“最近安全一级市场太火了,我们调研的一家工控安全企业去年估值才5亿,今年就要到10亿,还不缺投资人。另外一家做服务器安全的公司,估值直接从15亿跳到50亿。”一位投资人这样表示。
网络安全行业,起风了。今年1-7月,我国网络安全领域非上市投融资事件共67起,同比增长86%;披露金额超95亿元,增长约6倍。
在美国,拜登8月25日在白宫举行了一个峰会,有头有脸的人物都去了,参会者有苹果的库克、谷歌的皮查伊、亚马逊CEO贾西、微软CEO纳德拉、IBM CEO克里希纳、摩根大通CEO杰米戴蒙、美国银行CEO莫伊尼汉、康菲石油公司CEO瑞安·兰斯等,大佬云集。讨论什么问题?
网络安全。
拜登表示,“大部分关键基础设施由私营部门拥有和运营,联邦政府无法单独应对这一挑战。你们有权力、能力和责任来提高网络安全的标准。”
峰会后,谷歌承诺在三年内投资超过100亿美元用于网络安全计算和软件项目。微软宣布,在未来五年投资200亿美元,将网络安全纳入其产品的设计,并提供先进的安全解决方案。
这是美国近年来重视网络安全的一个缩影。大洋彼岸的科技强国如此兴师动众地发展网络安全,在如今的中美关系下,我国的网络安全行业势必也要做大做强来应对冲击。
今年7月,刚刚在美上市的滴滴、BOSS直聘、满帮被进行网络安全审查,这是首次,预计以后网安审查会常态化;9月,《数据安全法》和《关键信息基础设施安全保护条例》正式实施,《个人信息保护法》也将于11月实施。如此密集地落地网安重磅法规可谓史无前例,对网安行业的支撑非常直接。
这也使得网安在一级市场被充分关注。
不过在二级市场,网安还不是特别显眼的板块。最近我跟几位投资科技股的基金经理进行了交流,他们主要精力几乎都投在了新能源、半导体上,对其他科技板块关注度不高,AI、工业互联网、工业软件、网络安全、5G等科技板块,没怎么进入基金经理们的法眼。
大家一窝蜂都去投这两个板块显然不是好事,如今新能源、半导体估值高企,基金可谓骑虎难下,市场分歧与日俱增。而其他科技板块的价值并没有被很好的挖掘,网络安全尤是如此。
其实观察头部网络安全公司的业绩可以发现,这些公司的营收与利润增长异常稳定。
奇安信业绩
深信服业绩
启明星辰业绩
绿盟科技业绩
安恒信息业绩
稳定增长背后,是需求增长,且增长的确定性越来越强。
7月,工信部在《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》提出,到2023年网络安全产业规模要超过2500亿元,年复合增长率超过15%。
工信部数据还显示,目前中国上市网络安全企业达20余家,上市企业总市值从2010年的不足百亿元发展到超5000亿元,实现了50倍的增长。
不过这其中,只有市值1200亿左右的深信服、六七百亿之间的奇安信市值较高,其他头部公司市值大多在200亿-400亿之间,包括启明星辰、绿盟科技、卫士通、安恒信息等。还有不少网安公司市值只有几十亿。
有些问题需要探讨一下:
网络安全增长的确定性来自于哪些方面,会产生大牛股吗?
行业正在经历哪些趋势变化,对行业价值有何影响?
又还有哪些问题制约着上市公司的市值增长,这些问题是否会有改观?
迥然不同的增长驱动力
本文的网络安全并不是指360卫士这种做个人安全的免费产品,个人网安产品本质上是流量工具,通过广告等途径来变现,赛道的争夺也早已结束。资本市场的网络安全板块,是以政企安全为主的付费软件市场,跟个人安全的逻辑完全不同。
网络安全属于软硬件相结合的IT行业。对于IT而言,市场主要有两大关注点,一是需求驱动的产品落地性如何,行业盘子有多大,份额是否集中,这关系到能否获得规模收入;二是商业模式尤其是交付模式如何,这关系到能否获得规模利润。
此前市场比较关注的AI,因为落地速度不及预期,商业模式差,被资本打入了冷宫。另外一些新兴领域如工业互联网也面临这样的问题。有一些行业则是落地性很好,但商业模式差,定制化导致交付过重,集中度不高,资本也看不上,比如银行IT系统厂商。
网络安全在这两方面表现如何?
