現代勒索攻擊團伙其實就是APT組織

對話「亞信安全」 ：現代勒索攻擊團伙其實就是APT組織，單純靠數據備份治標不治本

亞信安全認為，勒索病毒已經完全符合網絡安全行業對于APT組織的認定標準。企業需要通過“事前預防、事中處理、事后掃雷”三大手段，構建立體化、平臺級的運營防護能力。


勒索軟件已成為最被矚目的安全威脅之一。全球威脅情報機構RiskIQ曾發表過統計，表示每1分鐘就有6家單位遭受勒索攻擊，而每分鐘因網絡安全導致的損失高達180萬美元，整年超過6萬億人民幣。也正因此，如何對勒索病毒進行有效的防護和治理也順勢成為話題。

對于這一話題，36氪獲悉，亞信安全近期特地召開了「全面勒索治理即方舟計劃」發布會。

在發布會中，亞信安全持續強調的一個觀點是，現代勒索攻擊團伙其實就是APT組織。也正基于這一判斷，亞信安全推出了「方舟計劃」，希望通過這一計劃，并結合其自身既有的產品、技術能力，幫助企業降低勒索風險。

會議中，亞信安全介紹，勒索軟件的“鼻祖”誕生于1989年，而在那個互聯網的“蠻荒”時代，攻擊者還沒有找到高效且“安全”的敲詐方法。但歷經數年演化，勒索病毒經歷了與比特幣支付方式結合、與釣魚郵件結合、攻擊目標轉向大型政企、與蠕蟲木馬結合、出現RaaS服務、數據泄露與多重勒索等多個發展階段。所以，無論從攻擊形式、攻擊技術，還是從勒索形式角度看，勒索病毒攻防的矛盾博弈已經日益激烈。

對此情況，亞信安全認為，大量“堆砌”的安全產品和零散部署的安全檢測技術無法與勒索軟件對抗。合理的方式應該是，參考與APT對抗的模式應對勒索軟件。

在具體邏輯上，亞信安全認為，現代勒索攻擊的轉變升級主要體現在作戰模式、攻擊目標和勒索方式上。

首先，勒索即服務RaaS（Ransomware-as-a-Service）的興起使得勒索的作戰模式從傳統的小型團伙單兵作戰，轉變為模塊化、產業化、專業化的大型團伙作戰，其造成的勒索攻擊覆蓋面更廣，危害程度顯著增加；其次，對于勒索攻擊的目標，也從過往的廣撒網蠕蟲式攻擊升級成為針對政府、關鍵信息基礎設施、各類企業的定向攻擊；另外，從勒索方式來看，現代勒索攻擊已經從傳統的支付贖金恢復數據的勒索方式，演化為同時開展雙重勒索，甚至三重勒索。

另外亞信安全還認為，勒索病毒已經完全符合了網絡安全行業對于APT組織的認定標準：

1． 幾乎所有的勒索攻擊都基于經濟目的；

2． 所有的勒索攻擊都是潛伏的，多階段的持續性攻擊；

3． 現代勒索攻擊主要是針對企業組織的定向攻擊；

4． 勒索的攻擊方式多樣，包括魚叉攻擊、商品化與定制化惡意軟件、遠端控制工具，漏洞利用等。

也依照這一思路，亞信安全為方舟治理提供了三大能力：

勒索體檢中心：運營團隊通過部署端點及網絡探針，對勒索攻擊進行全面排查分析，幫助客戶防范在前，早發現、早預警、早研判、早處置。利用最新的勒索威脅情報進行數據碰撞，確認企業環境中是否存在勒索行為，將勒索攻擊爆發風險降低。

 全流程處置機制：亞信安全「方舟」覆蓋勒索病毒攻擊治理響應的全流程，依照攻擊發生的狀態，協助用戶建立勒索防護策略、勒索攻擊事前防護、勒索攻擊識別阻斷方法，以及勒索攻擊應急響應。

現代勒索治理解決方案：基于亞信安全的XDR技術，現代勒索治理方案可覆蓋勒索病毒的攻擊鏈，通過“事前預防、事中處理、事后掃雷”三大手段，構建立體化、平臺級的運營防護能力。

