从投资的视角,去看网络安全

当前的中美关系好像在一张大网之中对抗、冲突并产生剧烈的摩擦,安全又成为了投资热点。
 
在钛资本科技和企业服务投资人投研社第43期,元起资本联合创始人万熠从两个方面来谈了对网络安全投资的见解:第一,从投资的视角如何去看网络安全?第二,中外的网络安全市场和安全公司的差异性又在什么地方?
 
中国与美国在技术趋势的前进方向大体一致,但是在市场投资这个角度来看,中美两个市场的结构差异很大,需要仔细揣摩。
 
中美网络安全市场对比
 
首先看看美国网络安全的整体概况。根据有关调研,美国在2018年的融资和IPO事件中共有五起关于网络安全,总并购标的183起,其中有30起大于1亿美元,总体来看美国网络安全资本市场非常活跃。红杉在互联网细分领域投资最多的一个子领域是网络安全,可见网络安全非常受重视。
 
从2010年到2018年,美国共有408笔与网络安全相关的投资,其交易总金额达到了62亿美元。随着中国信息技术的发展以及中国资本市场的逐渐开放,中国未来的网络安全行业可以参考美国当前的状态。
 
美国网络安全市场2018年整体情况
 
下图是中国网络安全的行业全景图,其中收纳的网络安全企业有313家,共分为13个大类。网络安全公司数量特别多,技术领域细分也很散,根据内部的梳理和不完全统计,全中国的网络安全公司数量不会少于2000家。在这种情况下,如何去发现比较突出的网络安全公司,这对于投资人来说就变得更加困难,不过正是因为有难度,所以才体现出其独特的价值。
 
来自:安全牛《中国网路安全行业全景图2020年3月第七版》
 
接下来谈谈网络安全行业的产业特性。首先要正确地认识网络安全,安全是一个目标,达到目标需要技术支撑,所以安全会是很多种技术的集合。安全存在很多细分领域,这是由其特点和属性所决定的。尽管网络安全的细分领域多,但是实现跨界却十分困难,比如有些公司在终端安全做得好,但是在网络侧的安全产品却竞争力不强,这样的例子有很多。
 
另外网络安全的产品并不能一次解决所有问题,这也恰恰是网络安全公司能够推陈出新、实现创新的机会所在。同时,网络安全是一个附加属性,很多时候安全的价值很难直接体现。如果一个安全产品能够很容易显现的体现出它的价值,那么就非常值得投资。
 
 
回到中国的网络安全市场,虽然网络安全公司数量特别多,但是规模都不大,可能会让很多投资人对此失去兴趣。
 
根据申银万国的计算机板块所收纳的207家上市公司信息,与网络安全相关业务公司有26家,占整个板块12.6%,占比相对较高,剩下来的181家公司分属于行业集成、行业软件类、软件开发外包、和定制开发等大类,与网络安全计算机板块相比显得比较零散。
 
除去以互联网业务为主的360公司,2018年其余25家公司总收入是259亿人民币,五年平均增长率超过了20%,净利润超过42亿人民币,五年的平均增长率超过了22%,可见网络安全行业的整体成长性是很好的,所以网络安全行业值得关注。
 
但不同于其它企业服务的领域,网络安全产业投资的入门门槛相对而言较高,因为网络安全是一个技术产业,特别细且杂,传统的财务投资人其实很难从技术本质上判断此类公司产品的水平;
 
同时服务客户也比较多元化,从互联网企业、传统制造业到政府、金融、教育等等,甚至是一些涉密单位,用户需求也是五花八门。对于项目本身的判断和对于所要落地场景客户的判断,投资人需要有较多的产业背景和技术积累。如果不能充分认识到准备投资的公司所面对的客户真实需求,就没有办法去判断未来是否能达到预期收入。
 
中外网络安全投资差异对比
 
下面谈一谈中国和国外网络安全公司及行业的差异和对比。
 
首先说说中国、美国、以色列网络安全公司创业以后的发展走向:中国的网络安全创业公司,一小部分实现了IPO,很小一部分被并购,很大一部分都能活下去,但就是长不大;
 
美国的网络安全创业公司,一小部分IPO,很多被并购;而以色列的网络安全公司能够独立IPO的非常少,被并购的公司数量非常多,没有特色的公司活下去很难。这是中美以三个国家的网络安全创业企业不一样的发展格局。
 
从技术上来看,这三个国家的技术差距其实也未必有想象中的那么大。中国本土是大市场,美国本土也是大市场,但是以色列本土却是个小市场,如果要发展,中美两国的公司完全可以先立足于本土市场,但是以色列公司则从一开始就要走国际化。我们先看看中国与欧美成熟市场的产业链分工上的差异。
 
欧美成熟市场的客户明确知道自己的业务需求,通常是自己设计和规划业务方案,然后通过代理商提供方案交付、方案落地,厂商只需交付好产品、提供优质的方案和功能,大家分工非常明确。欧美公司,基本上都是通过渠道向全球进行销售。
 
而中国网络安全市场的产业分工则与欧美不同。中国的商业客户都是预算制的,一般客户提出业务需求,就有代理商来帮助客户实现方案统筹、规划组织方案建设目标,组织落实客户的规划,同时代理商要做好客户关系的协调,解决客户建设项目中的资金帐期问题,而客户最终方案的规划、分解、实施、落地等工作都由厂商和代理商共同来完成。
 
厂商不仅要向代理商交付产品,也要向客户直接交付产品、技术服务以及方案,所以中国的网络安全厂商就不能仅仅只关注于技术本身,而需要关注更多的客户关系、商业运作、商业落地等,这是中国和欧美网络安全公司发展不一样的地方。
 
在这样的背景下,中国、美国、以色列公司当然会有不一样的发展格局。中国的网络安全公司如果既不能IPO也不能够被并购,可以依托于客户关系存活下去;在美国市场,每个细分技术领域都是赢家通吃的,即使是领域里面的第三或者第四,也很难存活下去;以色列的公司所面临的竞争更加激烈,本土市场狭窄,如果不能全球化或者被并购,只在本土是很难长大的。
 
还有一个很重要的现象,就是中国公司、美国公司、以色列公司被并购的比例不一样。这是资本市场的估值方法和监管模式不一样导致的。
 
中国的二级市场IPO虽然有了科创板逐步放开注册制,但是总体上还是以净利润作为合格IPO的考察和评估指标的;上市公司收购也是一样,如果上市公司花大价钱收购一家没有盈利的,甚至是盈利很低甚至是负利润的公司,在中国A股市场很有可能面临着巨额的商誉减值。
 
但是在欧美资本市场,比如纳斯达克不存在这个问题。公司上市规则就是财务合规、业务合规、有流动性,其次投资者对于业务发展是有预期的,基于通过并购促使公司发展的逻辑,上市公司花大价钱收购一家负利润的公司,资本市场的投资者也是认可的。对比之下中国A股市场,中国上市公司收购自然就没有那么活跃。
 
网络安全投资模型
 
在企业服务领域中,公司提供产品和服务,解决客户的需求,客户为此付费是唯一的商业模式。网络安全行业虽然有很多的投资机会,但是把握起来不太容易,为此元起对网络安全的投资做了模型性梳理。
 
第一个模型,关于整个网络安全行业公司的收入,有三个关键性的数字节点:第一个数字是五千万,第二个数字是一个亿,第三个数字是两个亿。五千万收入水平很有可能是一个陷阱。
 
为什么这样说?因为在中国的企业服务市场,有的公司有相对稳定的客户关系,在网络安全这个领域一年做两三家大客户,一年做四五千万的流水并不难,但是五千万左右可能就已经达到了天花板,这样的公司其实投资价值不大。
 
第二个关键性指标是一个亿。网络安全公司如果能做到一个亿的收入其实不容易,这意味客户关系网络非常强,销售团队关系覆盖面比较高,商业运营能力也很强。
 
另外还要考察收入来源,如果一个亿左右的收入主要是来自于某一款产品,证明这个团队除了商业能力强,其产品能力也比较强。根据经验,单一领域的产品如果能够做到一亿规模的收入,基本就属于该细分市场的前列了,是个很了不起的事情。
 
但不是说单一产品能够做到一个亿,公司就高枕无忧了。元起的投资目标只有一个,就是能否IPO,如果不能IPO的公司或者没有IPO潜质的公司,就没有投资的价值。在这样的业务逻辑之下,由于网络安全公司相对来说比较容易IPO,按照创业板或者科创板IPO门槛的下限——大概五千万的净利润、20%—25%的净利率,只要做到两亿到三亿的收入就差不多具备了IPO的可能。这就是第三个数字——两个亿。
 
如果公司能做到两个亿的收入,离IPO这个“龙门”就很近了,两个亿意味着相对稳定。当一家公司能够以产品为驱动的方式做成两个亿的收入,就证明了不仅第一个产品能做成功,第二个产品也能做成功,证明商业能力非常强,这样公司的未来继续做大做强的可能性非常大。
 
元起对A股20多家网络安全上市公司做了一个分类,分为四大类:第一类是综合性平台公司,有多款产品卖多个行业客户,公司即平台,平台上面是公司一系列的安全产品以及各行各业的客户;
 
第二类是单一优势产品类的公司,有一款产品作为主打产品,主要收入也来源于此,因为产品的覆盖范围足够广、通用性足够强、针对客户的需求量足够大,所以做好一款产品,再配套几款辅助产品线公司也能够IPO。当然做好这样的一款有着巨大市场空间的主力产品是很难的;
 
第三类是单一行业类公司,主要服务某一个行业,比如最典型的是美亚柏科,最开始是做电子取证服务公安行业,服务好公安这一个行业就实现了IPO;
 
最后一类是其它类型公司,业务不够典型,业务构成比较复杂。
 
有两个底层逻辑构成了网络安全新业务需求。第一个逻辑是横向逻辑,是IT基础架构变化带来新的普遍性安全需求。举个例子,比如现在大热的云计算,云计算打破了网络边界,传统的保护边界安全不再适用,新的适用云的安全产品才会有更大的发展前景,而这样的产品不仅仅适用于某一行业、某一客户,而是适用于所有的行业和所有的客户,这就是IT基础架构会带来普遍性的安全需求。
 
第二是纵向逻辑——行业,行业的IT化进程带来新的安全需求。以美亚柏科为例,传统公安的刑侦业务、技侦业务,大都是进行现场的痕检、指纹检查、血迹、物检等。因为行业的IT化需求,就有了网络犯罪,就需要进行电子取证,美亚柏科解决了这个行业IT化进程带来新的业务需求,市场空间足够大,光靠一类产品为主打就能实现了IPO。
 
一横一纵两个网络安全的创业机会,横轴具有普适性,没有行业的区分。纵轴是行业性的,在行业性的需求里面要选择大行业,例如公安、金融、工业制造等行业。大部分公司都能符合这两条发展规律。
 
除了总体的发展规律之外,元起还有个模型——网络安全业务的五个层面:
 
第一类,安全服务。安全服务利润较大,需求也较多,但是还存在两个问题,一是服务水平难以标准化,二是边际成本无法随着规模的扩张而降低。由于安全服务是通过人来服务的,而人的精力是有限的,服务难以标准化,产品交付难以标准化,边际成本无法降低,从产业上来说,就很难形成规模性效益。
 
第二类,安全工具。国外有很多的安全工具公司最后都IPO了,但是在中国却存在一定难度。因为安全工具不能够直接解决客户的某类需求,必须和其它工具相结合,同时要求使用这个工具的人的水平要比较高,再加上网络安全本身就不容易体现出价值,因此客户买单的意愿就没有那么强烈,就不容易形成销售额。
 
第三类,通用性安全产品。IT基础架构发生的变化会带来通用性的机会,这样的机会没有行业属性,只要跟信息化相关的行业就会有买单需求,所以通用性安全产品是考虑的重点方向之一。但是这样的安全产品,还需要一直保持高强度的竞争力,以避免其它厂商在短期之内追赶上来。
 
第四类,业务安全。主营业务在发展过程中利用产品和方案对它进行安全性的保障,来确保业务发展得更好。
 
第五类,安全业务。安全产品和方案恰好是客户所需要解决的重要或者核心业务,这样的安全产品称之为安全业务类产品。如果安全产品恰恰是客户需要的业务,这就意味着客户的采购意愿会比较强烈,需求往往比较刚性。
 
这就是元起提出来安全五个业务层面,离核心业务越近,客户采购的意愿越强烈。
 
因势利导看网络安全行业
 
需要因势利导地去看安全行业,安全行业是在不断变化的:
 
第一,原来安全的产品非黑即白,比如防火墙要么把端口打开、要么把端口关掉。现在的安全从黑白到了灰度;
 
第二,从原来的防火墙或者IPS是阻截式的处理,到现在检测和响应式的处理;
 
第三,网络的物理边界已经慢慢不存在了,现在很多网络边界实际上是逻辑边界;
 
第四,网络安全的产品也是从网关型产品向云和端进行过渡;
 
还有一个变化就是从通用型产品向具有所在行业属性的产品市场过渡,网络安全产品和业务的结合度会慢慢提高,整个网络安全行业会变得更加精细化,更具有业务导向性。
 
从网络安全公司不同层面的竞争来看,有三种竞争:
 
