现代勒索攻击团伙其实就是APT组织

对话「亚信安全」 ：现代勒索攻击团伙其实就是APT组织，单纯靠数据备份治标不治本

亚信安全认为，勒索病毒已经完全符合网络安全行业对于APT组织的认定标准。企业需要通过“事前预防、事中处理、事后扫雷”三大手段，构建立体化、平台级的运营防护能力。





勒索软件已成为最被瞩目的安全威胁之一。全球威胁情报机构RiskIQ曾发表过统计，表示每1分钟就有6家单位遭受勒索攻击，而每分钟因网络安全导致的损失高达180万美元，整年超过6万亿人民币。也正因此，如何对勒索病毒进行有效的防护和治理也顺势成为话题。



对于这一话题，36氪获悉，亚信安全近期特地召开了「全面勒索治理即方舟计划」发布会。



在发布会中，亚信安全持续强调的一个观点是，现代勒索攻击团伙其实就是APT组织。也正基于这一判断，亚信安全推出了「方舟计划」，希望通过这一计划，并结合其自身既有的产品、技术能力，帮助企业降低勒索风险。



会议中，亚信安全介绍，勒索软件的“鼻祖”诞生于1989年，而在那个互联网的“蛮荒”时代，攻击者还没有找到高效且“安全”的敲诈方法。但历经数年演化，勒索病毒经历了与比特币支付方式结合、与钓鱼邮件结合、攻击目标转向大型政企、与蠕虫木马结合、出现RaaS服务、数据泄露与多重勒索等多个发展阶段。所以，无论从攻击形式、攻击技术，还是从勒索形式角度看，勒索病毒攻防的矛盾博弈已经日益激烈。



对此情况，亚信安全认为，大量“堆砌”的安全产品和零散部署的安全检测技术无法与勒索软件对抗。合理的方式应该是，参考与APT对抗的模式应对勒索软件。



在具体逻辑上，亚信安全认为，现代勒索攻击的转变升级主要体现在作战模式、攻击目标和勒索方式上。



首先，勒索即服务RaaS（Ransomware-as-a-Service）的兴起使得勒索的作战模式从传统的小型团伙单兵作战，转变为模块化、产业化、专业化的大型团伙作战，其造成的勒索攻击覆盖面更广，危害程度显著增加；其次，对于勒索攻击的目标，也从过往的广撒网蠕虫式攻击升级成为针对政府、关键信息基础设施、各类企业的定向攻击；另外，从勒索方式来看，现代勒索攻击已经从传统的支付赎金恢复数据的勒索方式，演化为同时开展双重勒索，甚至三重勒索。



另外亚信安全还认为，勒索病毒已经完全符合了网络安全行业对于APT组织的认定标准：



1． 几乎所有的勒索攻击都基于经济目的；



2． 所有的勒索攻击都是潜伏的，多阶段的持续性攻击；



3． 现代勒索攻击主要是针对企业组织的定向攻击；



4． 勒索的攻击方式多样，包括鱼叉攻击、商品化与定制化恶意软件、远端控制工具，漏洞利用等。



也依照这一思路，亚信安全为方舟治理提供了三大能力：



勒索体检中心：运营团队通过部署端点及网络探针，对勒索攻击进行全面排查分析，帮助客户防范在前，早发现、早预警、早研判、早处置。利用最新的勒索威胁情报进行数据碰撞，确认企业环境中是否存在勒索行为，将勒索攻击爆发风险降低。



 全流程处置机制：亚信安全「方舟」覆盖勒索病毒攻击治理响应的全流程，依照攻击发生的状态，协助用户建立勒索防护策略、勒索攻击事前防护、勒索攻击识别阻断方法，以及勒索攻击应急响应。



现代勒索治理解决方案：基于亚信安全的XDR技术，现代勒索治理方案可覆盖勒索病毒的攻击链，通过“事前预防、事中处理、事后扫雷”三大手段，构建立体化、平台级的运营防护能力。



在具体落地上，亚信安全表示，目前已经有行业用户通过亚信安全勒索体检中心对IT环境进行安全测评，针对潜藏勒索威胁风险获得了安全治理规划和建议。同时，亚信安全也配备了覆盖全国 31个省市服务网络，通过安全服务工程师等构成的本地团队，以及云端安全运营专家、病毒样本专家、威胁情报专家的总部团队，协助企业确认环境中是否有勒索行为。



