今天谈一下三六零的商业模式,360的业务比较繁杂,我们按照产品线大致可以划分为To C的互联网广告以及衍生出的游戏和智能硬件,以及 To B 的政企安全业务这两类。
两者的逻辑和商业模式是不一样的。To C业务的商业模式是互联网行业经典的三级火箭模式,而To B 的政企安全业务我觉得可以形容为分布式反导系统,以下分别讲一下。
互联网广告-三级火箭模式
什么是「三级火箭」?举个舞厅的例子,舞厅通过免单吸引美女入场,从而吸引男人进场,最后赚男人钱的经营模式就是个典型的三级火箭模式。
三级火箭模式通常分为 3 个步骤:第一级,搭建高频头部流量;第二级,沉淀某类用户的商业场景;第三级,完成商业闭环,变现。
三级火箭模式在互联网行业的应用是最成功的,不管是国外的谷歌,脸书、亚马逊,还是中国互联网巨头BATJ,都能看到三级火箭模式的影子。
以BATJ举例,它们分别做的是搜索、电商、社交、新闻。从商业角度来看,以上并不是BATJ的“产品”,我们从来没有因为搜索、商品比较、社交、看新闻付过费。
因为搜索、电商、社交、新闻只是BATJ的“引流品”。目的都是获得同一种资源:流量。也就是互联网用户的时间。BATJ都是靠卖流量赚钱,只是各自的引流品【一级火箭】不同而已。
· 百度的利润品是竞价排名
· 阿里的利润品是电商广告和搜索排名
· 腾讯的利润品是游戏、会员服务和广告等
· 头条的利润品是广告
这是他们的第二第三级火箭,找到了沉淀用户的场景,打造了商业闭环。这两年网红和直播为啥什么火,就是因为解决了流量如何变现的问题。
回到360的三级火箭:
360的第一级火箭是免费杀毒工具, 利用这级火箭打破了持续10年的杀毒软件市场三国鼎立的局面,成为PC时代用户量最大的安全工具。
360的第二级火箭是从免费杀毒工具变为安全网络平台, 进而推出360安全浏览器和360搜索。
360的第三级火箭就是它最终承载的商业闭环, 从安全浏览器和360搜索的广告收入,获得企业的经营利润。
为什么要搞三级火箭
三级火箭模型看起来很厉害,但是如果我这样描述它,给人感觉就有点问题:
先做一个赔钱货,然后延伸出第二赔钱货,最后再过渡到能赚钱的场景。
也就是说,为了最终赚到钱,我得先做 2 个赔钱货出来。
这个逻辑就比较可疑了,我认为其中至少有 2 个问题需要探讨:
1)我不做前 2 个赔钱货,直接找个赚钱的项目去做不行吗?
答案是:很难。
因为你一旦开始赚钱,就会引来一堆人跟你竞争,在同质化的竞争中,除非你的产品好出一大截,否则就没有大成的机会。
更致命的是,一旦你验证了这是门赚钱的生意,就一定会有人用免费战术来打你——他的目的不是赚钱,而是把你搞死。
你只有上来就学雷锋,做一个不赚钱的东西(比如 360 安全管家),别人觉得这是个赔钱货,才会放过你,给你发展起来的空间。
等你做到第二级火箭,你还不是很明确能够赚到钱。
直到你做到第三级火箭,你才可以开始赚钱,而且可以比较放心地赚钱了。
为什么?