先看落地的驱动力与现实的落实情况。
信息化与网络安全是一个伴生的关系,只要有数字化的深入,漏洞、网络攻击等问题就会出现,从而对网安形成需求。
但网络安全的问题在于,在多数场景下,是一种成本投入,不能立刻看到效果,不是通过部署就可以带来直接效益。从利益的角度,网络安全是一种逆人性的生意。就像人人都需要保险,但因为需要投入,且不一定能立刻看到投入的效果,很多人不愿意投保。
因此,外力的推动非常重要,行业普遍认为,行业增长来自于政策推动、技术变革、安全事件驱动的合力。其中来自顶层政策的推动是网络安全落地的重要途径。前文提到的美国是如此,中国也是如此,没有政策层面的强力推动,政企客户缺乏足够的动力去采购网安产品。
网络安全发展环境分析
这几项驱动力集合起来,会转化成需求,体现在合规和业务层面上。奇安信副总裁陈华平认为,网络安全市场的需求,七成以上来自政策合规需求,两成以上来自业务需求。合规不是合某一个规,是所有的都要合规。
陈华平认为,合规驱动包括四个层级,最顶层是国家战略,然后是基于国家战略制定的相关法律,第三层是将法律落地到执行层面的行政法规,最后是保障法规执行的相关标准。其中,一些重要的法规和标准成为了执行层面的主要抓手,如等保、密评、网络安全审查等。
网络安全崛起的底层逻辑是整个经济社会的数字化加速,带来信息基础设施被攻击的可能性,影响稳定,引发的潜在安全损失被决策层关注到,从而通过法律、政策来明确安全体系建设,由此带来网络安全的需求。这跟其他行业非常不一样。
很多人会觉得政策催生的市场不健康,但其实网络安全跟其他行业的政策支持完全不一样。很多行业的政策支持,主题是“鼓励”、“支持”,比如说新能源,主要是在税收、补贴等方面给与一些优惠,通过这些来撬动市场,引导市场供需两大层面跟进。网络安全的政策支持则是中央提出安全方面的部署标准、要求,由政府、公检法、央企等部门来通过采购安全产品和服务完成部署来跟进,而且客户群体的共同特点是对政策的配合度很高。
因此,等保、数据安全保护、个人信息安全保护等方面的政策,都会直接转化为网安行业的收入。例如最近的滴滴安全审查,是由央企中电集团旗下的卫士通来执行,就会直接转化为卫士通的收入。等保体系要求“一个中心三重防护”,直接激发防火墙、入侵防御、杀毒等产品的订单。
政策驱动网络安全增长确定性变强
我国网安行业已经诞生将近30年,伴随着两条主线:国民经济数字化程度不断加深,管理层对安全的敏感程度越来越高。由此带来增长的确定性。
在上世纪90年代,从1995年起陆续诞生了国内第一批安全公司如江民、天融信等,那时候的产品主要是以杀毒软件、防火墙等防御性软件为主,产业自发生长。
从诞生之后很长一段时间内,网络安全缺乏政策层面的强力推动。政企单位采购杀毒软件、防火墙更多是为了应付检查。
陈华平介绍,以前经常碰到在进到客户现场发现的网络安全领域令人尴尬的场景,客户采购了厂家的防火墙等安全产品,但厂家对客户有没有使用自己的产品、怎么用的、好不好用、有没有效果大多数时候室无感知的,对自己产品在客户侧的使用效果、以及产品到底哪些功能好用、哪些不好用完全蒙圈状态,更有甚者的是,连产品在客户环境有没有上线都不知道或不关心。曾今行业内发生了令人哭笑不得的事情,比如:产品卖给客户2-3年了,偶然去客户现场,发现产品遗落在客户机房角落,一直没有上线。还有产品虽然在机柜上部署了,设备灯一直亮着,但安全策略从上线实施部署的那一天开始一直没有动过、更有甚者是居然是全通策略,安全策略都没开,这就是网络安全行业2015年之前的窘境。
