2500亿的网络安全赛道,只有十分之一能走到下一步
数智前线虽然这个赛道里已经有30多家上市公司,但它并不是一个赢者通吃的赛道,对创业公司而言,仍有巨大的投资和打拼空间。当然,学术界的技术不等于工业界的技术,安全行业的创业者普遍对工业界了解较少。
文|周路平
编|王飞飞
不久前,搜狐发生了一件非常尴尬的事。因为一名员工的内部邮箱密码被盗,盗贼冒充财务发邮件给员工,导致搜狐24名员工被骗了4万余元。
这是一起典型的钓鱼邮件攻击事件,业内并不少见,而且被骗金额也不算高,但考虑到搜狐作为一家老牌互联网公司,发生这类事情品牌在一定程度上受到影响。
事实上,大大小小的网络安全攻击每天都在发生,只不过很多并不被人知晓。2021年,三大运营商就监测发现了分布式拒绝服务攻击超75万起,这些网络攻击令许多互联网一时无法提供服务。而IBM公布的《2021年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来424万美元的损失,为17年来之最。
这也迫使网络安全行业快速发展。工信部预测,网络安全赛道的规模将在2023年达到2500亿元。与业内很多市场不同的是,虽然这个赛道里已经有30多家上市公司,但它并不是一个赢者通吃的赛道,对创业公司而言,仍有巨大的投资和打拼空间。
01
一个蓬勃兴起的旧赛道
网络安全不是个新赛道,几乎从有互联网的那一刻就存在。
国内首家网络安全公司天融信诞生于1995年,启明星辰成立于1996年,而绿盟和深信服诞生于2000年,距今都有20多年的历史,比绝大多数知名互联网公司的成立时间都更早。
但相比于大放异彩的互联网公司,网络安全一直就不是非常热门的赛道,赛道里的企业产品比较单一,营收规模也不算太高。这源自市场的需求。虽然企业投资信息化,但在很长时间中,网络安全在其中的占比最高不超过3%。
这种情况在2016年前后发生了转变。这一年,《网络安全法》公布,网络安全被提升到了国家安全的高度。此后几年,包括《数据安全法》、《个人信息保护法》、《等级保护条例》、《关键信息基础设施保护条例》等落地实施,从国家层面到企业层面,都对网络安全给予了前所未有的重视。
赛迪的数据显示,网络安全在2021年的市场规模达到900多亿元。而工信部的三年行动计划则明确指出,要促进网络安全需求释放,指导电信等重点行业网络安全投入占信息化投入比例达到10%。到2023年,我国网络安全产业规模超过2500亿元。
尽管对产业规模的统计口径并不一致,但有一点毋庸置疑,这个赛道正在随着政策和市场的需求蓬勃兴起。
在疫情之前的四年时间,网络安全的平均增速都在20%以上,2021年也恢复到了15.8%。
“安全过去是被大家看不上的,现在优先级就上升了。”赛博英杰董事长谭晓生对数智前线说。安全是一个典型的慢热赛道,研发投入高,没有爆发式增长,资本回报缓慢,很少受到资本青睐。而随着国家近些年的重视和企业自身需求的带动,资本正在快速涌入。
2021年,国内发生了超160起融资事件,包括漏洞盒子、长扬科技、数篷科技、珞安科技等的融资规模都在亿元以上。
根据苹果资本的数据统计,2015年,我国新成立的网络安全企业只有50家,但2021年,这个数字超过了200家。
02
需求在发生改变
网络安全市场有两个外力在推动:一是国家政策法规的硬性要求,比如在一些关键基础设施领域,更是强调一把手负责制;二是每一次的安全热点事件都会刺激企业对网络安全的重视。
以前,除了部分企业的业务有强烈的安全需求外,安全行业的需求更多来自于等级保护的要求。政策要求做什么,企业就买什么。
元起资本创始管理合伙人何文俊发现,不同行业、不同区域、不同规模的企业在安全支出上的差异很大,有些客户在每年的攻防演练能有着非常优异的表现,但也有些客户还要为满足等级保护的预算而发愁。