因为你前面的基础打得很牢,用户需求过渡得非常清晰,别人不能直接抄你的第三级。
比如说你眼红 360 安全浏览器的高收益,也组团队搞了一个,声称比 360 安全浏览器还安全。能成吗?成不了。所以我对奇安信新推出的可信浏览器持负面态度。
因为通过安全卫士和软件管家这 2 个赔钱货,360 已经建立起了人们对它“安全”的认知,你抄不走。
所以我认为360的广告变现业务不会消失,毕竟上班族和学生等用户也有小几亿的人群,电脑和笔记本的使用场景还是一直存在的,PC端的其它竞争对手也很难再拷贝一个360,营收下降到一定程度后会企稳。
况且移动端360在安全领域也是有较大份额的,比如华为的手机安全技术支持就是360提供的,只是从台前走到了幕后,暂时还没有好的变现方式。
更多关于三级火箭的内容,如果有人感兴趣,建议听一下梁宁的《产品思维30讲》,讲的挺好的。
然而三级火箭也有它的局限性,大多成功的案例都是在C端,特别是C端互联网行业,B端却不太适合三级火箭。
首先B端的用户体量比C端要小很多,另外B端用户更看重产品的可靠性和服务,一旦出现问题损失会非常大,如果你的产品或服务能解决它的痛点或者麻烦,客户是愿意付费的;如果一家供应商说它的产品免费,其实客户心理倒是会犯嘀咕。
政企安全业务-分布式反导系统
这些年来互联网广告业务日渐式微,360急于找到企业的第二增长引擎。
近年来国内外网络安全形势的日趋严峻,国家对于网络安全的重视程度不断提高,随着360内部孵化的奇安信在政企安全业务上大放异彩和单飞,周鸿祎下决心进军政企安全行业,360于2019年正式成立政企安全集团。以下重点谈一下360政企安全业务的商业模式。
1.产品和服务
根据三六零官方介绍,360打造了以“安全大脑”为核心的新一代安全能力框架体系。该框架包括四个部分:一是区域/行业/企业总部的安全大脑,二是安全基础设施体系,三是安全专家运营应急体系,四是安全基础服务赋能体系。
这一框架体系能够有效整合生态产品,扩展支撑工业互联网、车联网、能源互联网、智慧城市等各种数字化场景,形成面向场景的差异化安全解决方案。
听起来是不是有点绕?简单通俗一点说,这套安全体系的核心是安全大脑。
360安全大脑有两种使用方法:一是直接使用360的云端安全大脑,像PC端360杀毒一样,在用户准许的情况下,把数据放到360的云上做安全分析,你把文件送给我,我告诉你是黑还是白,你把IP给我,我告诉你是好还是坏。
这个我认为是终极模式,也是效率最高的模式,但是出于对数据泄露的担忧,目前大部分企业不会选择这种方式。
方法二是帮客户在本地建一个属于他们自己的安全大脑,数据保留在本地,不用发给360公司。360从百亿级别的安全大数据中,“裁剪”出一部分跟客户有关的数据,以订阅的形式“灌装”到“安全产品”中,并以“基础设施群”的形式落地在客户处,形成完整的安全大脑体系。
“安全大脑体系”可以串起客户现有的各种安全设备,汇聚数据,用人工智能等技术做综合研判。
360本地安全大脑目前是客户最容易接受的方式,数据保留在自己手中,同时可以订阅部分360的云端服务。预计未来2-3年内这种折中的方式仍然将成为主流。
这样在局部(比如一家政企单位内部),用“安全大脑”把原本各自为战的传统网络安全设备连接起来,让它们能协同作战。(就像是让你家里的智能音箱、扫地机器人、智能空调能联动一样)。
在全局,老周的终极设想是每个城市有一套360安全大脑系统,每个行业有一套,再打通起来,全国互联互通一张网,形成一整套相互连通的预警网络。
此外值得一提的是,360政企集团虽然2019年才成立,但是2016年起360就响应国家号召,协助国家有关部门搭建了“护网行动”的攻防演练的平台,并且为众多政企客户提供了攻防演练服务,虽然都是贴着成本线做,没赚钱,但是却在实网攻防产品技术方面领先同行1-2年时间,在客户处建立了不俗的口碑。
2.产品差异化和竞争优势(客户为何选择360,而不选其他商品或者服务)
网络安全公司的产品到底为客户提供了什么价值?
