譚曉生 | 中國網絡安全的商業與創新
“在理想中,網絡安全的價值取決于被保護的資產的價值,在數字化轉型期間數據變成了資產,它的價值近乎是無限的,但實際上市場的邏輯不是這樣的。”
“用戶層做網絡安全的保衛是有成本的,出了事故他有損失,在成本和損失之間有個對價,這個對價就是他要承擔的責任。”
“一個網絡安全公司發展起來會經歷哪些階段?典型的就是點-線-面-體四大階段。”
“網絡安全產業市場規模有多大?我們認為科學的統計維度是從用戶預算角度,如果按照用戶的花費來看,廣東、浙江、北京、江蘇、福建這五個經濟比較發達的地區網絡安全投入最大。”
——譚曉生
7月27日下午,北京賽博英杰科技有限公司董事長,前360技術總裁譚曉生在ISC2021第九屆互聯網安全大會上發布了《中國網絡安全的商業與創新》主題演講。
演講全文
首先非常高興時隔兩年之后又重新回到ISC舞臺,也在這里給大家匯報一下過去兩年多我在做什么。
首先是正奇學院(未來改名為“正奇安全創業營”)來做網絡安全創業者的培訓;第二我收購了網絡安全產業研究機構數說安全,相信在座不少都訂閱了數說安全的公眾號;第三我開始做一些網絡安全方面的投資。我希望能夠把產業研究和創業培訓、投資形成一個小閉環,今天在這里和大家分享一下過去兩年多的一些研究成果。
大家知道,最近一段時間可能是中國網絡安全產業二十多年來最好的一段時間,最近一個月就聽到了不少朋友融資成功、或者正在進行融資,公司估值又提高了多少,今年上半年的業績提升多少。
上一個禮拜,我參加了兩個正奇學院同學的發布會,一個是懸鏡安全的首屆DevSecOps大會,一個是星闌科技API安全的發布會,可以看見網絡安全中的新名詞越來越多,但從產業研究角度,我們要找出這背后的規律。
網安產業的結構與發展規律
中國的網絡安全行業現在正處于什么階段呢?答案是由一個二維的產業結構向多維的產業結構變化的過程中。二維結構指的是,過去的十幾年時間里網絡安全分成了六大基礎安全領域,包括終端安全、網絡安全、應用安全、身份與訪問管理、物理安全、數據安全;再加上安全方案與集成、安全運維、風險評估、滲透測試、應急響應、紅藍對抗、攻防實訓/靶場、培訓認證、安全意識教育這十大網絡安全服務。六大網絡安全領域和十大網絡安全服務,最終在教育、電信、政府等各個領域中得到應用,形成一個N×M的矩陣,這是一個二維的生態。
今天,又多出來了云計算、大數據、物聯網、移動互聯、工業互聯網、人工智能等等云大物移工的若干場景,再加上國際形勢變化又讓信創提上日程,這就形成了更多的維度,甚至超過了三維。可以看到網絡安全產業中,各種產品越來越細分。在今年數說安全的網絡安全市場全景圖里已經把網絡安全市場分成13大類81小類,而且預計將來的分類會更多。
網安企業的類型與發展規律
一個網絡安全公司發展起來會經歷哪些階段?典型的就是“點-線-面-體”四大階段。
一、點。一個網絡安全初創公司的產生往往是創始人依靠某項技術或者對某個問題的理解做出一種安全產品,這個產品可能會讓他獲得小幾千萬的銷售收入,這是點狀的公司。比如零信任這兩年特別得火爆,易安聯、數篷這樣的創業公司就抓住了這個機會,做到了幾千萬的收入。
二、線。點狀公司要繼續發展,想要獲得更大的銷售收入,怎么辦?他們就要去擴產品線。比如遠江盛邦早期做WAF,給大廠做OEM,后來做掃描器,現在又做網絡空間資產測繪,它就是典型的經過了“點”走到了“線”,而且現在正在從“線”向“面”擴充。一個公司從點走到線的時候往往可以實現大幾千萬甚至上億的銷售收入。
三、面。公司要走向面,需要從一條產品線走向解決某一類用戶的問題。比如中安星云,美創這種做數據安全領域的,就是試圖從產品“線”逐漸向“面”去擴展。
