计世网

呈指数型增长的网络安全市场,要用什么逻辑去投资?
来源:钛资本研究院
2018-12-06
网络安全是一个比较新的行业。在1995年之前,中国甚至连互联网都很少有地方能接入;中国最早的一批网络安全公司也都是在1995年以后成立的,所以这个行业从无到有也就二十多年时间。

 

网络信息安全的创新空间在未来数年内有望进入快速上升通道,特别在应用领域的安全防护有更大的空间,非常值得更多投资机构的关注和进入。同时,相比美国市场,国内信息安全领域仍显稚嫩,处于传统网络安全向新兴应用安全的升级阶段,特别需要投资机构在行业边际和发展趋势、产业细分和深度合作、退出模式和途径等方面不断形成越来越多的共识。

网络安全是一个比较新的行业。在1995年之前,中国甚至连互联网都很少有地方能接入;中国最早的一批网络安全公司也都是在1995年以后成立的,所以这个行业从无到有也就二十多年时间。

这么“稚嫩”的网络安全行业,同时又是个比较复杂的行业。很多时候,不同攻击手法和问题的出现,都超出业内人的“预料”。比如今年上半年的芯片漏洞事件,就让业内人没想到,因为大家都以为芯片是没有漏洞的。再比如,2015年苹果出现了一个大的漏洞,国内几乎所有的主流App都被感染了后门。其实黑客只是用了一个特别简单的手法,即在网上提供了一个开发者工具的下载,这个开发者工具被植入了后门,这就导致了国内所有的主流App在上传到App Store以后都带上了后门。这个攻击手段其实并没有技术含量,但是因为以前没有人想到过,所以被打了个措手不及。

随着时间的发展,网络安全行业越来越显示出重要性。尤其在过去五年,信息技术已经从纯粹的IT范畴演变成了社会的基本特征——尤其是大量的设备联网,包括手机等移动设备的普及以及物联网的发展,导致信息技术具有了社会属性,这使网络安全的外延不断扩大,从一个狭小的计算机范畴扩大到了整个社会、国家以及全球的范畴。

面于如此“稚嫩”、复杂又重要的行业,钛资本认为相关投资人有必要对此达成更多共识。在2018年10月举办的钛资本“新一代企业级科技投资人投研社”在线研讨会第五期上,苹果资本创始人胡洪涛分享了对于国内外安全行业的发展和投资机会的看法。

网络安全的外延在快速扩展

网络安全的发展呈非线性增长。正如病毒那样,最开始只有一个病毒,当一个病毒传到两台机器上、两台机器再传到四台机器上,就呈现指数型增长。网络安全的发展也类似。

网络安全领域扩张趋势图

从1995年前后到2015年,网络安全一般都是指传统意义上的网络安全,也就是上图左上角绿色区域,这也是目前网络安全行业的上市公司或者将要上市公司的最主要领域。在这个领域,所有的产品包括防火墙、入侵检测、UTM等都偏硬件,比如启明星辰、天融信、绿盟、卫士通等主做传统网络安全的公司,基本上不太涉及非硬件产品。传统网络安全产品主要集中在防火墙、入侵检测以及杀毒,称为“老三样”。“老三样”从1995年一直到现在,依然有很大的存量市场,再加上周边的加密硬件等产品,现在的总体规模约为300亿到500亿左右。

以前之所以有防火墙,主要是因为企业有内网和外网之分,需要防火墙隔离开。现在由于WIFI、移动设备、移动办公等应用,以及企业由内网向外开放接口, 整个企业的网络边界被打破了、业务互联网化了。业务互联网化以后,内网和外网的区分就弱化了。一旦网络边界被打破,防御的手段就要跟上变化——这就像战争从冷兵器时代到了现代化战争时代,整个作战的方式都完全改变了。

