2022.06.10

从“无人问津”到全面竞争,复盘国内工控安全的第一个10年

作者介绍:早期投资人刘明伟,2014年进入投资行业即关注信息安全、数据库、云原生等底层技术投资,曾任职于头部信息安全公司产业基金。投资案例:威努特、珞安科技、迪普科技、瑞数信息、才云科技、瀚思科技、Vobile等。

在网络安全的众多细分领域中,工控安全已然成为“当红炸子鸡”。综合一些安全垂媒的信息统计,2021年工控安全创业公司的数量至少在数十家,这一年也有超15家工控安全企业获得近20亿元融资。然而在2016年前,这里几乎还是一片创投盐碱地,除了「威努特」、「天地合兴」和「匡恩网络」几家公司外几乎无人涉足,投资者更是寥寥。

恰好,笔者自2016年开始关注工控安全领域,并于2016年底和2019年底分别对「威努特」、「珞安科技」进行了投资。在这几年的投资生涯中,笔者沟通过近10家工控安全公司,也几乎见证了行业从无到有的过程。时至2022年年中,工控安全早已不是所谓的盐碱地——仅在近一月内,就有「天地和兴」近7亿元D轮融资,和「威努特」超10亿元新一轮融资的消息先后官宣。但与融资情况相反,笔者在长期交流中,依然发现有不少投资人对工控安全领域还存在“难以判断、不知如何下手”的现象。所以在本文中,笔者也将从亲身经历出发,梳理对工控安全的一些简单理解,希望与同业探讨。

一、工控安全起源时期:需求和政策合力

工控安全,泛指针对工业控制系统(如SCADA、DCS、PLC等核心系统)的攻击防护。这类攻击会破坏工业系统的正常运行,造成停产、停电等大规模的破坏性,不同于IT网络攻击,其破坏性更强,影响更大。

其实,自2000年就有工控安全的相关事件爆出,但行业标志性的事件是发生于2010年针对伊拉克核基础设施铀浓缩工厂攻击的“震网”病毒。在此之后,全球涉及工业控制系统的安全事件层出不穷,促进了行业对涉及国计民生的工业基础设施网络攻防对抗的思考。

在国外,工控安全的发展最早可以追溯到2006年成立于加拿大的Byres Security(2011年被Belden收购)。这家公司根据工业网络推出的Tofino工业防火墙至今仍受欢迎。而随着工业4.0概念的提出,美国、欧盟等在2015年前后也先后推出多项政策以推动工业互联网安全相关工作,相关创业公司也先后成立,如CyberX、Claroty、Dragos 、Security Matters、Nezomi Networks等

反观国内,自震网病毒后,褚健教授团队在2010年就开启工控安全研究,这也是有迹可查的国内最早提及工控安全的公开信息。

而在落地端,国内工控安全也体现出分行业发展的特点。最明显地,作为核心基础设施的电力系统遭受的攻击事件最多,电力行业对工控安全的需求也最强。于是,2011年国内电力行业已经开展相关电力工控系统的安全研讨。到了2014年9月1日,发改委发布14号令(电力监控系统安全防护规定),指出应防范黑客及恶意代码等对电力监控系统的攻击和侵害。2015年,国家能源局提出发布36号文,即《电力监控系统安全防护总体方案等安全防护方案和评估规范》,明确提出建设电力系统的安全防护工作,这也是国内最早的正式关于工控安全的落地政策。

从更广泛的角度,工信部《工业控制系统信息安全防护指南》于2016年11月3日正式印发,明确要求工业控制系统应用企业应从11个方面做好工控安全防护工作,进一步扩大了工控安全在各个工业领域的推广。2019年,工控安全被纳入等保2.0,正式推动了工控安全行业的蓬勃发展。

二、由点及面,国内工控安全创业者的入局

国内的工控安全创业自2014年左右开始。这里不得不提到两个公司名,「溢思得瑞」和「匡恩网络」。

「溢思得瑞科技创新集团」是一家前沿创新技术孵化公司,其成立于2013年,主要通过孵化多个前沿技术(如存储主控芯片、机器人和数据分析等)对外融资。国内第一家工控安全公司「匡恩网络」即是其创始人孙一桉孵化的公司之一。

2013年,孙一桉在国内组建团队成立「匡恩网络」,并开始推动工控安全相关的宣传工作。在那个工控安全的蛮荒时代,「匡恩网络」早期的宣发也在一定程度上起到行业布道者的作用。能看到的是,当时的「匡恩网络」积极参与行业多项标准的研讨,并在业内提出工业防火墙、工业网闸、检测、审计、态势感知等多个产品,但当时的具体落地情况还有待考证。