在具體落地上，亞信安全表示，目前已經有行業用戶通過亞信安全勒索體檢中心對IT環境進行安全測評，針對潛藏勒索威脅風險獲得了安全治理規劃和建議。同時，亞信安全也配備了覆蓋全國 31個省市服務網絡，通過安全服務工程師等構成的本地團隊，以及云端安全運營專家、病毒樣本專家、威脅情報專家的總部團隊，協助企業確認環境中是否有勒索行為。

在發布會后，36氪等媒體也就勒索軟件等話題與亞信安全首席研發官吳湘寧、亞信安全副總裁徐業禮、亞信安全副總裁劉政平進行了討論。

以下是對話節選：

記者：APT攻擊和現代勒索攻擊之間沒有本質區別，是基于哪些原因得出上述判斷？有這樣的判斷，對勒索治理有什么樣的作用？

徐業禮：以往我們認識的APT，基本上都是悄悄地偷數據，把所有數據偷走以后不發聲，客戶也不知道東西被偷走了。這個時候為什么不發聲？因為APT的目標不是立刻讓組織或者企業付錢為目標，而是拿到這些數據以后偷技術、偷客戶，然后私下里賣給競爭對手等。

其實整個網絡安全攻擊最終造成破壞無非三種：第一偷數據；第二破壞企業的信息系統；第三綁架信息系統里面的這些主機或者是組件，來為他所用，干壞事。那現在的勒索團伙其實和APT一樣，背后的組織人員不比APT組織少。勒索團伙還采用加盟的模式，在暗網里形成成熟的商業模式。只要有一些攻擊能力的黑客或者黑產的從業者，就可以加入勒索團伙一塊做壞事。這些組織的行為和APT沒有差別。另外，現在我們網絡安全行業認定的APT組織總數不超過200個，有40多個APT組織，都參與過勒索攻擊。所以本身APT組織和勒索團伙沒什么兩樣，就是一個等號。

那我們把勒索團伙認定為APT組織，目的是什么呢？第一，是希望整個行業認識到，這種勒索攻擊是非常的陰險狡詐的，也是非常具有破壞力的，大家要引起足夠重視，不能用傳統的防病毒，或者老三樣的防護手段。大家必須要建立立體化的防御，必須要有運營團隊參與，必須要用有真材實料的產品替客戶分憂，提前發現并及時地阻擋黑客的內網滲透，把他們逼退，這是第一部分。

第二部分，我們把它認定為APT的組織，其實也是意識上的提升，讓整個網絡安全行業都能夠一起攜手應對這種勒索攻擊廣泛延伸的趨勢。網絡安全，光靠一家肯定也不能解決所有的問題，只有整個行業都對它有足夠的認知，聯起手來，才會有更好的效果。

最后一個，我們把它定性為 APT 組織，也是想讓監管單位也意識到，其實勒索攻擊的團伙也應該用APT的手段來對待，而不是簡單的一個黑灰產，小團隊。

記者：演講中提到勒索病毒攻擊的六個步驟，前五個步驟其實更多在用亞信安全的網關檢測和防護能力。那么在勒索軟件的執行階段，也就是在終端上執行的時候，這最后一道防線亞信安全是怎么考慮的？   

劉政平：其實終端層面的能力需要在兩個層面加強。一個是防護，就是我們說到傳統的殺毒軟件，針對勒索行為做智能化。比如，如果一旦檢測到異常加密行為，我們可以直接阻斷那個進程。雖然可能黑客已經利用一個路徑入侵到系統里，但他無法對你的文件進行加密。

第二，在終端被攻入之后，你要能檢測到，這個能力是很重要的。黑客在投放這個攻擊武器時，是經過測試的。既然傳統的病毒碼檢測不到，那么能檢測到的肯定是我們現在做的端點EDR的能力。EDR 是通過威脅情報來檢測，IOC來匹配的。它檢測到之后，我們就快速要進行樣本分析，把樣本自動化提出來之后在沙箱里跑，或者在實驗室里面分析，就是做決策。有了這個機制，就算被攻破了，我們也能快速響應去處理掉這個風險點。

徐業禮：勒索攻擊正常情況下都會去嘗試破壞你的防御能力，比如說攻占ID、破壞防病毒系統。假設破壞成功了以后再執行勒索軟件，應對這種情況的好辦法，真的不多。第一企業要加強自身的備份能力恢復，還要加上平常的演練。但最重要的是，我們能不能及時檢測，并且阻止這種行為，這些真真正正是比較前置的事情。

