“任何一个行业的发展,从长远的角度来看,它一定会有很多次朝阳,也会有很多次‘不朝阳’。这和大海的涨潮退潮、四季的更替是一样的。安全行业也不例外。”
我们现在说,网络安全是个朝阳产业――这是个非常笼统的说法,但这种说法是有据可循的。前不久结束的FIT2017大会产业创新俱乐部上,安全威胁情报推进联盟发起人、君源创投管理合伙人金湘宇(Nuke)――传说中的“金将军”在主题演讲中提到,2015年全球GDP增速为3.0%,全球IT市场增速0.6%,与此相较2015年信息安全行业的增速达到了26%――这是赛迪的数据。大约谁也不会质疑这个数字,因为这是个众人皆知的事实。
所以此刻是安全行业的“涨潮”或者“春天”吗?在金将军看来或许并不单纯。他在大会上演讲的标题即为《春天还是秋天?安全创业走向何方》,在这个安全行业行情如此看涨的今天,标题中间的“秋天”何以谈起?这是我们在与金湘宇的对话中,欲了解的问题。
这个议题本身似乎与君源创投的投资方向就有很大关系。金湘宇的职场简史大概是很多关注安全行业的人耳熟能详的:早年出自老牌安全企业,再往埃森哲做咨询,又当独立顾问,从2015年年初开始金湘宇转战创投。君源创投的投资方向中,信息安全领域的投资占了大约一半。
不难理解,金湘宇有安全行业本身的技术和市场背景,外加埃森哲咨询的工作经历,对信息安全的了解和熟悉自然成为君源创投和金湘宇选择信息安全和互联网的原因。“我们的几十个合伙人都是在这个行业里有十几年经验的从业人员,所以对信息安全比较熟悉。”
除此之外,“我们也会投一些云计算、大数据相关的,比如说我们投过一个做电力大数据的公司,这家公司帮助电厂做数据管理、大数据分析、指导经营”。“我们也还是挺注意[投资的]多样化的,因为信息安全增长性虽然不错,但它有市场大小容量的问题。”这是我们的对谈中,比较有趣的一个开场;也是安全行业并没有如此“朝阳”的一个组成部分。信息安全的“秋天”之一:天花板低
相关信息安全行业的增长性良好、增长空间大,似乎是个人所共知的事实。但可能很多人并不知道的是中国信息安全市场现在比较小。2015年,“ 中国的信息安全市场,大概只占世界信息安全市场的1/30 ”。
“不同咨询机构,根据口径差异,有些说中国信息安全市场规模是150亿多,有人说是270亿多。我认为差不多也就这一两百亿的规模,所以这个市场其实是比较小的。
“同样的一家创业公司开发同样一款产品,如果这家公司是在硅谷创业的,它可以面向全球大部分国家出售这款产品,只要是说英语的国家,大部分就都能卖。全球是中国市场的30倍,那么这家公司的这样一个产品,在美国起码是中国产品潜在市场的10-20倍。
“所以 中国信息安全的天花板比较低,国内安全创业公司大部分产品的天花板大概几千万就到天花板了。 ”
“人才稀缺将是常态”
另一方面,“ 在中国做一款安全产品和在美国的研发成本其实是一样的,比如中国信息安全从业人员工资可能比硅谷都要高了。 ”这只是其中的一个例子,相关信息安全人才价格本身就是个很有意思的话题,安全人才在国内的稀缺自然是人才价格较高的原因。而在金湘宇看来,“人才的缺少会是个常态”,安全人才不会随着安全行业的发展而出现饱和,或者人才价格的下跌。
“攻防对抗越来越激烈,它对于安全人才的技能要求高了。现如今的安全行业,并非想做安全的人、在做安全的人少,而是有专业技能的人相对较少。我倒是认为,人才的缺少会是常态――只会越来越少。
“未来的企业,遭遇的攻击不像以前就是中个病毒或者必须是定向攻击。现在的黑产很猖獗,每个人或公司都可能成为目标。一家企业就算没有网上业务,公司会计也需要上网,或许拉个QQ群就被骗了,这就是企业的损失。所以未来对于信息安全的需求是广泛而深入的,对抗也是深入的。解决对抗需求的一定是人,所以人才的缺少会是常态。”