2014年开始,「匡恩网络」也获得了多家资金加持。短短3、4年内,公司人数一度超500人,传言中的估值也达到20亿人民币。但好景不长,由于当时国内工控安全还处于早期,整体市场规模不到亿元。而匡恩采取的高举高打策略暂时不匹配当时的市场环境,再加上其和母公司之间不甚明晰的关系,最终在2018年左右,「匡恩网络」逐步销声匿迹、退出大众视野。

作为第一个吃螃蟹的人,「匡恩网络」没能继续书写创业故事。但短短几年,它为行业留下了大量的工业网络检查数据、经验和人才。

一个例证是,现在百花齐放的工控安全创企大都与「匡恩网络」有着些许联系。比如「威努特」、「珞安科技」、「六方云」、「长扬科技」、「融安网络」的高管曾有「匡恩网络」的工作经历。

时间来到2018年,这一年前后,国内颁布了不少相关法律法规以促进甲方客户对工控安全的投入。当政策加码、需求扩大,产品框架和人才具备,国内工控安全行业也自此走入新篇章。

三、参与者分类和竞争模式的演变

早期(2014年-2018年),工控安全行业处于市场教育阶段,行业政策正被紧锣密鼓地研讨。这一时期,「匡恩网络」和「威努特」布局较早,在行业内形成了较强的品牌认知。

2019年初,工控安全等保2.0落地前后,各类工控安全创业公司层出不穷。这一时期的行业发展主要依托于等保2.0,产品处于同质化竞争阶段,各家看不出太多差异化——这也是从早期到现在,不少投资人对工控安全行业的观感。

不过从“基因”角度看,国内工控安全创企早期即展现出四种不同的风格。第一种,是只以销售为主,产品选择OEM同类厂商的工控安全企业;第二种,是以自己原有的客户资源为主,占据一定市场区域的公司;第三种,是以产品为基础,组建直销团队或只依赖渠道的公司;第四种,是一些电力或者能源等体系内高管,依托原有资源获取客户进入工控安全领域。

2018年-2020年,行业进入混战状态。这一阶段,不少企业会投入大量资金,抢夺销售人员拓展客户,产品间也会相互OEM,低价竞争的情况也时有发生。这带来的影响是,以销售为主导的公司在产品研发投入上较低,大部分资金都投入销售打价格战。但反观以产品为主的公司,各家逐渐突出自有产品的亮点,希望打出一些差异化。整体看来,虽然直到现在整个工控安全行业的同质化现象依然存在,但对真正有产品能力的公司来说,技术布局上的领先,会持续体现出一些成本优势和新方向拓展的可能。

在另一方面,当行业处于相对胶着状态时,销售策略也会成为阶段性的破局点。

这一观察在安全行业也早有验证。比如,早期在防火墙市场中,当各家都大力布局直销抢占客户、进行价格战时,在一定阶段建立渠道,触达更多客户成为另一种路径。如今工控安全产品已经标准化,客户的教育成本也比较低,而且工业行业分散、地方割据比较严重,除却大型央企国企,地方企业的需求也很强。这种情况下,渠道商是能帮厂商快速触达客户的中间人。另一方面,在当下政策强推和产品同质化的市场格局中,或许谁最早布局渠道,能触达更多客户并控制产品成本,谁就能进一步脱颖而出。

当然,利益分配、渠道考核等是极具考验的管理工作。做渠道最重要的是信任和长期跟随,渠道机制不同,后端产品管理、项目支持等管理机制也要针对性设计,这是另一个长期话题。

四、从「威努特」到「珞安科技」,我眼中工控安全公司的几个核心判断标准

作为科技投资人,笔者在2016年底和2019年底分别投资了「威努特」和「珞安科技」。如今「威努特」计划在三年内完成IPO,珞安也已经是家C轮公司。在行业中,这两家公司均以产品力见长,同时也积极布局渠道战略。接下来我将以这两次投资经历为切口,梳理自己眼中工控安全项目的判断标准。

从大逻辑出发,笔者自2015年关注信息安全行业开始,认识到信息安全与IT系统息息相关,且滞后于信息化的发展,攻击暴露点数量多且复杂。这也导致整个安全行业中赛道极其细分,每个细分赛道天花板不高。当时,笔者和团队同事经过深入研究,定下对整个信息安全行业的投资逻辑,即关注存在巨大增量可能的新细分领域(如工控安全、云安全、物联网安全、数据安全以及2020年后的API安全)和原有高天花板范畴中,存在深度技术改革的领域(比如动态混淆在业务安全的应用,以及AI技术各个领域的落地等)。

