安全创业企业,如何从巨头环伺中逆袭突围?

编者按:本文来自「元起资本」创始管理合伙人何文俊。36氪编辑后发布。

元起资本是一家专注于“大安全”领域的完全市场化创投机构。基金管理公司的创始人均有超过十五年的网络安全及相关领域的从业及投资经验。其于2019年12月底完成首支人民币基金的募集,基石出资人为知名网络安全上市公司及中国第一支市场化母基金,其他出资人由多个国内知名家族联合办公室、以及网络安全及相关行业的专业人士等构成。

本文的主要议题是,安全初创公司如何在行业中提升竞争力。作者通过自身经验以及思考,抽离出一些方法论模型,希望为安全行业中的初创公司提供些许建议。

以下是内容的简要提纲:

一、理想投资目标:下一代平台型公司

二、时间维度是适合安全初创公司的切入点

三、解决商业化、规模化困境的方法

目标

创是投的载体,创成功是投成功的源头。

就我们投资的目标而言,是期望所投企业有机会成长为下一代平台型公司。我们对平台型公司的定义是非单品领域、综合产品线、技术能力栈具有扩展性、多行业客户覆盖、高价值客户的安全核心供应商之一、企业家具有深邃的战略眼光加狼群般的组织执行力,这样的公司市值在高点时超过200亿元是没问题的,当然实现目标的难度也非常高。

根据统计,安全企业总数大约在两三千家(本文有些数据未必非常精确,但不影响结论的正确),现在安全上市公司有三十家出头,而平台型安全上市公司总数大约十家。

由于科创板和创业板注册制的门槛降低,未来几年还会有一批安全企业能够上市,但与此同时分化的马太效应将非常明显。目前深信服的市值已经超过千亿,而三四十亿的安全上市公司也已经不是个别。前不久有一篇热点文章叫做《老板们的IPO信仰正在被打破》,把IPO成为创业的信仰之源,虽然这个目标的实现难度并不低,但作为信仰的话那高度就太低了。

所以大抵上可以算一算,如果把全行业所有企业都算作分母,安全创业企业能够IPO的概率过往大约是1%左右,未来可能会上升一些。而要成为平台型上市公司的概率大约不足0.3%。

从投资的角度不能完全这么算,因为很多企业的本质是一门收益稳定的生意,并不以上市为目标,并且初始能够拿到投资的企业已经经过了重重筛选,所以胜出概率已经有了几个数量级上的提升。但是从创业者本身来说,创业的初心是相信自己能成为下一代平台型公司或者至少是上市公司的CEO吗?安全行业的从业者包括甲乙方、监管方等,应该有数十万到百万之众。所以从创业者个体来说,你的目标是站在这个行业的个体金字塔几十万分之一的顶端。那么迈出创业这一步,概率已经从几十万分之一上升至1%了。补充一句,我们的目标是陪伴协助你站到这里。到这份上,什么技术、什么资源都不重要,拼的是认知和心力。

敢于创业的,不管目标有多高,都是有勇气的。IPO不是目标而是一个过程中的重要节点,相信你创业的方向一定代表未来的大趋势,相信自己能够胜出,对此深信不疑并一往无前的投入,才称得上信仰。敢于不平凡的同时,又能在结果不如意时接受自己的相对“平凡”,也许心态上会轻松些,放下一些执念。

切入点

安全行业的其中一个特点是产业链短。虽然很多时候交付的是硬件形态,但作为载体的工控机服务器是比较标准化的,其中灌装的软件才是核心的部分。所以安全行业本质上还是以软件、服务、方案、运营为主的产业链结构。

很短的产业链结构也就意味着,创业企业很难从产业链中的低价值环节上攻到高价值环节。而这样的切入方式在产业链较长的制造行业就较为常见。

目前A股市场上的两个市值巨无霸企业,5300多亿元的海康威视和4200亿元的立讯精密就是很典型的例子。海康威视从一块小小的板卡起家,抓住了视频监控从模拟到数字的技术迭代浪潮,又赶上了国内安防行业的平安城市建设高峰,积累了前中后端的技术能力,完成了从部件到产品、到方案、到工程与集成的逆袭,最终成为安防产业的国际巨头。立讯精密从3C产品的连接器部件的来料加工起家,一路通过自研加收购切入了连接、天线、声学、光学、充电、马达等多元化组件、模组、配件产品矩阵,成为苹果、华为、索尼的重要供应商,挑战目标直指巨头富士康。

