网盾网络安全培训学校育,只培训技术精英
全国免费咨询电话: 15827351614
网络安全有点火?这里有份创业投资万字入门指南(下)

三. 网络安全赛道零基础创投入门方法论

网络安全有点火?这里有份创业投资万字入门指南

入门方法论

由于笔者无产业背景,亦无技术背景,基金内部也没有在网络安全赛道看得比较深入的同事,所以对整个网络安全行业的摸索上道最初完全没有方向,走了很多弯路,虽然到现在也只是学习了些皮毛,不过好在跟半年前比已有了明显进步。

但正是由于从零开始摸索,也使得自己的方法论应该能够同时适用于无网络安全产业经验以及IT技术基础的投资人,当然最重要还是在实战中磨练。

3.1 技术基础知识入门

想了解网络安全技术,首先计算机基础是必备的,不然直接去看网络安全相关的技术书籍,容易完全看不懂,看了也白看。这里按个人认为比较推荐的学习顺序来推荐相关书籍,实操中完全可以根据个人情况自由安排。

首先是基础中的基础,计算机是怎么来的,如何从一个二进制的计算器演变成我们今天的电脑?

Charles Petzold 的《编码》(或直接读原版《Code》)算我读过对零基础学习者算最友好的教材。接着可以读 J. Glenn Brookshear 的《计算机科学概论》,对计算机的整个体系有一个大概的轮廓。之后可以同时看 Ben Forta的《SQL必知必会》,Aditya Bhargava 的《算法图解》,重点是要对关系型数据库这个概念要有一个基础的认知。接着读 William Stallings 的《操作系统 : 精髓与设计原理》,重点是理解何为操作系统,硬件、操作系统、软件有什么区别和联系。

最后再进阶的时候就来到最重要的计算机网络基础知识。谢希仁的《计算机网络》或者英文还行就建议读 Andrew S. Tanenbaum 的《computer networks》(这里面对原理讲解的更加深刻)。

重点是理解整个网络通讯架构的精髓思想,即通过各种协议一层一层的抽象,各层之间相互独立但又精妙的各司其职,对网络的基本架构和常见协议有概念之后,再看一些网络安全产品的场景示意图就不难理解。

以上所有书籍,要深入理解确实有难度,一些细节不一定要求甚解,实在不懂的可以配合B站上的学习视频来看,只要搜索相关关键词,找一个点击量比较高,你自己看着也顺眼的学起来就可以了。

如果额外还有精力,特别是想再深入了解业务安全和Web安全领域,可以找一些Web前端即HTML、CSS、JavaScript入门的书籍或视频,核心是理解Web网页的大致架构原理,学完之后应该也能很清楚的区分互联网跟万维网的区别。

3.2 行业专业词汇入门

刚开始聊网络安全项目,行业专有词汇是一大难点,这里即使是有技术背景的投资人,如果对网安行业的产品及概念不熟悉,也容易陷入云里雾里。

如果事先对各种概念熟读于心,理解项目的难度会降低很多,跟创业者交流起来也会更顺畅。可以跟以上的书籍阅读同步进行,如果书实在读不下去,但有能力把行业词汇的概念啃下来也可。

同理从投资视角看,不一定要甚解,重点是了解某款产品或技术的应用场景(部署在哪里,核心交换机旁还是服务器旁,或者是直接装在终端上;功效是什么,是检测出威胁并警告,还是直接阻断恶意行为,还是把系统做加固的防护;同一功效对应的不同产品,在实现原理上的大致区别是什么,各有什么优点缺点等等)。

中文词汇相对容易有个大致的概念,最容易让人懵逼的还是英文缩写词汇,故这里就重点梳理一下网络安全行业常见的英文缩写词汇(肯定还不够全面,如有遗漏请多多包涵):IDS、IPS、WAF、UTM、NGFW、SIEM、SOC、EPP、EDR、NTA、APT、IAM、MFA、SSO、IDaaS、TEE、SE、TA、ZTNA、MSG、SDP、DevSecOps、DAST、IAST、SAST、RASP、DLP、UEBA、NFV、CASB、CWPP、CSPM、SDL、SOAR