随着这几年移动互联网、云、工业控制等技术的发展,以及对数据、业务安全等的重视,网络安全开始往更广的范围发展。以前都是封闭系统,不存在大数据现象;现在系统开放了,就出现了大数据。以前只是在内网运营业务,业务不会被拉到外网处理,所以就不存在业务安全问题,一旦业务上了互联网,安全问题就出来了。同时因为所有企业的所有业务都上了互联网,网络执法也就变得非常必要。特别是随着政务网的上线,网络入侵还会给社会的稳定带来问题。

去年,WannaCry病毒导致了车管所所有车辆的任何变更都无法办理、一部分加油站无法加油、一部分医院由于不能使用电脑而无法看病;在2016年的时候,一个黑客组织曝出有某个团队专门给美国国家安全局提供各种网络入侵的工具,储备了大量人们不知道、没有暴露出来的漏洞,积累了很多攻击手段、攻击工具;更早的时候,斯诺登事件更曝出美国通过网络手段对各个国家的部长及以上的政要人物进行了网络窃听和网络监控……这些例子都充分说明,网络安全已经不仅仅只涉及到企业内网和外网边界的安全问题,它已经从传统的网络安全本身,牵涉到了数据安全、业务安全、社会维稳和国家安全。

甚至一旦网络安全出现问题还会导致更多的危害。比如车联网的安全、工业控制的安全等,还会涉及到生命安全。比如,对于工厂特别是化工厂都有高压反应釜,可达上百个大气压,相当于几吨TNT炸药,一旦反应釜被控制而导致爆炸,将威胁方圆一两平方公里内所有人的生命和财产安全。再比如,机器人虽然可能不会直接拿刀杀人,但是漏电、触电或者点燃煤气等等,也会威胁到人身安全。因此,网络安全已经延伸到了人身安全和财产安全。

网络安全市场呈现指数型增长

网络安全需求在以下六个维度的同时增长,将带来网络安全市场整体的指数型增长:

安全市场增长呈指数型

维度一:在同一个行业,随着核心业务互联网化程度提高,网络安全越来越成为刚需。比如银行业,以前,办理银行业务必须去银行柜台,后来可以在线办理了,甚至可以在各种设备上办理银行的绝大部分业务。银行业务越开放,带来的安全问题就越多。所以随着银行的互联网化和移动化,银行的安全需求是在不断增长的;

维度二:随着传统行业逐个被互联网化,越来越多的行业需要网络安全;

维度三:随着联网设备的增多,需要保护的对象就多了。以前的网联设备只有PC与服务器,现在有手机、车联网、工业互联网、云基础设施等等,这些网联设备的种类和数量都呈现指数型增长,网络安全需求随之爆发式增长 ;

维度四:随着网络安全法规、政策的出台,新的安全领域与安全需求不断出现。这几年,尤其是2016年4月份以来,中国至少每个月都有三四条网络安全相关的法规和细则出台。这些法规对网络安全行业的发展有着巨大的推动作用。比如数据安全,现在有了个人隐私保护相关法规,数据就无法买卖;还需要有监控跟踪手段来保证所有用户数据的安全,否则就会被处罚。再比如,去年出台的GDPR导致腾讯从欧洲市场退出,就是因为GDPR的罚款特别重,占整个企业收入的很大一部分。其实欧洲市场可能都没有多大,但整个公司收入的4%可能是很大的一部分,所以腾讯为了规避安全风险,宁可撤出欧洲市场。

维度五:随着数据资产化、货币数字化,它们本身在互联网上,又都能直接变现,引发黑产的兴趣,由此带来的经济损失呈指数型增长。近两年,每年损失的数字货币达几百亿美金,网络安全需求随之指数型增长 。

