网络安全行业在国内目前的环境是一个国家高度重视但是收入比较低的市场,总结下来可以说是:“需求旺盛,技术原始,要求顶天,预算很低”。在前几年攻防演习的红利中,网络安全企业或多或少形成了一种“我很牛”的错觉,随着常态化带来的冲击感紧迫性降低、大环境的降本增效、以及投资市场输血能力断崖式地萎缩,绝大部分的网络安全企业都感受遭遇了滑铁卢。
这中间有一类的企业是现金流断了,即便技术再好用户再认可,口袋是空的,已经无法给你足够的时间和尊严去证明自己,所以选择卖身也算安全离场,自然消失的也不少。还有一类融过资且未上市的公司稍微好一点,账上现金流还足够,躺着也能活个两三年,但是一个大的问题在于几乎所有这类企业都有上市回购的条款,而时间多则三年短则一年,这把剑悬在头上压迫感让人喘不过气来。另外的上市不上市的企业里面,好不好只有一个衡量指标:现金流是否为正。这个指标在以前是一个很高的要求,在未来怕会是一个基本操作了。
收入是有办法起来的,之前大家惯用的方式就是增加销售,增加产品品类,增加市场宣传。这种方式是需要比较大的成本投入,比如没有好产品就靠销售三寸不烂之舌,理应销售多拿钱,即便是亏钱也得这么干,这种模式别的毛病没有,就是发展不大。要想要好卖,就要好产品,且要多个好产品,那么注定就是重研发投入,可以预见的就是公司用2块钱的成本换来了1块钱的收入增加。to b的市场,尤其是网络安全领域,细分得太厉害,相互交叉,很难有一家通吃的逻辑,所以导致了大家增长收入的情况下现金流也迟迟不见转正。
这个年头,开源和节流哪头都很难,开源需要好的产品和清晰的市场定位,除非是颠覆式的创新,否则就要顺应行业的发展规律。目前来看,除了监管单位的市场跟随着国际形势有所增加之外,央国企和市场化企业都面临着开源节流的问题,非主业的需要,能减都减,安全这种属于非明显利己的投入,通常放在缩减名单的前几名。这么下来,网络安全企业面临的问题就是你想开源对着别人的节流了,所以今年下半年相互之间的恶意竞争就多了起来,因为销售也有业绩要求嘛,价格更低了,抢了别人的生意,自己成本更高了。这时候的狼性展现地淋漓尽致,是肉就上去咬,晚了就没得吃。
我们的某位投资方跟我说“你们是我们投资企业里面技术最好的之一,但是企业规模增长是我们投资里面最差的之一”,这是实话,投资方之前投的都是芯片和系统以及人工智能之类的,该上市的上市,该盈利的盈利,最不济收入每年增长个几成也不是问题,对应网络安全行业的现状就是一片狼藉。收费低但人贵,在大环境或者产品收费模式没有太大改变的前提下,现金流的状况只会越来越紧张。
现在不是拼谁的收入增加的问题,而是谁有现金流的问题。现在还死死地盯着收入不放手的做法,是对未来还产生了些许幻想。上回上课某位老师跟我们说“不要认为你看到的是最低点,最好在看到拐点的时候再做乐观的估计”。有人想搏一把大的抄底,咱们不存在,网络安全从始至今也不是一个创造美好事物的行业,它是一个保护的行业,刀尖上跳舞,客户的收入并不见显著的增长,挂掉了也不会在网络上讨论超过一个星期。总结来说,网络安全行业在目前国内市场的现状,赚的是苦力钱。
既然是苦力钱,就先不去谈什么高科技了,你不能寄期望于客户每天都被敌对势力和黑客虐个千百遍,即便是这样,客户大多也不会为了一个小概率事件去花大价格买一个保险。我不知道大家如何,反正每次动车打印保险凭证,我没有选择过3块钱买一个意外险。钱是公司的,丢了也就丢了,买安全产品和服务几百万,出一次事几千万,十年出不了一次事情,算下来,好像裸奔也算是一笔划算的买卖,这不是技术问题,是一个全局决策问题,科不科技技不技术的问题,在很多商业场合,根本不是待讨论项。
现在有两类客户是不同的,一类是监管用户,一类是金融互联网这样的企业。第一类好理解,网络安全问题跟地缘安全一样,最终都是国家买单,所以上层领导们总是急的,看到问题多,也想要解决,但是这么多环节,层层下达,效率总差强人意,同时下面捂被子的情况也是丝毫不见改善,越是这样越急,越急也就对技术要求不一样,一下就拉高了起来。另外金融和互联网离钱太近,网络安全问题几乎都会直接对应金钱的损失,所以有没有监管,都是自驱地选择更好或者更创新的方案。这些情况,安全公司自然都感受到了,不约而同的都往这些地方靠拢,除此之外,出海也无外乎这两种类型的客户。
遗憾的是,这两类客户的收入加起来,养活不了200人的公司。基本是项目制,前期沟通成本和后期的交付成本很高,算下来小团队可以养活,规模达到一个量级,基本上是用木柴烧火来推动火箭发射了。中间还有非常多的隐形损耗,比如预算打个折从中间商走一走之类的,加上时间跨度大变化多,后期也很难复制。大家掐指一算,发现开源这事跟人头成正比,但是人均费用跟收入增长无法匹配,于是提出降本增效,通过减人数把效率提升。结果是效率反而进一步下降了,主要是因为不知道干嘛了,观望态度的人一多,更显拥挤。
收入不是想出来的,不是造出来的,更不是骗出来的,而是根据市场的真实需求算出来的。大家不愿意接受目前这个市场就这么大,这个产品今年就只能卖出这么多钱,很多人觉得只要销售足够强,没有市场也能够创造出市场,一定要把梳子卖给和尚,还要卖给全天下的和尚,坚信只要把寺庙走完,收入稳稳的……这种不太尊重市场规律,也不太尊重自己。
网络安全的痛点是真实存在的,需求也是明确存在的,只是目前留给市场化的份额不足以养活几百家安全公司规模上千人。尤其是产品细分碎片化以后,沉淀下来做专精特新领域的事情,一个企业年收入十亿难度有点大。但是那个目标好看啊,能讲故事啊,于是大家都摇旗呐喊,每天祈祷收入不能掉不能掉,砸锅卖铁大跃进,新产品多上一些,服务多做一些,集成项目越大越好。收入确实起来了,留下多少利润,大家也都看得到。
有几个公司发展得很不错,持续稳定增长,每年都有利润,很早就进去了属于自己的良性的节奏。我观察了一下,收入多高并没有,技术多领先产品知名度多高也没有,按照我之前的理解,怎么看都是输的,但是人家利润怎么来的?最后一下恍然大悟:人家这成本控制的就是超一流。同样的收入,人家的成本是我们的一半,人均产出很高,所以我们亏人家就能赢。
追求技术卓越有错吗?肯定不是,这是我们的标签,也是我们要去打造的核心壁垒,我也坚信未来好的技术和产品总有自己的一席之地。只是在当下,大多数企业还没有学会的是人家的核心竞争力,就是如果以市场可接受的技术要求可接受的价格体系去做产品,同时严格控制好研发交付以及销售的成本。
除了少数漏洞挖掘类和渗透测试类的高端人才,大部分的人员其实不用那么高的成本,主要是物以稀为贵,前期市场对网络安全人才的需求高,所以工资水涨船高,对行业销售需求旺盛,所以奖金也高。虽然大家没怎么见到钱,但是不妨碍对未来美好环境的展望,于是对于能带来希望的人员,大家都是不吝啬的。这种成本持续在乙方企业积压,当红利期一旦有所减少,带来的影响就非常明显,企业是承担不住的,未来网络安全人员的待遇会趋于理性。
所以,我个人认为认清现实很重要,没逼到那份上,大家还是硬挺,心存侥幸,等到最后已经无法挽回。事实上有核心技术的活下来不难,都能活,我们也是一样。首先把收入光环放下,算一算哪些产品是客户认可的,能够自增长的;其次集中兵力做核心产品,把没有客户认知不可复制的“产品”先放一放,几十人做十几款产品不如几百人做一款爆品;最后算一算成本以及合理的收入,全员齐心协力,确保现金流转正。假设之前定的冲2亿却还是亏损,就把目标改成收入1亿有利润。
市场环境有周期性,网络安全技术是一项满足国家安全的基础能力要求,未来不可能没有,但是要等。今年FOFA的订阅付费情况还是让我有了一些底气的,另外监管的一些项目也让我们找到了方向。用产品说话,用高性价比的产品来保障我们的网络安全,养活自己,养好奋斗者贡献者。
在一个整体市场规模不大,且预算进一步萎缩的网络安全市场的今天,真实的市场收入是可预见的,推演过来,成本控制才是核心竞争力。只有活过今天才能有未来,剩者为王。