在发布会后，36氪等媒体也就勒索软件等话题与亚信安全首席研发官吴湘宁、亚信安全副总裁徐业礼、亚信安全副总裁刘政平进行了讨论。



以下是对话节选：



记者：APT攻击和现代勒索攻击之间没有本质区别，是基于哪些原因得出上述判断？有这样的判断，对勒索治理有什么样的作用？



徐业礼：以往我们认识的APT，基本上都是悄悄地偷数据，把所有数据偷走以后不发声，客户也不知道东西被偷走了。这个时候为什么不发声？因为APT的目标不是立刻让组织或者企业付钱为目标，而是拿到这些数据以后偷技术、偷客户，然后私下里卖给竞争对手等。



其实整个网络安全攻击最终造成破坏无非三种：第一偷数据；第二破坏企业的信息系统；第三绑架信息系统里面的这些主机或者是组件，来为他所用，干坏事。那现在的勒索团伙其实和APT一样，背后的组织人员不比APT组织少。勒索团伙还采用加盟的模式，在暗网里形成成熟的商业模式。只要有一些攻击能力的黑客或者黑产的从业者，就可以加入勒索团伙一块做坏事。这些组织的行为和APT没有差别。另外，现在我们网络安全行业认定的APT组织总数不超过200个，有40多个APT组织，都参与过勒索攻击。所以本身APT组织和勒索团伙没什么两样，就是一个等号。



那我们把勒索团伙认定为APT组织，目的是什么呢？第一，是希望整个行业认识到，这种勒索攻击是非常的阴险狡诈的，也是非常具有破坏力的，大家要引起足够重视，不能用传统的防病毒，或者老三样的防护手段。大家必须要建立立体化的防御，必须要有运营团队参与，必须要用有真材实料的产品替客户分忧，提前发现并及时地阻挡黑客的内网渗透，把他们逼退，这是第一部分。



第二部分，我们把它认定为APT的组织，其实也是意识上的提升，让整个网络安全行业都能够一起携手应对这种勒索攻击广泛延伸的趋势。网络安全，光靠一家肯定也不能解决所有的问题，只有整个行业都对它有足够的认知，联起手来，才会有更好的效果。



最后一个，我们把它定性为 APT 组织，也是想让监管单位也意识到，其实勒索攻击的团伙也应该用APT的手段来对待，而不是简单的一个黑灰产，小团队。



记者：演讲中提到勒索病毒攻击的六个步骤，前五个步骤其实更多在用亚信安全的网关检测和防护能力。那么在勒索软件的执行阶段，也就是在终端上执行的时候，这最后一道防线亚信安全是怎么考虑的？   



刘政平：其实终端层面的能力需要在两个层面加强。一个是防护，就是我们说到传统的杀毒软件，针对勒索行为做智能化。比如，如果一旦检测到异常加密行为，我们可以直接阻断那个进程。虽然可能黑客已经利用一个路径入侵到系统里，但他无法对你的文件进行加密。



第二，在终端被攻入之后，你要能检测到，这个能力是很重要的。黑客在投放这个攻击武器时，是经过测试的。既然传统的病毒码检测不到，那么能检测到的肯定是我们现在做的端点EDR的能力。EDR 是通过威胁情报来检测，IOC来匹配的。它检测到之后，我们就快速要进行样本分析，把样本自动化提出来之后在沙箱里跑，或者在实验室里面分析，就是做决策。有了这个机制，就算被攻破了，我们也能快速响应去处理掉这个风险点。



徐业礼：勒索攻击正常情况下都会去尝试破坏你的防御能力，比如说攻占ID、破坏防病毒系统。假设破坏成功了以后再执行勒索软件，应对这种情况的好办法，真的不多。第一企业要加强自身的备份能力恢复，还要加上平常的演练。但最重要的是，我们能不能及时检测，并且阻止这种行为，这些真真正正是比较前置的事情。