究其原因,一方面之前信息化水平没现在这么高;另一方面国际局势也没有现在这样严峻,大家对于信创、安全的意识很难建立起来。这导致安全在信息化投资中的占比不足2%。安全厂商最重要的能力并不是技术和产品,而是关系。关系型营销一直被业界视为行业通病。
在陈华平看来,2004年到2015年,是网络安全产业的初步发展期,这段时间年均增长率在7%左右,产业规模缓慢增长到300亿元。
2015年左右,网安才逐渐迎来拐点。这时候国家的信息化程度已经很深,而此前的伊朗震网病毒、美网络司令部成立、美国披露APT01等事件,也都促使我国思考如何加强信息安全工作。陈华平认为,2015-2019年,是网络安全产业的加速期,年均增长率超15%,产业规模接近700亿元。这些年里,每年都有网安大事件、大政策,国家在“十三五”期间,陆续出台了相关的法律法规和监管要求,网络安全治理体系初步架构基本形成。
2016年是网络安全大年,4月19日,国家领导人发表重要讲话,提出“没有网络安全就没有国家安全”,将网安提升到国家战略高度,并阐述了网安的发展目标、重要任务与实践途径。
带来直接影响的具体政策包括护网行动、等保2.0、信创。2016年,公安部开始组织以网络安全攻防演练为主的护网行动。这在很大程度上促进了安全行业的繁荣。在行动中,部里和省里会选定政府部门和关键部门进行攻防实战演练,被攻破了则会受到处罚。比如在金融专场演练中,如果某机构的核心系统被攻进去,就会被通报、整改。这使得机构对安全、对网安产品的攻防能力真正重视起来,自然也会加大安全领域的预算。无论是安全产品还是服务,HW行动都带来直接的促进作用。
而自2018年中美关系趋于紧张后,网络安全的重要性甚至已经与解决关键技术卡脖子摆着同等重要的位置上。
2019年的等保2.0,以及2020年的信创热潮,也都对网安有直接的促进作用。
资料来源:安全内参、头豹研究院
今年以来网络安全、信息安全领域的法律法规密集发布,政策强度、密集度远超往年。这是近年来从国家层面密集推动网络安全建设的延续。
近年来出台的部分网络安全政策
国家领导人曾经提出过“过不了互联网这一关,就过不了长期执政这一关”这样高屋建瓴的话,网络安全会有多重要,大家可以自行体会。
这样,网络安全进入法制阶段,政策合规和监管越来越强,这使得行业增长非常明确。按照工信部的数据,中国网安产业2020年规模超过1700亿元,较2015年翻了一番。工信部采用的是新统计口径,增加了区块链、密码、云服务企业、运营商、车联网等主体的网络安全业务。有业内人士表示,像华为这种公司,一年做了几十亿的安全相关业务。因此在这个统计口径下,产业规模比较大。
网络安全增长情况(资料来源:奇安信)
咨询机构统计的主要是独立安全厂商的营收规模,基本在六七百亿之间。IDC预测,2021年中国网安市场投资规模将达到97.8亿美元,并有望在2025年增长至187.9亿美元,五年CAGR约为17.9%,增速领跑全球。
赛迪顾问数据显示,2020年中国网安市场规模达到718.8亿元,增长率为18.2%。
相比于火热的新能源,网安市场增速确实不算高。IDC预测显示,新能源汽车2020至2025年的年均复合增长率将达到36.1%。不过每年能有近20%的增长也算不错,意味着几年内规模就可以翻番。想象一下,如果你的财富如果能每年稳定增长近20%,几年后积累的财富将是不菲的。
网安增长的可持续性如何?