空间维度的切入点

在产业链结构图中,越是靠近中间核心位置的高价值环节,通常玩家较少,议价权强,进入门槛高,而越是边缘位置的低价值环节,往往企业数量众多,竞争激烈,格局分散。而产业链位置上攻的过程是充满风险选择和持续付出的过程。

由于安全产业链短的特点,既然较难从空间维度去突破,那就从时间维度来选择切入路径。如果现在有人创业做防火墙或网闸,只要不是颠覆性技术的突破而导致产品形态的重大变化,那么基本上这是门生意,而不是具有巨大成长潜力的创业类型。纵观这么多年做起来的创业公司,无不是在时间维度上突破。

时间维度的切入点

大公司尤其是上市公司,由于环境因素的影响,以及品牌和规模效应带来的优势,更理性的选择是后发先至战略。因为大公司船大难掉头,所以在方向前景相对清晰之前不会重兵部署。

这个时间差恰恰是创业公司的机会窗口,需要在大公司普遍进入之前垒高自己的技术壁垒和行业壁垒。纵观安全企业的上市公司,在其成为巨人之前,无不符合这一规律。譬如安恒信息的起始机会点是Web2.0这一波机会,对标Imperva的WAF加数据库审计,后扩展产品矩阵成为平台型公司。美亚柏科抓住公安行业的电子取证机会窗口完成产品国产化研制,后扩展到公安大数据分析平台,进而跨行业扩展。

打时间差是一件高难度的事情,因为新领域的萌芽前期的不确定性很高,客户的教育难度大,初始市场规模小,招人不容易,节奏踩不准,总之是各种悲催。但这些构成了壁垒,挡住了巨头的重兵部署和意志不坚定者的持续投入。所有的逆袭都是眼光独到的选择加上持续艰苦的付出,这对空间维度和时间维度的切入都适用。在所有的逆袭过程中,资金不是最重要的,最重要的是在正确方向上的持续垒高的时间壁垒。只有高价值的时间累积,才是巨头无法靠加倍资金投入来轻易跨越的天堑壁垒。

如何选择到一个未来有前景的细分赛道,关键还是看该赛道未来在用户的整体预算盘子中是否能切分的比例越来越大。所有的安全产品都是在攻击链上设置障碍或威慑,具体可以参考LOCKHEED MARTIN的Kill Chain模型或MITRE的ATT&CK模型。当某种技术手段随着IT架构的变化而重要性上升时,对应的产品形态在用户侧的预算分配比例一定会相应上升。

LOCKHEED MARTIN的Kill Chain模型

至于安全行业从空间维度切入逆袭的例子,我见过两种类型的,一种是国外产品的代理商,掌握了客户资源和行业Know-how,在服务客户的过程中积累了较多的售前售后环节的经验,进而自研产品,以性价比、定制化开发、优质服务作为农村包围城市战略的执行落地优势。另一种是从硬件平台厂商上攻到核心软件部分,但这种一般以行业版硬件平台为多。这两种逆袭也不容易,前者是企业的销售基因文化要转型适应产品研发的节奏,后者是硬件基因文化要转型适应软件企业的风格。逆袭没有容易的过程。

商业化

定好了目标和切入点,接下来就是执行路径了。

执行路径上存在很多大大小小的坑,这些坑一旦踩进去,少则数月多则数年,让企业走了很多弯路,而这些时间是不能计入前面所谓的时间壁垒中的。其中早期的一类大坑叫“商业化”,而后期的一类大坑叫“规模化”。

