随着5G、云计算、大数据、物联网、人工智能等新一代信息技术的成熟。,网络与信息安全面临的风险已不再等同于传统的信息安全。企业安全服务将面临巨大的潜在市场,但与国外相比,我国企业安全服务的投资比例还很小,还处于市场培育阶段。传统安全和新一代网络安全有什么区别?面对B端企业服务市场,巨头厂商和创业公司有哪些不同的策略?如何在信息安全领域找到细分的创业机会和投资机会?视频媒体融众财经联合齐安投资推出信息安全系列专题,齐安投资执行董事李毅、安全学堂联合创始人林森带来关于企业安全服务创业与投资的“真金白银、真材实料”。
图片来源:容众财经许:欢迎来到融众金融。如今,无论是中美关系,还是全球数字化,包括安全网络,都越来越受到重视。在中国,政府和企业都在推动我们的整体国有化和进口替代。在这方面,我们可能更关注一些制造业,包括一些核心技术,甚至芯片等硬件。然后,在网络安全领域,你们都处于最前沿。你能给我们讲讲现在企业的一些变化吗?
李易:首先,中国用国产化替代是不可逆转的趋势。中国一定会发展自己的自主可控的信息技术框架。我认为保安公司有很多机会。因为中国自己走的是自控路线,也是基于背景的决定。对于保安公司来说,其实他们有一个非常一致的目的;其次,对于安全公司来说,其实也有一些挑战,需要跳出原有的信息架构,拥抱国内新一代的信息技术架构,适应新的操作系统,新的底层基础设施,包括数据库等。对于安全创业公司来说,都需要做大量的工作。
许:给他们带来痛苦也需要一段时间吗?还是他们需要适应并需要一段时间?
李易:肯定需要一段时间!对于初创公司来说意味着更多的工作量,但是如果在这个过程中,如果积累的好,能够适应整个本地化的浪潮,其实可以给客户带来更直接的效果。现在客户也需要这样一个自始至终独立可控的解决方案,无论是合规的要求,还是自身业务的考虑。如果安全公司能够与整个国内信息系统紧密结合,那么对于用户的价值是毋庸置疑的。
许:林先生,作为一个企业家,你能谈谈整个安全和信誉,包括我们的整个本地化浪潮来取代它吗?
林森:作为一个创业者和一线从业者,我觉得国家政策很好。当然我们觉得这个行业也很好。为什么?正是因为这么多保安公司的存在,我们的国有力量在保安领域越来越强大。而且一旦发生大的冲突,这些产品和解决方案可以冲到第一线,既保护了我们的国家,也保护了我们的商业市场。非常好!我们也需要更多的场景,就是除了政策,国家需要给我们更多的机会。当我们的产品和解决方案投入到具体的商家和客户身上,满足一个具体的需求,我相信这个产品会越来越好,我们会赶上行业,世界领先的厂商,尤其是国外的厂商。因为我相信中国的经济环境一定是世界上最有活力的市场,那么我们在这个市场上的持续深耕,实际上会让我们自己的企业,我们的产品更有活力,更有生命力。
李易:刚才林总说了,国家有可能给创业公司提供更多的机会。我觉得创业公司也需要主动去发现自己遇到了什么问题,有什么商业点。我觉得这对创业公司来说尤其重要!
林森:至于创业公司,我觉得找到客户的能力一定是最重要的指标之一。我们经营一家公司,不管是投资人还是我们自己的股东,包括我们的员工。首先,我们也希望公司盈利。我们希望公司有大量的客户,能够服务更多的企业客户。我们的投资者非常正确。除了技术,还要两手抓营销。
在安全开发的过程中,我们一直有一个想法,技术必须和业务场景相结合。一项技术如果不与业务场景结合,我们发现它的未来很难落地,发展受限。
许:贴近客户,了解客户需求,了解市场。能不能以我们公司为例,谈谈这个网络安全是怎么玩的,在创业过程中是怎么布局的?