记者：有观点认为当前发生勒索后的数据恢复方式还是以备份为主，想了解备份在方舟勒索威胁治理中处于什么样的位置？



吴湘宁：反勒索是不是主要靠备份？我们认为，这件事的当务之急是去溯源这次勒索怎么进来的。



今天被勒索，不是说有了备份，把数据打开、解密就可以解决勒索的问题，这是个治标的思路。想想看，当你被勒索的时候，数据已经外泄了。如果仅是简单地恢复数据，其实没有解决本身这次勒索中的数据外泄问题。同时还有一个问题，就是即使你把数据恢复了，难道下次就不被勒索吗？毕竟勒索的源头没有找到。



所以我觉得，如果认为数据备份可以防勒索的话，这个观点是片面的，甚至是不正确的。数据备份更多是防止勒索的一个必要补充的手段。大家更应该明白，如果有数据备份当然恢复的效率更高，但更重要是如何在事前保护这些数据不被外泄。同时一旦被勒索了以后，怎么样溯源才能尽快找到被攻入的那个漏洞点。



我们现在看到，一旦被一次勒索，后面会有多次勒索紧接而来。假如你有备份不交赎金，恢复以后，可能不会过多久就会遇到二次勒索，甚至三次勒索，而且每次勒索价码会越来越高。这些都是问题。



记者：方舟计划主要的目标客户群体是什么？收费的模式有哪些？



刘政平：方舟计划是一个体系，实际上包含了我们的平台、产品和服务。我们会研究客户的业务场景，包括它现在安全的阶段、成熟度等等。如果是缺某一些能力，我们就要协助客户去完善这方面的能力。所以，这个方案不可能是单一的定价，我们要针对每个客户进行方案设计，有了方案设计之后才能有相应的价码。



记者：亚信安全其实一直在讲XDR的体系，今天又发布了方舟计划，二者间的关联是怎样的？



吴湘宁：过去的两年，我们分别发布了 XDR1.0 和2.0。XDR1.0，我们讲威胁可感知、安全可运维。后来我们发布了XDR 2.0，讲的是威胁可认知，安全智运维。我们今天发布勒索防护计划，就是亚信安全在整个XDR上的不断实践，能够更清楚地认知威胁的一个重要表现。



比如我们把勒索归纳成九个阶段，有不同的特点，就是一种认知。另外，我们对勒索提出了六个阶段的防护，也是一种认知。而且我们还把这六个阶段的攻击步骤归纳成72个检测点，告诉客户到底怎么防，在什么地方防，这也是认知的很重要一个步骤。从勒索的九个阶段，到攻击步骤的六个阶段，再到72个检测点，这些都是我们深入落实整个XDR的理念，威胁可认知的过程。



今天的方舟计划更大的含量就是我们通过平台+产品+服务的方式提供给客户。这个服务不仅有本地的服务，还有远程的服务等，所以这其实是我们落地的整个XDR 2.0的一些方式。



再拆解一下，平台+产品+服务中的平台讲的是我们的XDR平台。我们是希望把整个安全的，特别是在检测和响应的能力做成原子化。把这些原子能力落实到我们所有的，端边云网的产品里，最终要汇聚到平台侧，进行统一的精密联动和精密编排。今天亚信安全的产品是打通的，通过编排、联动实现自动化、智能化，云化，这个平台就是XDR的平台。



今天来说，国内这些客户有不同的背景，比如能源，金融行业的头部企业，有自己非常强的安全运营能力，也有产品+平台+服务，能做自己内部的整合。但是对很多制造业企业来说，还没有能力去做资源的整合，安全点投入也没有那么大。这类客户要追求性价比，把投入和产出均衡。所以现在我们有云化的、远程的，相对成本较低，轻量化的运维，也就是托管型的运维。这也是我们希望能够使大量企业用户普遍受益的商业模式。

信息安全20年，如何面向未来进行投资？

信息安全是近几年来资本市场相对比较活跃的板块。

编者按：本文来自投稿，文内观点仅代表作者本人，36氪经授权发布。



作者：投资人苗旺春，2017年开始聚焦于信息安全领域投资，先后任职于国内三家深度布局信息安全产业的国资、产业背景投资机构，熟悉国内信息安全产业及投融资生态。代表案例：创安恒宇、网思科平等。