記者：有觀點認為當前發生勒索后的數據恢復方式還是以備份為主，想了解備份在方舟勒索威脅治理中處于什么樣的位置？

吳湘寧：反勒索是不是主要靠備份？我們認為，這件事的當務之急是去溯源這次勒索怎么進來的。

今天被勒索，不是說有了備份，把數據打開、解密就可以解決勒索的問題，這是個治標的思路。想想看，當你被勒索的時候，數據已經外泄了。如果僅是簡單地恢復數據，其實沒有解決本身這次勒索中的數據外泄問題。同時還有一個問題，就是即使你把數據恢復了，難道下次就不被勒索嗎？畢竟勒索的源頭沒有找到。

所以我覺得，如果認為數據備份可以防勒索的話，這個觀點是片面的，甚至是不正確的。數據備份更多是防止勒索的一個必要補充的手段。大家更應該明白，如果有數據備份當然恢復的效率更高，但更重要是如何在事前保護這些數據不被外泄。同時一旦被勒索了以后，怎么樣溯源才能盡快找到被攻入的那個漏洞點。

我們現在看到，一旦被一次勒索，后面會有多次勒索緊接而來。假如你有備份不交贖金，恢復以后，可能不會過多久就會遇到二次勒索，甚至三次勒索，而且每次勒索價碼會越來越高。這些都是問題。

記者：方舟計劃主要的目標客戶群體是什么？收費的模式有哪些？

劉政平：方舟計劃是一個體系，實際上包含了我們的平臺、產品和服務。我們會研究客戶的業務場景，包括它現在安全的階段、成熟度等等。如果是缺某一些能力，我們就要協助客戶去完善這方面的能力。所以，這個方案不可能是單一的定價，我們要針對每個客戶進行方案設計，有了方案設計之后才能有相應的價碼。

記者：亞信安全其實一直在講XDR的體系，今天又發布了方舟計劃，二者間的關聯是怎樣的？

吳湘寧：過去的兩年，我們分別發布了 XDR1.0 和2.0。XDR1.0，我們講威脅可感知、安全可運維。后來我們發布了XDR 2.0，講的是威脅可認知，安全智運維。我們今天發布勒索防護計劃，就是亞信安全在整個XDR上的不斷實踐，能夠更清楚地認知威脅的一個重要表現。

比如我們把勒索歸納成九個階段，有不同的特點，就是一種認知。另外，我們對勒索提出了六個階段的防護，也是一種認知。而且我們還把這六個階段的攻擊步驟歸納成72個檢測點，告訴客戶到底怎么防，在什么地方防，這也是認知的很重要一個步驟。從勒索的九個階段，到攻擊步驟的六個階段，再到72個檢測點，這些都是我們深入落實整個XDR的理念，威脅可認知的過程。

今天的方舟計劃更大的含量就是我們通過平臺+產品+服務的方式提供給客戶。這個服務不僅有本地的服務，還有遠程的服務等，所以這其實是我們落地的整個XDR 2.0的一些方式。

再拆解一下，平臺+產品+服務中的平臺講的是我們的XDR平臺。我們是希望把整個安全的，特別是在檢測和響應的能力做成原子化。把這些原子能力落實到我們所有的，端邊云網的產品里，最終要匯聚到平臺側，進行統一的精密聯動和精密編排。今天亞信安全的產品是打通的，通過編排、聯動實現自動化、智能化，云化，這個平臺就是XDR的平臺。

今天來說，國內這些客戶有不同的背景，比如能源，金融行業的頭部企業，有自己非常強的安全運營能力，也有產品+平臺+服務，能做自己內部的整合。但是對很多制造業企業來說，還沒有能力去做資源的整合，安全點投入也沒有那么大。這類客戶要追求性價比，把投入和產出均衡。所以現在我們有云化的、遠程的，相對成本較低，輕量化的運維，也就是托管型的運維。這也是我們希望能夠使大量企業用戶普遍受益的商業模式。

信息安全20年，如何面向未來進行投資？

信息安全是近幾年來資本市場相對比較活躍的板塊。
編者按：本文來自投稿，文內觀點僅代表作者本人，36氪經授權發布。

作者：投資人苗旺春，2017年開始聚焦于信息安全領域投資，先后任職于國內三家深度布局信息安全產業的國資、產業背景投資機構，熟悉國內信息安全產業及投融資生態。代表案例：創安恒宇、網思科平等。