网络安全和环保的属性有点像,它们都不为企业直接产生经济效益,主要都是为了满足合规的需求(比如等级保护)。
所以我们经常听行业内的朋友说,安全厂商的产品功能都差不多,客户也不在意质量,尤其是G端客户,可能一个防火墙买过来就是应付一下检查,检查完扔在那里就等着落灰。
在这个阶段,网络安全公司的产品提供的并不是安全能力,而是一张合规的门票。所以竞争的核心点在于商务能力,要让客户买你提供的门票而不是他提供的门票,尽管大家的门票都差不多。
但是近几年的HW行动(全国范围的网络安全攻防演习)、等保2.0、数据安全法等法规的相继颁布,给行业带来了一些重要变化:
第一,客户开始重视产品的真实防护效果了;其次,安全服务变得更加重要,尽管在这个阶段还是以重人力的安全服务为主,需要派人去客户现场协助攻防演习。攻防演习活动让网络安全行业更像那么回事了,真正能够提供一些安全能力,而不是像过去那样浮于表面(对于国家而言其实很危险)。
第三,近年来数字化进程不断加快,越来越多的数据开始上云带来巨大的数据安全隐患,国内各类网络安全事件频发,而传统的网安产品对于新型勒索病毒和APT这种持续性渗透攻击无能为力。
在这种背景下,越来越多的企业意识到真遇到新型网络攻击时,为了合规买的很多“铁盒子”根本不管用,一旦核心数据泄漏,或者网络勒索导致业务中断,后果将会非常严重,因此企业开始关注网络安全产品的实际防护效果和自身安全能力的提升。
网安行业的增长逻辑也由单纯的合规驱动逐渐变为合规和业务两轮驱动。
360敏锐的看到了这一变化,因为360本来就不是卖硬件产品的,重新发明个入侵检测系统,再造个防火墙,别人都做了8年、10年了,术业有专攻,很难做出差异化。而360最具优势的是十多年来C端杀毒产品积累下来的全网安全大数据和黑客的攻防对抗经验,擅长通过汇聚数据做安全事件分析。
于是360没有选择和同行们正面硬钢,而是充分利用自身的优势,巧妙的帮助客户建立自己的“安全大脑“,把客户手里的那些零零散散用了这么多年的产品,用安全大脑把它们重新激活,用大数据来赋能这些设备,让“手手脚脚”可以发挥最大的作用,未来再一步一步建设出成体系的安全能力。
老周在今年的ISC大会上罕见的做了一些反思,他说:
“大家知道,360是做免费杀毒起家,它带来的好处是我当初没想到的。那时年轻气盛,一心想要干死竞争对手,就做了免费,没想到互联网用户特别喜欢免费的安全。”
同时老周还表示360希望能够打通各地、各行业的安全大脑体系,形成威胁情报和数据的互相查询,构建起一个国家级范围的分布式安全大脑,真正提升整个国家的安全能力。
为此,360在ISC大会宣布提出要建立360安全大脑生态联盟,将多年来积累的全球大规模威胁情报中心全面开放,推给所有网络安全公司的产品中,生态共建赋能安全产业。
这和弹道导弹防御系统(反导系统)的工作模式非常类似,反导系统是拦截敌方来袭的导弹的武器系统。它包括弹道导弹预警系统、 目标识别系统、 反弹道导弹导弹、引导系统和指挥控制通信系统。
反导系统通常由导弹预警系统首先发现目标,再由目标识别系统,如雷达或光学系统,从一群目标中区分出真假目标。引导系统由地面发射装置、目标跟踪雷达和引导雷达组成。
根据预警系统提供的目标信息,目标跟踪雷达不间断地测定目标的精确位置、速度等弹道参数并传输给指挥控制系统和引导雷达。指挥控制系统迅速作出决策,指挥发射反弹道导弹,并由引导雷达导引导弹准确地拦截目标。
简单理解就是反导系统时把各个国家或者地区的探测,情报,指挥等方方面面整合起来,构成了一张遍布全球的大网。这样就能及时发现和正确识别敌方来袭的导弹、对目标精密跟踪、迅速作出决策和有效地进行拦截。
这是不是和360安全大脑的模式很像?目前绝大部分网络安全公司还处于传统的单兵作战、被动防御模式,缺乏顶层设计,依靠单个产品或多个产品不断堆砌,这种模式对付以前的小毛贼小黑客还行,但是在面对有组织的犯罪团伙的高级渗透攻击,供应链攻击、勒索攻击、工控设备攻击等各种新攻击手段则是力不从心。
而360已经率先进入体系化作战模式,通过分布在各地的360安全大脑,将情报,预警,拦截,指挥等方方面面整合起来,织成了一张遍布全国的大网,建立起网络安全领域的国家分布式反导系统。