2019年,等保2.0开始实施。相比于等保1.0的形式合规,“现在等保2.0,要以实战效果为准。”一位网络安全专家对数智前线说,比如态势感知以前是个花架子,做点好看的可视化系统就行了,但现在要看到实际效果,得真正能够监控,一点事都不能出。
“安全产业逐渐解决了从无到有的问题,现在在往从有到优的阶段发展。”何文俊说。比如,早期的磁盘、文件、数据库都是进行静态管理,现在则强调分类分级,强调全生命周期的跟踪与防控。
“两三年前,一个网络安全企业靠卖防火墙能占企业一半的收入。”上述专家说,现在的情况完全不一样了,这种标准品的竞争已经白热化,“哪有靠防火墙来挣钱的了?”。像漏洞扫描、堡垒机、防火墙这些成熟的产品,安全厂商之间早已拉不开差距。
当前的安全产业正由过去的合规主导转向效果主导。尤其是最近几年,随着远程办公、数据合规、隐私保护、万物互联等新场景的出现,网络安全产业的热点已经向数据安全、云安全、零信任、XDR2、DevSecOps(软件开发自动集成安全性)、攻击链管理、SASE(安全访问服务边缘)、FMS(飞行管理系统)和MDR2、工业互联网安全等方向转变。
大量的创业创新项目也在这些领域涌现。不久前,腾讯办了首场数字安全创新大赛,超过100个创新项目报名参赛,而且很大一部分都在关注上述前沿创新赛道。
腾讯安全副总裁、腾讯玄武实验室负责人于旸也有着深刻感受。他看完了所有参赛队伍的资料,发现这些项目除了集中在前沿垂直赛道外,也都在真正去解决一线攻防的问题,比如用相对新的方法和技术帮助企业发现产品和系统的漏洞。“合规性的技术肯定是要有,但网络安全今天面临的攻防威胁可能靠一些基本的东西并不能保障。”于旸说。
而这些新需求的背后,也是新的IT基础架构和IT要素所带来的转变。比如零信任的背后是IT架构变得更加多元混合。以前的防火墙强调的是物理边界和内网安全,但现在安全理念淡化了物理边界,强调数据全生命周期的保护。SASE的兴起,也是与之前的私有化部署相关,而现在走向云原生。
另外,新的业务场景也在催生新的需求。比如随着人工智能深入各行各业,恶意样本、数据投毒等相关的情况也给网络安全提出了新的考验。最近几年,工控安全是网络安全赛道里融资最多的一个细分赛道。而兴起的背景之一是工控设备之前都是孤立封闭的状态,安全诉求不突出,但现在走向联网和智能化之后,安全性变得非常迫切。
安全产业在往更加专业和更加精细化的方向演进。比如以前的防御都是在事后,现在要更加主动,不仅在事中及时反应和处理,甚至还要事前进行威慑和反治。
“这种主动趋势其实要求防御方要更加的专业化、高效化。”何文俊说,安全产业也在洗牌,一些有特色的企业能够脱颖而出。
03
创业公司的机会
网络安全赛道有个非常典型的特征:碎片化。网络安全研究机构披露的“2021年网络安全市场全景图”里,网络安全市场被分为了13大类和81小类。
场景碎片化就意味着无法靠一两款主流产品满足大家的安全需求,网络安全赛道里,普遍都是小而美的公司。而且与消费互联网的竞争不一样的是,在互联网行业,一家巨头能吃掉大部分的市场份额,把对手全部干掉。但在网络安全市场里,小企业仍然有生存机会。
“初创企业一定是选择一个比较有特点的,大公司不太容易在开头就关注到的赛道切入,有一定的领先性,然后逐渐往横向做跨越,最后成长为下一代平台型的网络安全公司,这代表了安全产业逐渐升级发展的特点。”何文俊对数智前线说。
腾讯数字安全创新大赛冠军红途科技创始人刘新凯以前在顺丰集团负责安全业务,管理着数百号人,做的事情面面俱到,从基本的网络安全到应用安全、数据安全都要兼顾,不能出现任何系统性风险。
但当他出来创业后发现,最核心的事情变成了聚焦,单点突破。