信息安全是近幾年來資本市場相對比較活躍的板塊，主要源于數字化逐步滲透帶動的安全需求逐步釋放，以及政策、事件的催化，使得大家對于行業未來預期相對樂觀。

基于這種大背景，不難發現很多機構關注、布局，甚至專注于這個領域的投資。但花點時間就會發現，這一市場散、亂，不符合投資人普遍喜歡的大市場特征，而跟企業實際交流的時候，也會被各種紛繁復雜的術語、概念干擾，導致雖然聽起來很有故事感，但理解起來費勁。反映到投資決策上，大家會覺得能拿得準，不猶豫的團隊少之又少，所以很多機構看了不少信息安全項目，一個都沒出手。

作為一名在信息安全投資領域搬磚五年的投資經理，筆者希望能通過這篇文章，從投資人關注的角度，通過幾個問題，幫大家厘清信安的的行業本質和投資思路，也希望掃清投資機構與信息安全行業企業的部分溝通障礙。

問題一：信息安全領域的投資賺錢嗎？
為了解答這個問題，筆者梳理了目前A股相關的27家信息安全領域上市公司的數據，匯總的數據信息如下：



IPO前有投資機構通過股權受讓、增資等方式參與投資的有20家，涉及到的機構投資資金總額為170.80億。按照IPO發行價格計算的持股市值，加上機構在上市前股權轉讓的退出金額，退出總額共計447.88億。投資機構的資金在IPO時點的增值倍數為1.62倍。

大致以2019年為轉折點，IPO時點投資機構的資金增值倍數出現了明顯的下滑。2019年之前上市的企業，機構共計投資41.84億，退出金額為201.85億，增值倍數為3.82倍；2020年及之后上市的企業，機構共計投資128.96億，退出金額為246.03億，增值倍數0.91倍。

縱觀表一中的數據，整個安全行業，從絕對數額上來講，IPO時點，為機構投資人賺到最多錢，且超過10億的，只有六家公司，從大到小分別是奇安信、三六零、深信服、綠盟科技、安恒信息、山石網科；從增值倍數（剔除本金）來看，超過10倍的只有三家，分別是深信服、綠盟科技、三六零，而這三家背后的主力機構為蘭馨亞洲、紅杉、IDG、高原資本、雷巖投資、聯想投資、銀瑞達等機構，縱然有時代的大背景在，但這些機構的投資策略值得總結和學習，最重要的是堅持。

能夠實現IPO的公司，屬于業內相對比較優秀的企業，如果把整個放眼整個行業，機構的收益情況又會如何？我們先來看一下2010年以來，整個信息安全行業一級市場融資的情況：



*數據由作者根據公開及非公開數據匯總整理

2010年以來，整個信息安全行業有統計的一級市場機構投資（包含受讓老股，不含IPO融資及二級市場融資）共計1,288筆，涉及總金額881.76億。2014年以后，整個信息安全行業的融資金額及融資案例明顯增長。表一中的170.80億，占881.76億的比例為19.37%，意味著投入整個行業的資金，只有不到兩成可以通過IPO退出，獲得最高的退出收益。根據清科研究中心于2022.9.21發布的《2022年中國股權投資市場項目退出收益研究報告》，IT行業近三年的整體投資回報倍數呈現一定下滑（2019-2021年三年的回報倍數中位數分別為2.00/1.67/1.65倍），IRR下滑更為顯著（2019-2021年三年的IRR中位數分別為26.7%、22.0%、15.4%）。整體上安全行業投資的收益水平與IT板塊趨同。只有少部分“聰明資金”可以賺到最多的錢，大部分資金都只能陪跑。

問題二：信息安全行業是門好生意嗎？
讓我們回歸到行業里邊相對比較優秀企業的經營狀況，來看這個問題。為此，筆者梳理了14家信息安全相關上市公司2017-2021年五年的財報信息，名單分別為安博通、安恒信息、北信源、迪普科技、吉大正元、綠盟科技、美亞柏科、奇安信、啟明星辰、山石網科、深信服、信安世紀、亞信安全、中孚信息。

首先，從整體上來看一下企業的經營狀況。14家上市公司五年期間，收入由119.10億增長到313.67億，歷年增速均在20%以上，維持了27.39%的復合增長率；但是回歸利潤指標及經營性現金流，2021年出現了明顯的惡化，尤其經營性現金流。這一變化既有外部疫情的沖擊，又有2020年以來頭部廠商快速擴張，布局新業務增強研發，同時也不乏競爭加劇，應收賬款賬期拉長，導致廠商經營質量下降。增收不增利，反映了當前信息安全行業競爭加劇的客觀現狀，同時疊加研發投入強化，導致很多上市公司開始尋求通過定向增發、可轉債及借款等方式籌集資金應對資金壓力。