四、體。一個公司到了“面”之后,這時候往往就會有幾個億的銷售收入了,這時候他要上更難的臺階,要從“面”變成“體”。啟明、綠盟、天融信、奇安信這種屬于“體”的公司,他們往往有很多的產品和服務,能覆蓋多個領域用戶,這種全領域、全場景的公司銷售收入可以做到十億以上級別。但是從面到體這一步的跨越非常之難,過去這幾年唯一成功的一家公司就是安恒,下一步有希望的是亞信安全。
一個公司發展階段,從點-線-面-體,每一步都是生死劫,每一步的跨越都是N個公司里才能成功一個。
網絡安全的價值
網絡空間的市場一直有“冰火兩重天”的現象,行業人覺得蠻苦,但外面尤其是一些不太熟悉這個領域的投資人覺得這個市場簡直太好了,大家都能看到總書記也在高度重視:“沒有網絡安全就沒有國家安全”。
圖1
其實冷靜地看網絡安全這個市場里,會存在著這樣一種偏差。(圖1)右上角這個是大家想象的市場空間,在想象中,網絡安全的價值取決于被保護的資產的價值,在數字化轉型期間數據變成了資產,它的價值近乎是無限的,但實際上市場的邏輯不是這樣的。
首先,用戶層做網絡安全的保衛是有成本的,出了事故他是有損失的,在成本和損失之間有個對價,這個對價就是要承擔的責任。
早些年數據失密問題非常之多,數據泄露后損失也很慘重,以前我在360就遇到過很多這樣的客戶案例。到現在《數據安全法》出來,如果造成數據損失可能會要承擔上千萬的罰款,這個時候用戶就會在安全上更加愿意投入。《網絡安全法》、《數據安全法》、《個人隱私保護法》等等一系列法律法規都會促進網絡安全市場,所以目前實際的市場空間正在向右上角想象的市場空間逐步邁進之中。
網絡安全本身具備商業屬性和軍工兩種屬性。過去一段時間商業屬性發揮得比較好,是相對自由競爭的市場,用戶會在投入和產出之間去做平衡。但是隨著國際形勢的變化,軍工屬性越來越重。軍工屬性主導下,用戶端為了獲得更高的安全性會做更多的安全投入,相比商業屬性會顯得不計成本,這聽起來本身對于網絡安全產業是個好消息。但另外一個層面,軍工屬性強的狀態下,國有壟斷有可能會變得更加嚴重。過去兩年里越來越多安全公司積極接受國企投資,爭取給自己戴上一頂紅帽子。
網絡安全創新
這次大會的主題是網絡安全需要新戰法、新框架,總結一句話就是需要創新。創新是什么?發明未必是創新,創業也未必是創新。給客戶創造出新的價值,把未被滿足的、潛在的需求轉化為機會,并且創造出新的用戶滿意的東西才叫創新。
網絡安全創新大致可以分為兩大類:一是解決一個沒有被解決好的問題,這種創新往往是迭代式創新,改變的是存量市場。比如漏洞管理就是一個一直沒有被很好解決的問題,我們可以告訴用戶發現漏洞就打補丁,但現實情況是漏洞是不可能全被發現的,漏洞發現后有可能沒有補丁可打,或用戶的場景下無法安裝補丁。去年的RSA大會創新沙盒10強中的Vulcan就是搞漏洞智能化管理的,通過社區化運營來提供漏洞的修復、緩減策略。
第二種創新是解決一個沒有被解決的問題,我們叫突破式創新,比如說智能網聯汽車安全、工業互聯網安全、數據安全領域,就存在大量的突破式創新機會。再比如同態計算、安全多方計算、聯邦計算,就是試圖解決隱私保護與大數據帶來的便利性與效率提升之間的矛盾。
我們把問題分成新問題、老問題,把解決問題的方法分為新方法和老方法,形成2×2的矩陣。新問題用老方法解決,比如工控場景中我們用工控防火墻、工控IPS、IDS解決工控安全問題,這就是用老方法解決新問題。用人工智能和大數據的技術去解決工業互聯網里的一些問題就屬于用新方法解決新問題。用人工智能和大數據來解決入侵檢測問題就屬于用新方法解決老問題。從市場分析里能看到,現在IPS、IDS市場是在萎縮的,供應商數量在減少,但新的NTA設備,基于大數據和人工智能這樣的高級威脅檢測設備在過去兩年中上升速度非常之快。
網絡安全創新動力我們給它總共分為六種:
1、政策驅動的創新。過去這些年來市場靠大量政策合規驅動,政府出臺各種各樣的法律法規,逼著各級政府、大國企、民營企業必須做到合規,防火墻等等這些東西為什么能賣這么多,因為是合規里被列為一種必要的產品。這些年合規對市場的促進依然是第一推動力。
2、場景驅動的創新。例如今天的云計算、大數據、物聯網等這些新的用戶場景所產生的新的應用,也是產生創新的動力。
3、業務驅動的創新。比如互聯網欺詐、網絡犯罪,還有車聯網安全類似的業務形態的變化也會驅動創新。
4、安全理念的創新。比如零信任、DevSecOps、ATT&CK等新的攻防思想所帶來的創新會改造一批的網絡安全產品或解決方案。
5、技術方面的創新。比如采用大數據、人工智能等技術來解決企業安全的問題,會對全部產業鏈上的產品產生升級和改造的創新。
6、模式的創新。主要是指服務模式的變化,從深信服、啟明、綠盟、天融信的年報中可以看到他們在網絡安全服務上的布局都在加強。我了解到有些公司的網絡安全托管服務、MDR(檢測和響應托管服務)等收入規模雖然很小,但獲得毛利率的情況很好。網絡安全目前人才稀缺,那么通過云化的安全服務來獲得相應的安全能力是一種性價比非常高,且能滿足用戶需求的東西…… 安全即服務、安全運營以及安全保險所帶來的創新,也是產業創新的重要組成部分之一。
網絡安全市場情況分析
網絡安全市場數據分析是目前數說安全在做的一項服務,我們分析了2016年到現在的網絡安全產業幾百萬的項目數據,得到了一些分析結論,包括客戶都在哪里,客戶產生的訂單量是多少。北京產生的客戶訂單量是最大的,東南沿海客戶數量最多(這和經濟發展情況是直接相關的)。最近兩年,中部區和西部區在崛起,這是我們從數據中可以看到的。
從交易數量看,過去三年里網絡安全市場穩定增加,趨勢穩步向好。我們跟蹤到今年上半年網絡安全訂單情況非常好,除5、6月訂單少一點之外,1至4月的訂單數量都比往年高很多。
網絡安全市場規模一直個迷,從不同維度來統計結果都不一樣,我們認為科學的統計維度是從用戶預算角度,如果按照用戶的花費來看,廣東、浙江、北京、江蘇、福建這五個經濟比較發達的地區網絡安全投入最大,再往下看山東、河南、四川、安徽、廣西等中部和西南兩個地區是比較好的。如果按城市來講,北上廣穩居第一陣營,在這里也能看到蘇州由于經濟比較發達,網安投入情況也是非常之好。
網絡安全的建設有季度性的特征,第一季度,尤其2月份是整個銷售收入最少的,大家都忙著過年;國慶10月份也是比較低,但整個趨勢是每個季度都在穩步增加,數據顯示第一個季度百分之十幾,第二個季度百分之二十多,第三、第四都是百分之三十多,這和我們的經驗也是相符的,大家在網絡安全行業,每到年底的時候都是最忙的,12月31日肯定是全年里最忙的一天。
從2020年網絡市場中的熱度詞匯可以看到,除了“信息安全”和“網絡安全”通用詞匯之外,“等級保護”、“等保”、“等級保護測評”、“等保測評”這幾個詞是第一陣營的。到今天為止,等保測評已經成為網絡安全行業治理很好的抓手。此外,“安全服務”熱度和“等保測評”是差不多的,說明安全服務已經開始得到用戶的認可,而且從客戶預算上也得到驗證,因為這個熱詞是從各種招投標數據提取出來,說明客戶接受程度是有預算在背后作為支撐的。
令人稍感意外的是“數據安全”在里面其實不太顯眼。2020年數據來看,數據安全實際訂單來講并沒有很好的體現。“威脅態勢感知”相關的東西,就是安全監測預警平臺、工業信息安全態勢感知等獲得了很好的認同;還有工業互聯網、工業信息態勢等等也是比較突出的位置,說明它的上升速度很快,這個圖是指上升出現量比較大的領域。數據加密、數據管控平臺等等也是上升比較快的領域。
以上是我給大家匯報的過去兩年做的事情,希望能給產業發展提供一些幫助,謝謝大家!
