增长了23倍。

一个产业的蓬勃发展自然少不了资本助力。在网络安全产业如火如荼的今天，全球安全产业的总体投资形势如何？哪些方向的企业更容易受资本青睐？同为信息技术大国，中美两国安全领域的项目发展怎样？相关投资趋势如何？为了解决这些疑惑，健一会专门邀请到了Rain Capital美元基金创始合伙人、曾任美国卡内基梅隆大学网络安全教授的王晨曦（Chenxi Wang）女士，请她谈谈全球网络安全产业及中美安全领域投资的情况。

分享人：王晨曦（Chenxi Wang），Rain Capital美元基金创始合伙人 

大家好，我是王晨曦，美国硅谷Rain Capital创始人和GP。Rain Capital是一家专注于全球安全创新投资的风险资本，主要投资种子轮与A轮的安全项目，领域包括网络安全、信息安全和工控安全。

全球安全产业发展形势良好

总体来说，现在安全领域投资非常多，整个产业形势非常好。

从2014年至2017年，全球网络安全市场年复合增长率为33%，涨幅高于一般的TMT行业。黑产行业（黑产，“黑色产业”的简称，意即利用病毒木马获益的一个行业，健一君注）也非常活跃，根据权威数据公司Ponemon Institute提供的数据，全球黑客制造的大案子从2013年的614件飙升到2017年的1579件。

2016年仅有50%的美国公司设立CISO（Chief Information Security Officer，首席信息安全官，健一君注）岗位，到了2018年，这个数字已经上升至65%。据Forrester统计，安全预算每年上涨17%，我觉得这个数字还是保守了，美国很多大型保险公司及大银行，他们的安全预算上不封顶，CISO说多少，董事会就会批多少，因为如果公司遭受黑客攻击，不单单是技术上的问题，还会影响业务，连董事会都会承担风险。

Gartner从2016年开始，每年都会发布当年安全领域战略并购十大推荐（Gartner’s Strategic M&A Priorities），2017年榜单首位是云安全，排在第四位的是EDR（Endpoint Detection and Response，端点检测与响应，健一君注）。EDR现在非常热门，国内做EDR的不是很多，不过美国这边基本上大公司都需要做这个，而小一点的公司就会做MDR（Managed Detection and Response，管理检测与响应，健一君注）。

从厂商的成长空间看，从2016年到2017年，增值比较快的是MDR厂商。现在很多从事安全服务领域的厂商都在做这一块业务，具体做法就是进驻某家公司，把数据包起来，然后从数据中分析有没有安全时间，如果有则会直接消除或为雇主提供安全报告以及其他相应反馈。另外，Cloud Security Protection（云安全保护）也是投资界非常看好的技术之一。

安全领域投资趋于成熟，上市并购态度积极

2016年以前，安全领域上市公司估值不是很一致，有些非常高，有些非常低，且波动较大。但从2016年开始，安全领域上市公司估值开始变得很稳定，并且在慢慢上涨，这是安全市场趋于成熟的标志。以前市场比较浮躁，看到公司订单较多，就会抬高估值，现在市场开始关注拟上市或并购公司的基本业务指标。总体来说，安全领域上市行情向好，很多安全公司都在争着要上市。

2015年是安全公司被并购最多的年份，有近300家公司。2018年，截至7月，并购数量为79家，比较稳定。和IPO一样，市场反应比较小心谨慎，不是很浮躁，但好公司还是有很好的并购机会。从公司估值看，从2017年开始，安全公司的估值已经高于一般的IT公司，倍数约两倍左右。对于投资人来说，投资安全公司目前来说还是一个比较好的市场方向。

现在一个比较明显的趋势是很多PE在做安全公司并购，比如Thoma Bravo等。PE并购在全美安全市场并购中可占30%。常见做法就是PE买很多小公司，并在一起，过了18个月到24个月，再把它们卖出去，PE从中赚一笔。

有些并购直接由大型技术公司发起，比如IBM、思科、微软、VMware等，它们现在开始加大在安全领域的投资。

威胁情报、云安全、数据安全项目正受青睐

面向安全领域的早期风险投资在美国非常活跃，很多大基金都在建立该领域种子或A轮基金，还有一些大公司在做安全领域项目孵化器。不是所有项目都能走到后期，所以后期项目投资数目虽然少，但质量非常好。

在中国，很多初创公司的终极目的就是要做到上市。但在美国，上市未必是创业公司最希望走的出路。Duo Security原本打算上市，但思科跟他们谈，说上市之后还要每个季度做报表，很辛苦的，报表做的不好还会导致股价下跌，不如加入思科，作为其旗下一个部门。

端点安全和网络安全领域的风投比例在缩小，尤其是网络安全，现在基本上没有风投会去关注这一块。风投比例在扩大的领域有三个：威胁情报、云安全和数据安全。在云安全范畴下，设置安全、漏洞管理等都要针对原生云环境重新部署，所以机会很多。

现在出现的一个新市场叫IRM（Integrated Risk Management，整合型风险管理，健一君注），它的前身是GRC（governance, risk management and compliance，治理、风险管理和合规，健一君注）。IRM的出现，意味着风险评估上升为风险管理，也就是说，雇主在拿到评估报告后，IRM会告诉雇主要往哪个方向管理，每年预算是多少，该采购哪些产品，人工成本是多少。