表2:14家信息安全上市企業近五年股權、債權融資金額（單位：億元）





圖2/3數據源于wind

看完整體的數據，我們對比軟件與互聯網板塊，拆分一下財務報表體現的行業盈利及質量變動情況。

表3:14家信息安全上市企業近五年營收與毛利率情況（單位：億元）



過去五年，信息安全收入板塊占比提升1.14%；從2019年開始信息安全行業業績增速明顯高于軟件與互聯網板塊；信息安全行業毛利整體下滑5.27%，相比板塊整體毛利由37.28%縮小到29.18%。整體上，信息安全行業維持了超過板塊整體增速的增長態勢，但毛利下滑顯著。

表4:14家信息安全上市企業近五年應收賬款情況（單位：億元）



過去五年，信息安全行業應收賬款占收入比重整體上呈穩定態勢；但由于收入增長，帶動板塊應收賬款占軟件與互聯網板塊整體應收賬款比重提升了1.70%；軟件與互聯網板塊應收賬款占收入比連續四年改善后，2021年重新抬頭，相比而言，信息安全板塊由于應收賬款比重長期較高，應收賬款收入占比比重變化不大。

表5:14家信息安全上市企業近五年營業利潤情況（單位：億元）



過去五年，前四年信息安全板塊整體維持了營業利潤持續增長的態勢，但2021年板塊整體營業利潤大幅下滑；對比軟件互聯網，板塊整體營業利潤水平在經歷了2018年的低谷后，大幅改善；相比板塊整體，營業利潤下滑明顯，背后原因跟目前信息安全產品需求迫切性偏低，客戶優先滿足生產管理業務系統及資源投入的大前提關系很大，信息安全行業整體上存在讓利于軟件與互聯網板塊的現象。

表6:14家信息安全上市企業近五年經營性凈現金流情況（單位：億元）



呼應應收賬款部分揭示的情況，信息安全板塊經營性凈現金流在軟件與互聯網大板塊中的占比持續下滑，從優于大板塊逐步變化為不及板塊整體；在宏觀基本面相同，且信安板塊受政策刺激顯著的大背景下，這種現象揭示了信安產業整體經營性現金流承壓明顯。

看完上邊四組數據，我們會發現，整個安全行業雖然毛利相對較高，但利潤水平其實整體上與軟件與互聯網板塊相差不大，甚至在逐步惡化。那么較高的毛利都犧牲在了那些環節？

表7:14家信息安全上市企業近五年銷售費用情況（單位：億元）



過去五年，信息安全板塊銷售費用收入占比存在一定下降；與此同時，軟件與互聯網板塊銷售費用收入占比呈現逐年上漲趨勢；信息安全板塊銷售費用收入收入占比整體上仍保持在16個百分點以上；銷售費用占比的變化一定程度能體現業務屬性在客戶端的需求迫切性的變化。

表8:14家信息安全上市企業近五年研發費用情況（單位：億元）



從研發費用看，信息安全產業屬于軟件與互聯網板塊研發強度較高的板塊，歷年研發費用收入占比均在20%以上，且仍在不斷提升；軟件與互聯網板塊的研發投入強度亦呈現出逐年上升的態勢，信息安全板塊的研發費用在大板塊中亦逐年提升。

表9:14家信息安全上市企業近五年管理費用情況（單位：億元）



伴隨信息安全產業在軟件與互聯網板塊比重的提升，管理費用在板塊中的占比提升明顯；從收入占比而言，整體上管理費用占比呈現下降趨于穩定的態勢。

表10:14家信息安全上市企業近五年期間費用比率情況



信息安全行業雖然毛利相對較高，但期間費用亦明顯較高，扣除期間費用后的邊際利潤與軟件與互聯網板塊整體相差不大，且2021年以來明顯惡化。

整體上，信息安全行業的高毛利被較高的銷售費用與研發費用投入消耗干凈。這里一方面體現了產品價值含量低的現狀，另一方面也體現了行業人力成本較高、產品技術迭代較快的行業特點。

