超级CSO | 胡洪涛：安全投资，面向未来

苹果资本 胡洪涛

说实话，来上这堂课，我个人还比较恐惧，在座的诸位都是我的甲方，也是我的老师。思来想去，这堂课还是不讲具体的网络安全，多和大家聊聊网络安全投资。

先简单介绍下苹果资本。

苹果资本从2009年开始做网络安全投资，是国内最早专注于网络安全产业的投资机构，也是近10年全球投资网络安全公司数量最多的投资机构。最开始苹果资本更聚焦于早期的创业阶段，比如天使轮、A轮，更加关注新技术的领域，今年已完成PE基金募集，投资阶段覆盖VC和PE。

目前，苹果资本已成功募集6期人民币基金（VC、PE），1期美元基金；已成功退出十多个项目，回报率从数倍～百倍；每年收到300～500个新安全项目；对1000多家国外安全企业的发展进行跟踪。

其实投资这件事情没有大家想象的那么复杂，本质上就是把有钱人的钱拿过来，投到一个有希望的公司。

而投资最痛苦的事情，是我们必须要不断地面对不确定性和风险。所以我们总要试图说服自己，为什么投资这家公司；也要和LP去讲故事，告诉他们未来的方向是什么。这两方面的难度都非常高。募资时我们没有任何产品，但要说服别人把钱给我们；投资时尤其是早期，也许只能看到一张PPT，或者产品的demo，既无销售数据，也无法进行验证，未来依旧充满了不确定性。

每年苹果资本都会看300-500个网络安全的投资项目，差不多占安全圈所有投资项目的90%，覆盖率非常高。另外，我们也会对国外大概1000家网络安全的创业公司进行跟踪，了解各个行业的方向和发展情况。

那么什么是VC呢？

用王功权的话来说，早期的投资就是要在一片沙漠里发现一个绿洲，相当于沙漠的世外桃源，其难度可想而知。个人感觉投资行业本身也有点相互矛盾，正常情况下沙漠里没有绿洲，但是我们依旧还要去寻找。

因此，投资最重要的就是要“独立思考”。只有在投资时把很多问题想清楚了，我们才不会后悔有没有投这个项目。要知道即便是同一事物，不同的专家给出的意见也可能完全不同，甚至截然相反，所以最终还是要我们自己独立思考和判断。这也是投资比较难的地方，它不像做产品可以通过客户验证，而投资需要验证的是一个公司，这个过程可能需要7-10年的时间。

而理解投资的方法就是周期，没有经历过周期你很难对投资有深刻的理解。目前国内基金的周期大多是5+2年，我们是7+2，美国大部分基金是10+2或10+3，国内基金的周期非常短。做投资真的急不来，周期也不是人力可以加速的。

VC中有几个反人性的地方。一是等待周期长，7+2只是一个中间值，美元基金的周期比我们更长。二是不可预见性，投一个早期项目，未来的变数太多，风险也不可控。三是投资不创造价值，创造价值的是企业。四是不可复制，时间不同，起点不同，阶段不同，投资项目也不同，不同的时代遇到的问题也不同，收益自然也是不同，所以VC的经验本身不可复制，创业者也不可复制，哪怕10年前创业成功了，今天再创一次业，未必还能做成一个上市公司。

第一，价值变现。比如创业公司不上市的话可以直接卖掉，这是价值变现最直接的方式。

第二，创造价值。创造价值有两种方法，一是帮创业公司把产品卖出去，或帮他去对接相应的渠道。二是合规，通过规范的做法降低公司的沉没成本，比如更早的进行合理的股权分配方案设计等。

第三，连接价值（生态）。现在创业大多是扎根于一个细分领域，而我们要做的就是把各个细分领域的安全厂商连接起来，为客户提供完整的解决方案。

过去10年，美国的退出渠道比较通畅；未来十年，中国的投资退出渠道也将比较通畅。

对投资者而言，上市渠道多的好处是，投资的一级市场和上市后的二级市场形成一个良性循环，投资者更容易退出并进行下一次投资。

除上市以外，过去10年美国的并购也比较活跃。据统计， 2019年下半年大概是74家被并购，2020年一季度是34家。2018年比较大的一些并购案，平均的并购价格是8.1倍的P/S。

目前美国有很多资金都在安全领域进行布局，从图中可以看出，2018年美国风险投资在安全公司的增长趋势十分明显。过去10年，美国安全投资的趋势比较明显，说明他们特别重视安全，现在美国有相当一大部分公司，他们的CSO已经进入了董事会上。

上图显示的数据是从2001年到2015年美国安全创业并融资的情况，从图中可以看出，美国安全创业从2010年开始比较火，投资从2012年开始比较火，一直持续至今。如今，美国、以色列几乎所有综合性知名基金，投资“网络安全项目”的比例均在10%以上，对安全投资的力度非常大。今年国内很多基金和投资界的大佬也都来看网络安全项目，这在以前从来没有出现过。

近年来，不止我们苹果资本在专注于网络安全一个赛道做投资，美国、以色列2014年后出现了十多家专注于投资网络安全的VC，其中有几家非常成功，均有知名投资案例。这几年我分析下来，他们成功的关键，一是基金创始人均有15年以上网络安全从业背景、深厚的行业资源与人脉；二是专注于投资网络安全一个方向；三是所投项目越“少而精”成功率越高。

之前我统计了2018年企业级服务公司在纳斯达克上市的数量，一共15家，安全差不多占了一半。因此在美国创业，网络安全是一个非常火热的方向，很多VC都非常积极的投安全。另外，从2019年开始，安全需求快速增长，安全技术突飞猛进，上市安全企业并购需求随之猛增。

上图显示的四个因素是从统计数据得来的结果，我们分析总结之后，把影响安全产业发展驱动力分为四块，分别是技术、业务、政策和事件。

技术的发展是网络安全发展的第一驱动力。网络安全非常复杂，从不同的端到端之间，动态组网时设备与设备之间要确认身份安全，其中云安全和传统的网络安全又不一样，甚至是完全颠覆。技术的变化一定会带来整个安全理念的变化，技术的改变也会导致了整个安全的内容发生改变。基本上我们现在投资的都是下一代的非硬件形态的安全产品，我们很少再去投硬件形态的安全产品。目前基本上聚焦在业务安全、数据安全、物联网安全等这几个领域里面，也更容易做出壁垒。

从美国网络安全公司的发展来看，可以大致分为新、中、老三代。从这些安全上市公司的数据来看，年复合增长率随着技术的更叠逐渐降低。

业务对安全的刚需也推动了安全的发展。事实上，在北美安全预算已成为企业IT支出中仅次于云基础设施的第二大刚性且增长最快的支出。这跟他们的CSO在董事会上有话语权有很大关系，大家不敢随便砍安全的预算。

政策肯定也会推动某些产品和某些服务的采购，且对安全起到的加速作用是事件、技术和业务等无法比拟的。

事件很好理解，一出事老板立马就批了预算，业务也已经和安全紧密地结合在一起了。

一个创业公司想要走到B轮，那一定要做大公司和上市公司不做的方向，比如大的安全公司一定不会去针对业务数据做敏感字的发现等。而小公司愿意扎根下来，仔细、认真的把一个个小活干好，再寻找自己纵向成长的机会。

花絮

注：本文只是胡总现场授课小部分摘编，完整视频资料3小时，全文实录1万余字，我们会在本期研修班结束后制作视频专辑和纸质专刊，届时分享，敬请期待。