相比于A股计算机板块的其他领域,安全领域创业的技术门槛是相对较高的。所以纵观近年来的安全创业公司,CEO的背景以技术为多。技术背景的CEO往往在商业化选择方面会面临不小的挑战。商业化不是一个简单的商业模式选择的问题,而是围绕着产品走向市场,深入市场的一大类综合型问题。下面举其中几个简单的例子说明(以下适用于直销或准直销为主的模式,纯渠道模式对公司创始人能力的要求更高):

1.   客户行业的聚焦选择:除非是业务安全类的产品如金融风控等,适用于特定的金融行业客户,否则通用类的安全产品必然是多行业适用的。哪怕是工控安全产品,也适用于电力、轨交、石化、制造等多行业。

要不要聚焦行业投入资源?聚焦错了怎么办?我的观点是创业最初期时不要做行业选择,因为一来生存为主,没有选择客户的空间,二来没有市场反馈的信息,就没有聚焦行��的依据,没有调查就没有发言权嘛。

实际上最早期的种子客户信任的依托不是公司的产品,而是创始团队的人品和靠谱。但到了一定阶段,聚焦行业是让公司上一台阶的前提,这里有多重原因:行业内客户间口碑传播效率最高、行业内用户使用场景和习惯比较一致故而有利产品标准化、高水平的直销大Sales一般都有特定行业属性。至于聚焦什么行业没有明确的规律,但如果下游客户特别集中,采购模式以集采为主,行业三产公司特别强势,客户项目周期和付款周期都特别长,就要特别谨慎。如果没有过硬的行业内资源,我是一般不太敢碰这些,因为厂商在产业链上的议价权特别弱,要么赚不了太多收入,要么迟迟拿不到应收款,这些对于创业企业都是致命威胁。而下游客户本身生存能力弱,付费能力和意愿差的,更是尽量少碰。

2.   OEM模式的放与收:与其他行业相比,安全行业内企业间的OEM模式似乎更为广泛,这是有原因的。

安全产品不像业务类产品,效用通过上线试用后是直观且可量化的,因此早期的创业公司在创立品牌影响力前,产品竞争力很多时候是非显性的。另一方面,单产品的销售单价很多时候不容易维系住一个大客户的客情,因此渠道也需要引入更多产品来维护客情关系,因此是各取所需。在创业企业早期时,OEM是行之有效的销售方式。无需消耗资源建立销售体系前,OEM能帮助企业快速直达众多客户,获得使用反馈,帮助产品定型和改进,是能够使产品提升竞争力的低成本而有效的方式。

但当企业发展到一定阶段,OEM要改放为收。因为OEM不能建立品牌影响力,OEM出货价通常比较低,且OEM渠道很容易与企业自建的销售体系间发生冲突。所以当企业发展上台阶时,OEM的历史使命也完成了,可以退出江湖。许多创业企业与大企业之间的OEM模式总是有那么一段美好岁月但许多时候无法从一而终,这是客观现象。双方彼此需要就是合作开始的时点,而当需求和供给的天平失衡的时候,好聚好散也不失为一种理性的选择。

3.   销售副总的选择与时机:除非是创业初期就完整的班底,否则技术型CEO总会遇到引进空降/培养提拔一位销售副总的问题。

即使是初期完整的班底,也会面临这个问题的挑战:创业初期时公司产品化的时间很长,销售副总没有产品可卖,如何熬过空窗期?公司产品在商业化落地过程中,如果实际选择的行业路径和场景Know-How与销售合伙人的过往经历经验不匹配,是调整路径还是调整人?在引入销售副总时,也会面临许多的选择性问题:是更需要Sales能力还是Sales Manager能力?如果公司的战略选择是聚焦一两个重点行业,那么此时最需要的其实是这些行业里的大销售,那么实际上是一种行业总监的角色。

往往此时CEO还要兼任跨行业的销售副总的角色,来领导这些行业总监,外行管内行能管得好么?如果在发展还未到成熟期就引入一位有大公司高管经历的真正的销售副总,彼此间的文化与风格的磨合也是不小的挑战,况且公司的产品端能力是否跟得上大公司销售副总高举高打的资源消耗型打法?如果从公司内部提拔的话,行业总监是否具备跨行业的领导能力?提拔是否会打破内部的平衡而导致其他行业总监带着销售资源离开公司?没有一条标准化的路径,只能根据公司的情况择机而选,并且不同路径上的挑战类型和挑战时间点也不尽相同。