林森:对我们来说,我们给自己一个清晰的中国安全市场定位,分为合规市场、商用市场和C端市场。我们自己的基因和优势都不错,玩合规可能不太合适,因为我觉得这是高玩的风格,比较适合有头有脸的厂商;对于C端来说,其实大家都能看出来,竞争已经很充分了;然后我觉得我们的商业市场足够大,基因也还可以。我觉得这个市场很好,我们有能力覆盖这个市场,我们可以提供安全的产品和服务来满足这个市场的需求。在安全方面,我们是一个叫跨界的物种,因为我们既研究商业,也研究安全。我们希望我们的产品能和客户的业务融合,这是我们最大的亮点。我举个例子让你明白。有一次,我们服务的客户中,遇到了一个问题,它的数据库从31改成了1。其实很多安全厂商的产品都是可以抓到的。我说不清31变1本身给企业带来了什么风险,因为我不知道它代表了什么意义和内容。但是我们的产品,我们有一个名为KBM的GRC产品,可以解决这个问题。我将这种变化融入到具体的业务场景和模型中。如果我发现这是一张费用报销单,从1月31日更改为2月1日,我觉得这种更改没有太大风险。这是一种非常常见的表账调整业务。然后这个月预算够了,我转到下个月报销。我觉得风险不大。如果是购买的付款单据,其购买的付款期限由31天改为1天,我认为风险很大。为什么?因为一个企业,尤其是制造企业,采购一种原材料,留出整整31天的周期来完成一个月的生产运作,我会核实这个材料采购有没有问题,一个月后我会付款。我觉得是很正常的操作。如果换成一天,我第二天再付。如果我从业务场景、业务流程、数据等方面告诉企业这个变化,会特别好理解。我们知道,很多企业在判断风险的时候,管理层不一定有很高的数据库技术,包括开发的能力,我们认为他们不会有。但我告诉它,有人把一个购买付款期从31天改成1天,风险很大。这时,我们的企业管理者就能清楚地知道这是一种风险。然后我再去搞清楚这个风险到底为什么会出现,会给我带来什么不利。我觉得这是保安学校和其他保安公司最大的区别。
许:你们不仅提供了一个安全的产品,还提供了一种咨询。你是从这个企业的经营者的角度。不简单的是甲方提出的任何诉求我都帮你解决,而是你帮甲方看到你有这些问题,我可以帮你解决。
林森:我们有一个引擎,我们有一个UEBA用户行为分析系统,它会学习用户终端的操作。比如,当我发现一个人在过去的一年里没有通过这个ERP的模块,但是突然之间,他开始频繁的访问,开始涌出数据,我们就开始有理由怀疑这个人的行为可能有问题。我们是基于用户的内控体系,财税体系,以及自身对用户业务场景的积累。我们不断完善自己的分析体系,这是我们很大的优势。
许:齐安投资是一家基金管理公司,是业内为数不多的专注于这类网络安全的公司之一。那么,其实你有什么独特的投资逻辑或方法论与我们分享吗?
李易:其实信息安全的投资领域可以说是近几年非常热门的领域。我们可以看到很多投资机构其实也在组建相应的团队,对这个信息安全方向进行布局。
我觉得这个信息安全的创业生态其实很好。但另一方面,我也看到,其实很多投资机构都在向我抱怨,第一感觉安全很难投资,因为这个安全本身就很碎片化,领域和方向很多,很难理解这个行业;第二,感觉安保公司,好像市场没那么大,或者说增长不一定那么快,入门难。我想在这里分享一下我们中国投资公司是如何投资信息安全的。
第一个是我们根据情景进行投资。这个侧重于一些新的应用场景,比如云计算、大数据、工业互联网,或者移动互联网等。,都属于新的业务场景。那么,随着这些新的商业场景的诞生,安全细分领域将会有更多的创业公司来解决这些相应的问题。所以我们需要看这个场景是否足够大,背后的市场规模是否大。这些领域可能有很大的投资机会。
许:虽然他们在不同的领域,你也提炼出了一套共性。比如这背后的行业需求够大吗,就是你要提供一个通用的方法?
