网络安全行业有值得投资的公司吗?

首页 / 业界 / 资讯 /  正文
作者:黄国忠
来源:魔方安全
发布于:2023-11-17
一、引子
 
三季度结束,各大网络安全上市企业陆续发布了前三季度财务数据,很多行业人士与媒体也做了各种解读,比如有篇文章叫“安全行业都在做慈善?”
 
我关注其中一项统计:国内二十多家网络安全上市公司第三季度总营收85.0亿元人民币,与去年同期的89.4亿元相比,降幅为4.9%。
   
注:图来自公众号表图
 
从2023年Q3的报表来看,75%以上的上市网络安公司是亏损的,虽然因为季节性原因,第四季度往往占全年的很大比重,但从趋势来看,全年大概率不乐观,记得2022年的年报数据表明二十多家网络安全上市公司总体亏损十来亿元。    
 
对刚入行的从业者来讲,这几年的经历如同坐过山车。以“为国为民,侠之大者”的情怀,拿着向互联网公司看齐的薪资,喊着万亿不是梦的口号就杀入这个行业,今天在裁员和优化的大背景下,很多人又离开了这个行业,毕竟增速不及GDP,整体或大多数上市企业都亏损,规模还不知道有没有超过小龙虾就是现状,梦想和情怀要有,饭也不能不吃啊。
 
对很多老兵来讲,也有不适应:早就知道这是操着卖白粉的心,赚着卖白菜的钱的行当,本来还能吃个专业饭混个活口,一下子拔那么高,鱼龙混杂如过江之卿,反而不知道怎么过了。有个干了五年的数据安全赛道的兄弟改行了,我劝他不要在黎明前撤退,他苦恼看似炙手可热,但很多事情够不着。今天网安很多事不是靠技术吃饭,可能很多行业也是这样,当然也许说明你技术不是足够牛逼。
 
前东家老大当时老说国内安全行业的天花板高度取决于法规的重视程度,不能雷声大雨点小,今天法规密集得专业人士都学不过来,但听老同事说他今年也退休了,不知道咋回事。            
 
二十年前,就有人提出行业有战国七雄和三甲的说法,个人曾经在一甲中呆过,当时每年年会老板都会拿数据只和另外两甲比。2014年后又有人说行业进入新的元年,诸子千家出现,各种版本的能力图谱全景图层出不穷,以至于一个从IT运维和开发转安全管理的领导说:你们这帮搞安全的太能搞了,让我们买一堆安全产品说无所不能,还没买齐你又告诉我还有一个新东西来验证你的安全产品是否正常,不过我刚见过一个Gartner的顾问了,他说现在造不动新词了,还找我请教。
 
前几天和一专注网安行业的投资人聊天,他说现在应该是春秋时期,很快进入战国时代了,我问谁是秦,他说没看出来,而且秦也不过二世啊。 
 
二、从二级市场投资的角度看网络安全公司
 
现在是和平时代,不需要靠在战场上刀光剑影来杀敌立功,商海纵横或公共社会成就是一个人能力的重要体现方式。只有极少数人能创造一家优秀的公司,那么在优秀的公司创造价值或投资优秀公司就是我们可以努力追求的目标,本文仅从二级市场投资分析下当下的网络安全行业,虽然上市的网络安全公司不能代表全行业,但无论哪行,在中国能做到IPO的公司肯定属于行业中的佼佼者。
 
从价值投资的角度,老师说记住12个字:好时机,好行业、好公司、好价格,剩下的就交给时间。
 
我们创业也好,选择一家公司打工也好,包括股权投资或买股票,最终都是投资。
 
 
1、好时机    
 
时机主要看经济基本面、政策面和资金面。提前布局才有大机会,巴菲特说“别人贪婪我恐惧,别人恐惧我贪婪”,现在这环境和大A,说起来简单做起来难啊,敢操作的都是猛士,这块就不多言。
 
2、好行业
 
行业主要看行业政策、竞争格局和产业链。
 
从政策来看,网络安全行业属于国家非常重视的行业,也是网络强国数字中国的重要保障,信创和自主可控的一部分,并且合规要求、热点和事件不断,这些注定了行业具有令人想象的发展空间和特殊意义,这也让无数情怀少年熬白头都孜孜不倦。
 