信息安全是近几年来资本市场相对比较活跃的板块，主要源于数字化逐步渗透带动的安全需求逐步释放，以及政策、事件的催化，使得大家对于行业未来预期相对乐观。



基于这种大背景，不难发现很多机构关注、布局，甚至专注于这个领域的投资。但花点时间就会发现，这一市场散、乱，不符合投资人普遍喜欢的大市场特征，而跟企业实际交流的时候，也会被各种纷繁复杂的术语、概念干扰，导致虽然听起来很有故事感，但理解起来费劲。反映到投资决策上，大家会觉得能拿得准，不犹豫的团队少之又少，所以很多机构看了不少信息安全项目，一个都没出手。



作为一名在信息安全投资领域搬砖五年的投资经理，笔者希望能通过这篇文章，从投资人关注的角度，通过几个问题，帮大家厘清信安的的行业本质和投资思路，也希望扫清投资机构与信息安全行业企业的部分沟通障碍。



问题一：信息安全领域的投资赚钱吗？

为了解答这个问题，笔者梳理了目前A股相关的27家信息安全领域上市公司的数据，汇总的数据信息如下：







IPO前有投资机构通过股权受让、增资等方式参与投资的有20家，涉及到的机构投资资金总额为170.80亿。按照IPO发行价格计算的持股市值，加上机构在上市前股权转让的退出金额，退出总额共计447.88亿。投资机构的资金在IPO时点的增值倍数为1.62倍。



大致以2019年为转折点，IPO时点投资机构的资金增值倍数出现了明显的下滑。2019年之前上市的企业，机构共计投资41.84亿，退出金额为201.85亿，增值倍数为3.82倍；2020年及之后上市的企业，机构共计投资128.96亿，退出金额为246.03亿，增值倍数0.91倍。



纵观表一中的数据，整个安全行业，从绝对数额上来讲，IPO时点，为机构投资人赚到最多钱，且超过10亿的，只有六家公司，从大到小分别是奇安信、三六零、深信服、绿盟科技、安恒信息、山石网科；从增值倍数（剔除本金）来看，超过10倍的只有三家，分别是深信服、绿盟科技、三六零，而这三家背后的主力机构为兰馨亚洲、红杉、IDG、高原资本、雷岩投资、联想投资、银瑞达等机构，纵然有时代的大背景在，但这些机构的投资策略值得总结和学习，最重要的是坚持。



能够实现IPO的公司，属于业内相对比较优秀的企业，如果把整个放眼整个行业，机构的收益情况又会如何？我们先来看一下2010年以来，整个信息安全行业一级市场融资的情况：







*数据由作者根据公开及非公开数据汇总整理



2010年以来，整个信息安全行业有统计的一级市场机构投资（包含受让老股，不含IPO融资及二级市场融资）共计1,288笔，涉及总金额881.76亿。2014年以后，整个信息安全行业的融资金额及融资案例明显增长。表一中的170.80亿，占881.76亿的比例为19.37%，意味着投入整个行业的资金，只有不到两成可以通过IPO退出，获得最高的退出收益。根据清科研究中心于2022.9.21发布的《2022年中国股权投资市场项目退出收益研究报告》，IT行业近三年的整体投资回报倍数呈现一定下滑（2019-2021年三年的回报倍数中位数分别为2.00/1.67/1.65倍），IRR下滑更为显著（2019-2021年三年的IRR中位数分别为26.7%、22.0%、15.4%）。整体上安全行业投资的收益水平与IT板块趋同。只有少部分“聪明资金”可以赚到最多的钱，大部分资金都只能陪跑。



问题二：信息安全行业是门好生意吗？

让我们回归到行业里边相对比较优秀企业的经营状况，来看这个问题。为此，笔者梳理了14家信息安全相关上市公司2017-2021年五年的财报信息，名单分别为安博通、安恒信息、北信源、迪普科技、吉大正元、绿盟科技、美亚柏科、奇安信、启明星辰、山石网科、深信服、信安世纪、亚信安全、中孚信息。