IDC的数据显示,我国安全支出占IT支出比重仅为1.84%,相较于美国的4.78%还有很大差距。差距意味着未来增长潜力有保障。
当然,比较强的增长确定性并不意味着行业翻倍式增长,更多是15%-20%年复合稳定增长率。
从客户构成来看,网络安全现在需求的六七成来自于党政军和大型企业。这些部门在政策推动下会逐渐补齐安全短板,增加安全投入,但部门预算都是稳定增长。
网安和安防行业都是保安全、保稳定,两个行业有一定相似性。过去几年安防行业投入很大,但从年增速来看,2012年-2016年有较大规模建设,年复合增长率其实在15%而已。2016年之后的增速逐渐下降到10%左右。这样看,网安的增速其实还不错。
安防历年规模增长情况(资料来源:前瞻产业研究院)
剩下不到20%来自于中小企业。中小企业没有合规需求,更多是业务需求。中小公司一年IT的消费也就几万块钱,配置到安全上的也就几千块钱,具体需求更多的是防火墙、上网行为管理,防火墙是基础安全保障,后者则为防止员工在上班的时间上网看别的。中小企业考虑更多的是创造效益,指望中小企业带来网安高速增长也不现实。
陈华平认为,至少未来5到8年,中小企业需求虽然慢慢会起来一些,但规模不会很大,主体还是中大型企业、央企、党政军。
这样,网安有不错的增长,且确定性不错,但增长更要看长期,不是激增。这样的增长其实更健康。
当然对网安的增长也会有疑问。首先是,政策驱动的持续性如何?很多产业政策都有退出期,但网安相比之下是开弓没有回头箭,因为它的底层逻辑在于不可逆的经济数字化水平,攻击只会有增无减,重要部门的安全防护只能继续加强而不能降低标准。
其次是等保2.0等产业政策带来重要部门的安全投入增加,当这些部门普遍有比较齐备的安全配置后,网安是否会衰退?可能性也很低。一方面网安产品也有生命周期,如最大的单品防火墙,生命周期是3-5年,到时候需要替换。另外随着数字化的加深、重要部门的新业务开展,如大数据平台的建立、上云等,安全等级保护还会继续提升。
从卖产品向卖服务转移,安全服务贡献行业增量
政策驱动力的强化,也在驱使产业结构发生变化。长期以来这个行业主要是卖产品,将来安全服务的比重会越来越高。
网络安全产品构成情况(资料来源:方正证券)
按照方正证券的划分,网安行业分为网络边界安全、终端安全、身份安全、安全管理、数据安全、应用安全及安全服务7大方向。
边界安全规模最大,包含了防火墙、IDPS、上网行为管理、VPN、抗DDos等多种传统安全软件,需求相对刚性,整体规模超过200亿。其中防火墙作为网安最大的单品,规模超过100亿元。不过这块的增速相对不快。
目前增长比较快且规模较大的领域是安全管理和安全服务。安全管理主要产品包括态势感知、威胁情报、漏洞管理等,增长主要来自于态势感知领域。2016年8月,网络安全与信息化工作座谈会上提出,要全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。这推动了态势感知产品的崛起。
主要的网安赛道增长情况(资料来源:方正证券)
安全服务随着政策推动而逐渐提升。按照政策要求,安全将与信息化充分融合。陈华平介绍,之前安全被忽视,跟信息化之间基本上没有融合,安全和信息化基本面是两张皮,信息化建好了,运行过程发现被黑客攻击了,有漏洞,然后加一道防火墙,就跟外挂式的。信息化有规划、建设、运行三阶段,安全只在中间建设阶段,没有规划,没有后面的运营,所以安全行业盘子小。
安恒信息相关人士也表示,长期以来安全服务作为安全产品的附赠品,其重要性及价值被严重低估。
