网络安全的红利还能吃几年？ - 黎墨的回答 - 知乎
https://www.zhihu.com/question/585302956/answer/1935036638695765884

十五年信息安全从业者，已经转行，安全行业职位基本上都轮了一遍：售后实施、项目经理、产品经理、售前咨询、产品测试、攻防培训、HW，可以说见证了这个行业从野蛮生长到如今的”内卷困局”。要说网安行业的红利期还有多久，个人判定，顶多3年，也可能明年就倒下了。说到这里先不要着急喷我，不是无凭硬黑，因为颓势非常明显。
想当年，俺也是一个网安报国的有志青年，MARK一下
从等保1.0到等保2.0时代，过去10年，网安市场看似高歌猛进。IDC、赛迪这些机构年年发布”市场增长20%+”的报告，但仔细分析就会发现：
1、增长数字严重注水，所谓的千亿市场规模，至少有30%是重复计算。一个项目被分拆成咨询、产品、服务多次统计，实际市场规模可能只有600-700亿。官方数据显示2023年中国网安市场规模超过800亿，预计2025年突破1000亿。但我的判断剔除重复统计、虚假项目后，2023年真实规模约550-600亿，从2020年的20%+降到2024年的10%左右，且还在下降，综合国内IT总投入的比例限制，网安市场规模很难突破1000亿的真实天花板。

2、头部集中度越来越高，奇安信、启明星辰、深信服等头部10家企业占据了60%以上的市场份额。中小厂商的生存空间被极度压缩，每年倒闭的网安公司超过新增数量。虽然说网安市场是一个伴生性行业，不可能一家独大，因为不可能一家大公司把整个IT行业的所有的环节的漏洞都能补完。然而这两年的实际情况就是，大公司为了生存把原来看不上的犄角旮旯的业务也做了，完全不给小公司任何机会。奇安信、启明星辰、绿盟等为了财报好看，不惜血本抢项目，毛利率持续下滑。有国资背景的企业在政府、国企市场如鱼得水，纯民营企业举步维艰。

3、同质化竞争白热化，防火墙、IDS/IPS、态势感知…产品功能趋同，技术门槛不断降低。大家都在拼关系、拼价格，技术创新？那是奢侈品。这大概也是安全公司的特点吧，只要出个新的东西，网安公司第一想法就是模仿，或者直接OEM。所以同质化是必然的结果。你就想吧，一个700亿的市场，纯网安类的公司530多家，这还不包括大的集成商，除去基本成本费用，实打实的一个网安公司能有多少盈利？
网安行业致命特点就是，过度依赖合规驱动。其实关于这一点，网安行业从业者都是心照不宣，大家都明白如果不是合规驱动下的惩罚体系，谁愿意去做一个纯花钱且见不到利润的事情。2021年密评考试的时候，谭校长就曾说过，整个网络安全的市场形势离不开郭启全处长对于等保的推动。然而现状就是等保2.0带来的一波红利已经在2023年基本消化完毕，数据安全法、个人信息保护法的合规需求在2024年达到峰值，-关键信息基础设施保护的大单基本被瓜分完毕，没有新的强制性政策，就没有新的市场增量。这就是网安行业的宿命。现在主要的安全法规已经出台，后续只是修修补补，地方政府债务压力下，安全预算首当其冲被砍，国产化替代方向该替代的基本替代完了，增量有限。

2024年开始，所有厂商都在炒作”AI安全”概念。为什么？因为没有卖点了，网安行业信奉的是，焦虑创造卖点，如果没有焦虑那就创造焦虑。云计算出来的时候炒作云安全，然后把传统的安全产品搞成云软件产品卖一遍。工控出来的时候，把传统的安全产品搞成工控的产品再卖一遍。现在开始炒AI了，然而现实情况是啥。技术门槛虚高：大部分所谓的AI安全产品，不过是传统产品加了个机器学习模块，本质没有革命性突破。需求端不买账：客户预算有限，对AI安全的认知还停留在概念阶段，付费意愿极低。大模型安全看似火热：但真正有能力做的就那么几家，而且商业模式还在摸索中。

你要说以前的红利期的有多好，那我只能说，只有你想不到的，没有他们做不到的，真的见过太多灰产黑产一夜暴富的，也见过初入行业的脚本小子给别人的木鸡电脑中木马截流获利被guoA直接带走的，也见过fortinet的销售躺在家里年赚百万的，HW刚开始实习生一天2000的时候，态势感知刚出来一套上百万的时候，这都属于那个无序的时代。后面网安的红利会是什么样，我只能说我的判断就是2026-2027年：市场增速降至个位数，行业开始大规模整合，2028年后：进入存量博弈时代，只有真正有核心技术和服务能力的企业能存活。
对于个人而言，如果还有想在这个行业继续深耕的同学，我觉得至少还算是红利点的方向，可以考虑逆向，在AI于数据融合的时代，要想做的快速发展和大融合，其实要解决的核心问题就是私有算法和私有协议的问题，而解决这种问题的唯一途径就是逆向
这个行业的黄金时代已经过去，白银时代也在落幕，接下来是青铜时代的残酷竞争。认清现实，才能活下去。