首先，从整体上来看一下企业的经营状况。14家上市公司五年期间，收入由119.10亿增长到313.67亿，历年增速均在20%以上，维持了27.39%的复合增长率；但是回归利润指标及经营性现金流，2021年出现了明显的恶化，尤其经营性现金流。这一变化既有外部疫情的冲击，又有2020年以来头部厂商快速扩张，布局新业务增强研发，同时也不乏竞争加剧，应收账款账期拉长，导致厂商经营质量下降。增收不增利，反映了当前信息安全行业竞争加剧的客观现状，同时叠加研发投入强化，导致很多上市公司开始寻求通过定向增发、可转债及借款等方式筹集资金应对资金压力。



表2:14家信息安全上市企业近五年股权、债权融资金额（单位：亿元）











图2/3数据源于wind



看完整体的数据，我们对比软件与互联网板块，拆分一下财务报表体现的行业盈利及质量变动情况。



表3:14家信息安全上市企业近五年营收与毛利率情况（单位：亿元）







过去五年，信息安全收入板块占比提升1.14%；从2019年开始信息安全行业业绩增速明显高于软件与互联网板块；信息安全行业毛利整体下滑5.27%，相比板块整体毛利由37.28%缩小到29.18%。整体上，信息安全行业维持了超过板块整体增速的增长态势，但毛利下滑显著。



表4:14家信息安全上市企业近五年应收账款情况（单位：亿元）







过去五年，信息安全行业应收账款占收入比重整体上呈稳定态势；但由于收入增长，带动板块应收账款占软件与互联网板块整体应收账款比重提升了1.70%；软件与互联网板块应收账款占收入比连续四年改善后，2021年重新抬头，相比而言，信息安全板块由于应收账款比重长期较高，应收账款收入占比比重变化不大。



表5:14家信息安全上市企业近五年营业利润情况（单位：亿元）







过去五年，前四年信息安全板块整体维持了营业利润持续增长的态势，但2021年板块整体营业利润大幅下滑；对比软件互联网，板块整体营业利润水平在经历了2018年的低谷后，大幅改善；相比板块整体，营业利润下滑明显，背后原因跟目前信息安全产品需求迫切性偏低，客户优先满足生产管理业务系统及资源投入的大前提关系很大，信息安全行业整体上存在让利于软件与互联网板块的现象。



表6:14家信息安全上市企业近五年经营性净现金流情况（单位：亿元）







呼应应收账款部分揭示的情况，信息安全板块经营性净现金流在软件与互联网大板块中的占比持续下滑，从优于大板块逐步变化为不及板块整体；在宏观基本面相同，且信安板块受政策刺激显著的大背景下，这种现象揭示了信安产业整体经营性现金流承压明显。



看完上边四组数据，我们会发现，整个安全行业虽然毛利相对较高，但利润水平其实整体上与软件与互联网板块相差不大，甚至在逐步恶化。那么较高的毛利都牺牲在了那些环节？



表7:14家信息安全上市企业近五年销售费用情况（单位：亿元）







过去五年，信息安全板块销售费用收入占比存在一定下降；与此同时，软件与互联网板块销售费用收入占比呈现逐年上涨趋势；信息安全板块销售费用收入收入占比整体上仍保持在16个百分点以上；销售费用占比的变化一定程度能体现业务属性在客户端的需求迫切性的变化。



表8:14家信息安全上市企业近五年研发费用情况（单位：亿元）







从研发费用看，信息安全产业属于软件与互联网板块研发强度较高的板块，历年研发费用收入占比均在20%以上，且仍在不断提升；软件与互联网板块的研发投入强度亦呈现出逐年上升的态势，信息安全板块的研发费用在大板块中亦逐年提升。



表9:14家信息安全上市企业近五年管理费用情况（单位：亿元）







伴随信息安全产业在软件与互联网板块比重的提升，管理费用在板块中的占比提升明显；从收入占比而言，整体上管理费用占比呈现下降趋于稳定的态势。



表10:14家信息安全上市企业近五年期间费用比率情况







信息安全行业虽然毛利相对较高，但期间费用亦明显较高，扣除期间费用后的边际利润与软件与互联网板块整体相差不大，且2021年以来明显恶化。



整体上，信息安全行业的高毛利被较高的销售费用与研发费用投入消耗干净。这里一方面体现了产品价值含量低的现状，另一方面也体现了行业人力成本较高、产品技术迭代较快的行业特点。



而从行业实际的情况来看，核心业务贡献的核心利润占营业收入比重亦存在一定的下滑，对于外部资金依赖度较高。近年来非核心利润（下图红框内成分）占营业利润比重达到55%。