之前客户不关心安全,购买一堆安全产品只是堆砌起来应对合规检查。现在政策夯实了安全责任,客户更加关注产品的攻防效果到底如何,也就需要网安企业提供服务来保障效果,毕竟网安是个专业性非常强的行业。这样,安全在规划、建设、运行三阶段都跟信息化逐渐同步。尤其是一家单位的安全建设期过去之后,主要的安全需求就是运营方面的服务。
安恒信息相关人士表示,如今不少客户开始采购安全咨询服务。网安企业从安全现状、合规需求、技术发展和行业特性进行全面调研、分析和规划,在满足合规的基础上,构建适配需求的三至五年立体化、全方位、综合性网络安全防控体系。
IDC数据显示,“等保2.0”制度实施以来,安全服务市场开始进入快车道,2020年中国网络安全服务收入规模为141亿元,2021-2025年复合增长率将超过15%。
无论是从IDC、Gartner等行业分析报告,还是从国内头部客户实践认知来说,安全咨询和安全运营正在成为行业发展的方向,也是未来关注的重心。特别是《关键信息基础设施保护条例》出台后,这些方面的需求更加强烈。
安全服务的崛起,使国内外安全市场组成结构趋同。国内一直重产品轻服务,安全服务在安全投资中的比重在三成左右,而从全球来看,服务在IT安全投资中的比重达5成以上。
资料来源:头豹研究院
这样,在防火墙、杀毒等传统安全产品依旧增长的基础上,安全服务可以为安全市场贡献较多的增量。同时,安全服务的崛起还会改变网安生态。
主要竞争点逐渐变化。在卖产品的时代,由于行业同质化高,大家比拼得更多是销售能力,销售队伍的体量与关系维护对营收至关重要。头部网安企业都至少有上千个销售人员。在服务兴起后,销售队伍建设当然仍旧重要,但安全咨询、运营方面的技术能力重要性愈加凸显;
资料来源:数说安全
销售模式也可能发生变化。安全咨询环节将产品销售前置了,构建怎样的安全体系,用到哪些安全产品,在安全方案设定时就有眉目了。
商业模式也发生变化,下面的一节展开来讲。
商业模式会不会变重?
增长没问题,再来看商业模式。这决定了网安公司盈利能力如何。
IT行业的商业模式有好有坏:
●比较差的模式是类似于AI公司的交付形式,每个项目都要做定制化开发,交付起来都需要投入相应的人力,边际成本降不下来。所以现在AI公司普遍亏损,资本市场也不给AI公司很好的估值;
●比较好的模式是卖标品,给每家客户的产品都是不需要重复开发的,这样可以摊薄前期的开发成本、营销成本,比如像Adobe旗下的Photoshop早期就是这种;
●最好的模式是SaaS订阅模式,客户按订阅时长来付费,不需要花大价钱买断软件的所有权,软件使用门槛降低,客户量大增,企业有了长期持续的现金流。
这种模式最讨喜,Adobe从2012年左右开始SaaS化转型,订阅收入占比从当初的个位数上升到如今的九成,Adobe也成了10年10倍股,市值已经超过3000亿美元。这市值在中国可以排进上市公司前五。
国泰君安计算机首席分析师李沐华表示,网络安全行业的商业模式还不错,但客观而言不是最好的。网安属于产品化程度很高的一个行业,不管是硬件盒子还是安全软件,不会为某个客户单独写代码,就算是定制化也是改改硬件设备的接口型号或者某个零件型号。
但下游政企客户更偏向于私有云。导致行业很难转型SaaS订阅模式。
陈华平表示,现在网络安全行业还是标品偏多,防火墙、盒子类产品、终端软件大部分是标品。不过头部大客户定制化越来越多。不同行业、客户的具体需求不同,厂商需要有一套安全框架去为大客户提供体系化安全咨询规划,不同的应用场景安全问题要用不同的方案去匹配解决问题。
