网络安全行业的发展与投资机遇

◎苹果天使基金创始合伙人 胡洪涛

网络安全是一个比较新的行业。在1995年之前，中国甚至连互联网都很少有地方能接入；中国最早的一批网络安全公司也都是在1995年以后成立的，所以这个行业从无到有也就二十多年时间。

网络安全又是个比较复杂的行业。一群美国顶尖的科学家在给五角大楼的一份报告中总结道：“网络世界的复杂性远远超出了人类的理解，并且表现出无法预料到的行为，有时甚至无法很好地解释。”很多时候，不同攻击手法和问题的出现，都超出业内人的“预料”。比如今年上半年的芯片漏洞事件，就让业内人士没想到，因为大家都以为芯片是没有漏洞的。再比如，2015年苹果出现了一个大的漏洞，国内几乎所有的主流App都被感染。其实黑客只是用了一个特别简单的手法，即在网上提供了一个开发者工具的下载，这个开发者工具被植入了后门，当开发者去开发和打包每一个APP的时候，都会打包了后门进去，这就导致了国内所有的主流App在上传到App Store以后都带上了后门。这个攻击手段其实并没有技术含量，但是因为以前没有人想到过，所以对中国区的iPhone用户影响很大。

网络安全是一个技术性很强、创新层出不穷的领域。苹果资本每年的投资方向都在不断变化，每年都要花大量的时间进行行业研究和技术研究。苹果一期的投资方向是云安全，投资了安全宝、晨风云、青松云安全等；二期投资方向是移动安全与机器学习在安全领域的应用，投资了指掌易、数盟网络、瀚思科技、长亭科技等；三期投资方向是数据安全与业务安全，投资了志翔科技、全知科技、红手指、云法通等，以上三期基金已经全部投完。苹果美元一期基金Rain Capital投资了工控安全企业Claroty、Linux服务器保护EDR企业Capsule 8、区块链隐私数据保护平台Oasis Labs、云端微服务Tetrate、数据安全Alitute Networks等8个项目。目前刚成立的新基金还有苹果四期和苹果成长型基金。在今年2月～4月份，我们花了大量时间研究全球网络安全市场的趋势和变化。

随着信息时代的发展，网络安全行业越来越显示出重要性。尤其在过去五年，信息技术已经从纯粹的IT范畴演变成了社会的基本特征——尤其是大量的设备联网，包括手机等移动设备的普及以及物联网的发展，导致信息技术具有了社会属性，这使网络安全的外延不断扩大，从一个狭小的计算机范畴扩大到了整个社会、国家以及全球的范畴。

国内网络安全市场正悄然发生巨变。从国内来看，自1995年前后到2011年，网络安全一般都是指传统意义上的网络安全，也就是下图左上角绿色区域，这也是目前网络安全行业的上市公司的主要领域。在这个领域的产品包括防火墙、入侵检测、UTM等，都偏硬件，比如启明星辰、天融信、绿盟、卫士通等主做传统网络安全的公司，基本上不太涉及软件产品。传统网络安全产品主要集中在防火墙、入侵检测和杀毒软件，称为“老三样”。“老三样”从1995年一直到现在，依然有很大的存量市场，再加上周边的硬件等产品，现在的总体规模在500亿到600亿左右。

以前之所以有防火墙、入侵检测，主要是因为企业有内网和外网之分，需要防火墙隔离开。现在由于WIFI、移动设备、移动办公等应用，以及企业由内网向外开放接口, 整个企业的网络边界被打破、业务互联网化了。业务互联网化以后，内网和外网的区分就弱化了。一旦网络格局发生了变化，防御的手段就要跟上变化——这就像战争从冷兵器时代到了现代化战争时代，整个作战的方式都完全改变了。

随着这几年移动互联网、云计算、工业互联网、物联网等技术的发展，以及对数据、业务安全的重视，网络安全开始往更广的范围发展。以前都是封闭系统，不存在大数据现象；现在系统开放了，就出现了大数据。以前只是在内网运营业务，业务不会被拉到外网处理，所以就不存在业务安全问题，一旦业务上了互联网，安全问题就出来了。同时因为所有企业的所有业务都上了互联网，网络执法也就变得非常必要。特别是随着政务网的上线，网络入侵还会给社会的稳定带来问题。

去年，WannaCry病毒导致了车管所所有车辆的任何变更都无法办理、一部分加油站无法加油、一部分医院由于不能使用电脑而无法看病；在2016年的时候，The Shadow Brokers黑客组织曝出Equation Group团队专门给美国国家安全局提供各种网络入侵的工具，储备了大量人们不知道、没有暴露出来的漏洞，积累了很多攻击手段、攻击工具。

斯诺登事件更曝出美国通过网络手段对各个国家的部长及以上的政要人物进行了网络窃听和网络监控……，这些例子都充分说明，网络安全已经不仅仅只涉及到企业内网和外网边界的安全问题，它已经从传统的网络安全本身，牵涉到了数据安全、业务安全、社会维稳和国家安全。

