网络安全产业并不是一个可以独立发展的基础生产力,而是配合大行业发展的伴生产业,类似于计算机这样的巨型产业市场,才能养活一系列的安全公司。社会也是依靠那些巨型产业得到了高速的经济增长,经济增长是所有企业生存的前提。先有了生产经济,才有的网络安全需求。

全球巨型产业从计算机开始,出现了芯片产业,出现了互联网产业,出现了新能源产业,现在正火的深度学习大模型产业,每一个都是万亿以上的产业,这些个产业养活了或者正在养活一系列的上下游产业,是经济发展的根基。房地产倒也算,跟技术不太相关,而且大风口已经过去。现在国家喊出“新质生产力”,就是找出一些未来可能变成巨型的产业,来保障经济的可持续发展。

网络安全又是一个很特殊的存在,你要化身一个全能战士才能应对复杂的技术对抗,比如你要了解计算机,要了解网络协议,要了解各种漏洞利用的手法,如果分细分领域,要懂工互联网,要懂车联网,现在还要懂卫星,什么rfc协议根本不在话下。你看,就这样的全能战士,放哪不是人才一个啊,但是尴尬就尴尬在这里,除了做黑产的,放眼望去,赚钱的没几个。

前一段时间,国内某安全公司的聊天记录被放了出来,客户一个个顶级,荣誉顶级,输出的内容放出来都是国家安全级别,但是里面讨论的都是能卖几万块钱,去哪里打工。看过后大家都心酸不已,感叹“操着卖白粉的心,赚着卖白菜的钱”,再一想,咱们不能侮辱了白菜市场,人家好歹还赚钱。

这个市场不是没钱,是短时间钱不多,不是没需求,而是需求太高。在地缘政治的大背景下,芯片云计算人工智能全线被封锁,对我国关键信息基础设施的网络攻击日益增加,我们如果拿不出很好的方案去应对,可以预见的是信息差技术差会进一步拉大。你说从监管监督来说难道不着急吗?你从各种网络安全法律条文的出台就看得出来,网络安全是国家安全的一部分,不重视是不可能的。我相信随着技术要求的增加,事件的发生,企业尤其是大企业国央企的安全预算比例是一定会增加的。除非你断网,只要咱们的关基单位在互联网上跑着,那么必然就会面临大量的攻击,防不住就不只是经济的问题了。

从这个方面说,为安全买单的一定是国家,那些中小企业生存维艰,不太可能有安全预算,疫情下来,各企业也在缩减开支,而且先缩减软件的开支,软件里面又先缩减网络安全的开支,因为发展总是第一位的。这类企业死在业务发展上,偶尔被偷点数据,勒索一点钱,不痛不痒,并不是最主要的矛盾,会不会被人盯上还两说。除了少数盈利的企业,对数据保护要求比较高有较大的互联网企业有一些安全预算外,大部分还是把钱省着先活下来。但是大企业国央企逃不开,肯定被盯上,一旦出问题就是老百姓的个人信息泄露,或者重大的经济损失甚至是业务中断。网络安全是事件驱动的,但是可千万别出事,出了事损失的就不是一个企业自身的问题了。

总还有一些企业是有预算的,金融能源运营商运输这些行业是最有需求的一批,最近明显制造企业类似于新能源和电动车之类的未来支柱型产业安全需求和预算也起来了。所以,网络安全企业如果想要活下来,聚焦优势技术力量,盯着这些客户服务好这些客户,是目前最可行的发展路线。还有就是海外市场也是被逼无奈下,肯定会走的路,这一条路是活路,只是最终只能有为数不多的企业在优胜劣汰的竞争中生存下来,活下来就是伟大的公司,基业长青。

我们年后把FOFA价格提升了20%,现在看来是对的,国内和海外的收入是稳定的,也是可以增长的。我们内部也在思考,为什么国内的企业产品越卖越便宜,投入的资源也越来越多,客户还不满意?网络安全太细分了,每个领域研发投入很大,但是切分下来市场不算大,在一个成熟的软件市场里面,采购方把每个功能开发人头都订好价,一天多少钱,这种不认可知识产权的做法是一种脱离时代不利于创新的规则,就好比当年飞机上必须把电子产品关机一样,总会纠正过来的。硬件产品也是一样,采购方说一台设备成本很低,花不了这么多钱,我们采购的更便宜,感觉网络安全市场是在买废铁。方案集成的就好吗?不会的,采购方把你的毛利算的比你还清楚,大家活着就靠年底最后一笔款项的回款情况,回来了就盈利,回不来年都过不好。

这些制度我们从企业角度是改变不了的,那是要行业发生改变,由顶层来设计,要尊重知识产权要尊重智力输出的价值,就好比交强险,这事大家都知道,早期没有国家的推动,只要不强制,很多人就不买,出了事故呼天喊地怪社会不公。

即便如此,我们还是发现了一些机会,比如海外的市场是一个明显可以有增长的地方,复购率明显很高,只是稍微还得等等,慢慢发展。另外我们给大客户服务,给对技术要求比较高的客户服务,也是明显看到了钱的,深耕细作,客户扩容升级复购都是正常的。

前一段时间跟一个同为技术创业的朋友聊天,他说你盯着KA客户,把资源倾斜给这样的客户,这样才能收到钱。KA客户的典型特征就是网络安全方面有比较大的预算,并且对技术要求比较高,对我们的产品方向有需求。他这么一说,让我醍醐灌顶,回来马上拉着售前售后和产品列出客户清单,把预算超过一定额度的客户过了一下,瞬间清醒。采购过我们产品的企业超过1000家,很多没有复购,也有一些客户是复购了很多年的。我追踪了一下没有复购的,一些是完全没有销售和售前在跟进,人家买了后放在那里落灰。网络资产安全运营管理,或者说EASM和CASM这个市场,利用自动化的网络空间测绘技术,帮助解决“挂图作战”“摸清家底”的需求是广泛的基础需求,持续复购是一个正常的现象,不扩容或者不更新升级才是不正常的。有几个核心的客户每年订单量都不小,有一个客户年年复购,说“你们不用来,我们继续采购”。我问这个客户有没有扩容,同事说没有,到期都是客户主动找的我们续购。

这个现象特别有意思,我粗略看了一下,确实有很多资源浪费在了对一些预算不高的定制化程度很高的客户那里,往往还有一大堆的安全厂商扎堆争的头破血流,那个价格战打得让我瞠目结舌,每一家都有这个项目我必中的决心,都有一个无法拒绝的为什么打低价的理由。关键是中了毛利也很低,甚至是亏本,这个无限拉低了大家的生存空间。市场竞争是好事,争着亏损就不理解了。往往是认可我们技术的而且有比较高毛利的客户,被我们晾在一边,没有太高毛利的大家不惜一切代价往里面投入资源。这是一种什么样的神经病啊?

后来问了一圈也能理解,销售要业绩,也不知道认可我们技术能力的客户在哪里,好不容易抓到一个客户,客户认为这个活谁都能干,没有技术含量,不值钱。销售就动用各种手段申请资源,各种交流,定制化开发,比如要保证优势,最后打低价。有一次我问同事为什么这个项目腰斩,他说因为某厂商报价非常低,我问这个厂商盈利还是亏损?他说亏损。我问他你跟一个亏损的企业较什么劲?

我打开我们的KA客户清单,指着说这些客户客单价都很高,咱们为什么不把资源投入这些客户?同事们认为这样我们就会错过很多机会。我立刻明白问题所在了,我们的技术领先性在某些客户那得到了论证和认可,批量产单就是证明,在另一批客户那并不会去使用,也对产品和技术要求不高,我们的成本就会很高,这种机会就是个陷阱。在当前形势下,你必须学会识别和放弃那些毛利低的客户,重点服务对技术型要求比较高的高价值客户,只有这样才能保证足够多的利润来养活团队。高质量发展的首要任务是找到价值客户,让自己可持续发展。在收入增长和保证利润的选择中,我们要选择做利润,只有高毛利才代表了你的领先性。持续领先以后,才能把非价值客户吸引过来变成价值客户。

能力要求越高的越认可我们的价值,只能说我们还是技术公司,不是产品公司,理论上不应该资产数量超过一万的不用网络空间测绘的技术,因为全自动化全面深入准确的画出网络空间地图,避免手工登记不算不准带来的问题,但是事实上技术再领先也没有,不是绝对划时代的技术,就要做好产品体验和演示,没做好之前,由于产品没有清晰的辨识度,没有强烈的认知,走进价格战是必然的。

总得来说,我看到的是价值客户是有增加的,不只是客户量增加,预算也在增加。我们不能想着什么钱都赚,把考核收入增长变成考核频繁使用我们产品的给我们反馈并且复购的客户数量,指标订好了,方向就对了。最近几个技术合伙人分开跑KA客户去了,我踏实了很多,技术对接了客户,客户满意度有所提升,在一个超过20亿美金的攻击面梳理的市场,活下来问题不大。

前一段时间,同事跟我说某国外跨国企业要买一年FOFA,但是对方法务希望我们修改一下用户条款,我很不解,一个SaaS账号改什么条款?同事发了张图片过来:

国外各安全公司和企业在做APT追踪的过程中,把FOFA和shodan等平台做了对比,不能说完胜吧,只能说是数据领先优势很明显。这些付费的客户名单,就是我的底气。

声明:本文来自赵武的自留地,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。