随着5G、云计算、大数据、物联网、人工智能等新一代信息技术的成熟,网络与信息安全面临的风险已与传统的信息安全不可同日而语。企业安全服务面对的将是一个潜力巨大的市场,而与国外相比,我国的企业安全服务投入比重仍然较小,还处于市场培养阶段。传统安全和新一代网络安全,它到底有什么区别?面对B端企业服务市场,巨头大厂和创业公司有着怎么样不同的策略?如何在信息安全领域寻找到细分的创业机会和投资机遇?视频财经媒体容众财经联合奇安投资推出信息安全系列专题,由奇安投资执行董事李诣和安全派联合创始人林森带来关于企业安全服务创业与投资的《真财实料》。
许峻铭:欢迎关注容众财经。现在无论是中美关系、全球的数据化,(甚至)包括安全网络越来越重视。在中国我们现在无论是政府还是企业也都在推广我们整个的国有化,进口替代。在这一块我们可能更多的会关注一些制造业,包括一些核心技术甚至芯片这种硬件,那么在网络安全这一块,您们二位都是在最一线最前线的地方,能不能给我们讲一下,现在企业是不是也有一些变化?
李诣:首先中国这个国产化替代这是个不可逆的趋势,中国一定会发展自己的自主可控这样一个信息技术的架构,这个我认为对安全公司来说是有很多机会的。因为本身中国走自主可控这个路线,它也是基于大背景的决策,对安全公司来说,其实他们是拥有一个非常一致的目的;第二,对于安全公司来说其实也有一些挑战,那么它是需要去从原来的信息架构之中要跳出来,要去拥抱新一代国产的信息技术架构,要去适配新的操作系统,新的底层的基础设施,包括数据库等等,这些东西对于安全创业公司来说,它都是需要做大量的工作。
许峻铭:这个是不是也是需要一段时间,给他们阵痛期也好,或者他们需要去适应,需要一段时间的是吗?
李诣:肯定是需要一段时间的!对创业公司意味着更多的工作量,但是如果这个过程中,如果是做好了积累,能够去适应好整个大的一个国产化浪潮,那么其实对客户来说,它是能够给客户带来更直接的效果。因为现在客户它也是需要端到端的这样一个自主可控的解决方案,不管是合规上的需求,还是说从它自己自身业务上的考虑,都是有这样的需求;而如果安全公司能够在这个之中,非常好的和整个的国产化信息系统,紧密的结合在一起的话,那么对于用户来说这个价值是毋庸置疑。
许峻铭:林总,您作为一个创业者,能不能聊聊整个安全可信,包括咱们整个的国产化替代这个浪潮?
林森:作为一个创业者、一线从业者,我觉得国家的政策非常好,当然我们觉得这个行业来讲,也都是非常的不错。为什么?因为正是由于这么多的安全公司的存在,才是让我们国有的力量在安全这个领域变得越来越强大,而且一旦出现大的冲突的时候这些产品、这些解决方案,这些厂商可以冲到一线,既保护我们的国家,又保护我们的商业市场,非常好!我们也需要有更多的场景,就是国家除了政策之外,需要给我们更多的机会,我们的产品和解决方案,只有丢到具体的业务里面,丢到具体的客户里面,去满足某一种具体的需求的时候,我相信这个产品会越做越好,而且我们会迎头的赶上行业,世界上领先的这些厂商,特别是国外的厂商。因为我相信中国的经济环境,一定是全球最具活力的市场,那么我们在这个市场里面,不断的深耕,其实会让我们自己的企业,会让我们的产品更具活力,更具生命力。
李诣:刚才林总说到了,国家是应该可能给创业公司提供更多的机会,我认为对于创业公司来说,也是需要自身主动的去寻找企业之中它所遇到的哪些问题,有哪些商业点。这个我觉得对于创业公司来说,是格外重要!
林森:创业公司嘛,我觉得寻找客户的能力,一定是最重要的指标之一,我们运营的是公司,不管是投资人也好,包括我们自己的股东也好,包括我们的员工也好,首先也希望公司盈利,希望公司有大把的客户,能够服务更多的企业客户,我们投资人也说得非常对除了技术之外,我们的营销要两手抓,两手都要硬。
安全派的发展过程中,我们一直有一个理念,就是技术一定要和业务场景做融合,如果一项技术不和业务场景融合,我们发现它的未来很难落地,而且它的发展也是有限的。
许峻铭:一定要贴近客户,了解客户需求,了解市场,您能不能以咱们公司自己为例来聊一聊,到底这个网络安全在创业过程当中,是怎么一个打法,怎么一个布局?