而從行業實際的情況來看，核心業務貢獻的核心利潤占營業收入比重亦存在一定的下滑，對于外部資金依賴度較高。近年來非核心利潤（下圖紅框內成分）占營業利潤比重達到55%。

表11:14家信息安全上市企業近五年核心利潤比率情況



圖4：報表中剔除核心利潤后營業利潤的構成項



總結一下以上拆分的報表信息，可以發現，目前信息安全行業的高毛利并不是優勢所在，而是產品價值含量較低，導致銷售費用高企，研發環節效率低下，導致研發費用過高，導致行業被迫只能做高毛利的客戶謀求生存。而這種成本高企、效率低下的研發、銷售、交付及堆貨值的產品價值思路，注定不是一種可持續的商業模式。目前的信息安全行業算不上好生意的范疇，結合行業空間、業務模式及盈利能力與質量來看，頂多算個三流行業，迫切需要革新。

問題三：信息安全行業現在的痛點？
這部分內容旨在通過第二部分的財務數字，結合行業目前的現狀，厘清問題，進而尋求出路與變革，而這些正是投資機構面向未來布局的關鍵機遇。

目前安全行業經常聽到的弊病包括：

1. 產品研發缺乏統一開發平臺或架構，研發人員、資源無法復用；

2. 安全能力無法協同、迭代緩慢；

3. 產品種類日益繁雜，但極難進行協同，無法形成一體化低成本的安全價值；

4. 產品非核心功能冗余，配置復雜，使用難度較大；

5. 產品價值合規屬性偏重，無法在客戶場景發揮實際價值，無法幫客戶維護常態化的安全水位；

6. 廠商核心競爭點體現在圍繞大客戶與高毛利行業的銷售及渠道資源PK，產品同質化嚴重，性能指標差異不大；

7. 收入依賴過往一年客戶的預算儲備；

8. 客戶場景信息化程度及人員水平參差不齊，定制化比重較高；

9. 交付部署、運營維護人員依賴度較高，成本較高；需面對大量適配、配置工作，甚至要響應一些跟自身產品無關的的故障問題；

10. ……

以上問題反映的本質是商業模式較重，行業生態缺乏，產品價值含量低的問題。

近些年，由于HW及各類安全事件頻發倒逼，疊加監管要求更加復雜、多樣化，甲方面對的安全及合規要求日益復雜，安全運營的概念日益興盛，而安全運營的最直接要求是將客戶IT環境內的各類安全產品真正用起來，在滿足合規的基本要求的同時，能真正發揮安全產品的能力，面對外部及內部各類安全威脅，能起到及時預警、發現及阻斷，進而對日后安全運營工作進行經驗指導的過程。要把要全運營真正做好，就要求安全產品必須可以協同，這是最基礎的要求。

所以，如何實現安全運營的價值，同時兼顧研發效率、交付效率、運營效率，以及商業模式高效低成本，成為信息安全行業目前最大的挑戰，也是最值得創業廠商去思考和突圍的機會。

經常聽到的一個抱怨是，國內大客戶普遍只接受項目制、本地化的方案，從而使得信息安全行業定制化比例較高。需要承認國內不同行業信息化水平及企業對于信息化價值的理解程度確實存在差異，甚至是差距。但各行各業對于軟件、信息化類產品的訴求其實是統一的，便捷交付、穩定、高性價比、簡單易用。從社會經濟的一般規律來看，需求本質上是由供給塑造的。結合這幾點，可以得出一個結論，國內目前的信息安全產品缺乏統一的規劃及標準體系，產品方案停留在簡單的開發交付，對于甲方場景的實際應用特點理解不足，導致產品價值含量低，成本較高（廠商很少關注產品在客戶場景的實際使用情況：比如某頭部股份行曾耗費數億成本試圖讓自身IT環境內的安全設備與軟件協同，但效果并不理想）。這也進一步導致腰部及長尾中小企業、個人的安全訴求無法得到滿足，幾乎所有廠商都被迫選擇頭部客戶互相競爭。

也經常聽到大家抱怨說腰部及長尾客戶沒有付費能力。但這部分市場，其實只是缺乏有足夠生命力的產品和商業模式去滿足這部分需求。360、深信服、阿里云安全的成功，其實就驗證了這部分客戶需求的市場土壤其實很肥沃；360靠的是商業模式的創新（周老板不要再說自己的商業模式“奇葩”了，不能否認一代產品經理和網安人的創舉）；深信服靠的是高標準、簡單易用，高性價比，進而適合借助渠道推廣；阿里云安全天生的原生一體化協同安全能力，更是將安全能力的交付做到極致的輕量與便捷化。這三家公司的成功，都說明了腰部及長尾客戶安全需求的旺盛。