竞争格局来看,主要是门槛和增长速度,根据波特五力模型,似乎全员都可能成为竞争对手,因为网络安全产品大多源自攻防技术,产品同质化严重,大家都是这种背景出身,你怎么能说我干不出来呢?这可能也说明行业门槛没有想象中那么高,当然也有所谓明星靠资本堆出来的数据就说自己具备世界级的技术,那只能通过是否能在客户侧有真正的价值来检验了。
 
国内的内卷和同质化竞争我是有深切感受的,今天发现前几年曾经谈过合作的很多厂商都开始做攻击面管理了,包括有些做安服出身的兄弟们创业也选择了这个方向。但只有真正做过才知道:从单点技术到产品再到商品三者之间是有巨大鸿沟的,要交很多学费,跨越不了的话还是基于安服的人头经济。
 
网络安全之前一直是快速增长的行业,我记得投资班老师说增速大于GDP两倍以上就是好行业。可惜疫情三年和当前环境下,这两年增长率实在堪忧,甚至可能负增长,所谓的龙头也很难有两位数以上的增长,这也不难理解,毕竟是伴生的行业,皮之不存,毛将焉附。 
 
网络安全行业从产业链分析就更有意思了,尽管有很多图谱,但说实在的,外行看了都被吓跑了。
 
之前总很自豪地给其他人士介绍:这是个永不落幕的朝阳行业:合规、事件、攻防和业务在不断驱动,数据成为新的生产要素,数智化转型下的场景不断增加,行业前景无限。但是一次给科创投资班同学分享网络安全行业的时候被老师质疑:行业上下游分析不清晰,怎么都是竞争,没有协同啊?网络安全行业难道就是工控机或开源软件+你和同行的产品+客户吗?老师当场批评我不懂行业分析,惭愧之余我似乎也找到这个行业今天小(规模小)零(碎片化)同(同质化)的一个重要原因。尽管谁都知道每家公司(无论他是巨无霸还是新贵)或团队能干好的产品或核心能力就那么几个,但很多都既要做整车也要造轮胎,浮躁的环境难有匠人的生存空间,客情成本太高,很多用户好蒙。 
  

想想也是,行业新词太多,令人眼接不暇,审美疲劳,甲乙方都累了,比如攻击面管理还没吵完又来持续威胁暴露面管理,客户说我就想做好安全资产管理,测啥绘?叫什么不重要!行业内的厂商非常热衷新词,一个跟随Gartner做到国内安全Top3的综合厂商曾经有过一个很成功的产品策略:每个要投产的产品要有一定市场容量,必须做到国内第一名或二名的占有率,但这屡试不爽的策略这几年实效了,财务数据不如人意,股市表现低迷,尽管产品名录众多,支撑很多大厂营收的还是老几样。
 
这几年Gartner造词太快,跟随者也太多,也没有定义出一个有容量、可标准化的细分赛道,往往东西没出来市场已成红海,比如API安全。
 
尽管从长期来讲,网络安全行业充满机会,具有成长性和发展空间,但这两年也许有点刘润2023年年度演讲进化的力量中描述的那样,行业会加快洗牌和集中。    
 

 
3、好公司
 
好公司的定义很难统一,不同发展阶段的公司判断标准也不一样,上市公司都具备相当实力,可以从财务角度、护城河角度(核心竞争力)、和战略角度(开拓能力、发展空间、管理团队)角度进行分析。
 
亚里士多德说:任何一个系统都有自己的第一性原理,它是一个根基性命题或假设,不能被缺省,也不能被违反,那么企业的第一性原理是什么?有人说有三部分:为客户创造价值(没有这个,企业不需要存在,企业发展的好还是不好最终都是由其所在市场的客户决定的)、为企业创造价值(有持续增长的现金流、利润和核心竞争力)和核心员工的能力的持续提升及收入的不断增长(价值靠员工创造)。    
 
       

吴春波在《华为没有秘密2》通篇表达的观点是华为遵循的是常识,没有秘密,比如:
 
● 让规则守望企业,而非老板;
● 企业的使命不变:活下去;
● 企业家的使命未变:方向与节奏;
● 企业成功的关键要素:核心竞争力;
● 企业的生存方式未变:活力与机制;
● 企业经营的核心未变:营利能力与现金流;
● 企业管理的核心未变:人均效率的持续提升;
● 企业经营管理的核心:组织能力的持续提升;
● 企业管理者的责任未变:人才的培育与管理。
 