以上词汇,限于篇幅这里也无法一一展开,但绝大部分完全可以通过搜索引擎(百度、知乎、安全牛、FreeBuf、微信搜索等等)来弄清楚大概是怎么一回事,如果搜出来的答案看着跟网络安全无关,可以多试试关键词+网络安全的组合方式,搜索信息对投资来说也是基本功。

熟读以上的产品和概念也只是让你在聊项目或者阅读资料时不会突然懵圈,最重要的还是要了解对应产品或概念的市场前景,这一点主要就得靠实践了,因为公开的信息,基本都是说某个新兴产品好,非常有前途,能解决很多问题。

不是说讲得不对,而是一个从0到5亿的市场,跟一个从0到50亿的市场,对项目价值的影响还是非常大的。

公开研报的市场核算方式,大部分是对标全球,但我国的网络安全下游环境跟美国比还是有很大的差距。

比如SaaS的普及程度,客户的付费习惯等等,这也直接导致了中美两国短期来看,网络安全市场产品组成结构很难趋同。

3.3 细分领域调研入门

之前已经提到,网络安全细分领域众多,一二级信息差非常大,行业信息比较封闭。

可能除了像零信任、云安全这些比较热门的领域,公开信息多一些以外,调研难度非常大,想通过看网安上市公司的招股书或者年报来对比竞品,几乎不可能,因为信息太粗糙。

所以网络安全领域的细分市场到底应该怎么划分,才简单易懂、维度清晰,这也是笔者一直以来特别头痛的问题,除了安全牛和FreeBuf的全景图划分以外,也见过很多种不同维度的分法,但拿实际看过的项目与比对,还是经常发现划分不清晰的情况。

元起资本的何总在之前的文章《安全创业企业,如何从巨头环伺中逆袭突围?》里提到的Kill-Chain杀伤链模型来划分领域,是非常专业的划分方法,比较资深的甲方安全人员通常也会以Kill-Chain的视角来评估一款网络安全产品,对安全领域全景图 PTSD 的投资人,可以先尝试使用这个模型。

也的确想自己整理一张版图,但目前聊过的项目量着实还不够全面(全行业至少有几百种产品),并且不少领域的产品已经是后期项目或者大厂的天下,按现有资源难以深入接触了解。

通过与下游甲方安全人员的交流后,对于自己划分领域感到有困难,上述提到的Kill-Chain模型一时半会也未上手的投资人,这里就建议先参考安全牛或FreeBuf的全景图,因为这些全景图划分的领域也是通过大量行业专家的调研,并且考虑了下游甲方视角整理而成。

所以公开信息上,一般建议除了百度之外,通过安全牛和FreeBuf站内搜索要调研的安全领域,不只是对于产品概念的科普,还有根据全景图来寻找同领域或相近领域的公司,找到之后去把官网(虽然官网的信息通常也很模糊,不一定准确得告诉你做啥)都翻阅一遍,把觉得相近的全部记录下来,之后直接问项目公司我们跟ABCD公司的差别。

其次通过萝卜投研可以从搜寻到一些市场数据信息和券商研究报告,如果这个细分领域相对热门的话,一般可以查到市场数据和赛道研究报告。

非公开信息上,重点还是在于下游客户的调研,根据每家企业跟客户的客情关系,安排的难度可能会有不同,最好每个重点行业的典型客户都能聊到。

包括但不限于需要重点了解的方面有:客户用它为了解决什么样的问题、以前对这个问题是怎样解决的、现在为什么用它来解决、要解决的问题在所有网络安全问题里有多重要、预计前后要花多少钱来解决这个问题。

另外如有大型渠道商的,也建议交流交流,渠道商对业内各种网络安全公司一般也比较了解,并且通常具备一定的产品技术判断能力。此外签完保密协议后可以要一份产品白皮书,里面往往对于这个产品设计的背景,具体的功能,实现的架构都有详细的描述,可以加深对产品的理解。

以上说了一通,那么到底从哪些细分领域先入手比较好呢?

根据笔者梳理的100多家网络安全一级市场有过融资历史的创业公司,看下来这几年的融资领域主要集中在数据安全、身份认证与零信任、业务安全、工控安全、威胁检测与响应、云安全、终端安全、开发安全这些领域。

以上受限于个人的信息搜集全面程度而可能有所遗漏,仅供参考。并不是非融资热门领域就没有机会,有的领域虽然市场空间不算大,但也存在一些具备较强特色的公司,可以称得上是优质标的。

所以说除以上领域外,应该会有一些在过去投融资较为冷淡,但后面可能会热闹起来的领域。

3.4 行业下游格局入门

网络安全行业的下游基本都是体制内或国资单位,这里就拆出份额占比相对高的行业做一个简单的基本面梳理。

为什么不提上游供应商,因为上游基本都是通用的服务器硬件厂商,极度分散,甚至可以靠电商平台下单来满足大部分采购需求。

网络安全公司硬件产品的交付,通常就是购买一批硬件盒子,进行软件的灌装和测试,最后到客户现场部署调试。

整体来看,网络安全企业在跟下游客户签单时,对于中间方的依赖程度很高,不少大厂也都是以分销为主。甚至有的业务明明是直销,还是要额外拉一个中间商进来合作。各位可以仔细品品这是为啥。

此外下游客户光了解甲方安全人员的需求还不一定够,因为安全的建设往往不是由安全人员独立说了算,还涉及到安全部门在甲方的定位以及其他方的配合程度,甲方安全部门对于安全的诉求,到最后形成实际的采购依然有一段距离。

3.4.1 各类政府部门

政府基本上可以算作是网安行业下游市场绝对主力,每年采购预算估计可以占到整个网络安全市场的35%-45%,并且相对重视服务,不仅仅是产品。

政府行业中又可以根据不同部委办局做进一步细分,其中网安相关监管部门又尤其重要,因为不但占据了相当的市场份额,同时对产业的整体指引也起着关键作用。主要有公安部、工信部、网信办、中国信息安全测评中心、国安局、保密局、机要局等等。

公安部门可以算是对网络安全行业来说最重要的政府部门,首先无论从人数还是每年的各项预算来看,公安部都是中华人民共和国第一大部委。

其次对网安行业来说最重要的几项监管政策,比如等保和HW行动,也都出自公安部,并且大部分的网络安全政策落地也是由公安部门来监督执行。其余各个监管部门各有不同侧重点,但也有相当多需求重合之处,具体需求点这里不方便展开。

如果创业公司是以直销方式做政府行业(包括下面提到的军工)或以分销方式签了大量背靠背协议(渠道商拿到甲方的钱,再付给网安公司钱),应收账期是一个需要关注的点,大G的账期长度超过半年是非常常见的,虽然坏账的可能性低,但创业公司现金流普遍不宽裕,即使业绩很好看,仍有资金续不上的可能。

3.4.2 军工单位

军工行业不便多聊。但值得一提的是,军工可能是各个细分领域里对前沿网安技术需求最多,要求最高的。市场上,前几年的军改的确给这个领域带来了一波结构性的机会。

3.4.3 金融机构

金融机构的市场毛估能占到网安大盘子的10% - 15%,其中银行差不多能占到90%,剩下的10%才是保险、证券等金融机构。

银行可以算得上是网安下游客户中,对能力的要求,市场化程度,以及总市场量(确实银行也有钱采购啊)都比较高的一类,对创业公司而言银行业标杆客户案例的含金量很高。

首先银行对产品的稳定性要求极高,除了业务直接与大量的资金相关这一特殊性外,还有银监会对于银行的强制监管,关键系统宕机超过10分钟,基本上负责人就要被请去喝茶,超过30分钟,行长可能也得登门汇报。

采购进来的任何设备,如果出现不稳定情况结果影响到关键系统,基本上这家的产品在银行界可能就要被拉黑。所以很多创业公司一上来,产品未打磨成熟前,太敢轻易切金融行业,得等到产品在其他行业客户使用稳定的时候再进入。

如果是串接的网络安全设备,能打入银行核心IT场景,那是真的牛逼,串接的设备一旦出故障,比通过旁路引流方式并联接入的设备出故障,那要严重得太多,要么导致断网,要么导致安全裸奔。

所以不少网络安全设备,即使本身设计以串接的方案为主,但是到了银行那里,改成了通过旁路引流方式并联接入才被允许使用。

其次值得注意的是,进一步看银行客户的市场也是相对集中的,全国4000多家银行,对进阶一些的网络安全产品,采购量可能就集中在前200家。

特别是针对ToC业务的网络安全场景,那么需求更集中,五大国有行就占了大半的C端用户,剩下部分12家股份制又占了大半,134家城商行和几千家农商行的C端客户数量占比并不多。评估产品潜在空间的时候,并不能简单的拿全国有4000多家银行来算。

最后很多大行其实也有自己的打算,知道有无数安全厂商都想把安全产品卖进去他们家,从而增添拿的出手的客户案例。所以在采购的时候价格往往压得很低,特别是集中采购,价格压得惨绝人寰,加上大行账期也长,靠做大行真不一定赚钱,最优质的反而是中上游的银行,当然标杆案例该拿的还是得拿。

3.4.4 电信运营商

运营商由于其主营业务就与网络基础设施息息相关,因此对网络安全的需求量也不亚于金融领域,但侧重点会因为业务与银行的差别而有所不同。网络安全预算上移动最富有,电信次之。

运营商的网络安全场景大致可以划分为两类,一类是内部人员自用业务系统的网络安全建设,另一类是提供给客户那部分网络基础设施的安全建设。

针对前者采购的各类安全设备种类会比较多,针对后者,需要采购的产品种类比较有限,但若涉及到对这部分流量的安全检测,采购量就特别大(毕竟流量大小摆在那里)。另外需要注意,各省运营商网厅是独立运营的,不像银行那样,搞定了总部,剩下的各省分行都可能由总行统一采购。

3.4.5 能源企业

能源企业主要就是电网和石油,由于规模巨大,其IT设施的正常运转关系到国计民生,也比较有钱(预算充足),因此在市场量上也可与金融和运营商掰手腕。但能源行业渠道的重要程度明显比银行和运营商要高。能源企业都涉及到大量的工业设备,如果是工控安全领域,那么电网和石油客户绝对是重中之重。

3.4.6 教育、医疗、交通等其他行业

以上介绍的政府、军工、金融、运营商、能源行业的客户采购额加起来差不多可以占到整个网络安全行业的70%-80%往上,因此剩下的行业通常不会是一家网络安全公司的主攻行业。

剩下的份额里相对大一些的有教育(主要采购方是国内高校)、医疗(主要采购方是医院)和交通(主要采购方是航空公司物流公司等)。偶尔能见到一些初创公司在以上领域做得特别好的,能达到该行业收入过千万,但估摸着很快也会碰到天花板,可以贡献一些收入,但若冲着上市去,一定要抓住重点行业。

当然,产品化做得非常好,价廉易用,再通过强大的渠道建设来抢尾部市场也是一种策略,尾部市场即使按网安总市场的10%算,若能吃掉尾部市场的5%,也可以达到3-4个亿的收入,科创板上市可以冲一冲。

最后提一下,一些互联网企业其实也会采买网络安全公司的产品和服务,但目前来看主要还是集中在业务安全领域。互联网客户应该可以算得上是市场化程度最高,对技术和服务要求也数一数二的客户。

只是互联网公司的风格一般是能自己做的就自己做,所以这一块的市场量在当前来看不是很大,但互联网公司普遍能接受SaaS形式的安全产品,这点比一次性卖硬件盒子还是一个更优的商业模型。

3.5 网络安全项目判断入门

这里主要从团队、市场空间、销售能力、产品技术四个角度来评估一家网络安全公司,仅供初步参考,这四个维度的判断,离深入研究出一个项目的投资逻辑还有很长距离。

实战中几乎没有一个项目是完美的,要么团队很强可惜市场空间有限,要么市场足够大但销售能力拼不过大厂,一个项目能占到三项尚可,或者两项都很不错,就值得进一步聊聊。

3.5.1 创始团队判断

首先是团队,这也是VC阶段投资的重中之重,并且项目越早期,创始人本身对项目的影响就越大。

网络安全公司的创始人,绝大部分是技术出身。通常不用太担心创始人技术能力如何,在这一行能做到拉拢一帮技术人才出来创业的,通常自身技术能力也过硬。所以如果同时也做过销售且成就还不错的,会是一个很好的加分项。

至于团队学历和工作背景等等,没有特定的标准,看最近几年做得不错的创业公司创始团队,既有海归精英派,也有本土老江湖。

由于网络安全这行只要有不错的技术团队,哪怕在销售上完全依赖合作伙伴,控制一下产品研发投入的比例,多卖卖服务,做一家有小而美有利润的公司并不难,但要做大又完全不是现有做法的简单扩展,所以创始团队对于如何把网络安全做成一个大生意的思考就特别重要。

做好一款网络安全产品,技术门槛当然很高,但技术必须对应到需求,才会产生商业价值。团队对于自身产品的定位思考,为什么认为自己做的新产品会有机会,新产品要解决的问题过去是如何解决的,过去解决这个问题的方式有多大的市场,用新方式来解决这个问题能催生出多大的市场等等。

总之商业感很强的创始团队,在网安领域非常加分。如果创始团队过于强调技术,不一定是好事。

3.5.2 市场空间判断

这一块可能是每个中早期网络安全项目的重难点,行业内有公开市场统计数据的细分领域/产品,估计也就10-20个,剩下还有大几十类细分领域没有较为明确的市场数据。关于这一块的测算更多就需要靠下游客户的调研。

一种方法是根据每个行业的需求分开做测算,政府、金融、能源、运营商这样的重点行业,每个行业典型的客户大概有多少家(比如某个政府部门的部委、全国省厅、各个地市局的数量),总部以及旗下拥有独立网络安全预算口的分部/分公司都有多少,不同级别分部/分公司对该产品的理论需求量,网络安全预算口这几年的变化趋势如何等等。

市场大致测算出来以后,还有一点比较重要(但不是必须)的因素 —— 即一家公司对应的目标市场,能不能顺着监管政策或标准,找到一个很好的切入点。

前面已经提到,目前国内的网络安全市场,大盘子还是靠合规驱动,虽然在逐步向能力驱动转型,但短时间内估计难有大的结构性改变,所以由新合规政策推动的市场,依然是网络安全公司的重要增长点。

但对于中早期创业公司而言,覆盖面广、普遍性适用的合规政策如等级保护2.0、网络安全法等,容易面临大厂的正面竞争。

一种方式是在政策风声已起之时提前布局,比如针对尚未正式落定的数据安全法、个人信息保护法研发出创新型产品,提前跑马圈地,但这种方式对核心团队的综合能力要求很高,不光是业务能力和技术能力要领域内领先,还需要能够搞定快节奏一轮又一轮的融资。

另一种方式是切入细分行业(如电信、银行、能源等等)的网络安全相关专项合规标准(行标),并且核心团队最好要作为主笔参与到标准制定的专家组中去,这里注意要进一步评估,公司切入的标准在行业内覆盖面到底有多广,上面的支持力度到底有多大。细分行标这件事很早以前就有,但大部分都未能推动潜在市场的全部落地。

3.5.3 销售能力判断

中后期项目的销售能力,基本看实际表现的业绩、客户组成成份,额外可能再看看直销与渠道的比例,如果渠道占比很大(一般网安创业公司能做大,渠道建设的重要性很高),那么再重点调研一下渠道方,了解下公司对于渠道的建设管理能力。

早期项目,就主要看销售团队在这方面是否有比较资深的履历,毕竟ToG哪怕是ToB市场做销售还是需要资源的积累,基本不太可能出现一个没有背景的“天才青年”可以超越大部分前辈。

另外一些项目创始团队可能没有销售人员,主要通过渠道出货,这部分可以通过判断创始人的识人能力,以及是不是一个好的“领导者”来间接判断。

3.5.4 产品技术判断

团队技术能力的判断,除了看履历以及业界口碑了解以外,对于非技术出身的投资人,建议通过懂技术的外部专家协助判断。

技术落地到产品,做得好不好,更多则是要通过下游的客户调研访谈,那些测试过多个不同厂家的行业重点甲方负责网络安全的人员往往比较有发言权,并且还可以通过询问招投标信息,找到目标企业的主要竞争对手。

不光是要了解产品所解决的问题,用户的体验,还要尽可能从各个角度判断这个问题的刚需性如何,刚需性越低的产品,即使市场很大,那么也容易沦为销售资源丰富的大厂的天下,除非企业有一些特殊的资源。

产品的定制化程度也是一个重点考察项,有的产品可能迟迟难以做到标准化,每单合同都需要投入不少额外人力,在财报当中又没有把这部分投入的人力纳入成本而是归为费用,那么就会造成虚假的毛利水平。

3.6 . 关于网络安全行业创投新兴领域展望

在未来资本较大概率重点关注的领域里,其中确定性和市场预估量比较大的,各类公开研报已经说了很多了,这里提一点可能较为少见的:网络安全与业务系统运维的结合,从需求端看是一个非常好的切入方向,当然,能否在技术成本上比原来的方式更优,还待市场验证。

现有的大部分企业里,网络安全监测系统,跟业务运维监测系统基本都是分离的,其对应的运维检测体系也亦然是分离的,但网络安全问题可能导致业务运维的指标监测出现异常,反之业务系统的运行异常亦然可能导致网络安全监测设备的报警,通常需要安全运维人员与业务运维人员耗费不少精力双边核对排查定位问题。

同时在人才上,网络安全运维人才,与业务系统的运维人才,通常都属于两个不同方向的职能,即懂安全又懂业务的人很少,这也造成一旦发生同时涉及网络安全与业务系统异常的事件发生,双边的沟通成本较高。

站在上层的视角,关注点永远是业务能不能正常的跑,是否按照预期设计被合理的利用,至于是因为某处电线坏了,某个线程崩掉了,某个程序出BUG了,某台服务器被黑客攻击了,某台电脑中病毒了,都是次要关注点。

能够直指更根本需求的产品,通常会是更好的产品,而且业务运维的预算空间,通常远高于网络安全的预算空间。但不得不承认依然有两点问题需要解决。

一是企业组织能力的边界,一家企业擅长做什么事,能把什么事情做好,是有管理半径的。

不然芯片厂商早就把手机电脑给做了,华为和电信运营商早就把网络安全这事儿给包办了。肯定不是简单招一批安全专家,再招一批运维专家,凑在一起就能把产品做好。

有没有一家网络安全公司能够突破大部分同行的边界,实现价值链的拓展是一个问题。就像海底捞,远不只是因为服务做得好而已,向上游供应链端的延伸打通,对于其商业模型也非常重要。

二是如无过高的沟通损耗,甲方往往倾向于将一份大的需求分散给不同的乙方,削弱乙方的强势程度,增加自己的议价能力和话语权。如果一家公司的产品能将甲方的所有IT维护事项大包大揽,提升原有效率,从产品上看是好事,从商业上看未必是好事。

3.7 从企业服务切过来看网络安全需要注意的点

不要简单把ToB行业的逻辑平移到ToG,跟体制内组织以及国有资本主导企业打交道,相比一般的企业,需要更多的“艺术性”技巧,怎么去“品鉴”这部分艺术,对项目的判断也非常重要。

一般而言,这类艺术水平出众的人,汇报能力都比较强。聪明克制且目光长远的,还会把最艺术性的工作交给其他专业人士来做,这样才能让企业不因为艺术审美问题严重影响基本面。跟其它艺术一样,这里的艺术也是从上往下熏陶的,界内有多少KOL、多大粉丝量的KOL为企业代言,一般也能看出来企业的艺术水平。

一家有潜力的网络安全企业,既要讲科学,也要懂艺术。

 

结语

本文作为一篇纯粹的入门梳理,很多内容限于篇幅没有进一步展开,也可能存在不少遗漏和勘误之处,还请各位多多包涵。