从投资的视角,去看网络安全
图片来源@视觉中国
文丨钛资本研究院
当前的中美关系好像在一张大网之中对抗、冲突并产生剧烈的摩擦,安全又成为了投资热点。
在钛资本科技和企业服务投资人投研社第43期,元起资本联合创始人万熠从两个方面来谈了对网络安全投资的见解:第一,从投资的视角如何去看网络安全?第二,中外的网络安全市场和安全公司的差异性又在什么地方?
中国与美国在技术趋势的前进方向大体一致,但是在市场投资这个角度来看,中美两个市场的结构差异很大,需要仔细揣摩。
首先看看美国网络安全的整体概况。根据有关调研,美国在2018年的融资和IPO事件中共有五起关于网络安全,总并购标的183起,其中有30起大于1亿美元,总体来看美国网络安全资本市场非常活跃。红杉在互联网细分领域投资最多的一个子领域是网络安全,可见网络安全非常受重视。
从2010年到2018年,美国共有408笔与网络安全相关的投资,其交易总金额达到了62亿美元。随着中国信息技术的发展以及中国资本市场的逐渐开放,中国未来的网络安全行业可以参考美国当前的状态。
美国网络安全市场2018年整体情况
下图是中国网络安全的行业全景图,其中收纳的网络安全企业有313家,共分为13个大类。网络安全公司数量特别多,技术领域细分也很散,根据内部的梳理和不完全统计,全中国的网络安全公司数量不会少于2000家。在这种情况下,如何去发现比较突出的网络安全公司,这对于投资人来说就变得更加困难,不过正是因为有难度,所以才体现出其独特的价值。
来自:安全牛《中国网路安全行业全景图2020年3月第七版》
接下来谈谈网络安全行业的产业特性。首先要正确地认识网络安全,安全是一个目标,达到目标需要技术支撑,所以安全会是很多种技术的集合。安全存在很多细分领域,这是由其特点和属性所决定的。尽管网络安全的细分领域多,但是实现跨界却十分困难,比如有些公司在终端安全做得好,但是在网络侧的安全产品却竞争力不强,这样的例子有很多。
另外网络安全的产品并不能一次解决所有问题,这也恰恰是网络安全公司能够推陈出新、实现创新的机会所在。同时,网络安全是一个附加属性,很多时候安全的价值很难直接体现。如果一个安全产品能够很容易显现的体现出它的价值,那么就非常值得投资。
回到中国的网络安全市场,虽然网络安全公司数量特别多,但是规模都不大,可能会让很多投资人对此失去兴趣。
根据申银万国的计算机板块所收纳的207家上市公司信息,与网络安全相关业务公司有26家,占整个板块12.6%,占比相对较高,剩下来的181家公司分属于行业集成、行业软件类、软件开发外包、和定制开发等大类,与网络安全计算机板块相比显得比较零散。
除去以互联网业务为主的360公司,2018年其余25家公司总收入是259亿人民币,五年平均增长率超过了20%,净利润超过42亿人民币,五年的平均增长率超过了22%,可见网络安全行业的整体成长性是很好的,所以网络安全行业值得关注。
但不同于其它企业服务的领域,网络安全产业投资的入门门槛相对而言较高,因为网络安全是一个技术产业,特别细且杂,传统的财务投资人其实很难从技术本质上判断此类公司产品的水平;
同时服务客户也比较多元化,从互联网企业、传统制造业到政府、金融、教育等等,甚至是一些涉密单位,用户需求也是五花八门。对于项目本身的判断和对于所要落地场景客户的判断,投资人需要有较多的产业背景和技术积累。如果不能充分认识到准备投资的公司所面对的客户真实需求,就没有办法去判断未来是否能达到预期收入。
下面谈一谈中国和国外网络安全公司及行业的差异和对比。
首先说说中国、美国、以色列网络安全公司创业以后的发展走向:中国的网络安全创业公司,一小部分实现了IPO,很小一部分被并购,很大一部分都能活下去,但就是长不大;
美国的网络安全创业公司,一小部分IPO,很多被并购;而以色列的网络安全公司能够独立IPO的非常少,被并购的公司数量非常多,没有特色的公司活下去很难。这是中美以三个国家的网络安全创业企业不一样的发展格局。
从技术上来看,这三个国家的技术差距其实也未必有想象中的那么大。中国本土是大市场,美国本土也是大市场,但是以色列本土却是个小市场,如果要发展,中美两国的公司完全可以先立足于本土市场,但是以色列公司则从一开始就要走国际化。我们先看看中国与欧美成熟市场的产业链分工上的差异。
欧美成熟市场的客户明确知道自己的业务需求,通常是自己设计和规划业务方案,然后通过代理商提供方案交付、方案落地,厂商只需交付好产品、提供优质的方案和功能,大家分工非常明确。欧美公司,基本上都是通过渠道向全球进行销售。
而中国网络安全市场的产业分工则与欧美不同。中国的商业客户都是预算制的,一般客户提出业务需求,就有代理商来帮助客户实现方案统筹、规划组织方案建设目标,组织落实客户的规划,同时代理商要做好客户关系的协调,解决客户建设项目中的资金帐期问题,而客户最终方案的规划、分解、实施、落地等工作都由厂商和代理商共同来完成。
厂商不仅要向代理商交付产品,也要向客户直接交付产品、技术服务以及方案,所以中国的网络安全厂商就不能仅仅只关注于技术本身,而需要关注更多的客户关系、商业运作、商业落地等,这是中国和欧美网络安全公司发展不一样的地方。
在这样的背景下,中国、美国、以色列公司当然会有不一样的发展格局。中国的网络安全公司如果既不能IPO也不能够被并购,可以依托于客户关系存活下去;在美国市场,每个细分技术领域都是赢家通吃的,即使是领域里面的第三或者第四,也很难存活下去;以色列的公司所面临的竞争更加激烈,本土市场狭窄,如果不能全球化或者被并购,只在本土是很难长大的。
还有一个很重要的现象,就是中国公司、美国公司、以色列公司被并购的比例不一样。这是资本市场的估值方法和监管模式不一样导致的。
中国的二级市场IPO虽然有了科创板逐步放开注册制,但是总体上还是以净利润作为合格IPO的考察和评估指标的;上市公司收购也是一样,如果上市公司花大价钱收购一家没有盈利的,甚至是盈利很低甚至是负利润的公司,在中国A股市场很有可能面临着巨额的商誉减值。
但是在欧美资本市场,比如纳斯达克不存在这个问题。公司上市规则就是财务合规、业务合规、有流动性,其次投资者对于业务发展是有预期的,基于通过并购促使公司发展的逻辑,上市公司花大价钱收购一家负利润的公司,资本市场的投资者也是认可的。对比之下中国A股市场,中国上市公司收购自然就没有那么活跃。
在企业服务领域中,公司提供产品和服务,解决客户的需求,客户为此付费是唯一的商业模式。网络安全行业虽然有很多的投资机会,但是把握起来不太容易,为此元起对网络安全的投资做了模型性梳理。
第一个模型,关于整个网络安全行业公司的收入,有三个关键性的数字节点:第一个数字是五千万,第二个数字是一个亿,第三个数字是两个亿。五千万收入水平很有可能是一个陷阱。
为什么这样说?因为在中国的企业服务市场,有的公司有相对稳定的客户关系,在网络安全这个领域一年做两三家大客户,一年做四五千万的流水并不难,但是五千万左右可能就已经达到了天花板,这样的公司其实投资价值不大。
第二个关键性指标是一个亿。网络安全公司如果能做到一个亿的收入其实不容易,这意味客户关系网络非常强,销售团队关系覆盖面比较高,商业运营能力也很强。
另外还要考察收入来源,如果一个亿左右的收入主要是来自于某一款产品,证明这个团队除了商业能力强,其产品能力也比较强。根据经验,单一领域的产品如果能够做到一亿规模的收入,基本就属于该细分市场的前列了,是个很了不起的事情。
但不是说单一产品能够做到一个亿,公司就高枕无忧了。元起的投资目标只有一个,就是能否IPO,如果不能IPO的公司或者没有IPO潜质的公司,就没有投资的价值。在这样的业务逻辑之下,由于网络安全公司相对来说比较容易IPO,按照创业板或者科创板IPO门槛的下限——大概五千万的净利润、20%—25%的净利率,只要做到两亿到三亿的收入就差不多具备了IPO的可能。这就是第三个数字——两个亿。
如果公司能做到两个亿的收入,离IPO这个“龙门”就很近了,两个亿意味着相对稳定。当一家公司能够以产品为驱动的方式做成两个亿的收入,就证明了不仅第一个产品能做成功,第二个产品也能做成功,证明商业能力非常强,这样公司的未来继续做大做强的可能性非常大。
元起对A股20多家网络安全上市公司做了一个分类,分为四大类:第一类是综合性平台公司,有多款产品卖多个行业客户,公司即平台,平台上面是公司一系列的安全产品以及各行各业的客户;
第二类是单一优势产品类的公司,有一款产品作为主打产品,主要收入也来源于此,因为产品的覆盖范围足够广、通用性足够强、针对客户的需求量足够大,所以做好一款产品,再配套几款辅助产品线公司也能够IPO。当然做好这样的一款有着巨大市场空间的主力产品是很难的;
第三类是单一行业类公司,主要服务某一个行业,比如最典型的是美亚柏科,最开始是做电子取证服务公安行业,服务好公安这一个行业就实现了IPO;
最后一类是其它类型公司,业务不够典型,业务构成比较复杂。
有两个底层逻辑构成了网络安全新业务需求。第一个逻辑是横向逻辑,是IT基础架构变化带来新的普遍性安全需求。举个例子,比如现在大热的云计算,云计算打破了网络边界,传统的保护边界安全不再适用,新的适用云的安全产品才会有更大的发展前景,而这样的产品不仅仅适用于某一行业、某一客户,而是适用于所有的行业和所有的客户,这就是IT基础架构会带来普遍性的安全需求。
第二是纵向逻辑——行业,行业的IT化进程带来新的安全需求。以美亚柏科为例,传统公安的刑侦业务、技侦业务,大都是进行现场的痕检、指纹检查、血迹、物检等。因为行业的IT化需求,就有了网络犯罪,就需要进行电子取证,美亚柏科解决了这个行业IT化进程带来新的业务需求,市场空间足够大,光靠一类产品为主打就能实现了IPO。
一横一纵两个网络安全的创业机会,横轴具有普适性,没有行业的区分。纵轴是行业性的,在行业性的需求里面要选择大行业,例如公安、金融、工业制造等行业。大部分公司都能符合这两条发展规律。
除了总体的发展规律之外,元起还有个模型——网络安全业务的五个层面:
第一类,安全服务。安全服务利润较大,需求也较多,但是还存在两个问题,一是服务水平难以标准化,二是边际成本无法随着规模的扩张而降低。由于安全服务是通过人来服务的,而人的精力是有限的,服务难以标准化,产品交付难以标准化,边际成本无法降低,从产业上来说,就很难形成规模性效益。
第二类,安全工具。国外有很多的安全工具公司最后都IPO了,但是在中国却存在一定难度。因为安全工具不能够直接解决客户的某类需求,必须和其它工具相结合,同时要求使用这个工具的人的水平要比较高,再加上网络安全本身就不容易体现出价值,因此客户买单的意愿就没有那么强烈,就不容易形成销售额。
第三类,通用性安全产品。IT基础架构发生的变化会带来通用性的机会,这样的机会没有行业属性,只要跟信息化相关的行业就会有买单需求,所以通用性安全产品是考虑的重点方向之一。但是这样的安全产品,还需要一直保持高强度的竞争力,以避免其它厂商在短期之内追赶上来。
第四类,业务安全。主营业务在发展过程中利用产品和方案对它进行安全性的保障,来确保业务发展得更好。
第五类,安全业务。安全产品和方案恰好是客户所需要解决的重要或者核心业务,这样的安全产品称之为安全业务类产品。如果安全产品恰恰是客户需要的业务,这就意味着客户的采购意愿会比较强烈,需求往往比较刚性。
这就是元起提出来安全五个业务层面,离核心业务越近,客户采购的意愿越强烈。
1 
2