维度六:经济环境、国际局势对网络安全的影响。大家可以明显感觉到,今年上半年以来,与经济走势相对应的是,网络犯罪较往年尤为猖獗,网络安全人员和公安局联合执法,基本上处于忙不过来的状态。而且网络诈骗非常隐蔽和难于抓捕。有的人通过微信给别人转了几十万、上百万,连别人电话号码都不知道,什么信息都没有。而对方的微信号可能是买来的,或用他人的身份证、手机号注册的,手机可能也是租来的,甚至是虚拟手机。或者远程控制手机或微信的人压根就不在国内,而是在马来西亚、菲律宾或者泰国,所以导致犯罪成本低、收益高、难抓捕。

再者就是今年以来,受国际关系影响,国际间的网络间谍活动也特别多,网军对抗也比较厉害。在网军上,各国都在投入更大的力量。美国今年就专门成立了一个网军司令部,所以未来肯定会出现国家间的网络军备竞争。相对于其它行业来说,网络安全受经济环境、国际关系的影响更大。

从以上六个维度可以看出来,网络安全市场规模在急剧增大,处于爆发式增长和呈指数型增长。但整个网络安全的边界还没弄清楚,也无法准确地估计和计算出整个网络安全市场到底有多大,呈现怎样的增长态势,目前只能初步估计为一万亿的规模。

网络安全产品的形态变化和规模增长

网络安全市场的增长,还可以从产品形态的变化来分析。从1995年到2011年、再从2011年到2017年,产品形态其实没有太大的变化,基本上都是标准硬件产品的形式,也就是卖“盒子”,只不过第二代比第一代略有改进。

现在的很多网络安全企业,已经没有固定的硬件,基本上都是软件形态。销售方式是按业务场景或者按数据量,即企业方的业务要和安全产品结合,这样随着业务场景的发展或者是随着数据量的增长,安全业务的规模也同等增长。所以经常会出现一个企业买了某公司的安全产品后,今年是50万,明年可能是200万,后年可能是500万;不再像以前防火墙那样,一台防火墙今年五万,明年还是五万甚至可能降价,而且一台防火墙基本上用三年没有问题。新的场景+解决方案的网络安全产品形态,让市场每年都存在新增机会。

中美网络安全市场的比较

2004年的时候,全球的网络安全市场大概只有35亿美元,到了2017年这个数字变成了1380亿美元,也就是13年时间增长了大约39倍,平均年复合增长率大约33%。这个增长速度平均下来相当高,后面的增长速度还会更快,从2017年到2021年预计将增长到一万亿美金。

中国市场通常是全球市场的1/10,到2021年差不多也就是一万亿人民币。但是同样的机构预测的网络安全给企业带来的损失要远远高于这个数字,到2021年将是六万亿。

美国网络安全上市公司分析

通常的说法是美国的网络安全市场比中国超前三到五年,其实绝大部分网络安全的细分领域都是在五年以上。分析美国2012年左右上市的这批公司,这几年的年复合增长率都在50%到100%之间。2017年、2018年上市的公司有一个特点,即不再是一个综合性的安全公司,而是专注于单一产品,但是增长速度非常快,每年以80%以上甚至100%、200%的速度增长。成立越早的公司,像Symantec、Mimecast,“老三样”占的销售额比较高,相比于成立年头比较短、专注于单一产品的公司来说,增长速度就不一样。

中国网络安全市场的增长趋势

国内的几家网络安全上市公司最近三年的年复合增长率普遍都在30%左右,相当于还处于美国五年前甚至十年前的状态。国内的启明、绿盟等上市公司,有点类似于Symantec、Mimecast,还是卖标准硬件,所以只能有这么一个增长率和增长水平,不可能更快了。相反,对于一些新出现的创业公司,按场景+解决方案而不是硬件设备来销售,这样随着业务场景的发展或者是随着数据量的增长,安全业务的规模也同等增长。尤其是2015年以后,安全对于企业来说变成刚需。2016年、2017年这两年,安全公司的收入比前几年增长得都快,尤其是从2018年一季度和上半年的数据看,有一些公司的业绩可能是去年的好几倍。