第一种是种内竞争,所谓种内竞争即在市场与需求的关系下,同品类细分类的内部竞争;
 
当这样的种类竞争优胜者胜出以后,会进入到下一个阶段,称之为种间竞争。所谓的种间竞争就是需要做新的产品,在新的业务领域和其它公司进行竞争;
 
第三,跨种竞争,当公司已经具备了团队和销售优势与不断复制成功经验的能力,在整个产业格局内部有一席之地,形成了自己的生态,这时势必会形成和其它巨头即生态格局维护者的竞争。
 
任何一个公司在发展的过程中会形成独特的基因,从做第一条产品线开始,再到第二条产品线,从种间竞争中胜出,最后发展成在跨种竞争中有一席之地,内部有自身的业务逻辑。
 
以绿盟为例,绿盟产品大多是以攻防能力为核心,攻防是一个实战型的场景,时效性很强,绿盟的主战场就是对于攻防有较高要求的行业市场。所以绿盟能够成长,能够不断地从种内竞争者变成种间竞争者的胜出者,最后能够形成行业格局中的一席之地,就在于从未偏离自己的优势方向。
 
在安全中被人提到最多次的就是攻防,甚至很多人把网络安全等同于攻防。万熠认为攻防只是网络安全中间的一个环节,一个好的防御能力和体系,需要把防御经验标准化、产品化,能够快速复制并规模化来降低交付成本,这也是很多攻防背景出身的网络安全的创业者所不曾具备的经验。
 
从产品生产到销售,需要的是市场化的能力、市场落地的能力、销售团队组建的能力,是需要一个公司有合格的CEO、合格的研发以及合格的销售团队,这是公司的核心三架马车。要从技术走向市场化,需要对整个公司进行整体的统筹、规划和未来战略目标,很多技术创业人员就缺少市场化的经验,因此需要去学习这种能力。
 
最后一个能力要求就是商业领袖具备的潜质、能力,以及强大的商业伙伴和团队,除了自己成为合格的CEO之外,还需要经验丰富的CFO、规范的财务制度、好的CTO能够规划未来公司的技术方向,能够对于公司未来在IPO准备包括报告期之内的业务平滑进行保障,这些实际上都是对公司提出了更高的要求。
 
元起对于初创公司在销售层面成长策略模型。初创公司和上市公司相比,优势在于能够集中优势兵力,集中一点进行突破,在新技术、新产品的专注度上远超上市公司。而上市公司的优势是有庞大的销售体系、有稳定成熟的客户资源、有多条产品线能够形成整体方案进行交付。初创公司在速度上具有先发优势,那么这个模型就是告诉初创公司如何保持这个优势,从而与上市公司抗衡。
 
首先,初创公司需要对于行业客户中的某一个行业关键性需求进行分析,把产品做成这个行业需求的优势产品,然后以此特性切入这个行业,形成重点行业的突破。此后复制行业突破的经验,发展为两到三个新的大行业客户的突破,这样产品的成熟度和行业需求满足方面就会比较完善。第三步,把握自己的优势基因,不断积累客户资源,这样就能够和上市公司在后期进行竞争。
 
初创公司从互联网市场进行切入是很好的选择,因为整个互联网行业的公司对技术比较了解,也认同新的技术和新的公司,在这个过程中可以打磨产品,完善自己的团队和能力。
 
但是互联网行业对于网络安全来说并不一定是一个大市场,因为中国的互联网行业实际上是非常二元化的。例如大公司BAT、京东、小米等,有着中国几乎最好的技术人才,安全对于他们的自身业务来说也非常重要,他们也十分重视安全。
 
而对于中小互联网公司来说,生存状况就要严峻许多,相比安全,绝大部分的精力和资源都放在了发展业务上。政企客户还是网络安全公司的主战行业,而例如国安、军队等重要部门虽然对安全极度重视,但是由于行业门槛高,所以对创业公司来说还是要谨慎涉足。
 
比较开放的政企客户市场主要包括金融、运营商、政府、能源、交通等,国家对于这些基础设施的安全等级要求很高,对于网络安全的需求非常大,而且这些市场也相对比较开放,是初创企业开拓的主要市场
 
Q&A
 
Q:欧美市场的产品技术现在到底有多强?中国与欧美头部公司两边对比,产品技术上到底有多大差距?
 
