最近看到朋友圈里对安全产品“杀”低价这个事情讨论的很多,对这个事情我最早的感知大概是三年前,然后越来越多,甚至我们还碰到低价都抢不过,直接送的,最后导致客户自己都心里发怵,还是花点钱心里比较踏实。内部对这个事情有过较多的讨论,其实逐渐已经习以为常了,简单输出一下观点,也一样因为身在其中,讲不了太多
一、“杀”低价行不行?可以
这个行为说到底,是没办法杜绝的,不然去把各个公司采购“最低价中标”的基本政策改一改?这是要求、是基础,况且如果真的不是这种基本政策,那可能两极分化更严重,大的永远大、小的永远小,会发现多了一百种不选你的理由。
在创业公司起步阶段,产品有竞争力,但没案例、没资质,低价几乎是唯一的办法,没有那么多的“单一来源”,虽然会影响到用户的预算,但是后续服务跟上,效果交付的好,一般也能够理解,也可以产生后续进一步的合作。
抛开厂家来说,_说到底用户讨厌的是什么?_是投了个低价,丢过来个产品或者工具,因为本身亏本着嘛,后续服务和运营也跟不上,没人投入,导致这个事情做得一地鸡毛,既影响第二年的预算,又影响今年的绩效。
换个视角,抛开用户来说,_厂商讨厌的是什么?_一种情况是你产品水平一坨shi,投个低价把友商辛辛苦苦运作“多久多久”的项目抢走了。另一种情况是你一个成熟公司,不缺案例了,还不断投低价恶心人,服务运营效果又跟不上,最后就是三方都输了,用户想做的做不好,你没赚到钱,友商项目被抢了,说实话我觉得一个事情能做到各方都输也挺不容易的。
总结一下,可以投低价,对用户来说,你服务得跟上;对友商和自己来说,适可而止。但是另外说,如果你个个项目低价,个个交付效果好,自己还能挣钱,那不是你的问题,是你已经找到方法甩开市面上友商一大截了,不用在乎他们的看法。
二、可以“杀”,但是为什么这么多?
其实我们想讨论的不是能不能“杀”的问题,而是为什么就最近一两年这么频繁的问题,去讲这中间的思考过程可能就太繁杂了,直接讲结论,其实很简单,就是“钱多得慌,可以烧”。
当然不是说现在市场上钱多,目前能投出低价的厂家,基本上是17-20年那一波创业起来的安全厂家,并且持续能融到资的,那个时候为什么安全行业的钱突然多起来了?两个事儿,网络安全法是17年6月出来的,“没有网络安全就没有国家安全”是2018年4月说的,国家对安全的政策倾斜是从17年开始,并持续进行的,那个时候市面上还是有钱的,资本无限看好安全行业未来的发展,如果不是疫情,这种情况可能到现在依然还会继续,安全行业依然是投资的重点对象。
既然是对行业看好,那投的肯定是有不准的地方,这个没办法的,你指望投资人火眼金睛去分辨出真正好的公司,有点难说实话。吹牛逼谁不会,再加上拿出通过低价得到的案例,一个个都是名头响亮的客户,确实谁看谁迷糊。有几个人会去真正用一下产品?有几个能分辨同一个功能做得好和做得坏是什么区别?有几个能区分出案例落地情况的?但是资方对营收和利润是敏感和专业的呀,越到后期越看中,压力就来创业公司这边了,到这个时候其实就形成了一个负面的循环:
A公司产品一般、手里有钱,产品不好卖营收难做,老板心里急压力大,市场动作变形投出几个低价,低价又挣不到钱,手里的钱也是有限的,那么低价冲下来的项目服务就跟不上,营收不好下一轮融资怎么办呢?只能继续投低价再搞几个名头响亮的客户
回过来我们看其中的原因,还是产品能力的差异化竞争力没做出来,导致客户没有一定选择这家公司的理由,销售网又比不过大厂,最终落入到低价陷阱里。
三、关于安全行业发展的思考
最后,我想讨论当下的行业状态,今年三季度各个安全公司的财报,上市前10的安全公司营收很丰满,利润全部为负,同时21年整个行业上市的安全公司,利润加在一起是-5亿,跟做慈善一样,并且这些年都是持续做慈善。
这一方面说明安全行业钱确实多,能烧;另一方面说明当下的环境,做安全不赚钱;其中的原因,我个人的观点是:目前安全行业确实得到很大的发展,但不是高质量发展
其实这个问题跟前面我们讨论的“杀”低价有一定的关系,同时跟很多其他现象都有关系,并且很可能是其根本原因(不确定,没思考完整),我列举几个现象
1. 我们上面提到创业公司喜欢投低价,但是其实大厂更卷,传统安全产品已经做到10w,甚至5w以下,都是非常常见的情况,并且即使是这样依然经常被抢
2. 我们在国内很难看到某些专一方向的安全厂商,基本都是发展起来后变成综合性安全厂商,几十上百个产品,某些单一方向做的很好,产品有竞争力的安全厂商,前期很顺畅,后期大厂小厂进来后,卷起来导致单价降低,利润降低,估值会非常成问题,但是在国外我们可以看到单一方向的厂家能活的很好,最后还经常被大厂收购
3. 我们经常能看到躺在机房吃灰,或者一年用一次的安全设备
我们再回过头来看,小公司杀低价,大公司传统产品本来就便宜,那自然安全行业就不挣钱了,并且单一产品即使做出竞争力,也会陷入到劣币驱逐良币的情况中,单价利润变低,逼得不得不转型依靠更多的产品线来制造更多的营收,这是现象。
我屁股坐在安全厂商,所以以下观点可能会有偏颇,其实这个问题在22年初我思考的蛮久,最终我认为是:大部分企业对安全的质量不够重视。强调一点我不是指全部企业,我也经常见对安全非常专业的和有深度思想的用户。对安全质量不够重视的原因,我认为有三个
1. 高质量的安全难以快速见效被证明,安全本身难以正向证明,一句行业俗话:出事儿了要安全干嘛,没出事儿要安全干嘛?这是安全的特性决定的,难以改变
2. 低质量的安全也难以快速被证明,抛开合规纯从攻防的角度来说,低质量的安全造成的后果是被APT,搞APT的这帮人谁不是闷声发大财,恨不得你永远发现不了,无法快速证明你被APT了,但是有意思的是这些年出了一个加快低质量安全被证明的东西,就是勒索病毒,蠕虫式传播,加密影响业务,经济损失极大,可能还会被监管通报,其实勒索病毒从某种程度上很大的促进了安全行业发展,我认识一个客户就关心三件事:第一合规,第二红蓝,第二别被勒索。
3. 企业对“深度”安全能力不敏感,对安全产品的筛选能力有限,这个比较敏感,我说明两个点,第一是企业关心的更多是安全产品的功能,所谓“深度”,我指的是误报漏报、更新速度等安全能力的指标,评测的较少。第二是这个情况在加速好转,越来越多的乙方、互联网厂家去大甲方做安全,再加上行业发展,企业对安全的认知是飞速增强
最后,其实从我的角度来说,多思考是不希望在这条路上走着走着某天脚步不坚定了,身子歪了,看清真像但依然热爱这个行业,非高质量发展也只是一时只是当下,最终也一定是有竞争力的产品和厂商跑出来,更何况当下的这种情况,可能厂商责任还更大,那些一坨shi的产品也是当下情况的原罪,任重而道远,共勉