未来，一旦网络安全出现问题，还会导致生命危险：车联网的安全、工业互联网的安全等。比如，对于工厂特别是化工厂都有高压反应釜，可达上百个大气压，相当于几吨TNT炸药，一旦反应釜被控制而导致爆炸，将威胁方圆一两平方公里内所有人的生命和财产安全。再比如，机器人虽然可能不会直接拿刀杀人，但是漏电、触电或者点燃煤气等等，也会威胁到人身安全。因此，网络安全已经延伸到了人身安全和财产安全。

从中国网络安全市场来看，未来几年是加速增长的拐点：中国网络安全起步比较晚，大致分为3个阶段，1995年～2011年为第一阶段，第一阶段增长速度比较慢，2012年～2017年为第二阶段，第二阶段增长速度明显加快，在30%以上，2018～2021年为第三阶段，第三阶段将更快，在50%以上，加速成长，未来3～5年中国的网络安全市场将达到万亿规模。

网络安全市场增长的特点：指数型（爆炸式）增长，而非线性增长，主要是因为网络安全在多维度增长：

1、每个行业的互联网化程度不断提高的同时，涉及到的行业也在不断增多；

2、计算单元爆炸式增长：例如手机、智能设备、物联网设备、工业互联网设备等；

3、政策：欧洲GDPR、中国《网络安全法》以及今后几年实施细节不断落地；

4、黑客攻击事件频发，刺激安全预算快速增长；

5、数据的价值越来越大，资产数字化程度不断提高，数据的安全日益重要；

6、经济环境、国际局势对网络安全的影响。

网络安全需求在多个维度的同时增长将带来网络安全市场整体的指数型增长：

1、在同一个行业，随着核心业务互联网化程度提高，网络安全需求越来越刚需/持续增长；

2、随着传统行业逐个被互联网化，越来越多的行业需要网络安全/加速增长；

3、随着联网设备（除PC与服务器外，手机、物联网设备、车联网、工控设备联网、云基础设施）与设备智能化的爆发式增长，网元设备指数级增长，网络安全需求随之爆发式增长 ；

4、随着网络安全法规、政策的出台，新的安全领域与安全需求不断出现；

5、随着数据资产化、货币数字化，黑产对此更有兴趣，网络安全问题带来的经济损失指数级增长，网络安全需求随之指数级增长 ，2017年和2018年，每年被盗的数字货币超100亿。

6、国际形势紧张、经济下行，网络间谍和网络犯罪会更猖獗，大家可以明显感觉到，今年上半年以来，经济下行，网络犯罪较往年尤为猖獗，网络安全人员和公安局联合执法，基本上处于忙不过来的状态。而且网络诈骗非常隐蔽和难于抓捕。有的人通过微信给别人转了几十万、上百万，连别人电话号码都不知道，什么信息都没有。而对方的微信号可能是买来的，或用他人的身份证、手机号注册的，手机可能也是租来的，甚至是虚拟手机。或者远程控制手机或微信的人压根就不在国内，而是在东南亚，网络犯罪成本低、收益高、难抓捕。

公司 上市时间 上市后业绩增长倍数 年复合增长率Proofpoint 2012 9.59 57.17%Qualys 2012 7.99 51.53%Splunk 2012 6.82 46.81%Paloalto 2012 5.13 38.68%Mimecast 2015 4.59 114.24%Cyberart 2014 4.16 60.83%Varonis 2014 3.71 54.81%Okta 2017 3.16 216.00%Imperva 2011 2.87 19.21%Zscaler 2018 2.37 137.00%Sailpoint 2017 2.27 127.00%Sophos 2015 2.25 50.00%Rapid7 2015 2.05 43.18%Forescout 2017 1.57 57.00%CarbonBlack 2018 1.52 52.00%

六大维度同时增长，导致安全预算、安全市场指数级的增长。尤其2018～2020年这三年间，是加速增长的拐点。从全球范围来看，过去15年网络安全市场增长很快，未来将呈现“加速”增长趋势：从2004年35亿美金到2017年1380亿美金，增长了39倍多，年复合增长率为33%；按照这个速度，到2021年，网络安全市场规模将达到1万亿美金；然而，还是没有赶上黑产的增长速度，2021年网络犯罪带来的经济损失将达到6万亿美金。

美国网络安全上市公司中，2012年以后的上市公司年复合增长率几乎都在50%以上，2017年和2018年上市的几家公司年复合增长率更是超过了100%， 2012年是第一个拐点；2017年是加速增长的另一个拐点，逐渐进入指数型增长通道。所以2012年以后这几年美国VC更加热爱网络安全领域投资，美国VC（eg：美国红杉）从网络安全领域赚到不少钱。

从中国来看，2012年-2017年是网络安全发展的第二阶段，发展速度较快，2018年开始网络安全发展将更快，据我了解，2018年绝大多数安全公司的收入增长都在50%以上，有的创新型安全公司业绩更是400～500%的增长，2018年是中国网络安全市场的拐点。

从美国投资角度来看，自2012年以来，美国VC在网络安全领域的投资回报十分丰厚，所以投资规模也逐年增长，从2011年VC在网络安全领域投资总额为8亿美金，到2017年已经超过50多亿美金，5年增长了6.5倍。