GDPR（General Data Protection Regulation，通用数据保护条例，健一君注）出台后，带来了很多数据安全方面的机会，所以数据安全领域的风投目前也非常活跃。

六个美国投资案例

我在安全领域投了六家公司。

Altitude Networks是一家大数据安全公司，主要从事云安全，创始人包括Twitter的CISO和美国最大信用卡公司Capital One的高管。

Capsule 8也是做云安全的公司，具体做的是云原生基础设施保护，创始人包括McAfee的CTO、Square安全部门的主管和Google Project Zero的研究员。

Claroty主要做工业控制系统安全，是以色列军队里工控做得最好的一支队伍出来做的，现在已经成为欧美一带最大的一家工控公司，可口可乐、西门子都是他们的客户。

Tetrate做的是服务网格网络及安全。服务网格现在很热，华为和腾讯云都在看，Tetrate的创始人曾经是Google开源网格的负责人。

OASISLABS做的是区块链平台，创始人是美国加州伯克利大学教授Dawn Song。

Redmarlin做的是威胁情报，用深度学习的方法在网上寻找做欺诈网站或钓鱼网站的人，然后把情报发送给雇主。这个看似简单，做起来非常难，Redmarlin可以做到比美国其他同类技术更早一两天发现威胁情报，受到很多大银行的欢迎。

问答环节

现在围绕云安全、数据安全领域的投资非常多，这两个领域中有没有出现一些相对比较新颖的项目或者产品？

有些新项目并非是在技术上实现了创新，而是在场景落地方面取得了突破。比如有些公司要把自己的数据转移到亚马逊的云上去，由于设置方面的问题，造成数据遗漏。有个名为Redlock的公司就在致力于帮助这些公司解决设置问题，保证数据完整上云。这项工作未必有多高的技术含量，但却是企业数据上云过程中的刚需，所以Redlock目前的发展也很好。

在投资网络安全项目时，我们首先会考察很多美国的优秀公司，然后在国内找对标企业，但受制于国家商业环境的差异，产生了很多困惑。国内的网络安全投资应该用怎样的方式与美国企业进行比较，主要差别是哪些？

你可以将美国市场作为参考，但是不用做过于严苛的对比，因为中美网络安全是两个完全不用的市场。比如，有些技术在美国可以使用，但在国内难以推广，还有些技术在国内很普遍，但在美国却没人用。两国市场需求不同，政策不同，所以能够被推广的技术也就不同。不一定非要在中美之间找对标，最根本的问题还是市场需求。

一些国内的云安全项目团队致力于进军欧洲市场，但现实情况是受制于政策原因，国内很多大厂都在逐渐退出欧美市场，在这种情况下，新兴厂商有没有可能再去拓展欧美市场？

你所说的情况确实存在，欧美出台的类似于GDPR（《通用数据保护条例》，是欧盟于2018年5月25日出台的条例）的政策，目的就在于保护当地产业。所以最近几年，中国数据安全企业想要在国外发展会非常不容易，在政治和政策方面都会遇到一些限制。在国外市场很难预估的情况下，最好还是先观察项目在国内的发展态势。

对于区块链安全领域，您比较看好哪些方向？

在区块链应用和安全方面，亚洲确实处于领先地位。中国、韩国的一些大公司已经将区块链技术应用于业务流程中，比欧美走的都快，因此双方的市场需求会不同。区块链安全项目在欧美会很难崛起，因为甚至连用户都没有，所以在美国，我个人不会投这样的项目。但是在中国，形势完全不同。很多公司已经开始应用区块链技术，有安全方面的需求，所以具备一定的市场。在这方面，美国要向中国对标。

一些美国的云安全和数据安全技术，国内也可以使用，掌握相关技术的公司，有没有可能进入到中国？他们有没有人力物力财力来打开中国市场？有哪些途径，比如产品授权或代理？

目前最有效的途径是OEM（俗称代工，基本含义为品牌生产者不直接生产产品，而是利用自己掌握的关键的核心技术负责设计和开发新产品，控制销售渠道），现在国内比较大的安全公司都有OEM的愿望，一些国外的技术公司也有合作意向。但由于安全产业是一个敏感产业，还要结合国家政策去考察。

网络安全项目在美国VC市场的估值处于什么水平？

早期项目，如果产品还没有出来、有潜在客户意向，我们一般估值在5百万到1千万美元左右，从目前的情况来看，这一市场并不疯狂，投资人可以找到质量不错、估值也不高的项目。（完）

王晨曦（Chenxi Wang）| Rain Capital美元基金创始合伙人 

Rain Capital美元基金创始合伙人;2016年被美国SC Magazine评为安全界最有影响力的女性；曾任美国卡内基梅隆大学网络安全教授；曾任Forrester首席分析师、英特尔战略副总裁、Twistlock 和CipherCloud的首席战略官；美国投资公司Clearsky Security和Ico Venture 的安全领域投资顾问；美国花旗银行、美国Aetna 保险公司特邀的安全顾问；Signal Science、StackRox、Capsule 8等知名安全项目天使投资人。

本篇实录系根据健一会（ID：jianyihui2011）沙龙第241位主讲人王晨曦（Chenxi Wang）在健一会主办的主题为“中美网络安全产业剖析及投资趋势 ”沙龙的精彩分享整理而成。根据嘉宾意见，分享内容已删去部分敏感观点及内部信息。

分  享：王晨曦（Chenxi Wang）

整  理：阮聿泓

声明：本文来自健一会投资，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。