在投资市场里,衡量企业赚钱能力的一大核心指标就是“净资产收益率”,即ROE。ROE=净利润÷净资产,用来衡量公司运用自有资本的盈利能力,一般来说越大越好,股神巴菲特说过,如果让他只关注一个指标,那就是ROE,价值投资老师说,优秀的公司,通常会保持连续5年ROE大于15%。如果纯从财务角度选一家好公司,老师会给出以下筛选条件:2018年到2022年,ROE大于15%,净利润现金含量大于80%,毛利率大于30%,资产负债率小于60%,市值大于30亿,上市大于3年,坦白来讲,网络安全行业目前还找不出符合这样条件的上市公司。
 
财务分析需要从资产负债表、利润表和现金流量表三个角度进行对比来识别真正的优质公司。

找出合适的公司后就还可以通过以下指标对财务报表排雷:比如应收账款不能大于15%,存货不能大于15%,预付不能大于10%,商誉不能20%,费用率除以毛利率不能大于60%,主营利润除以营业收入需要大于15%,净利润现金含量至少五年平均要大于100%,销售商品、提供劳务收到的现金占“营业收入”的比值要大于100%等。  
 
这块花了近一年学习,总算入了门,有空再挑几个公司分析下,但感觉需要适合行业的指标体系。
财务验证通过后,我们根据企业处于不同的销售位置来分析企业的护城河,上游:重点关注技术壁垒,其次关注销售渠道,中游:重点关注销售渠道,其次关注技术壁垒,下游:重点关注品牌,其次关注规模,网络安全因为产业链混乱,缺乏上下游分工与生态合作,目前来看还不太好下手分析。
 
战略角度分析这部分就略去了,说实话没空深入研究,其实大的几家啥情况大家基本都知道,但只提一点,之前某深圳代理商去全国各大综合性安全公司走了一圈,最后判断具有合作潜力的只有深圳的某家,因为老板还很拼,工作和生活和IPO前区别不大。
 
4、好价钱
 
从二级市场来看,好价钱主要就是看否低估,主要有三个指标:市盈率、市净率和PEG。市盈率PE是指股票价格除以每股收益,市净率PB指的是每股股价与每股净资产的比率,PEG=PE/未来三年预期每股收益年增长率*100。  
 
在选定好公司的前提下,价格相对低估的优先等级划分如下:
 
1、TTM市盈率和TTM市净率10年期全部低估,PEG小于1;
2、TTM市盈率10年期低估,PEG小于1;
3、TTM市净率10年期低估,PEG小于1;
4、PEG小于1;
5、TTM市盈率和TTM市净率10年期全部低估;
6、TTM市盈率十年期低估。
 
根据个人习惯不同,有些人看到低估就入场,有些则等待技术如K线之类指标出现后再建仓。
 
以上纯粹是理论分析和一般流程,实际情况会更复杂。比如很多公司利润为负,那PE自然也是负的,老师认为那就没必要关注了,我听课的时候就想,那我们这个行业很难选出一个公司进入自选股票池,后来找到这家过得相对舒服但不争老大的公司可以生成一个正常估值分析曲线。 
 
需要申明的是,我可绝不是说这家公司股票可以买,毕竟投资看的是未来的成长性。
 
三、收尾
 
看完了可能很多人有些失望,文中没有给出大家想要的答案。其实投资这玩意也一样,一百个人心中都有一百个哈姆雷特,赚了说自己牛逼,亏了骂股市烂,赚钱的永远是少数人,每个人都一直为自己的认知买单。我因为之前给一个搞猪周期的兄弟分析了他感兴趣的某两家大的龙头安全公司,导致这哥们对网络安全行业非常看好而入场,无奈基本面和技术面都很差,至今深套其中(其实自己也被套)。尽管非我之过,但也深感愧疚,于是结合行业当前的处境,认真地学习了下投资的常识。尽管自己在网安行业已经干了二十年了,不得不承认行业确实还属于早期,混乱、不健康说明了一切,洗牌才刚开始,谁是高质量发展的王者没看出来,又赶上长冬,唯有练好内功,适应新局势活下来才有未来,但可以预料的是,行业内这几年应该会发生很大变化。    
 
正所谓,网安代有才人出,各领风骚三五年。