至于说发展空间,美国的改革比中国要早,美国的军工采购已经是开放市场,中国才刚刚开始。2015年,国家首次提出把军民融合发展上升为国家战略,军民融合就是把军工采购从非市场化变成市场化。所以在美国做安全的企业,主要奔着世界500强客户。在中国,能做的优质客户其实就是央企,而央企大概就128家,而且涉及到很多个行业,想把128家都做下来不太现实,能做个20家已经很不错了。

但是在中国有另一块更大的市场,就是各级政府机构。政府市场可能要远远大于市场化的企业级市场。此外像公安、军队、国安等特别的市场,市场规模可能更远大于政府市场。

网络安全行业的投资逻辑

美国网络安全市场的投资规模

美国网络安全市场的投资规模从2010年到2017年增长了6.5倍,也就是安全企业拿到资金的规模增长了6.5倍。尤其是从2012年开始,每年美国在网络安全上的投入成倍增长。其实这几年中国安全市场的投资规模也是在成倍增长,但是总量处于10亿人民币到20亿人民币之间,相比来说还很早期。

从1995年到2013年这18年时间,我国网络安全行业存在劣币驱逐良币,就是依靠关系型销售,采购完了有些不好用的产品就堆在库房,或者把防火墙当一根网线使用(不设安全规则)。在2013年的时候,因为斯诺登事件再加上伊朗核设施被美国震网病毒入侵,推动了国家层面的高度重视,把网络安全推到了继陆地、海洋、天空、外空之外的第五空间,上升到了国家安全的高度,也跟计算机一样变成了一级学科。

这两年网络安全变成刚需,已经从可有可无的“保健品”,变成了“药品”。同时网络安全的防御思想、防御技术发生了很大变化,传统产品如防火墙、IDS等已经完全不管用了。在这个大的背景下,产生了大量的技术创新,给投资带来了机会。

而网络安全的创业公司往往也需要投资机构的支持。对于网络安全行业,除了资金方面和一般行业投资都会有的管理、业务支持外,投资机构还可以在其它方面更好地帮助创业者。

为什么?网络安全行业特别分散,需要非常紧密的合作。甚至从某种意义上,黑产的产业化程度和合作配合程度要比安全圈更好、更顺畅。所以,投资机构其实起到了一个信用担保的作用,能够让被投的公司之间有更好、更紧密的合作。同时投资机构在投后也能发挥比较大的作用,一个大客户可能对被投的很多家安全公司产品都有需求,所以投后可以起到一个非常好的复用和1+1>2的效果。

那么,网络安全行业的投资逻辑是什么呢?

第一,找准商业机会。这个商业机会一定是“天花板”要高。

第二,找准时间窗口。投早了就死在沙滩上了,投晚了就比较贵,或者没有机会了。

第三,确定技术形态。不是每一个创新都能够维持比较久或者能够真正解决问题。创新分为两种,一种是颠覆式技术创新,一种是比较浅层次的微创新,后者其实走不了太远。比如说在2012年、2013年的网页防篡改产品,只存活了两三年,就是因为解决不了实际问题。有的产品能够持续,像防火墙就持续了将近20年。这就要求投资人既要抓住创新的机会,又要识别创新的陷阱。

第四,判断企业的投资价值。在安全领域有一些针对新出现的各类安全问题的专家型团队,服务方式通常是咨询式,没有特定的产品,也没有持续性稳定的增长模式。这类公司中人就是壁垒。由于完全靠人工服务,没法快速复制,也不可能规模化。但这样企业的价值其实还很高,在网络安全领域有一个词叫“网络尖刀”,通常这把“刀”就是所谓的安全挖洞、防御、方案高手或者咨询高手,只要一出手就能拿下客户,获得后面的单子。所以,这种团队比较适合被战略投资或者被收购。