信息安全的“秋天”之二:这是个需要做大的市场承接“天花板低”的话题,这会“导致后面一系列的问题”,“安全初创企业做了个新产品,而大部分产品的天花板可能就只有几千万。如果要有更好的发展,就只能做更多的产品。”
“这就造成了中国做安全的大型企业的一个现状:可以看到,中国的大部分已经上市的信息安全公司,普遍都是做全线产品、全行业的,他们什么都会去做。这就是当前中国的现状,和美国截然不同的现状。”
即便实在国外,安全企业也在做大;预计到2020年,位列前5的供应商产品市场份额将扩大到40%
金湘宇在FIT2017大会的演讲中提到,美国的不少信息安全公司做单项安全产品也是能够做到上市的。“这也导致了一个不好的后果,美国安全公司之间大概可以看到他们之间的联盟和协作。而中国的许多安全企业,因为大家都做全线产品,合作空间自然很小,更多的是相互竞争。
“国外的市场更认可技术的价值和人的价值,所以即便是比较小的安全公司也能收获不错的利润,中小企业也更容易生存。国内的情况就比较困难,所以国内的安全公司对于做大的诉求更强烈,小企业难赚钱,所以竞争自然会非常激烈。”
信息安全的“秋天”之三:这是个相对成熟的市场“根据着眼点的不同,一家企业、一个行业究竟处在什么时期,其结论会有差异。如果你从信息安全创业的角度来看,目前安全的确处在朝阳期――因为技术在转,比如云计算对传统IT的冲击是革命性的,所以信息安全初创公司的机会也是前所未有的。攻防对抗当前也很激烈,黑产也很猖獗,用户对于安全的诉求也是前所未有的,从这个角度看,信息安全确实是个朝阳。
“但从创业到公司的运作发展,甚至放眼于市场,情况就有所不同了。你会发现,这个市场实际上是个很成熟的市场。对于很多初创公司而言,产品出售变得不那么容易了:比如要求企业有资质、对相应价值的项目数量有要求,甚至有可能要求企业有全国技术支持人员……市场的规则实际上是很多的,甚至是很成熟的。
“于是对初创安全公司来说,客户的获得就很不容易。许多客户往往已经有了合作5年,甚至10年的供应商――这些传统的安全供应商本身也在进步。对这些客户而言,选择一个更熟悉、更大型的供应商,风险会小很多。
“安全市场环境还面临招标的问题,这会将初创公司拉到相对残酷的境地,往往是价格最低者中标。初创公司也没有那么深厚的关系,没有覆盖全国的渠道,资质和注册资金也没有那么多。在层层门槛下,虽然这是个好时代,也有很多机会,但其中的阻碍也相当多。”
未来的“春天”:规模翻倍和国际化这些促成“秋天”的元素总结起来无非两点:国内的市场已逐步成熟、大型企业正进一步占据市场(天花板低导致的结果)。这让安全初创企业的机会并没有想象中如此美好。金湘宇在此甚至跟我们探讨了初创安全公司大量面临被收购的局面。
“从宏观来看,大多数创新公司最后的退出方式,都是被并购。这些初创型安全企业能坚持到上市也是挺不容易的一个事儿。从过往的历史来看,启明星辰、绿盟、天融信,从创业到上市经历了很长的时间,十年、十几年甚至近二十年。机会一直有,每年都会有那么一两个新的安全公司上市,但这样的通道相对狭窄,所以相比每年几十上百个创业公司来说,这可能只是十分之一,甚至几十分之一。
“单从纯市场占有率来看,最终可能会是寡头市场。从这个角度来看,恐怕很多创业公司未来的出路,并非建立一个覆盖全国的营销体系,而是跟寡头合作,或者被寡头并购。大公司虽然会有僵化的问题,也比较传统,但大公司有资本工具,通过再融资以及并购,可以完成转型。
“所以我觉得未来有新技术的出现、创业公司的出现,未必就会取代掉大公司。更有可能的是,他们彼此之间进行合作。”
这番言论似有对安全初创企业的悲观态度,但这并不是全部。 “如果从产品的品类、类型来看,又一定是百花齐放的。我相信这里面最有创造力、最好的,一定是创业公司。传统公司相对保守,他总是等到市场成熟之后才去做。所以从不同的角度,还是看到不一样的东西。 ”