李易:没错。所以这是基于行业和市场的考虑。第二个是从技术角度判断是否是投资。比如现在的安全其实每年都有新的技术出现,因为黑客本身也会进化出自己的攻击逻辑,所以其实我觉得“道高一尺魔高一丈”。这个过程是一个相互促进的过程。近年来,我们每年都有各种新的安全技术术语,如原始软件定义的边界,或零信任等。,都是新的。包括我们几年前由Chian Investment投资的SkyAlliance,它所做的危机信息也是一项新技术。新技术既能解决传统问题,也能解决新问题。有了新的技术和业务的结合,才能成长为一个比较好的公司,所以第二点就是从技术上考虑。
第三点是我们会主动看团队的背景,包括几个点:第一个是它的安全基因更强;第二是要和业务紧密捆绑;第三是必须具备一定的销售管理能力,需要团队不断的把公司从一个最早的技术公司转变为产品公司,再转变为市场化的企业,这是更高的要求。
许:行业,技术,团队,而且我觉得这也对我们像赤岸投资信息安全这样的投资机构提出了非常高的要求,因为实际上你需要不断地了解这个行业,这个团队,这个销售,你要不断地更新你的技术储备,因为像你说的,基本上互联网安全和信息安全每年都要更新很多的术语,每年都是神奇的暴涨,所以是对的。
李易:安全是一个美好的,因为它是一个不断成长的赛道,但同时对创业者和投资人的要求都很高,需要随着这个时代的演进不断的进化自己。
许:我们谈了行业和整个大企业的历史,包括宏观环境的背景。两人都是投资创业方面的老司机。最后能不能给创业者或者一些想进入这个行业的新投资人一些建议?
李易:如果是创业的话,那么我觉得首先要做的大概就是找到一个合适的场景,就像刚才你们两个说的,然后结合自己的技术优势,看看能不能做点什么,用一些新的技术或者新的方法来解决这个客户遇到的这些新的问题。这是一个机会。
同时,第二个呢?我觉得创业公司平衡能力也很重要。因为我们今天看到很多创业公司,不管是安全的还是不安全的,可能是他们在创建团队的时候,一开始可能人力不均衡,很难达到一个平衡。但是我觉得这个团队在公司初期是很重要的,能平衡一下就更好了,这样他们才能更进一步。
初创公司需要对安全有非常深刻的理解,因为安全本身就是一件非常复杂的事情,虽然听起来可能很简单。安全本身不是一个结果,更重要的是一个过程。我认为安全的本质是解决信任问题,尤其是在当今安全威胁越来越强烈和高级的情况下。事实上,安全性需要不断自我发展。所以对于创业者来说,安全知识,攻防技巧,或者产品的技术知识,我觉得这种技术积累尤为重要。另外,我觉得技术储备需要对这个底层的基础设施有很多了解,因为安全本身就是IT信息基础设施和第二层的产物,所以和底层的信息系统和业务系统紧密结合。所以它需要对这个网络,或者数据,或者新一代的各种技术,比如人工智能等等,有自己的理解。,所以我觉得两者结合是有可能的。
林森:经营公司的核心是盈利。尤其是在To B领域,不要被之前的很多经验影响。如果你想在这个领域烧穿这个天花板,特别是在安防这个市场,我们觉得很难。
其次,我觉得控制规模。因为一个操作员,就像一个船长,必须控制你运载的货物的方向和重量。并不是说公司越大越好。一定要合理控制自己的规模,储备自己的现金流,应对一切可能出现的问题。
第三点是确定你的目标客户群。一定要明白,别人能在这个领域赚钱,不代表你也能在这个领域赚钱。别人能获客,不代表你能获客。我们还得考虑技术之外的自身因素,比如客户、渠道、团队!
李易:其实创业公司选择一个合适的投资人也很重要。因为在To B行业本身,和To C的投资,创业的生态或者发展的路径是完全不同的。所以对于证券公司来说,其实和To B里面的很不一样,需要投资人了解这个行业,了解这个市场业务。有哪些实际问题?同时需要投资者有很强的耐心。如果投资人有一点额外的产业资源帮助赋能,那么这是最完美的。如果有这个证券企业家,那就找赤岸投资,不敢说是最专业的证券投资机构!
许:那一定是最安全的!总结一下,也是过去式了。C端的这些概念体验很多都不靠谱,在B端可能用不上。第二,一定要做自己能力范围内的事情,不要好高骛远。第三,一定要找好合伙人,不管是创业团队的合伙人,还是我们的投资人和投资人。
林森:感觉我们安全派很幸运。这几点都是对的!