这对于安全厂商是挑战也是机遇。机遇是通过做安全咨询、安全运营等服务来强化客户粘性,占领客户心智、形成强大品牌后,可以做解决方案总供应商,在网安行业扮演一个平台的角色。由于产品非常细分,不同厂商有各自的优势领域,而客户的需求又多样化,不同细分领域的产品厂商需要做好关键问题的解决,想全部做,肯定做不好。行业趋势会是形成分工。有服务能力的厂商更贴近客户,在分工中会更有话语权。
挑战是会增加成本,以前都是产品销售,现在做服务,交付会变重。所以这个时候,各个厂商能不能把产品平台化、标准化、模块化、组件化,非常重要。这样能适应个性化定制需求,或者新安全需求能很快推向市场,这个能力将非常关键。另外,控制人员成本、提升项目人效,也会是非常重要的能力。安防市场同样碎片化、定制化,海康威视的一项重要能力就是较好地控制人效。
陈华平认为,未来交付其实也可以变轻,产品可以只做探针在客户侧,服务通过云端来做,每年交费续费,服务后台有云服务中心,前面探针收到什么东西可以送到云里来,在云端做研判,这是终极目标,慢慢会这样发展,安全也会向SaaS订阅服务方向演变发展。
当然,政企客户可能不接受上云,更倾向私有化部署。陈华平认为,这种状态在未来五到八年时间还是会存在。安全业务越来越复杂,需要安全技术人员到场,人力交付肯定长期存在,趋势是慢慢减轻。他表示,SaaS化未来是趋势,在全球头部的安全公司占比已经60%以上。在我国成为主流,至少是五年时间。偏终端的产品,可能三五年时间完成SaaS化。另外像上网行为管理、托管运营服务,也会云化。其他产品慢一些。
增长确定,为什么行业缺乏高市值公司?
行业增长趋势不错,产品交付又相当一部分是标品,这个行业按理说应该很受资本市场宠爱。
在物理世界的安全防护中,出现了海康威视这样的年营收超600亿、市值达5000亿的巨头。在网络世界的安全领域,能否出现一个大体量的公司?
目前安全业务年营收最高的奇安信,去年营收是41亿元。而像启明星辰、绿盟科技、天融信这样的“老三家”公司,虽然一直稳定增长,但营收也只是在20-30亿元之间。市值方面前面我们也提了,500亿以上市值公司只有两家。
究其原因,一方面,行业规模只有六七百亿,并不是一个很大的市场;另一方面,格局分散。这样一个规模几百亿的行业,居然已经涌现了20多家上市公司。数据显示,行业前十名的公司,在行业中的营收占比只有34%,前20名公司,营收占比居然只有44%。每个细分领域都有大量企业。工控安全是一个规模只有几十亿元的细分市场,也云集了行业上百家公司。
安恒信息相关人士认为,集中化规模化不够,本质原因是细分门类非常多,单个赛道的能量非常小。所以大型企业会倾向做主流赛道产品,中小赛道产品会跟友商合作或者采用并购合作的方式。
按照研究机构安全牛的分类,网络安全行业可划分为14项一级安全分类,106项二级子行业,产品众多。
行业低位的产品如防火墙、杀毒、入侵防御、入侵检测之类的,更多是采集数据,同时在边缘角度下做命令执行。中位是安全管理平台、态势感知等产品,是大脑中枢,做分析,分析后下指令。高位是安全情报、安全云控制中心等,是情报体系,将里面感知到的东西串起来。
这么多的细分产品,很难有公司全覆盖并做到份额领先。因为不同的产品所需要的核心能力不同,如防火墙这种老产品,对底层构架能力要求强;终端安全、态势感知等,对数据能力有要求;杀毒产品,需要具规模的病毒库。
实际上只要是产品分得很细,市场集中度就很难提升起来。以银行IT系统行业为例,产品也是非常细分,大型银行会有500个左右的IT系统,中型银行也会有两三百个IT系统。从份额来看,行业前五的厂商加起来只占了26.8%的市场份额,跟网络安全高度相似。