第五,重视创始团队的格局和综合能力。企业级创业有其特殊性,举例而言,防火墙公司可能不下500家,其中只有几家能达到比较大的规模,但其它四百多家也都能存活下来或许还活得很好。为什么呢?一家企业级公司能不能存活下来,取决于有没有优质客户,是否能做大则取决于有没有好的管理团队、大的格局。企业级创业难就难在对创始团队的要求非常高而且非常综合,方方面面都不能有短板,各方面都要很强才能做大。

网络安全行业单领域其实可以做大,像Splunk、Okta、Duo Security、Sailpoint等都是在单领域做大。仅一个在线身份认证或者企业内部的身份认证,就能做到一个上市公司,或者做到二十几个亿美金被收购,这在美国市场已经验证过。在中国同样可以,只不过还需要一段时间来证明,因为中国毕竟比美国发展的慢。

第六,能够退出。在2009年到2015年这段时间投资安全企业,想通过企业上市退出是比较难的,因为这个行业还处于发展的初期,基本上只能通过企业被收购来退出。而谁能出得起大价钱呢?很简单,就是BAT。国内做网络安全的上市公司,其实没有能力收购非营利性的企业,这跟国外很不一样。国外网络安全上市公司的收购,基本上不会看重利润或者是否可以上市,而是看重技术。

从2015年开始,投资机构就有机会通过网络安全企业上市退出了。如果上不了市,还可以通过其它方式退出。当然,今天BAT已经对收购一家普通的安全企业没有太大兴趣,但是对一些在企业级领域长远来看很重要、有技术含量的企业,一旦BAT转向企业服务时还是会有兴趣。但是不像以前,以前的收购全部是为了人才。这里面有一个历史的原因,就是3Q大战以及360与各家互联网公司在网络安全上的纠纷,导致了对网络安全人才的需求非常旺盛。这几年因为没有“战争”,所以对收购的需求也没有那么大,这是个空档期。现在腾讯全面转向企业级服务,阿里早已转了,未来腾讯和阿里等在重量级网络安全产品上或许有收购需求,短期依然没有。

短期的退出策略比较简单:对估值比较高、规模比较大的企业,找后面能长期持有、接盘的大基金;对估值不那么高的企业,依然可以采用人才收购的方式,可以找大型安全企业或者BAT;更重要的是,非安全企业对安全人才的收购需求也起来了,比如系统集成公司有良好的客户基础,但没有相关的安全产品,甚至必须要把底层的问题解决了,才能做上层的系统集成,所以集成公司对收购网络安全团队有需求。此外,建了安全实验室的央企、需要保证物联网安全的物联网公司等等,都有收购网络安全团队的需求。

网络安全领域有望进入快速上升通道

网络信息安全行业正在面临国产技术的窗口期和爆发期。Gartner预测,到2021年,中国八成以上的大型企业将部署由本地供应商提供的网络安全设备。实际上,在其它国家和地区也倾向于采购本国的网络信息安全技术。所以,我国的网络信息安全市场是一个长线市场,创业者可以静下心来找到差异化的技术创新点,而不是走同质化竞争路线。另一方面,大厂商的安全体系正在建立和成熟中,包括各大公有云和私有云的安全体系、区块链带来的信用体系、芯片级的安全保护等,创业者的创新空间也在被压缩。

总体来说,网络信息安全的创新空间在未来数年内有望进入快速上升通道,特别在应用领域的安全防护有更大的空间,非常值得更多投资机构的关注和进入。同时,相比美国市场,国内信息安全领域仍显稚嫩,处于传统网络安全向新兴应用安全的升级阶段,特别需要投资机构在行业边际和发展趋势、产业细分和深度合作、退出模式和途径等方面不断形成越来越多的共识。而跟随“一带一路”等走出去的“中国梦”,中国的网络信息安全创业也可以关注国际市场,通过服务国际市场而提升产品与服务的国际化程度,进一步获得全球市场的退出机会。“风物长宜放眼量”,是对网络信息安全市场的基本共识。

责任编辑:焦旭