万熠:我个人观点是成熟型产品其实未必有太大差异。因为做了这么多年,中国人也很勤奋也很聪明,差距基本在可接受范围之内,有些领域也未必有差距。
 
我更多关注的是新领域,在新领域方面中国网络安全公司在技术上也许与欧美国公司有一定的差距,但是这个差距的弥补时间会非常短。另外中国的网络安全公司其实会有一些优势,优势在于中国的网络安全公司会更了解行业客户的需求,更从甲方的角度做产品的设计和规划,美国网络安全公司在产品设计上更多是从标准化、技术的角度去考虑,这是不同市场形态决定的。
 
Q:网络安全上市公司整体营收增长是20%左右,请问主要因素是什么?因为上市公司其实客户已经差不多固定了,产品方面也没有初创公司发展快,主要增长的因素是什么呢?
 
万熠:我觉得有两点:第一,整个中国网络安全产业的大盘子是在快速增加的;
 
第二,增加的部分其实更利于上市公司或者是网络安全巨头切入;
 
第三,网络安全上市公司也好、巨头也好,并不是完全不创新,只是创新的速度相对初创企业会慢一点,但依托于客户群和品牌优势,覆盖面和覆盖速度是非常快的。
 
总的来说,很多网络安全上市公司成长的速度事实上比20%还要快,得益于网络安全行业的大环境变得更好;产业大环境更加利好大型的网络安全行业头部公司;网络安全上市公司本身也是有创新的,只是速度相对初创公司慢一点。
 
Q:五千万、一个亿、两个亿这几个指标,对于初创公司营收大概在一两千万左右、创始人一般都有业内头部公司的背景、技术看起来也都是挺牛、一般早期都会有几家国资或银行或运营商类标杆客户,像这类公司怎么样去判断呢?
 
万熠:第一,五千万实际上得去评估有没有成长到五千万的可能性,在这个过程中肯定需要看现有的客户。如何去看是否有增长的潜力,我觉得从几个方面来看:第一,产品的技术能力是否过硬,在同类之中是否是最好的,这是一个很关键的因素;
 
第二,初创公司所做的产品和技术,是否会被老产品通过改良进行替换;第三,这个技术是不是阶段性的,是否可能只是在一两年之内会有,未来会不会出现新的替代技术。排除了这些因素之外,这个技术、产品能否在未来有成长为一个大的门类,而且该公司又能成为这个大门类中最好的一家公司。
 
在这个前提之下,得去看客户是谁?怎么获得的?
 
比如说是金融类典型客户,究竟是四大国有银行、还是城商行、农商行,还是其它的一些股份制银行?这些客户在业内的影响力是不同的;其次,在典型客户里边,是不是具备普适性需求,还是典型客户的特殊性需求,这也得分析;第三,即使是一个大行业的典型标杆客户的一个普适性的应用场景,还得去看拿下来这个项目是否具有偶然性,是否具有可复制性,这是对于项目成长性的判断。
 
Q:元起资本比较看好的初创企业创始人应该具备哪些特点?
 
万熠:我们内部有一个对创业核心团队的考察模型,有差不多100来个维度,基本上能够相对客观的对团队进行“量化”评估。初创公司看的不是创始人而是创始人团队,这个团队需要有角色区分,我们考察的重点是CEO、CTO和销售VP这三个角色。
 
从CEO上来说,网络安全创业的大部分CEO都是技术型CEO,所以首先对于技术方向和产品化的把握很重要,但是更重要的是CEO的学习能力是不是很强,是不是足够开放,是不是能够快速填补能力空白,这是我们所关注的学习能力。
 
另外在团队内部,CTO和销售VP是否合适:CTO是否能够作为一个称职的CTO而不只是一个开发负责人;销售VP不仅仅是销售管理人而是要具备销售打单的能力,既需要撸起袖子自己干,也需要具备不断建设团队、不断实现销售管理的能力。这些是我们对于整个初创团队三个角色的关注点。
 
钛资本研究院观察
 
本次疫情为网络安全行业带来了重大的窗口期:不仅全民上网,所有企业、教育机构、行业组织、政府机构等也尽量上网,整个数字经济得到了强力推进。例如根据央视,互联网医疗服务平台“平安好医生”7×24小时接诊平台,从疫情发生以来到4月8日期间,累计访问人次达11.1亿,新注册用户量增长10倍;今年前两个月,线上消费和智能经济爆发式增长。
 
加上今年5G、物联网、车联网、工业互联网等新型基础设施的广泛推进,都为网络安全行业带来了全新的创新和增长机遇,也是投资机构参与和进入网络安全行业的重大机会。元起资本对于网络安全投资的心得和相关模型,可以帮助广大投资者和投资机构更好的参与中国的网络安全市场,推动中国网络安全投资行业的健康理性发展。