因此360安全大脑的立意很高,设计思路是要串联起众多友商的安全产品,建立城市、乃至国家级的网络安全生态系统。这对于传统网络安全同行而言,不啻于一次降维打击,不是一个层面上的竞争。而一些在细分技术领域领先的公司则有望被纳入到360安全大脑的体系中,发挥好“手脚”的作用。
360安全大脑的独特模式,也意味着它目前的潜在客户都是大B和大G,因为这些是黑客眼中的高价值目标,它们受到的网络安全威胁最大,也是合规要求的重点单位(关键基础设施),因此360为了快速打开局面,在合作模式上进行了一些创新:变身为城市合伙人,以“基础设施群”的方式落户当地。
一来可以带动本地安全产业发展(肥水不流外人田,把产值、税收、就业留在当地),
二来搞新基建也符合国家大的方针政策。
三来360技术实力强大,参与多个国家级重点攻关项目,加之资金实力雄厚,客户合作也放心。
最后也是最重要一点就是360安全大脑拥有10多年真刀真枪和国内外黑客的攻防经验,确实能有效防护企业的网络安全,这个从老周在今年两会上给领导上网络安全课和外交部发言人引用360的网安防护成果都能看得出来。
这个模式目前看还是很合客户的口味的,360用了17个月的时间,已启动了重庆、天津、上海、青岛、苏州、厦门等10多个城市的安全大脑和安全基础设施群建设。其中郑州项目中标金额2.36 亿元,持续领跑网络安全项目的中标记录。
3.是否会被同行模仿?能否在长期竞争中保持优势(护城河)
首先我们要思考一个问题,网络安全公司的核心能力是什么,是攻防能力。
“十几年下来360不以卖货为目标,而是专注于安全能力培养。我们挣最庸俗的广告钱,用于核心技术研发,高水平团队建设,十年下来累计投入超过200亿,是中国投入最大的安全公司。因此360收获了世界一流的安全能力,而且沉淀了一套新的战法和能力框架。”
周鸿祎说。
这些世界一流的安全能力包括位居全球第三的安全大数据、独有的攻击知识库和知识样本库、一套捕获APT的大数据分析平台等,并形成了360云端安全大脑的原型。
而国内传统的安全公司营收体量太小(跟互联网公司相比),没那么多钱砸进安全大数据,也没办法像360这样不背业绩要求地招揽那么多专业及“野生”的网络安全研究者。
互联网公司虽然很有钱,却又不做安全业务,没有安全积累和攻防能力。就算砸钱,可能在部分细分技术上取得一定优势,比如云安全,人工智能方面,但也很难在核心的攻防能力方面与360正面抗衡,更多的是错位竞争。
放眼望去,唯独360两边都占。
其实更担心受到巨头跨界打击的是中小型的安全公司,腾讯,阿里依托他们的云服务,可以一站式为中小型用户提供云安全等安全服务。
因此我认为与同行相比,360在数据、人才、资金上有很大的优势,具有别人可望不可及的护城河,360的安全能力对其他公司有降维打击的能力。
此外360安全大脑是一个超级平台,会建立完善的平台生态体系,目前正在快速布局之中。其他大部分网络安全公司(少数细分领域的龙头除外)要么被纳入360城市安全大脑体系,变成友商,要么被城市安全大脑排除在外失去发展机会。
另外还想说一点,360还具备一定的军工属性。大家有没有想想360为什么是被美国制裁的唯一一家中国网络安全公司?
当传统的常规军事威胁不断被大家谈及的时候,网络战确是一场没有硝烟的战场,美国为此组建了几千人的网络安全部队,他们的任务可不只是被动防御网络攻击,对目标发起漏洞攻击也是很重要的任务。那么试问中国网安公司里又有哪家具备漏洞攻击的能力呢?
此处不易展开,大家自行脑补。
360的商业模式就先讲到这,那么网络安全行业的商业模式到底好不好?我认为还不错,但客观而言不是最好的。
计算机行业(IT行业)有几种商业模式,最差的是人头外包(没有规模效应),然后是项目制(有一定的定制开发),再然后是产品化公司(标准化程度高,规模效应明显),最好的是SaaS订阅制(实施交付都省了,而且客户每年续费,利润率逐渐提升)。
网络安全属于产品化程度很高的一个行业,不管是硬件盒子还是安全软件,不会为某个客户单独写代码,就算是定制化也是改改硬件设备的接口型号或者某个零件型号等等,很方便。
360政企安全的商业模式目前感觉是产品化公司(有一些项目定制),后续重点要跟踪的是安全服务SaaS云化的进展如何,这直接决定了市场给予估值的高低。需要警惕的是资产越来越重,回到传统的项目制公司,这也是目前传统网安公司估值一直不高的原因之一。