跟网安比较相似的安防行业,因为场景极其碎片化,龙头企业份额也很低。海康威视年营收600亿在8000亿的安防市场份额其实也不到10%。海康威视成为大牛股,更多是因为安防的盘子要大得多。
网安不仅细分赛道众多,而且随着场景变化、攻防变化而不断出现新技术、新需求,形成新赛道。这对于网安行业来说,意味着没有成为夕阳行业的烦恼,只要还在数字化的进程中,就会不断有新的安全需求冒出来。但也会加剧行业的碎片化。
今年1-7月,一级市场融资关注度排名前三的细分赛道分别为:云安全、安全管理运营和工控安全(并列)、数据安全,都是新赛道。
8月份以来的网安行业融资情况
以上是产品层面。在客户层面,各地有不同的政策,企业在本地往往会有更好的客户资源,也更容易发展代理商体系,形成区域市场,深信服在广东发展得更好,安恒信息在浙江更有优势。还没有哪家企业能够通过直销团队或者渠道去占领全国大部分市场。
综合各种原因,市场集中度长期处在较低的水平。
行业集中度会缓慢提升
大逻辑是:长期以来,政企安全领域同质化严重,客户不关注产品价值,更关注监管部门的检查。安全厂商做好渠道,搞好客户关系,单子就来了。现在攻防效果更受重视,这种局面有望获得改变,技术实力不行的厂商可能让出市场份额。企业的品牌、技术实力、口碑等会弱化纯人的因素的关系,从而使纯关系型的订单变少。
因此长期来看集中度会提升,只是需要一个过程。
网安企业的成长路径,也决定了集中度的提升不会很快。陈华平介绍,企业开始要有独特的核心优势和技术能力,表现为拥有独特能解决某类网络安全问题的技术优势、对行业客户业务场景的理解、安全服务能力、资源库等。以此作为基础去形成一到两个竞争力非常强的产品,把这个做成就行了,不能贪大。用三到五年时间,把这个产品做到行业的头部水平。此后通过融资,有足够的现金流,可以适当的去并购一些技术团队,扩展现有路径。一上来就想做三、五个产品,甚至十个产品,结果是发展不起来的,什么也做不好,最终在行业里面没有声音。
头部的企业大多兴起于不同的领域,如启明星辰、绿盟兴起于入侵防御、入侵检测,奇安信兴起于终端安全,深信服兴起于新一代防火墙,每家头部企业都会向综合安全厂商迈进,从而进入到对方腹地,份额不容易集中。
综合安全厂商可以向新兴领域、专业领域进军来扩张,比如工控安全、工业互联网安全,但这些垂直领域的专业安全厂商会以专业领域的解决方案来应对综合安全厂商的通用IT解决方案,巩固在头部、腰部客户中的优势。综合安全厂商如果深扎行业,有个投入产出比的考量,对人效的要求高。因此吞掉小厂商的份额也并不容易。
并购是网安公司规模快速增长的手段,但不是绝对的驱动力。并购跟自研的关系,是主线与补充的关系。陈华平表示,不能上来就并购,美国所有大的网安公司都是自己有一个主线在做,做了之后并购新的技术团队进来。从全世界来看,也没有靠着并购做到行业前列的。
这样,头部的公司可以在若干个领域里占据份额优势,但由于行业细分赛道的碎片化,以及每家企业的资源与能力相对有限,没有哪家公司能在整个网安行业取得很高份额。各家公司都在自身核心能力的基础上,做好产品组合管理,大公司做大赛道,新公司做新赛道。
从国际上来看,网络安全也并没有做到很大规模的公司。营收最高的PALO ALTO,以销售企业网络安全平台为主,上一财年营收为55亿美金,在行业里算是高的,但是跟IBM、甲骨文等IT巨头相比要差很远,在全球1200多亿美金的网安市场占比也不高。
不少受关注的明星公司营收在20亿美元营收级别。参见下表。
中外头部安全公司业绩与市值对比
站上风口的网安,何时能出大牛股?