从1995年到2013年这18年时间，我国网络安全行业存在劣币驱逐良币的现象，主要靠关系型销售，采购完了可能堆在库房或者把防火墙当一根网线使用（不设过滤规则）。2013年斯诺登事件以及伊朗核设施被美国震网病毒入侵，推动了国家层面对网络安全的高度重视，把网络安全推到了继陆、海、空、天之外的第五空间，上升到了国防安全的高度，网络安全在2015年提升为一级学科。

这两年网络安全变成刚需，已经从“保健品”，变成了“药品”。同时网络安全的防御思想、防御技术发生了很大变化，产生了大量的技术创新，给投资带来了机会。

对于网络安全创业公司既需要资金方面的支持，也需要产业分工与配合。因为网络安全行业像一个石榴，安全企业之间需要非常紧密的合作才能把安全工作做好。甚至从某种意义上，黑产的分工与合作的配合程度要比安全行业好很多。所以，苹果资本在众多被投企业中起到了一个信用担保的作用，能够让被投的公司之间有更好、更紧密的合作。并且苹果资本在投后也能发挥比较大的作用，同一个大客户可能对被投的很多家安全公司对产品都有需求，所以，投后可以起到一个非常好的复用和1+1>2的效果。

苹果资本的投资逻辑：

第一，找准商业机会。

这个商业机会一定是“市场空间足够大”。

第二，找准时间窗口。

投早了就死在沙滩上，投晚了就比较贵，或者没有机会了。

第三，确定技术形态。

创新分为两种，一种是颠覆式技术创新，一种是比较浅层次的过渡式创新，后者走不了太远。比如网页防篡改产品，只火了两三年，就是因为解决不了实际问题。有的产品能够持续，像防火墙就持续了近20年。这就要求投资人既要抓住创新的机会，又要识别创新的陷阱。

第四，判断企业的投资价值。

在安全领域有一些针对新出现的各类安全问题的专家型团队，服务方式通常是咨询式，没有特定的产品。这类公司往往因为过度依靠人工服务，没法快速复制，也不可能规模化，所以未来想象空间不够大。但这样的企业的价值其实还很高，在网络安全领域有一个词叫“网络尖刀”，通常需要这把“尖刀”才能及时有效帮助客户解决安全问题，建立信任基础，为今后获得更大订单和商业机会打下坚实基础。所以，这种团队比较适合被战略投资或者被收购。

第五，重视创始团队的格局和综合能力。

企业级服务有其特殊性，举例而言，防火墙公司可能不下500家，其中只有几家能做到比较大的规模，但其他几百家也都能存活下来。为什么呢？一家企业级公司能不能存活下来，取决于有没有优质客户，是否能做大则取决于有没有好的管理团队、大的格局。企业级创业难就难在对创始团队的要求非常高而且非常综合，方方面面都不能有短板，各方面都要很强才能做大。

网络安全行业单领域其实也可以做大， 像 Splunk、Okta、Duo Security、Sailpoint等都是在单领域做大做强。仅一个在线身份认证或者企业内部的身份认证，就能做成一个上市公司，这在美国市场已经验证。在中国同样可以，只不过还需要一段时间来证明，因为中国比美国发展的晚。

第六，投得进，退得出。

在2009年到2015年这段时间投资安全企业，想通过企业上市退出是比较难的，因为这个行业还处于发展的早期，基本上只能通过并购来退出。而谁能出得起大价钱呢？很简单，只有BAT。国内做网络安全的上市公司，其实没有意愿收购非营利性的企业，这跟国外很不一样。国外网络安全上市公司的收购，更看重技术。

从2015年开始，苹果资本认为，网络安全创业公司有机会上市。

今天BAT已经对收购一家普通的安全企业没有太大兴趣，但是对一些在企业级领域长远来看很重要、有技术含量的企业，一旦BAT转向企业服务时还是会有兴趣。但是不像以前，以前的收购全部是为了人才。这里面有一个历史的原因，就是3Q大战以及360与各家互联网公司在网络安全上的纠纷，导致了对网络安全人才的需求非常旺盛。这几年因为没有“战争”，所以对收购的需求也没有那么大。现在腾讯全面转向企业级服务，阿里早已转了，未来腾讯和阿里等在重量级网络安全产品上或许有收购需求。

短期的退出策略比较简单：对估值比较高、规模比较大的企业，找后面能长期持有、接盘的大基金；对估值不那么高的企业，依然可以采用人才收购的方式退出，可以找大型安全企业或者BAT；更重要的是，非安全企业对安全人才的收购需求也起来了，比如系统集成公司有良好的客户基础，但没有相关的安全产品，甚至必须要把底层的问题解决了，才能做上层的系统集成，所以集成公司对收购网络安全团队有需求。此外，建了安全实验室的央企、需要保证物联网安全的物联网公司等等，都有收购网络安全团队的需求。

2017年是中国网络安全投资的元年，由于中国网络安全市场处在高速增长期，今后几年会吸引更多的资本，也需要资本界的朋友一起来做大做强网络安全产业。