联想之星刘庆:网络安全投资新机遇
11月13日,联想之星(上海)创业市集第3站——“网络安全新机遇”举行,联想之星投资副总裁刘庆、观成科技CEO李波、墨云科技CEO刘兵、卫达信息CEO张长河、美国西北大学&奇盾科技CEO陈焰、上海交大特别研究员刘振做了主题分享,共同探讨网络安全行业最新热点方向与面临的机遇挑战。
今天推送联想之星投资副总裁刘庆的分享:网络安全投资新机遇。
以下为刘庆分享,enjoy~
今天来了多位创业者、行业专家和投资人朋友们,共同探讨网络安全新机遇。联想之星一直积极关注网络安全领域,今天分享在进军这个领域过程中作为投资人的思考。
联想之星的投资策略可以概括为“根据地”打法——在我们看好的方向上持续深入布局,形成“根据地”。AI就是我们的“根据地”之一。我们从2010年开始投资人工智能,从底层技术开始,包括人脸识别、语音识别、NLP等。随着AI技术内生迭代及外界条件成熟,我们开始扩展至AI+行业,如汽车、教育、医疗、工业、金融等。今天重点来谈AI+网络安全,在这个方向上我们投资了墨云科技、观成科技等公司,后续还会加大投入。
网络安全这个老行业因为新场景、新技术的出现,正在焕发勃勃生机。这里的新场景主要指云、物联网、工控网络等,新技术主要指AI技术、数据技术和区块链等。
1
网络安全的三大属性及变化趋势
下面我们从网络安全的属性出发,来看看有哪些变化正在发生。
网络安全属性一:合规
自2014年,各项政策的出台将网络安全行业推到了一个新的高度。其中标志性事件包括:2014年中央网络安全和信息化领导小组成立,名副其实一把手工程;2017年《中华人民共和国网络安全法》实施,基本大法确立;2019年5月,网络安全等级保护制度2.0标准发布,实施标准出台;2019年10月,《中华人民共和国密码法》颁布等。
我把To B的商业出发点分为三种:开源、节流、合规。
开源:
能帮企业赚钱称为开源。新技术早期应用于行业多以开源为主。比如大数据技术较早应用于广告、营销、金融等领域,是因为其效果辨识度较高,客户明确知道是你的技术产品为其带来了客户,所以更容易定价,自驱力更强。
节流:
能帮企业省钱称为节流,包括提升效率。我把现在大部分的To B软件归在这一类。初期需要付费,但拉长周期看能为企业降低成本。但效果不易评估,定价是难点。另外,企业往往 “晴天修房子”,所以节流型商业模式比较受客户行业周期的影响,在行业下行周期,企业“开源”的优先级大于“节流”。
合规:
因为安全对于客户是成本支出,满足合规要求是驱动安全产业发展的基本外力。在这方面,安全与环保有些类似,既不能赚钱也不能省钱,但必须满足。当然,从国家范围来讲,合规是维持秩序的负熵过程,对个体的合规要求会转化为组织的整体“节流”。
效果的辨识度约等于付费意愿。市场化客户往往会为开源和节流主动付费,满足合规为被动付费,效果辨识度临界点是违规处罚超过“开源”获利。在非市场化领域,比如对党政军部门、国企来说,合规比开源、节流都重要,这个效果辨识度的临界点就是领导的“乌纱帽”。多项网络安全法规出台,提高了合规驱动效果辨识度,提高了付费意愿。
网络安全正在从“合规”走向“开源”。外在环境正在发生变化,随着社会隐私意识的提高,据IDC等权威机构调研,现在企业购买安全产品的首要诉求,是保障其用户隐私和数据安全,网络安全是提高企业竞争力的重要标志,安全可以转化为获客,也就是从“合规”属性走向“开源”属性,这种变化是安全行业的内生驱动力之一。
这个变化的意义是什么?对阿里云这样的企业来说,向外界传达其安全性,会成为非常重要的竞争抓手,客户会更愿意在阿里云购买云服务。