表11:14家信息安全上市企业近五年核心利润比率情况







图4：报表中剔除核心利润后营业利润的构成项







总结一下以上拆分的报表信息，可以发现，目前信息安全行业的高毛利并不是优势所在，而是产品价值含量较低，导致销售费用高企，研发环节效率低下，导致研发费用过高，导致行业被迫只能做高毛利的客户谋求生存。而这种成本高企、效率低下的研发、销售、交付及堆货值的产品价值思路，注定不是一种可持续的商业模式。目前的信息安全行业算不上好生意的范畴，结合行业空间、业务模式及盈利能力与质量来看，顶多算个三流行业，迫切需要革新。



问题三：信息安全行业现在的痛点？

这部分内容旨在通过第二部分的财务数字，结合行业目前的现状，厘清问题，进而寻求出路与变革，而这些正是投资机构面向未来布局的关键机遇。



目前安全行业经常听到的弊病包括：



1. 产品研发缺乏统一开发平台或架构，研发人员、资源无法复用；



2. 安全能力无法协同、迭代缓慢；



3. 产品种类日益繁杂，但极难进行协同，无法形成一体化低成本的安全价值；



4. 产品非核心功能冗余，配置复杂，使用难度较大；



5. 产品价值合规属性偏重，无法在客户场景发挥实际价值，无法帮客户维护常态化的安全水位；



6. 厂商核心竞争点体现在围绕大客户与高毛利行业的销售及渠道资源PK，产品同质化严重，性能指标差异不大；



7. 收入依赖过往一年客户的预算储备；



8. 客户场景信息化程度及人员水平参差不齐，定制化比重较高；



9. 交付部署、运营维护人员依赖度较高，成本较高；需面对大量适配、配置工作，甚至要响应一些跟自身产品无关的的故障问题；



10. ……



以上问题反映的本质是商业模式较重，行业生态缺乏，产品价值含量低的问题。



近些年，由于HW及各类安全事件频发倒逼，叠加监管要求更加复杂、多样化，甲方面对的安全及合规要求日益复杂，安全运营的概念日益兴盛，而安全运营的最直接要求是将客户IT环境内的各类安全产品真正用起来，在满足合规的基本要求的同时，能真正发挥安全产品的能力，面对外部及内部各类安全威胁，能起到及时预警、发现及阻断，进而对日后安全运营工作进行经验指导的过程。要把要全运营真正做好，就要求安全产品必须可以协同，这是最基础的要求。



所以，如何实现安全运营的价值，同时兼顾研发效率、交付效率、运营效率，以及商业模式高效低成本，成为信息安全行业目前最大的挑战，也是最值得创业厂商去思考和突围的机会。



经常听到的一个抱怨是，国内大客户普遍只接受项目制、本地化的方案，从而使得信息安全行业定制化比例较高。需要承认国内不同行业信息化水平及企业对于信息化价值的理解程度确实存在差异，甚至是差距。但各行各业对于软件、信息化类产品的诉求其实是统一的，便捷交付、稳定、高性价比、简单易用。从社会经济的一般规律来看，需求本质上是由供给塑造的。结合这几点，可以得出一个结论，国内目前的信息安全产品缺乏统一的规划及标准体系，产品方案停留在简单的开发交付，对于甲方场景的实际应用特点理解不足，导致产品价值含量低，成本较高（厂商很少关注产品在客户场景的实际使用情况：比如某头部股份行曾耗费数亿成本试图让自身IT环境内的安全设备与软件协同，但效果并不理想）。这也进一步导致腰部及长尾中小企业、个人的安全诉求无法得到满足，几乎所有厂商都被迫选择头部客户互相竞争。



也经常听到大家抱怨说腰部及长尾客户没有付费能力。但这部分市场，其实只是缺乏有足够生命力的产品和商业模式去满足这部分需求。360、深信服、阿里云安全的成功，其实就验证了这部分客户需求的市场土壤其实很肥沃；360靠的是商业模式的创新（周老板不要再说自己的商业模式“奇葩”了，不能否认一代产品经理和网安人的创举）；深信服靠的是高标准、简单易用，高性价比，进而适合借助渠道推广；阿里云安全天生的原生一体化协同安全能力，更是将安全能力的交付做到极致的轻量与便捷化。这三家公司的成功，都说明了腰部及长尾客户安全需求的旺盛。



所以，需要做出改变的是安全行业的供给端。出于供给端的厂商需要重新梳理产品设计、研发与交付，需要转向价值交付理念，更需要安全行业的创新要跳出简单的研发思路，拓展至销售、交付、商业模式等整个商业链条的创新。



现阶段疫情对于安全行业的冲击是毋庸置疑的，但危机倒逼创新，当客户端预算压缩，叠加安全需求更加复杂旺盛，做不到以更低成本开发更高价值含量产品与服务交付的厂商，生存空间将受到显著挤压。美国SaaS产品的兴盛，一定程度上是数次经济危机塑造的结果，在数字化手段的价值成为共识的前提下，大量中小企业客户，以及大型客户更新迭代较快的业务系统，需要更加便捷、低成本的交付与退出机制来应对经济与市场的波动。再结合国内经济逐步由增量建设转向存量盘活的大背景，数字化的价值共识成为绝大多数追求效率与价值创造企业的共识，轻量、便捷、低成本的交付与退出的商业模式将会成为软件信息化行业未来的主流。



问题四：行业突围的落地方式会是什么样？

创新的方式是无止境的，边界取决于每一个安全人的探索。就目前笔者实际观察到的、有前景的落地方式，可以概括为生态化与平台化两种。



生态化，即依赖某个厂商的核心产品或能力，为实现客户场景安全价值的最大化，采取向客户建议、推荐等方式，优先选取与自身产品、能力协同性较高，能最大程度形成一体化安全运营价值的产品或服务。这种方式对于品牌及能力认可度有一定要求，同时需要面对国内目前较弱的知识产权保护力度及意识问题（看到别人东西好，总想抄，抄的成本还是太低；被抄的，也得想办法把抄的难度提上来，不能全怪保护力度不够）。



平台化，基本以成为现阶段安全行业降本增效的一个共识。不管是产品设计、研发，还是销售与交付，延伸到后端的运维与复购，每个环节都有进行平台化优化的可能性。



图5：信息安全行业平台化趋势的内在动因







问题五：具体投什么？

目前从实际的安全理念或产品设计思路来看，SOAR、XDR（这两者存在差异，但整体偏生态化，放在一起仅限于展示生态化的理念）、SASE、云原生安全（这两偏平台化），以及以安全运营为核心设计思路的产品，比如BAS、ASM等（安全运营需要生态与平台共筑），具备了明显生态化与平台化的特征，创业厂商也上市公司也都开始从自身实际情况进行研发布局。



这里再提一下工业互联网安全、车联网安全、物联网安全等。本质上这类安全需求的出现是数字化逐步渗透形成的，作为增量市场有一定机会，但是安全的需求及落地一定是结合产业实际的状况为前提的，并不是凭空想象出来的。这类安全涉及到的流量大小、处理难度及算力可得性与场景密切相关，策略构造相对要简单很多（客观上不能太复杂），不管是从实际可得的安全投入来看，还是安全态势的复杂度来看，都相对有限，所以市场空间其实比较有限，投资难度其实更大（不是说没机会，是说要更仔细的甄别靠谱的团队）。此外，受限于场景专用性，厂商的安全能力及业务延展性普遍受限，但要想成为一家规模化企业，这种能力却又很重要。回归信息安全的本质，本质上保护的是数据资产的安全，而不是实物资产的安全，实物资产的安全需要靠法律道德约束下的公权去维系，搞懂了这一点，也就明白了信息安全价值的本质与边界。



回归正题，讲讲数据安全，这个赛道很热，因为机会很大，但是还是需要小心，因为数据安全的概念由来已久，如果无法很好理解这轮数据安全热的本质驱动原因，很容易失手。一直都有的数据安全，主要针对数据库等数据资产聚集系统的安全与管理，主要通过软件工具构造静态的预制策略。而这轮数据安全热提到的概念，更多指数据作为核心业务生产资源，在业务系统中从诞生到销毁的全生命周期安全，是一个动态的流转过程，策略也需要结合业务系统及权限变动进行动态调整与构建，复杂度提升了N个量级，场景中的价值含量也有天壤之别，所以未来的数据安全一定是偏运营的，而且最终会与网络安全融合（甚至反噬网络安全，现在好的网络安全产品，都是基于数据积累、运营的迭代为基础）。理解这一点，大概也就理解了为什么数据安全赛道如此火爆。