表面上看,大公司的研发投入每年都是数十亿元,人员规模也有数千人,这种规模和体量远非创业公司所能比拟。但其实大公司往往拥有非常多的产品线,如果具体到某个产品线,其研发投入和人员规模未必就有绝对优势。
“在一些新兴领域,创业公司有着不错的表现。”AA投资创始合伙人王浩泽对数智前线说,“新的公司做的基本是新的解决方案”。安全领域的头部公司,看起来人多,但产品也多。而创业公司往往都是单点突破,从相对优势来看,并不比大公司的研发力量差。
比如,腾讯数字安全大赛十强企业边界无限在决赛前夕完成千万级天使融资。这家企业做的是应用自我保护技术(RASP)。这是Gartner在2014年提出的概念,防护引擎嵌入到应用内部,不再依赖外部防护设备。目前,边界无限已与政府、金融、云服务厂商等领域的数十家客户达成业务合作。
其实,在新兴赛道里,“大公司更多是采用跟随战略,某个问题痛点存在的时候,大公司未必真的拿出来一个真正能解决用户痛点的方案,会出现一个空档期,这时候初创企业也能获得发展的机会。”谭晓生举例称,在EDR领域,国内终端能力比较强的安全大厂,好几年都没有相关的产品出来。
而且,市场环境对初创企业也变得越来越友好。
2021年,何文俊与甲方交流,发现对方的安全体系里有十几款不同的产品,而且每个产品的供应商都不一样。这说明只要在某一个细分赛道做得足够好,都有被选中的机会。“大公司在规模、效率、创新活力等各方各面总是会遇到一些挑战,而这些挑战就是创业公司可以超越的机会。”何文俊说。
刘新凯也发现,很多安全客户都愿意给初创公司机会,他们不再像之前那样,纯粹为了买东西而买东西。刘新凯接触了大量客户,虽然不少客户对安全企业的规模等依然有要求,但越来越多的客户希望能找到新技术和新产品来满足自身需求,“追求的是真正帮助企业解决问题”。
另外,初创企业在商业模式上的选择没有历史包袱。比如相比于老牌安全公司以卖盒子和软件为生,红途科技则从一开始就选择了SaaS的订阅制。这种做法在海外已经非常成熟,但在国内并不是主流。
相比于直接卖软件,订阅制的好处在于增长可控,但更考验长期的能力,而不是一锤子买卖。这涉及到企业的商业模式、组织架构、利润结构和估值。“那些习惯了软件单体售卖的企业,以后要改成订阅制,反而更难。”刘新凯说。
当然,我们也应该看到初创企业普遍存在的问题。根据安全牛2022年发起的《网络安全初创企业HOT50》研究数据显示,初创型安全企业多以技术研发为主,市场销售和服务保障人员整体占比普遍不足40%。
这一点从腾讯数字安全创新大赛也可见一斑。这些项目的创始人基本上都是技术背景,他们对商业化、体系化、规模化并没有那么擅长,如果要做大,提升技术以外的短板也至关重要。
“从行业需求来看,有些技术虽然做得很好,但现阶段不一定是行业特别需要的。”于旸说,学术界的技术不等于工业界的技术,安全行业的创业者普遍对工业界了解较少。
这也是腾讯举办数字安全创新大赛的初衷:一方面,让有技术和创新能力的企业能够获得更多展示;另一方面,以赛代练,带动那些本身技术很好的创业者,把技术转化为产业需求。
此外,创业公司要想从“小而美”变成“大而美”,也面临着人才结构不合理、创始团队如何自我进化等问题。大而美必然不能局限于细分赛道,需要横向扩张。
“只有不到1/10的企业能够迈到下一步。”正如谭晓生所言,企业在成长过程中是一个打怪升级的过程,从点到线、面、体每一步需要的技能都有差别。
“最终要跑出来成为下一代安全平台型公司的领导者,慢慢的技术型创业者要向企业家感觉去靠拢,从一个技术大牛慢慢成为一个综合型的、企业家的形象。”何文俊说,“无论是自己提升,还是去吸引高水平的人才,不管怎样这个公司慢慢要把除技术以外的商业化短板补齐。”