网络安全属性二:对抗性
我们常用“魔高一尺、道高一丈”形容网络安全,它是一个攻防战或者说猫鼠游戏。
这种对抗性和AI技术能够天然结合,未来网络安全一定是向着自动化、智能化、自我进化的方向发展,甚至能够自我攻击、自我防守、自我处置、自我管理。AI技术可以极大地赋能网络安全。
据CB Insights统计,在应用AI技术的领域中,网络安全的活跃度排名第四。AI+网络安全在国际上已经出现多个独角兽企业,AI是第三代网络安全跃迁的重要技术手段。我们投资的墨云科技就是利用AI技术模拟黑客攻击,观成科技是将AI技术应用于加密流量安全分析,都是敢为人先的尝试,新技术的引入开辟了网络安全新方向。
下图列举了部分国际上AI+网络安全的代表方向及企业。反欺诈/身份管理与认证、行为分析/异常检测、威胁情报/预测智能等领域热度很高,出现多个独角兽公司。
国际AI+网络安全代表领域及企业
AI技术能指数化提升效能。有个形象的说法是,AI就像一列火车,你苦苦期盼,它终于来了,然后它呼啸而过,把你狠狠抛在身后。过去AI走了60年,在某些方面接近类人水平,而未来可能只需要6年,机器的迭代就可抵人类万年的进化。未来网络安全,无论是攻击还是防护,可能就是一场机器之间的对抗。
在这里要注意两点:
1、AI技术会加速网络安全行业的马太效应。企业要成为头部或者和未来头部企业合作,对生态的终局有预判性,以终为始。
2、能否形成数据闭环将走向不同终局。从2012年、2013年比较火的一拨大数据企业的走向已经可以看出端倪。
网络安全属性三:伴生性
网络安全的本质是基于或面向网络与信息系统展开的对抗过程。网络安全是与环境、场景、对象、技术、产品特性等密切相关的伴生性技术。也就是说先有信息系统,再上安全产品。
但是,随着ICT(Information and Communication Technology,信息和通信技术)架构的重构,网络安全产生新的需求,网络安全正在从“伴生”走向“原生”,我认为这也是这轮网络安全创新的最本质驱动力。
2
网络安全的创新方向
云-网-端是新型ICT架构的核心,主要诉求是架构高度开放、业务高度在线、交付高度敏捷。
云:
企业上云的拐点已至。现在不是企业要不要上云的问题,而是要达到什么速度什么效果的问题。
云安全的要求高于传统IT的安全要求。传统IT安全系统可以适用于云,但云原生安全的要求更高更复杂。阿里云提出六大云原生安全:云安全隔离管控、云安全自动化、云统一身份管理认证、底层可信芯片和硬件、全链路数据加密、DevSecOps上线即安全。
网:
网的核心是以软件定义网络、网络功能虚拟化为核心。传统安全产品多集中在网络边界,主要是抵御从外网过来的攻击。现在网络边界越来越不清晰,大外网小内网架构出现,真实网络和虚拟网络混用;同时要实现网络功能层和控制层分离,把原来垂直封闭的安全体系打造成水平开放的体系,控制层趋于集中,功能层是模块化可配置的,这才能做到架构高度开放、交付高度敏捷。这里面涉及到零信任/微分段、安全管理集中化/可编排、自适应安全、自动化安全运维、虚拟动态防御等方向。
据相关预测,到2020年75%的网络设施将基于SDN和NFV。软件定义网络将在云、数据中心场景先行。
端:
这里的端主要指以物联网为代表的泛在智能终端。对应新的端出现了很多新的安全场景,比如工控安全、物联网安全、移动终端安全、车联网安全等,其中的技术包括身份认证、通信协议安全、区块链、安全多方计算、隐私保护、加密计算、加密硬件等。
未来,安全会成为泛在智能终端的一个竞争着力点。另外,5G会加速泛在智能终端的建设,也会加速泛在智能终端这个场景下的安全建设。