表12:不同信息安全赛道市场规模及对应基础产业的规模







问题六：怎么投？

明确了方向，就需要谈论该怎么投，但其实结论大家都清楚（指的是那些真正懂投资的，市场上投机的很多），还是要回归人，而人是最难判断的（建议大家翻一翻目前已上市以及业内有影响力的未上市企业创始团队的背景及履历，大致会有一个画像分类。这些人一定有些共同点，当然有共同点不一定就能做好一家企业）。不熟悉产业生态，很难抓到那一小撮最靠谱干事的人，这就要求机构必须深耕产业，要保持勤奋、保持理性。



问题七：选什么样的机构？

这个问题是给安全行业的企业融资挑选投资人时的一些建议。



首先，要仔细甄别“国资”类机构。很多企业愿意接受国资的资金，希望得到一些背书或产业资源支持。但其实本质上“背书”仅限于标签，产业协同对于绝大多数此类机构都是用来忽悠的，目的就是砍价谈条款，所以企业融资时一定要擦亮眼睛。市面上确实有真协同的国资，但是屈指可数，道理很简单，国资体系普遍极为庞杂，市场化属性较弱，投资板块跟业务板块的协同难度极高，大家都是各自管好自己那一摊，没有政绩与政令，不欠人情，何必为了别人的业务给自己增加额外的事务。反而是一些市场化的机构，大家追求价值创造，内部沟通链条更短，不管是GP的资源，还是LP的资源，协同创造价值的动力更足。当然，这些都只是锦山添花，一家不具备独立生存发展能力的企业，从投资的角度来看是不具备投资价值的。



其次，选有成熟投资理念的机构。投资圈的生态，创业企业不一定熟悉，国内2015年后，股权投资市场涌入大量非市场化资金，进而涌入不少单纯有能力撬动此类资金，但决策层其实对产业认知相对有限，体系化投资理念相对欠缺的机构。对于这类机构，如果是出于彼此信任，沟通成本较低，是可以考虑的。但如果过程中沟通成本较高，不懂自身业务价值，只看财务数字的机构，这类机构需要往后排，这类机构普遍对企业经营或行业没有认知，而且大部分采用的是流程化、工厂化的投资管理体系，一旦企业经营出现波动，会给企业制造很多麻烦。有成熟投资理念的机构，深谙创业企业经营发展道路之坎坷，赚快钱的心态会弱很多，更多基于产业价值认可前提下对于团队能力的认可和信任进行投资。



最后，关于融资及估值。很多创业企业的团队，都是单纯的技术出身，对于产品价值也许有理解，但不一定熟悉市场生态和需求成熟度，对企业运营也缺乏管理经验，这就导致融资时无法合理规划自身资金需求，估值基本不是拍脑门就是单纯依赖FA等外部机构的建议。但融资这件事，真的不是越多越好，把握不好业务发展节奏，盲目融资，使用时缺乏规划，很容易导致业务与估值脱节，导致融资难度激增，这种教训在很多企业身上看到过。个人的经验，股权融资最好的状态是根据自身业务进展的节奏，提前半年到一年规划，融资额不建议超过实际阶段需求太多，适度超募，最重要的是一定要对自身业务发展有明确的认识和规划。



最后发几句牢骚。中国经济整体由增量建设转换到提升质量的大背景下，软件信息化的价值将日益凸显，也许现在还不明显，但参考欧美大国的发展历程，以及国家频繁发布的各类鼓励政策，都提提供正面与侧面的印证。目前宏观经济的最核心压力，与信息安全产业面临的困境如出一辙，提质增效成为谋求生存与发展的必要手段，而这种硬骨头天然只有那些对行业有充分洞察同时大胆尝试的创新者才能啃的动。困境意味着大部分人开始碰壁，意味着少部分创新者将迎来脱颖而出的机会。与所有关注信息安全产业发展的同仁共勉！