在整个对谈过程中,我们对金湘宇所说印象最深刻的一句话是:
“任何一个行业的发展,从更长远的角度来看一定会有很多次朝阳,也会有很多次‘不朝阳’。这和公司的发展是一样的,会有蓬勃发展期,也会有稳定增长期,还会有瓶颈期――在做过一些事情之后,他又会再增长。这和大海的涨潮退潮、四季的更替是一样的。”
至少在君源创投针对信息安全初创公司的投资也就是有据可循的,比如 未来中国安全市场的进一步扩容 :“我个人认为,中国信息安全翻几倍的市场是会有的,虽然可能仍然只会是全球市场偏小的一部分。目前在国外,信息安全占IT投入的比例大概在3%-4%上下;而中国这方面的投入比例,Gartner的数据显示还不到1%――这是企业市场。所以按照这个比例,中国达到市场平均水平也至少要翻几倍。”
另一方面,则是国际化带来的机遇。 “这一波‘春天’主要是由IT技术的变革引起的。这波变革本身就可以持续很长时间。下一次比较大的能够回到‘春天’的可能就是国际化,这从当前中国的政策就可以看得出来。我们要取得更大的发展,就需要去做全球的生意。
“中国的互联网,甚至网络安全技术,相较美国虽然还有差距,但比全球其他大多数国家都是更先进的,甚至比欧洲国家都更先进。中国有全线安全产品,还有那么多的安全创业公司,除了美国再也没有哪个国家有如此全面的产品和这么多的创业公司了。即便以色列发展得很好,但创业公司数量必然没有中国这么多;产品品类虽然也不错,但远没有中国这么多。
“中兴、华为将中国网络设备的先进能力输出到其他国家,本身他们也会有一些安全产品、安全方案的销售与建设;360、百度在反病毒领域在国外也有较多探索实践;绿盟、启明星辰也都有海外话的战略和举措。比如在海外和合作伙伴推广一些和做产品、建立分公司等等。我很看好这样的趋势。”
机会均等的未来
以金湘宇对安全行业的了解,我们对于君源创投的投资方向自然很感兴趣,或许这是从中了解安全行业发展的管中一窥。不过金将军在提及投资方向时,大致划了物联网安全、移动安全、人工智能、云计算、威胁情报几个时下比较热门的领域――这些本身也是人们认定安全的下一步。
不过在谈话中,金湘宇谈到了可用以对安全行业未来管中一窥的话题,相关“威胁情报”――这也是君源创投如今的投资重点,且金湘宇本人就是烽火台安全威胁联盟的创始人。“威胁情报行业的发展,最大既得利益者其实不是威胁情报公司,而是传统安全公司。”“做威胁情报的公司,是提供数据和内容的公司,落地需要场景、工具和产品。”
“威胁情报和传统解决方案、产品是个很好的搭配。典型如iSIGHT被一个做产品的公司收购(FireEye)。”“如果什么场景都没有,威胁情报就只是个Word报告。”“就像影视公司,你拍了很多电影,特别好,可如果用户没有电视也没有电影院,价值也就无从谈起了。”“我相信国内的威胁情报安全公司,早晚有一天要么也会做产品,要么就是他会跟有产品的公司形成更紧密的合作。”
这是个无论对做威胁情报的安全初创企业,还是对如推防火墙、IPS等传统产品的传统安全企业,机会均等的最好说明。
即便行业有春天有秋天,创新性安全公司仍有自己的发展空间。犹如金湘宇对于安全行业始终保持乐观,比如在谈及威胁情报初创企业如何解决人工智能、机器学习方面的技术难点时,他说:“未来随着技术的发展,一定会有一些做得很好的引擎出现。比如现在的一个数据库,你做产品就非得自己去开发数据库吗?所以以后的机器学习技术跟数据库技术一样,成为标准化工具,只需要购买或组合到方案中就可以。”这大概是安全行业持续迈进的某一种未来。
“对于投资来说,并不一定要等行业的春天才能投资。每个公司都有自己的春夏秋冬,很多公司加在一起也就成了整个行业的春夏秋冬。无论行业的春夏秋冬,一定都有春天的公司。”
* CodeSec官方出品,作者:欧阳洋葱,未经许可禁止转载