当下,云安全企业受到资本追捧,一是因为有应用场景,二是因为有产业买家。
我们分析阿里云投资收购的安全类企业会发现,阿里云在2018年之前以投资为主,而在2019年以收购为主,将云安全能力作为核心竞争力。投资及收购标的围绕身份认证、web安全、数据安全等云安全相关领域展开。国外产业企业也在对安全类企业进行持续并购。虚拟化巨头VMWare的大量收购围绕网络安全、云、AI展开。
在2019 RSA网络安全顶会上,云安全成为最热门的话题。RSA每年都有创新沙箱大赛,2019年获奖的十个企业大多与云安全相关。
RSA 2019创新沙箱大赛获奖企业
从RSA大赛企业来看,网络安全创新的颗粒度非常细,虽然大方向一致,但每家公司的实现方法各不相同,这也意味着初创公司如果抓住一个打动市场的点,也有机会发展壮大。
3
网络安全的市场空间
从ICT支出可以管窥网络安全增长空间。数据显示,2019年预计全球、美国、中国的ICT支出分别为5.1万亿美元、1.58万亿美元、7649亿美元,其中中国占比约15%;预计2020年全球ICT支出增长约5%,中国ICT增长近10%;中国ICT增长高于全球平均和美国。
数据来源:IDC、Gartner
2019年预计全球、美国、中国的网络安全支出分别为1144亿美元、475亿美元、86亿美元,中国网络安全支出全球占比仅为7.5%。
2014年以前,用大概20年时间,国内网络安全市场规模达到200亿,但2014-2019年,五六年间增长了400亿,增长到600亿人民币,年复合增长超过20%。
中国网络安全市场规模(亿元),数据来源:IDC、Gartner
全球、美国、中国的网络安全支出占ICT总支出的比例分别为2.2%、3.0%、1.1%。单纯从这个数字来说,中国的网络安全支出还有倍级增长空间。
此外,全球用于数字化转型驱动IT市场增长上的支出占比逐年上升,中国这一比例预计超过50%,高于全球平均水平。
数据来源:IDC、Gartner
这充分说明,无论ICT 还是网络安全,中国都在迎头赶上,且安全的增速更高。
从网络安全的细分方向来看,云安全、工控安全、物联网安全等是高速增长的方向。过去三年,云安全年增长超过40%,物联网安全年增长接近30%,工控安全年增长超过25%。预计未来三年,云安全、物联网安全增速高达40-55%,工控安全增速达30%以上。
同时,网络安全的退出渠道在拓宽,包括科创板、产业并购等方式。2018年以前,中国网络安全上市公司约30家,2019年网络安全公司上市3家,1家正在申请。科创板为网络安全公司增加了退出渠道,网络安全板块的估值整体高于平均水平。
产业并购也逐步增多,阿里开启并购模式,360宣布将投资50家安全公司。从已经上市的公司市值来看,中国资本市场给予网络安全企业的估值相对较高。
最后是我的一些思考,作为今天分享的总结。
1、ICT变革是安全创新的根本驱动力,紧跟ICT变革趋势,寻找大的利基市场,拉高自己的天花板。
2、善用AI等新的技术利器,加快迭代速度。
3、尽量寻找数据闭环路径。
4、让产品效果显性化,探索新的定价模式。
5、从关注单点价值和成本,到关注系统价值和成本。
6、抓住引入战略资源的时间窗口,重新理解同盟者和竞争者。
7、安全行业资源的抢夺战已经开始,尽早融资、找人。
相关阅读:
联想之星高天垚:拨开人工智能泡沫见真章 贝式计算王臣汉:AI企业做To B服务,少谈赋能,多聊ROI 达观数据陈运文:数字化白领机器人和达观数据的实践 生物医药,泡沫过后的出路——联想之星(上海)创业市集第1站精彩回顾