当大前提确定,我们也同时看重政策在细分领域的落地情况和创业团队配置。

将这些维度拆分至工控安全。

首先毋庸置疑的是,这一领域天花板极高。在操作中,当时通过测算全国发电厂数量及需求,我们发现电力市场保守有50亿元市场规模。再加上能源、化工、交通、市政、军工等多个行业,工控安全的规模有望超过安全行业中市场份额最大的防火墙市场(当时防火墙市场规模约在300多亿)。而在2015年,单个安全细分领域的市场规模能到亿元,都属于不错的水平。毫无疑问,工控安全在彼时是一个巨大的蓝海市场。再加上当时,关于工控安全的政策正紧锣密鼓地落地,这让我们觉得,一定不能错过对这个领域的布局。

这是一个长期生意。基本上,信息安全企业的平均上市时间是10-15年,投资人需要长时间陪同企业发展。所以当时在选择被投标的时,与一味偏重技术的投资逻辑不同,我们觉得To B,尤其是工控安全领域不仅要看重技术,还需要强有力的销售和管理能力,才能与客户形成长期合作。

另一个很重要的考量点是创始团队对工业领域的熟悉度。具体而言,工控安全不同于传统信息安全,团队还需要懂工业控制,了解工业行业。体现在产品技术上,由于工业网络与IT网络是完全不同的网络协议和防护逻辑,IT网络可以包容一定程度的断网、延迟等问题,多以黑名单防护为主,而工业生产延迟要求在ms级,出现问题也不能粗暴拦截,影响生产流程。再者,工业高温、高湿等复杂环境也不同于处于空调屋的IT设备,厂商甚至在硬件设计上都要做出改变。

当时,整个工控安全行业中公司不多。经过一段时间摸索,笔者和团队去拜访了「威努特」等企业。首先在产品技术上,「威努特」是国内第一家在工控安全中提出白名单机制的公司,这也符合我们所认可的,整个工业控制系统运行的防护逻辑。而且,其CEO是自动化专业出身,在华为积累了丰富的销售管理经验,CTO也在华为获得过技术创新奖。这种产品技术和销售能力的结合,也让我们更有信心。

如今,「威努特」已经身居行业头部,服务客户数达到4000家,收入增幅每年保持在60%。

另外,对工控安全渠道战略的看重,也是2019年底我在一家产业基金投资「珞安科技」的原因。「珞安科技」产品能力强,并严格控制成本,在成立时即以渠道为主。在业内,不仅安全相关上市公司,甚至同行业的创业公司都会选择OEM其产品。这也让珞安在业内建立了比较好的产品能力和渠道合作关系。经过2年多的发展,珞安的体量也有了大幅提升。

另一方面,当2020年头部工控安全企业加大布局渠道时,「珞安科技」也开始加大直销投入。这也说明,如今各家企业已经步入产品、销售方式全面竞争的阶段。

在这一阶段的比拼中,各个传统信息安全巨头也加速布局工控安全行业。现在的工控安全,已经进入到真正完全竞争的阶段。

由此带来的一个现象是,一些企业开始拼抢资本、资源,这将让只依赖销售或只依赖于产品的“单条腿走路”公司受到较大考验——它们原有在起步时的优势可能在发展中成为劣势。所以,工控安全行业在这个阶段需要比拼超强的产品拓展能力和狼性的高效管理能力,形成管理组织化的优势。在投资方面,这个阶段大部分工控安全企业不会选择纯财务基金,这也对创始人的资本斡旋能力提出要求。

五、未来工控安全的新课题

如今工控安全的竞争依然激烈,但有竞争才有进步,相信接下来国内工控安全行业依然会在产品、技术、产业融合等方面持续精进。

从行业大背景来看,随着5G网络的普及,中国进入到数字化、智能化高速发展的黄金阶段。同时,工业体系也进入智能化阶段,物联网和智能工厂已经给各行各业带来生产的优势。当进入智慧工厂和物联网阶段,企业的需求不会止于工业控制系统的安全和满足政策要求的安全体系。所以,工控安全产品本身也需要进一步迭代。

在这个逻辑下,厂商怎么在原有体系下强化情报攻防能力、安全分析能力、甚至AI自动化能力,同时怎么通过两化融合,与工业云平台,工业大数据结合形成一体化综合解决方案,是新的课题。同样,工控安全也会进入到下一个发展阶段——大家怎么从原有的政策性市场进入到两化融合市场,也会是下一个竞争差异化和拓展的爆发点。

回顾国内工控安全的第一个10年,就笔者投资的两家企业「威努特」和「珞安科技」来说,创业的一路艰辛和质疑只有创始人自己能体会,资本更多是长期的陪伴。作为投资人,期待两家在保持产品竞争力的同时砥砺前行。

但也诚如前文所述,工控安全行业一路走来不易,如今也远未到终局。同样希望国内所有的工控安全企业,秉持为国家和客户解决本质安全问题的初心,一起真正提升整个行业的价值和能力天花板。



上一篇:威胁企业云应用安全的五个常见错误

下一篇:我国数据安全产业链发展观察