林森:对我们来讲的,我们给自己一个很清晰的定位中国的安全市场来讲,分为合规这个市场,商业这个市场还有C端这个市场。我们自己的基因也好、优势也好,可能打合规不太合适,因为我觉得这是个高举高打的打法,更适合与头部的厂商去做;对于C端来讲的话,其实大家看得到,竞争已经很充分了;那我觉得我们商业市场这个体量又够大,我们基因也OK,我觉得这个市场非常的好,而且我们有这样的能力来覆盖这个市场,而且能够提供解决这个市场需求的安全产品和服务。安全派来讲的话,我们是一个叫跨界的物种,因为我们既研究业务又研究安全,我们希望我们的产品能和客户的业务融合,这是我们最大的一个亮点。我举一个例子特别好理解,在我们服务的客户中,有一次碰到一个问题,它的数据库被人改了31变为1,其实很多安全厂商的产品,都能够抓得到,那31变为1这个变化本身,给企业带来哪些风险我不好讲,因为我不知道它这个变化,到底代表什么含义和内容,但是我们的产品,我们有一款GRC产品叫KBM,可以解决这个问题,我把这次变化丢到具体的业务场景和模型下,如果我发现这是一张费用报销单,从1月31号变为2月1号,我觉得这个变化其实没有太大的风险,这就是很普遍的一个调表调账的业务,那这个月预算已经够了,我调到下个月去报销,我觉得没有什么太大的风险;如果说它是一张采购的付款单,它采购的付款账期从31天变为1天,我就认为这是一个很大的风险。为什么呢?因为一个企业,特别是生产制造业的企业,采购一个原材料,留足了31天的周期是为了通过一个月完整的生产运营,我来验证这个材料采购是否有问题,我一个月之后再付款,我觉得是一个很正常的操作,如果改为1天,我第2天就要付,那这种变化如果我以业务场景,业务流程和数据的方式我告诉企业,它就特别好理解。因为我们知道,很多企业在判断风险的时候,管理层它不一定具备很高的,数据库的技术,包括开发的能力,我们觉得不会具备的。但是我告诉它,有人把一个采购付款账期从31天变为1天,我认为是一个很大的风险,这个时候我们的企业管理者,就可以清晰地知道这是一个风险,那我去查到底为什么会出现这样的风险,它会给我带来哪些弊端,我觉得这是安全派有别于其他安全公司最大的点。
许峻铭:你们不光提供了一个安全的产品,你们其实类似也提供了一种咨询,你们是站在这个企业运营者的角度,而不简单的是甲方提什么诉求,我就帮你解决,而是说你帮甲方看见了,你是有这些问题,我可以帮你解决。
林森:我们有一个引擎,我们有一个UEBA用户行为分析的系统,它会学习用户终端的操作,比如说当我发现一个人,他在过去一年的时间都没有通过这个ERP的模块,但突然间他开始频繁的访问,开始倒出数据的时候,我们就开始有理由怀疑这个人的行为可能会出现了问题。我们是基于用户内控的制度,财税的体系,还有我们自己对用户业务场景的积累,我们不断完善我们自己的分析系统,这是我们非常大的一个优势。
许峻铭:奇安投资你们是作为业内很少数的专门关注这种网络安全的企业投资的基金管理公司,那么其实你们这边,有没有什么自己独到的一些投资逻辑或者方法论可以跟我们分享一下?
李诣:其实信息安全这个投资领域,可以说是近几年来非常热门的一个领域,我们可以看到很多的投资机构,其实都在设有相应的团队去在做这个信息安全方向的一个布局。
我认为这个其实对信息安全的创业生态,其实是非常好的。但同时另一方面,我也看到就是说,其实很多投资机构,他们也在跟我抱怨说,安全这个第一感觉是很难投,因为这个安全本身是很碎片化的,有很多的领域和方向,很难去理解这个行业;第二是觉得安全公司,好像市场没那么大,或者说成长不一定那么快,这感觉就很难下手就有点看不准,在这就想分享一下,我们奇安投资是如何去来做信息安全投资的。
第一个是我们投资按场景来去投资,这个我们关注的是新的一些应用场景,比如说云计算、大数据、还有工业互联网,或者是移动互联网等等,这些都属于是一个新的业务场景。那么随着这些新的业务场景的诞生,就会出现更多的安全细分里的创业公司,去解决这些相应的问题,所以我们需要去看这个场景是否是足够大,背后市场的规模是否是很大的,这些领域是有可能出现很大的投资机会的。
许峻铭:尽管他们是不同的领域,但你们也是提炼了一套共性,比如说这个背后的行业,是不是需求足够大,就是你们得提供一个共性的办法?
李诣:没错。所以这是一个基于行业和市场角度来去考虑。第二个我认为是从技术的角度来去判断是否是投资,比如说现在安全其实它每年都会有新的技术在出现,因为黑客本身他也会去进化自己攻击的逻辑,所以其实我认为“道高一尺,魔高一丈”,这个过程是一个互相促进的过程,近几年来安全技术我们每年都会有各种各样一些新的名词,比如说原先软件定义边界,或者说零信任等等,都是一些新的技术。包括我们奇安投资前几年投的天际友盟,它所做的危机情报这也是新的技术,新的技术它是能够去解决传统的问题,也能去解决新的问题,运用新的技术和业务结合情况下,可以是成长为一个比较不错的公司,所以这是第二点就是从技术上来考虑。
第三点,就是我们会主动去看团队的背景包含几点:第一个是它的安全基因要比较强;第二个是它要和业务贴紧得比较紧密;第三个是它要有一定销售管理的能力,能够持续地去把公司从一个最早的技术公司变成一个产品公司,然后变成市场化规模型的企业,是需要对团队有比较高的要求的。
许峻铭:行业、技术、团队,而且我觉得这个也给咱们类似奇安投资投信息安全的投资机构提出了一个非常高的要求,因为其实你们需要不断地(了解),一个是懂这个行业,懂这个团队,懂这个销售,并且你们还要不断地更新自己的技术储备,因为像您所说的,基本上互联网安全、信息安全每年要更新很多的名词,每年都魔高一丈,所以对你们投资团队的压力,其实也是很大的!
李诣:安全是一个看起来非常美好的,因为它是一个持续增长的赛道,但同时不管是对创业者还是对投资人其实要求都非常高,是需要不断地去随着这个时代进化而进化自身。
许峻铭:我们聊完了行业的历史,聊完了整个大的企业,包括宏观环境的背景,两位无论是投资还是创业都是老司机了,我们能不能最后给我们想进入这个行业的创业者或者一些新的投资人一些建议?
李诣:如果是创业的话,那我认为可能首先就是要像刚才两位所说的,要找到一个合适的场景,然后结合自身的技术优势,看能不能够去做一些事情,去用一些新的技术或者新的方法去解决这个客户它所遇到的这些新的问题,这是一个契机。
同时,第二呢?我认为对于创业公司来说,它这个能力均衡也是非常重要的。因为我们今天看到很多的创业公司,不管是安全还是非安全的创业公司,可能它在创造一个团队的时候,可能刚开始人手是不齐的,很难去实现一个平衡,但我认为在公司刚开始起步的时候,这个团队是非常重要,最好是能够均衡一些,这样才能够在不断的(在)后面的进步中再打出来。
创业公司需要对安全有非常深刻的认识,因为安全本身是一个虽然说听起来可能比较简单的,其实是个很复杂一个事情,安全本身它不是一个结果,其实更重要是一个过程。我认为安全本质是解决信任问题,尤其是在我们今天这个安全威胁越来越激烈和越来越高级这种情况之下,其实安全是要持续的去不断自身进化的,那么对于创业者来说,安全的知识、攻防的技能,或者是对于产品的技术了解,我觉得这个技术积累是特别重要的。另外我觉得技术储备,它是需要对这个底层基础设施,是需要非常了解的,因为安全它本身是成长在IT信息化基础设施之上,第二层这样一个产物,所以它和底层信息系统和业务系统是要紧密的结合,所以它对这个网络或者对数据,或者是对现在的新一代的各种技术,比如人工智能等等的,它都是需要有一些它自己的理解,这样两者相结合,我认为它可能安全本身才是能够提供一个更可靠的安全解决方案。
林森:运营一家公司,最核心的就是要盈利。特别是在To B这个领域,不要受很多之前的一些经验的影响,如果在这个领域,特别像安全这个市场你希望通过资本的方式来烧穿这个天花板,我们觉得很难。
第二来讲,我觉得(需要)控制规模。因为一个运营者要像船长一样,要控制好方向,要控制好你载的这个货物的重量,并不是说公司规模越大就越好,一定要合理控制自己的规模,储备好自己的现金流,应对好一切可能出现的问题。
第三点来讲,(要)找准自己的目标客户群。一定要搞清楚别人在这个领域能赚钱不代表你在这个领域能赚钱,别人能获取客户不代表你能获取客户,我们要考虑下自己除了技术之外,像客户、渠道、团队这些因素!
李诣:其实对创业公司来说,选择一个合适的投资人,其实也是事关重要的。因为在To B行业本身,和To C这个投资,或者创业它这个生态或者是发展的这个路径是完全不一样的。那么对于安全公司来说,它和在To B中其实也是很不一样的,它需要投资人去理解这个行业,理解这个市场业务,实际有哪些问题?同时它需要投资人有很强的耐性,如果投资人额外有一点点产业资源能够帮助赋能,那么这个是最完美的。如果有这个安全创业者话,那么找奇安投资,不敢说是(中国)最专业的安全投资机构!
许峻铭:一定是最安全的!总结一下也是过往的话,C端的这些很多概念经验不靠谱了,不一定能用在B端了。第二个,一定要做自己能力边界以内的事情,不要好高骛远。第三个,就是一定要找好合作伙伴,无论是创业的团队的合作伙伴,还是我们投资人,投资方。
林森:感觉我们安全派很幸运,这几点都找对了!
