作者:投资人苗旺春,2017年开始聚焦于信息安全领域投资,先后任职于国内三家深度布局信息安全产业的国资、产业背景投资机构,熟悉国内信息安全产业及投融资生态。代表案例:创安恒宇、网思科平等。

信息安全是近几年来资本市场相对比较活跃的板块,主要源于数字化逐步渗透带动的安全需求逐步释放,以及政策、事件的催化,使得大家对于行业未来预期相对乐观。

基于这种大背景,不难发现很多机构关注、布局,甚至专注于这个领域的投资。但花点时间就会发现,这一市场散、乱,不符合投资人普遍喜欢的大市场特征,而跟企业实际交流的时候,也会被各种纷繁复杂的术语、概念干扰,导致虽然听起来很有故事感,但理解起来费劲。反映到投资决策上,大家会觉得能拿得准,不犹豫的团队少之又少,所以很多机构看了不少信息安全项目,一个都没出手。

作为一名在信息安全投资领域搬砖五年的投资经理,笔者希望能通过这篇文章,从投资人关注的角度,通过几个问题,帮大家厘清信安的的行业本质和投资思路,也希望扫清投资机构与信息安全行业企业的部分沟通障碍。

问题一:信息安全领域的投资赚钱吗?

为了解答这个问题,笔者梳理了目前A股相关的27家信息安全领域上市公司的数据,汇总的数据信息如下:

IPO前有投资机构通过股权受让、增资等方式参与投资的有20家,涉及到的机构投资资金总额为170.80亿。按照IPO发行价格计算的持股市值,加上机构在上市前股权转让的退出金额,退出总额共计447.88亿。投资机构的资金在IPO时点的增值倍数为1.62倍。

大致以2019年为转折点,IPO时点投资机构的资金增值倍数出现了明显的下滑。2019年之前上市的企业,机构共计投资41.84亿,退出金额为201.85亿,增值倍数为3.82倍;2020年及之后上市的企业,机构共计投资128.96亿,退出金额为246.03亿,增值倍数0.91倍。

纵观表一中的数据,整个安全行业,从绝对数额上来讲,IPO时点,为机构投资人赚到最多钱,且超过10亿的,只有六家公司,从大到小分别是奇安信、三六零、深信服、绿盟科技、安恒信息、山石网科;从增值倍数(剔除本金)来看,超过10倍的只有三家,分别是深信服、绿盟科技、三六零,而这三家背后的主力机构为兰馨亚洲、红杉、IDG、高原资本、雷岩投资、联想投资、银瑞达等机构,纵然有时代的大背景在,但这些机构的投资策略值得总结和学习,最重要的是坚持。

能够实现IPO的公司,属于业内相对比较优秀的企业,如果把整个放眼整个行业,机构的收益情况又会如何?我们先来看一下2010年以来,整个信息安全行业一级市场融资的情况:

*数据由作者根据公开及非公开数据汇总整理

2010年以来,整个信息安全行业有统计的一级市场机构投资(包含受让老股,不含IPO融资及二级市场融资)共计1,288笔,涉及总金额881.76亿。2014年以后,整个信息安全行业的融资金额及融资案例明显增长。表一中的170.80亿,占881.76亿的比例为19.37%,意味着投入整个行业的资金,只有不到两成可以通过IPO退出,获得最高的退出收益。根据清科研究中心于2022.9.21发布的《2022年中国股权投资市场项目退出收益研究报告》,IT行业近三年的整体投资回报倍数呈现一定下滑(2019-2021年三年的回报倍数中位数分别为2.00/1.67/1.65倍),IRR下滑更为显著(2019-2021年三年的IRR中位数分别为26.7%、22.0%、15.4%)。整体上安全行业投资的收益水平与IT板块趋同。只有少部分“聪明资金”可以赚到最多的钱,大部分资金都只能陪跑。

问题二:信息安全行业是门好生意吗?

让我们回归到行业里边相对比较优秀企业的经营状况,来看这个问题。为此,笔者梳理了14家信息安全相关上市公司2017-2021年五年的财报信息,名单分别为安博通、安恒信息、北信源、迪普科技、吉大正元、绿盟科技、美亚柏科、奇安信、启明星辰、山石网科、深信服、信安世纪、亚信安全、中孚信息。

首先,从整体上来看一下企业的经营状况。14家上市公司五年期间,收入由119.10亿增长到313.67亿,历年增速均在20%以上,维持了27.39%的复合增长率;但是回归利润指标及经营性现金流,2021年出现了明显的恶化,尤其经营性现金流。这一变化既有外部疫情的冲击,又有2020年以来头部厂商快速扩张,布局新业务增强研发,同时也不乏竞争加剧,应收账款账期拉长,导致厂商经营质量下降。增收不增利,反映了当前信息安全行业竞争加剧的客观现状,同时叠加研发投入强化,导致很多上市公司开始寻求通过定向增发、可转债及借款等方式筹集资金应对资金压力。

表2:14家信息安全上市企业近五年股权、债权融资金额(单位:亿元)

图2/3数据源于wind

看完整体的数据,我们对比软件与互联网板块,拆分一下财务报表体现的行业盈利及质量变动情况。

表3:14家信息安全上市企业近五年营收与毛利率情况(单位:亿元)

过去五年,信息安全收入板块占比提升1.14%;从2019年开始信息安全行业业绩增速明显高于软件与互联网板块;信息安全行业毛利整体下滑5.27%,相比板块整体毛利由37.28%缩小到29.18%。整体上,信息安全行业维持了超过板块整体增速的增长态势,但毛利下滑显著。

表4:14家信息安全上市企业近五年应收账款情况(单位:亿元)

过去五年,信息安全行业应收账款占收入比重整体上呈稳定态势;但由于收入增长,带动板块应收账款占软件与互联网板块整体应收账款比重提升了1.70%;软件与互联网板块应收账款占收入比连续四年改善后,2021年重新抬头,相比而言,信息安全板块由于应收账款比重长期较高,应收账款收入占比比重变化不大。

表5:14家信息安全上市企业近五年营业利润情况(单位:亿元)

过去五年,前四年信息安全板块整体维持了营业利润持续增长的态势,但2021年板块整体营业利润大幅下滑;对比软件互联网,板块整体营业利润水平在经历了2018年的低谷后,大幅改善;相比板块整体,营业利润下滑明显,背后原因跟目前信息安全产品需求迫切性偏低,客户优先满足生产管理业务系统及资源投入的大前提关系很大,信息安全行业整体上存在让利于软件与互联网板块的现象。

表6:14家信息安全上市企业近五年经营性净现金流情况(单位:亿元)

呼应应收账款部分揭示的情况,信息安全板块经营性净现金流在软件与互联网大板块中的占比持续下滑,从优于大板块逐步变化为不及板块整体;在宏观基本面相同,且信安板块受政策刺激显著的大背景下,这种现象揭示了信安产业整体经营性现金流承压明显。

看完上边四组数据,我们会发现,整个安全行业虽然毛利相对较高,但利润水平其实整体上与软件与互联网板块相差不大,甚至在逐步恶化。那么较高的毛利都牺牲在了那些环节?

表7:14家信息安全上市企业近五年销售费用情况(单位:亿元)

过去五年,信息安全板块销售费用收入占比存在一定下降;与此同时,软件与互联网板块销售费用收入占比呈现逐年上涨趋势;信息安全板块销售费用收入收入占比整体上仍保持在16个百分点以上;销售费用占比的变化一定程度能体现业务属性在客户端的需求迫切性的变化。

表8:14家信息安全上市企业近五年研发费用情况(单位:亿元)

从研发费用看,信息安全产业属于软件与互联网板块研发强度较高的板块,历年研发费用收入占比均在20%以上,且仍在不断提升;软件与互联网板块的研发投入强度亦呈现出逐年上升的态势,信息安全板块的研发费用在大板块中亦逐年提升。

表9:14家信息安全上市企业近五年管理费用情况(单位:亿元)

伴随信息安全产业在软件与互联网板块比重的提升,管理费用在板块中的占比提升明显;从收入占比而言,整体上管理费用占比呈现下降趋于稳定的态势。

表10:14家信息安全上市企业近五年期间费用比率情况

信息安全行业虽然毛利相对较高,但期间费用亦明显较高,扣除期间费用后的边际利润与软件与互联网板块整体相差不大,且2021年以来明显恶化。

整体上,信息安全行业的高毛利被较高的销售费用与研发费用投入消耗干净。这里一方面体现了产品价值含量低的现状,另一方面也体现了行业人力成本较高、产品技术迭代较快的行业特点。

而从行业实际的情况来看,核心业务贡献的核心利润占营业收入比重亦存在一定的下滑,对于外部资金依赖度较高。近年来非核心利润(下图红框内成分)占营业利润比重达到55%。

表11:14家信息安全上市企业近五年核心利润比率情况

图4:报表中剔除核心利润后营业利润的构成项

总结一下以上拆分的报表信息,可以发现,目前信息安全行业的高毛利并不是优势所在,而是产品价值含量较低,导致销售费用高企,研发环节效率低下,导致研发费用过高,导致行业被迫只能做高毛利的客户谋求生存。而这种成本高企、效率低下的研发、销售、交付及堆货值的产品价值思路,注定不是一种可持续的商业模式。目前的信息安全行业算不上好生意的范畴,结合行业空间、业务模式及盈利能力与质量来看,顶多算个三流行业,迫切需要革新。

问题三:信息安全行业现在的痛点?

这部分内容旨在通过第二部分的财务数字,结合行业目前的现状,厘清问题,进而寻求出路与变革,而这些正是投资机构面向未来布局的关键机遇。

目前安全行业经常听到的弊病包括:

1. 产品研发缺乏统一开发平台或架构,研发人员、资源无法复用;

2. 安全能力无法协同、迭代缓慢;

3. 产品种类日益繁杂,但极难进行协同,无法形成一体化低成本的安全价值;

4. 产品非核心功能冗余,配置复杂,使用难度较大;

5. 产品价值合规属性偏重,无法在客户场景发挥实际价值,无法帮客户维护常态化的安全水位;

6. 厂商核心竞争点体现在围绕大客户与高毛利行业的销售及渠道资源PK,产品同质化严重,性能指标差异不大;

7. 收入依赖过往一年客户的预算储备;

8. 客户场景信息化程度及人员水平参差不齐,定制化比重较高;

9. 交付部署、运营维护人员依赖度较高,成本较高;需面对大量适配、配置工作,甚至要响应一些跟自身产品无关的的故障问题;

10. ……

以上问题反映的本质是商业模式较重,行业生态缺乏,产品价值含量低的问题。

近些年,由于HW及各类安全事件频发倒逼,叠加监管要求更加复杂、多样化,甲方面对的安全及合规要求日益复杂,安全运营的概念日益兴盛,而安全运营的最直接要求是将客户IT环境内的各类安全产品真正用起来,在满足合规的基本要求的同时,能真正发挥安全产品的能力,面对外部及内部各类安全威胁,能起到及时预警、发现及阻断,进而对日后安全运营工作进行经验指导的过程。要把要全运营真正做好,就要求安全产品必须可以协同,这是最基础的要求。

所以,如何实现安全运营的价值,同时兼顾研发效率、交付效率、运营效率,以及商业模式高效低成本,成为信息安全行业目前最大的挑战,也是最值得创业厂商去思考和突围的机会。

经常听到的一个抱怨是,国内大客户普遍只接受项目制、本地化的方案,从而使得信息安全行业定制化比例较高。需要承认国内不同行业信息化水平及企业对于信息化价值的理解程度确实存在差异,甚至是差距。但各行各业对于软件、信息化类产品的诉求其实是统一的,便捷交付、稳定、高性价比、简单易用。从社会经济的一般规律来看,需求本质上是由供给塑造的。结合这几点,可以得出一个结论,国内目前的信息安全产品缺乏统一的规划及标准体系,产品方案停留在简单的开发交付,对于甲方场景的实际应用特点理解不足,导致产品价值含量低,成本较高(厂商很少关注产品在客户场景的实际使用情况:比如某头部股份行曾耗费数亿成本试图让自身IT环境内的安全设备与软件协同,但效果并不理想)。这也进一步导致腰部及长尾中小企业、个人的安全诉求无法得到满足,几乎所有厂商都被迫选择头部客户互相竞争。

也经常听到大家抱怨说腰部及长尾客户没有付费能力。但这部分市场,其实只是缺乏有足够生命力的产品和商业模式去满足这部分需求。360、深信服、阿里云安全的成功,其实就验证了这部分客户需求的市场土壤其实很肥沃;360靠的是商业模式的创新(周老板不要再说自己的商业模式“奇葩”了,不能否认一代产品经理和网安人的创举);深信服靠的是高标准、简单易用,高性价比,进而适合借助渠道推广;阿里云安全天生的原生一体化协同安全能力,更是将安全能力的交付做到极致的轻量与便捷化。这三家公司的成功,都说明了腰部及长尾客户安全需求的旺盛。

所以,需要做出改变的是安全行业的供给端。出于供给端的厂商需要重新梳理产品设计、研发与交付,需要转向价值交付理念,更需要安全行业的创新要跳出简单的研发思路,拓展至销售、交付、商业模式等整个商业链条的创新。

现阶段疫情对于安全行业的冲击是毋庸置疑的,但危机倒逼创新,当客户端预算压缩,叠加安全需求更加复杂旺盛,做不到以更低成本开发更高价值含量产品与服务交付的厂商,生存空间将受到显著挤压。美国SaaS产品的兴盛,一定程度上是数次经济危机塑造的结果,在数字化手段的价值成为共识的前提下,大量中小企业客户,以及大型客户更新迭代较快的业务系统,需要更加便捷、低成本的交付与退出机制来应对经济与市场的波动。再结合国内经济逐步由增量建设转向存量盘活的大背景,数字化的价值共识成为绝大多数追求效率与价值创造企业的共识,轻量、便捷、低成本的交付与退出的商业模式将会成为软件信息化行业未来的主流。

问题四:行业突围的落地方式会是什么样?

创新的方式是无止境的,边界取决于每一个安全人的探索。就目前笔者实际观察到的、有前景的落地方式,可以概括为生态化与平台化两种。

生态化,即依赖某个厂商的核心产品或能力,为实现客户场景安全价值的最大化,采取向客户建议、推荐等方式,优先选取与自身产品、能力协同性较高,能最大程度形成一体化安全运营价值的产品或服务。这种方式对于品牌及能力认可度有一定要求,同时需要面对国内目前较弱的知识产权保护力度及意识问题(看到别人东西好,总想抄,抄的成本还是太低;被抄的,也得想办法把抄的难度提上来,不能全怪保护力度不够)。

平台化,基本以成为现阶段安全行业降本增效的一个共识。不管是产品设计、研发,还是销售与交付,延伸到后端的运维与复购,每个环节都有进行平台化优化的可能性。

图5:信息安全行业平台化趋势的内在动因

问题五:具体投什么?

目前从实际的安全理念或产品设计思路来看,SOAR、XDR(这两者存在差异,但整体偏生态化,放在一起仅限于展示生态化的理念)、SASE、云原生安全(这两偏平台化),以及以安全运营为核心设计思路的产品,比如BAS、ASM等(安全运营需要生态与平台共筑),具备了明显生态化与平台化的特征,创业厂商也上市公司也都开始从自身实际情况进行研发布局。

这里再提一下工业互联网安全、车联网安全、物联网安全等。本质上这类安全需求的出现是数字化逐步渗透形成的,作为增量市场有一定机会,但是安全的需求及落地一定是结合产业实际的状况为前提的,并不是凭空想象出来的。这类安全涉及到的流量大小、处理难度及算力可得性与场景密切相关,策略构造相对要简单很多(客观上不能太复杂),不管是从实际可得的安全投入来看,还是安全态势的复杂度来看,都相对有限,所以市场空间其实比较有限,投资难度其实更大(不是说没机会,是说要更仔细的甄别靠谱的团队)。此外,受限于场景专用性,厂商的安全能力及业务延展性普遍受限,但要想成为一家规模化企业,这种能力却又很重要。回归信息安全的本质,本质上保护的是数据资产的安全,而不是实物资产的安全,实物资产的安全需要靠法律道德约束下的公权去维系,搞懂了这一点,也就明白了信息安全价值的本质与边界。

回归正题,讲讲数据安全,这个赛道很热,因为机会很大,但是还是需要小心,因为数据安全的概念由来已久,如果无法很好理解这轮数据安全热的本质驱动原因,很容易失手。一直都有的数据安全,主要针对数据库等数据资产聚集系统的安全与管理,主要通过软件工具构造静态的预制策略。而这轮数据安全热提到的概念,更多指数据作为核心业务生产资源,在业务系统中从诞生到销毁的全生命周期安全,是一个动态的流转过程,策略也需要结合业务系统及权限变动进行动态调整与构建,复杂度提升了N个量级,场景中的价值含量也有天壤之别,所以未来的数据安全一定是偏运营的,而且最终会与网络安全融合(甚至反噬网络安全,现在好的网络安全产品,都是基于数据积累、运营的迭代为基础)。理解这一点,大概也就理解了为什么数据安全赛道如此火爆。

表12:不同信息安全赛道市场规模及对应基础产业的规模

问题六:怎么投?

明确了方向,就需要谈论该怎么投,但其实结论大家都清楚(指的是那些真正懂投资的,市场上投机的很多),还是要回归人,而人是最难判断的(建议大家翻一翻目前已上市以及业内有影响力的未上市企业创始团队的背景及履历,大致会有一个画像分类。这些人一定有些共同点,当然有共同点不一定就能做好一家企业)。不熟悉产业生态,很难抓到那一小撮最靠谱干事的人,这就要求机构必须深耕产业,要保持勤奋、保持理性。

问题七:选什么样的机构?

这个问题是给安全行业的企业融资挑选投资人时的一些建议。

首先,要仔细甄别“国资”类机构。很多企业愿意接受国资的资金,希望得到一些背书或产业资源支持。但其实本质上“背书”仅限于标签,产业协同对于绝大多数此类机构都是用来忽悠的,目的就是砍价谈条款,所以企业融资时一定要擦亮眼睛。市面上确实有真协同的国资,但是屈指可数,道理很简单,国资体系普遍极为庞杂,市场化属性较弱,投资板块跟业务板块的协同难度极高,大家都是各自管好自己那一摊,没有政绩与政令,不欠人情,何必为了别人的业务给自己增加额外的事务。反而是一些市场化的机构,大家追求价值创造,内部沟通链条更短,不管是GP的资源,还是LP的资源,协同创造价值的动力更足。当然,这些都只是锦山添花,一家不具备独立生存发展能力的企业,从投资的角度来看是不具备投资价值的。

其次,选有成熟投资理念的机构。投资圈的生态,创业企业不一定熟悉,国内2015年后,股权投资市场涌入大量非市场化资金,进而涌入不少单纯有能力撬动此类资金,但决策层其实对产业认知相对有限,体系化投资理念相对欠缺的机构。对于这类机构,如果是出于彼此信任,沟通成本较低,是可以考虑的。但如果过程中沟通成本较高,不懂自身业务价值,只看财务数字的机构,这类机构需要往后排,这类机构普遍对企业经营或行业没有认知,而且大部分采用的是流程化、工厂化的投资管理体系,一旦企业经营出现波动,会给企业制造很多麻烦。有成熟投资理念的机构,深谙创业企业经营发展道路之坎坷,赚快钱的心态会弱很多,更多基于产业价值认可前提下对于团队能力的认可和信任进行投资。

最后,关于融资及估值。很多创业企业的团队,都是单纯的技术出身,对于产品价值也许有理解,但不一定熟悉市场生态和需求成熟度,对企业运营也缺乏管理经验,这就导致融资时无法合理规划自身资金需求,估值基本不是拍脑门就是单纯依赖FA等外部机构的建议。但融资这件事,真的不是越多越好,把握不好业务发展节奏,盲目融资,使用时缺乏规划,很容易导致业务与估值脱节,导致融资难度激增,这种教训在很多企业身上看到过。个人的经验,股权融资最好的状态是根据自身业务进展的节奏,提前半年到一年规划,融资额不建议超过实际阶段需求太多,适度超募,最重要的是一定要对自身业务发展有明确的认识和规划。

最后发几句牢骚。中国经济整体由增量建设转换到提升质量的大背景下,软件信息化的价值将日益凸显,也许现在还不明显,但参考欧美大国的发展历程,以及国家频繁发布的各类鼓励政策,都提提供正面与侧面的印证。目前宏观经济的最核心压力,与信息安全产业面临的困境如出一辙,提质增效成为谋求生存与发展的必要手段,而这种硬骨头天然只有那些对行业有充分洞察同时大胆尝试的创新者才能啃的动。困境意味着大部分人开始碰壁,意味着少部分创新者将迎来脱颖而出的机会。与所有关注信息安全产业发展的同仁共勉!

声明:本文来自36氪,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。