规模化

迈过了“商业化”的门槛,安全企业成长到中后期又会面临“规模化”的考验。如果说切入点的选择是初赛,商业化落地是复赛,那么规模化考验就是不折不扣的决赛了,难度显著上升,但是迈过去你就是行业巅峰。

安全行业的三层次竞争模型

以前我在讲座中曾提到过上面的三层次竞争模型,并提出了一个观点:所有的安全产品彼此之间都是竞争关系,根据其在攻击链上的防御价值来获取客户安全预算中的分配比例,直接或者间接的争夺客户的安全预算。安全企业要实现规模化跃升,本质就是要尽可能多的抓住多个肥沃行业中的高价值客户,采用产品矩阵乃至多种交付物结合的方式来尽可能多的获取客户的安全预算分配比例。下面会把这句话的几个关键短语逐个拆解分析。

1、产品矩阵:创业企业初始要专注,要聚焦,向着一个城墙口做饱和式攻击,用单点上的巨大压强来对冲巨头的势能优势,这是初期必须要坚持的原则。但发展到一定阶段,CEO必须要提前考虑产品矩阵的问题。这是因为相比于业务类产品,许多的安全产品客单价有限,总体上需要多款产品才能稳定的维系住客情关系,尤其是越高级的客情关系越是需要。

第二是我们测算过,整个安全产业的盘子假设在大几百亿到千亿级别,分摊到几十个子领域,每个子领域的盘子大约是十几亿到几十亿不等。单品的产出上限是有限的,如果不扩展成产品矩阵,那么基本上单品的产出上限也就是公司的产出上限了。此过程中有两大挑战:

(1)  节奏挑战:从单产品向产品矩阵迈进的起始点必须在第一个产品的收入饱和期来临之前开启。许多的公司把单产品的收入曲线当成了整个公司的收入曲线,到了单产品的收入增长趋近于缓慢后才想起来要开发第二条产品线,错失了最佳的时间窗口,你就在节奏挑战赛中被淘汰出局。

产品矩阵迭代的节奏

(2) 品类挑战:公司创业的第一个单产品很有可能是与创始人的经历背景有关,或者与早期的某个用户未被满足的需求痛点有关,切入点的选择更多依赖于领导者的个人判断而非公司组织体系的输出。

但当公司规模较大后,后续的品类选择要结合公司组织体系的信息输出与领导者的个人判断。如何确保第二个、第三个单品也是收入天花板过亿甚至更高?当两种不同的品类选择摆在面前,你会倾向于从自身技术优势出发还是市场需求空间出发而做选择?如果第一个单品是一亿元收入,第二、第三个单品都只有两三千万收入就达到瓶颈,那么你就在品类挑战赛中突围失败。

2、多个肥沃行业:公司最开始的商业化落地大概率是单品切入单行业,这种方式很有可能占到公司收入的一多半。

当产品端从单品向产品矩阵迈进的同时,销售端也要考虑从单行业扩展到多行业。此时,其他行业的人均产出效率一定会比最开始的行业要低,但这是规模化提升过程中的必然。以下是安恒信息招股说明书中的各行业收入占比的统计对比:

安恒信息行业收入占比统计(2016 — 2019H1)

我们有个形象的比喻(绝无贬义,形象化只为更容易理解),流寇是没有固定地盘的,没有持续稳定的收成来源,哪个行业都是搂草打兔子;土匪是占山为王的,地盘有但是扩展性差,组织能力没有体系化;军阀是割据一方的霸主,不仅有连成片的固定地盘,而且组织体系健全,有强烈的扩张冲动。安全行业是做不到江山一统的,所以任何一位创业者都有机会成为割据一方的军阀。