这样,市场集中度的提升会是长期问题,短期不太会有明显改观,这制约了头部公司通过扩大份额来获取超额收益的可行性。所以行业没有市值非常高的公司,毕竟即使头部公司营收也只有三四十亿,利润几个亿。深信服市值最高,目前达1000亿,但其中一部分估值是给到其数字化业务的。在54亿的年营收当中,安全业务占比61%,云计算及IT基础架构、物联网还占到将近4成的营收。安全业务的估值跟600亿左右的奇安信差不多。
行业规模稳定增长+行业集中度逐步提升,是投资者眼中的黄金赛道。由于份额集中是长周期内的事,头部公司还不能享受集中度提升带来的估值溢价。观察这个行业,主要是看增长态势。其实看一下头部公司去年的营收增长率,比如深信服安全业务是17.76%,绿盟信息是20.28%,启明星辰是15.19%,天融信是17.05%,美亚柏科是15.42%,都介乎15%到20%之间,跟行业增速简直是神同步。也验证了行业集中度提升会是一个长期过程。
唯一的例外是奇安信,作为一家新公司,奇安信2016年与360“分手”后,布局终端安全、大数据安全、代码安全等新赛道,另外通过并购补齐了防火墙、上网行为管理等成熟产品大赛道的短板,营收得以迅速提升。2016-2020年复合增长率达到了71%。近两年奇安信大力推广安全服务,通过扩张安全服务团队来响应各地政企客户的安全需求,公司团队迅速扩张到上万人。奇安信2020年共实现安全服务收入约7亿元,服务收入在营收中的比重为17%。这使得奇安信市值冲到行业前列,最高时达到千亿。
但也是因为研发高投入加强服务,奇安信目前是头部公司中唯一亏损的公司。奇安信的主要挑战在于如何保持营收的高增长,以及高投入之下如何盈利也是需要关注的,奇安信正在通过建设标准化、模块式输出技术与能力的研发平台和能力中心,来提升效能降低成本。何时见效还需检验。
深信服在网安行业也是一家非常不一样的公司,其他公司都是从政企大客户做起,以直销渠道为主,有成熟产品后再建代理渠道向中小企业拓展。创始团队有华为背景的深信服沿袭了华为的渠道体系建设,以代理渠道为主,以防火墙、上网行为管理等为主要产品,先拿下了大部分的中小企业市场份额,再向政企大客户扩张。目前营收八成以上来自代理渠道,客户群体长尾化。产品方向上也以更适应中小企业的SaaS化、轻量化为方向。这都使得深信服颇受资本市场欢迎,是不少明星基金经理的爱股。
不过深信服面临的挑战也不小,首先是中小企业现在可以从阿里云腾讯云这些云服务商购买安全服务,对客户群体形成分流,这也是深信服为什么要做云计算的重要原因。而其他头部厂商以政企大客户为主,客户都做本地部署,不接受云服务,所以云厂商对这些公司冲击很小。其次深信服现在的代理渠道体系已经足够完善,导致其他厂商怎么也攻不破深信服的渠道壁垒,但中小企业安全市场整体受制于预算有限,增长不显著,也导致现在深信服的增速不够高。
其他头部公司市值多在两三百亿之间,目前在资本市场关注度不够高。不过这些头部的综合安全厂商占据了大赛道,做产品组合管理,销售体系与渠道体系能力更强,多家公司有“国家队”入股,如中国电科是卫士通大股东,入股了奇安信和绿盟信息,国投入股了美亚柏科,这都起到了在政企客户中的增信作用,头部公司在行业增长中会享受到更多红利。
头部公司之间则比拼战略能力、战略执行力与人效管理能力。每家厂商都有倾注资源投入的赛道,使产品组合略有不同,如奇安信组建了最大的安全响应团队来做安全服务,深信服下大气力做以分布式云服务交付的SASE,背后都有自己的战略考量,而时间会证明怎样的战略方向能带来更好的投入产出比。能做到什么程度,要看市场成熟度,也在很大程度上取决于战略执行力。
评论