所以，需要做出改變的是安全行業的供給端。出于供給端的廠商需要重新梳理產品設計、研發與交付，需要轉向價值交付理念，更需要安全行業的創新要跳出簡單的研發思路，拓展至銷售、交付、商業模式等整個商業鏈條的創新。

現階段疫情對于安全行業的沖擊是毋庸置疑的，但危機倒逼創新，當客戶端預算壓縮，疊加安全需求更加復雜旺盛，做不到以更低成本開發更高價值含量產品與服務交付的廠商，生存空間將受到顯著擠壓。美國SaaS產品的興盛，一定程度上是數次經濟危機塑造的結果，在數字化手段的價值成為共識的前提下，大量中小企業客戶，以及大型客戶更新迭代較快的業務系統，需要更加便捷、低成本的交付與退出機制來應對經濟與市場的波動。再結合國內經濟逐步由增量建設轉向存量盤活的大背景，數字化的價值共識成為絕大多數追求效率與價值創造企業的共識，輕量、便捷、低成本的交付與退出的商業模式將會成為軟件信息化行業未來的主流。

問題四：行業突圍的落地方式會是什么樣？
創新的方式是無止境的，邊界取決于每一個安全人的探索。就目前筆者實際觀察到的、有前景的落地方式，可以概括為生態化與平臺化兩種。

生態化，即依賴某個廠商的核心產品或能力，為實現客戶場景安全價值的最大化，采取向客戶建議、推薦等方式，優先選取與自身產品、能力協同性較高，能最大程度形成一體化安全運營價值的產品或服務。這種方式對于品牌及能力認可度有一定要求，同時需要面對國內目前較弱的知識產權保護力度及意識問題（看到別人東西好，總想抄，抄的成本還是太低；被抄的，也得想辦法把抄的難度提上來，不能全怪保護力度不夠）。

平臺化，基本以成為現階段安全行業降本增效的一個共識。不管是產品設計、研發，還是銷售與交付，延伸到后端的運維與復購，每個環節都有進行平臺化優化的可能性。

圖5：信息安全行業平臺化趨勢的內在動因



問題五：具體投什么？
目前從實際的安全理念或產品設計思路來看，SOAR、XDR（這兩者存在差異，但整體偏生態化，放在一起僅限于展示生態化的理念）、SASE、云原生安全（這兩偏平臺化），以及以安全運營為核心設計思路的產品，比如BAS、ASM等（安全運營需要生態與平臺共筑），具備了明顯生態化與平臺化的特征，創業廠商也上市公司也都開始從自身實際情況進行研發布局。

這里再提一下工業互聯網安全、車聯網安全、物聯網安全等。本質上這類安全需求的出現是數字化逐步滲透形成的，作為增量市場有一定機會，但是安全的需求及落地一定是結合產業實際的狀況為前提的，并不是憑空想象出來的。這類安全涉及到的流量大小、處理難度及算力可得性與場景密切相關，策略構造相對要簡單很多（客觀上不能太復雜），不管是從實際可得的安全投入來看，還是安全態勢的復雜度來看，都相對有限，所以市場空間其實比較有限，投資難度其實更大（不是說沒機會，是說要更仔細的甄別靠譜的團隊）。此外，受限于場景專用性，廠商的安全能力及業務延展性普遍受限，但要想成為一家規?；髽I，這種能力卻又很重要?；貧w信息安全的本質，本質上保護的是數據資產的安全，而不是實物資產的安全，實物資產的安全需要靠法律道德約束下的公權去維系，搞懂了這一點，也就明白了信息安全價值的本質與邊界。

回歸正題，講講數據安全，這個賽道很熱，因為機會很大，但是還是需要小心，因為數據安全的概念由來已久，如果無法很好理解這輪數據安全熱的本質驅動原因，很容易失手。一直都有的數據安全，主要針對數據庫等數據資產聚集系統的安全與管理，主要通過軟件工具構造靜態的預制策略。而這輪數據安全熱提到的概念，更多指數據作為核心業務生產資源，在業務系統中從誕生到銷毀的全生命周期安全，是一個動態的流轉過程，策略也需要結合業務系統及權限變動進行動態調整與構建，復雜度提升了N個量級，場景中的價值含量也有天壤之別，所以未來的數據安全一定是偏運營的，而且最終會與網絡安全融合（甚至反噬網絡安全，現在好的網絡安全產品，都是基于數據積累、運營的迭代為基礎）。理解這一點，大概也就理解了為什么數據安全賽道如此火爆。

表12:不同信息安全賽道市場規模及對應基礎產業的規模



問題六：怎么投？
明確了方向，就需要談論該怎么投，但其實結論大家都清楚（指的是那些真正懂投資的，市場上投機的很多），還是要回歸人，而人是最難判斷的（建議大家翻一翻目前已上市以及業內有影響力的未上市企業創始團隊的背景及履歷，大致會有一個畫像分類。這些人一定有些共同點，當然有共同點不一定就能做好一家企業）。不熟悉產業生態，很難抓到那一小撮最靠譜干事的人，這就要求機構必須深耕產業，要保持勤奮、保持理性。

問題七：選什么樣的機構？
這個問題是給安全行業的企業融資挑選投資人時的一些建議。

首先，要仔細甄別“國資”類機構。很多企業愿意接受國資的資金，希望得到一些背書或產業資源支持。但其實本質上“背書”僅限于標簽，產業協同對于絕大多數此類機構都是用來忽悠的，目的就是砍價談條款，所以企業融資時一定要擦亮眼睛。市面上確實有真協同的國資，但是屈指可數，道理很簡單，國資體系普遍極為龐雜，市場化屬性較弱，投資板塊跟業務板塊的協同難度極高，大家都是各自管好自己那一攤，沒有政績與政令，不欠人情，何必為了別人的業務給自己增加額外的事務。反而是一些市場化的機構，大家追求價值創造，內部溝通鏈條更短，不管是GP的資源，還是LP的資源，協同創造價值的動力更足。當然，這些都只是錦山添花，一家不具備獨立生存發展能力的企業，從投資的角度來看是不具備投資價值的。

其次，選有成熟投資理念的機構。投資圈的生態，創業企業不一定熟悉，國內2015年后，股權投資市場涌入大量非市場化資金，進而涌入不少單純有能力撬動此類資金，但決策層其實對產業認知相對有限，體系化投資理念相對欠缺的機構。對于這類機構，如果是出于彼此信任，溝通成本較低，是可以考慮的。但如果過程中溝通成本較高，不懂自身業務價值，只看財務數字的機構，這類機構需要往后排，這類機構普遍對企業經營或行業沒有認知，而且大部分采用的是流程化、工廠化的投資管理體系，一旦企業經營出現波動，會給企業制造很多麻煩。有成熟投資理念的機構，深諳創業企業經營發展道路之坎坷，賺快錢的心態會弱很多，更多基于產業價值認可前提下對于團隊能力的認可和信任進行投資。

最后，關于融資及估值。很多創業企業的團隊，都是單純的技術出身，對于產品價值也許有理解，但不一定熟悉市場生態和需求成熟度，對企業運營也缺乏管理經驗，這就導致融資時無法合理規劃自身資金需求，估值基本不是拍腦門就是單純依賴FA等外部機構的建議。但融資這件事，真的不是越多越好，把握不好業務發展節奏，盲目融資，使用時缺乏規劃，很容易導致業務與估值脫節，導致融資難度激增，這種教訓在很多企業身上看到過。個人的經驗，股權融資最好的狀態是根據自身業務進展的節奏，提前半年到一年規劃，融資額不建議超過實際階段需求太多，適度超募，最重要的是一定要對自身業務發展有明確的認識和規劃。

最后發幾句牢騷。中國經濟整體由增量建設轉換到提升質量的大背景下，軟件信息化的價值將日益凸顯，也許現在還不明顯，但參考歐美大國的發展歷程，以及國家頻繁發布的各類鼓勵政策，都提提供正面與側面的印證。目前宏觀經濟的最核心壓力，與信息安全產業面臨的困境如出一轍，提質增效成為謀求生存與發展的必要手段，而這種硬骨頭天然只有那些對行業有充分洞察同時大膽嘗試的創新者才能啃的動。困境意味著大部分人開始碰壁，意味著少部分創新者將迎來脫穎而出的機會。與所有關注信息安全產業發展的同仁共勉！