3、多种交付物结合:难度进一步提升。就像游戏中升级打怪一般,现在你已经拥有了多品类多行业的业务矩阵组合,无限接近于成为平台型上市公司的最后关隘,终于要面临终极大BOSS的挑战。最后这一步是帮助公司成为多个肥沃行业中的高价值客户的安全核心供应商。我们还是看一下安恒信息招股说明书中的一些数据(举安恒的例子是因为安恒是可参考的最后一个上市的平台型厂商,奇安信的路径一般人学不来)。

安恒信息2016-2019年收入构成分类

在安恒信息的收入构成中,我们大致可以分为安全产品(对应表中的防护检测类产品)、安全平台、安全服务(又可分为人工服务与云服务)、安全运营(主要是城市安全运营,当前收入占比较小)。从上表中可以明显的看到,防护检测类产品虽然逐年都有增长,但在收入中的占比是下降的,对收入增长贡献最高的是安全平台与安全服务。再观察下各类产品逐年的平均客单价变化趋势。

防护与检测类产品的单价总体上是平稳的,有涨有跌,除等保工具箱单价约为10万元左右外,其他产品的单价都在3-6万元区间。安全平台的客单价显著比安全产品的要高一个数量级,达到数十万乃至百万元级别,并且安全平台的客单价呈现显著的逐年上升趋势。安全平台的产品构造从早期的单一化功能到成熟期的多种功能叠加,从一期项目到二、三期项目的推进过程中用户的预算也是逐步增加的。

安恒信息各分类产品的平均客单价变化趋势

创业企业逆袭的关键是要在高价值客户的安全供应商体系中从边缘逐步走向核心角色,争取到最大比例的安全预算,而这仅仅靠一两款产品是远远不够的。

一般来说,切入型产品要足够锋利,形成与巨头的单品差异化优势,这个优势多半是靠打时间差争取而来的。而扩展型产品要有足够的市场空间,才能维系并升级客情关系,形成多轮驱动的产品矩阵。迈向舞台中央的关键是拿出杀手级的平台型产品,一举攻下战略制高点,形成平台+多产品组合的解决方案。

安全服务在此过程中同样扮演重要角色。高价值的安全服务是树立企业品牌形象和技术信任感的必要方式,重大活动的安全保障,每年的HW行动的保驾护航,都能提升厂商在客户心目中的实力地位。另外安全服务也是保持厂商与用户的持续粘性的方式。但与产品和平台不同,安全服务没有成本的边际递减效应,因此在总收入中的占比宜保持一个合理的比例。有些创业企业在多产品扩展的过程中后续产品的收入增长难以满足预期,而依靠增加人工服务来实现总收入的增长,此终究非长久之计。

安全运营目前还是一片蓝海市场,包括各家平台型上市公司目前也处于早期探索阶段。以城市级的安全运营为代表的这种新模式,本质上是安全业务模式的又一次升级。在产品与服务的交付方式中,厂商以产品或服务的交付效果为责任边界,而在安全运营中,客户让渡出部分运营权,而由厂商承担起最终的部分的安全结果。

综上所述,平台型厂商以多产品矩阵、安全平台、高价值安全服务、安全运营作为技术能力输出的多种载体形式,覆盖多个肥沃行业的高价值客户,成为行业核心供应商,每年获取客户安全预算中的核心部分,并通过资产证券化(IPO/再融资/可转债)和资本运作(投资/并购/合作)的方式建立起以自身为中心的生态体系,从而支撑起百亿级的市值规模。

结语

创业是一场修行,而修行是没有终点的。创业过程中的困难与挑战,都是对心志的磨练。

纸上得来终觉浅, 绝知此事要躬行。文中不当之处,也恳请专家大佬多多指出,同样作为创业者的我们自己,也需要常怀空杯心态,方能慎思明辨,笃行致远。

鉴于深刻理解此中过程之挑战难度,元起资本总结了一百多个成长模型,来帮助创业者克服前进道路上的大小困难。上面的分析中已经提到了几处模型,鉴于篇幅的原因没有展开。

我们希望与这样的你一起同行,登高处,见微光,进窄门,行远路。

資料來源:36氪 @36氪

%d 位部落客按了讚: