百家讲坛 | 刘志诚：安全创业企业如何跳出三个典型误区

去年应邀参加了腾讯网安创业的决赛评委和奇安信创客汇大赛的评委，正值疫情肆虐，一个线上参加，一个并未到场。今年奇安信创客汇复赛花了2天时间，认真的分析和点评了50家入围企业，最终50进20的企业，和我评分基本一致的差不多80%，有20%的企业出现偏差，4家我不看好的入围，5家我看好的未入围。从这个角度上来说，对于什么是一家好的安全企业，无论是来自投资方还是来自行业专家，基本还是有共识的。所以那些放弃比赛的、认为有黑幕的、慨叹命运不公的，真的需要反思自己问题出自哪里。可能是中国人的面子和习惯问题，有些问题大家不会当面说，不会直说，只是客套、恭维，却缺少认真的检视、深刻的反馈，才让整个行业看起来发展有些畸形。

这3年接触了不少创业企业，测试、应用了很多的创新产品，和创业企业的创始人沟通、打交道，也建立了不少直观的印象，结合几次评委的经验，觉得还是有一些自己的观点和看法可以分享。当然，相对于朋友圈发言的辛辣和火爆刺激，我还是适当的做下修饰和遮掩，做下美颜，同时，尽量不提及具体的公司和人名、产品名，以免对号入座、伤及无辜。

赛道这个词让我想起了朋友圈看到的关于网络安全图谱的不同观点，从国外吹过来的风，让国内网络安全媒体热衷于发布网络安全的厂商分布，无论叫图谱、全景图、百强，都是在安全细分领域内的厂商排名，多则十几个，少则三五个，在客观公正的前提下，适当的排位费，媒体和企业、投资基金、以及甲方从业者，各得其所，皆大欢喜。本也无可厚非，参考而已，并非全盘接受。但必然有厂商、投资基金、从业者吐槽的声音。厂商故作清高，没有市场投入，确实会丧失话语权，这是市场经济必然，也没什么可以抱怨。

但厂商、投资基金、甲方从业者一定要避免唯赛道论的误区，否则就是自我设限、自废武功、陷入险境。咨询公司在赛道这件事上推波助澜，Gartner的十大趋势发布、新兴概念发布，都会引来吹捧，Gartner把行业的需求和产业的实践，进行分类、抽象、总结，形成新的产品理念，确实对行业的系统规划、体系化、标准化提供了依据，我也时有一些思路方案缺少名词定义的时候，看到Gartner的概念有种豁然开朗的感觉。但是，要理解Gartner抽象的概念产品所在的地域、行业、场景，以及需求和方案的适应性，美国市场和中国市场渐行渐远的背景下，概念的适用性需要重新考量。而套用Gartner的概念、创新的产品，并以相应的赛道去定义和约束，往往忽略了行业、企业、场景的适用性，不是帮企业解决真实的安全问题，而是帮企业创造并解决不存在的问题，而真实的需求在偏离赛道的定义时被牺牲。

所以定义赛道本身是根据市场需求的解决方案的功能聚类、抽象、总结，形成甲方、厂商、投资方、媒体方概念共识的机会，但由于赛道在面对地域、行业、场景的冲突和演化过程中变化，而变成了一些削足适履的桎梏，这个时候，创业者对赛道的过度依赖就会导致经营动作的变形，产品定义、项目交付、融资沟通，都变得别别扭扭。

参考但不能依赖，创业者需要避免陷入赛道陷阱而让动作变形。

产品这个词也有不少定义，很多互联网企业把业务需求和业务信息模块的负责人定义为产品经理，作为安全创业企业而言，产品更多的是定义为向客户交付的工具、平台、系统和服务，也是赛道定义的概念集合的技术实现。因此，做安全产品的基本逻辑和思路，是对标赛道领先者的产品，首先模仿和山寨化，在此基础上优化和更新。当然，也不排除甲方创业者多年实际安全工作积累出的经验总结，抽象为产品功能，与赛道定义进行融合、整合、包装，形成具有一定特色的产品。

产品是需求驱动的还是概念驱动的，市场是需求定义的还是概念定义的，这是一个安全从业者需要集体反思的问题，从现在来看，安全产品概念驱动占据主流，本身是因为安全需求的梳理、总结、抽象、架构能力不足，我们也确实感受到甲方安全从业者驾驭需求能力不足的现状，很典型的一个问题，安全是风险驱动还是事件驱动这个问题的回答，事件只是风险暴露的结果，充其量是个亡羊补牢的局面，但竟然可以大行其道若干年，可见一斑。和一些安全负责人聊安全规划，上来就是安全措施和安全举措的架构图，不从需要关注的资产和风险出发，而直扑约定俗成的共识，和咨询公司定义的概念，祭出风险控制措施相关的产品和服务，实在是南辕北辙。

甲方从业者对风险的分析和评估的缺失，一定程度上造成了乙方产品的概念驱动，这是现状，但不应该是未来，在甲方从业者具备风险意识，建立风险分析评估机制，以风险驱动的需求定义控制措施和策略的时候，乙方是不是可以以此来定义产品，是考验创业者能否打造出具备核心竞争力的关键。我们这么说不是完全否定概念定义的产品，概念定义毕竟是咨询公司对行业需求和实践基础上的抽象与总结，具备针对性的前提下60-70%的准确性是有的，但30-40%是需要和头部客户共同打磨和完善产品。

功能的完善只是产品打磨的一个方面，性能、兼容性、可用性、用户体验，则是需要注重的非功能需求，技术出身的产品经理有个误区，会从技术和专业的角度去做菜单，貌似逻辑性很强，但往往忽略了产品用户的工作习惯与流程，一个工作流要循环往复切换技术逻辑的菜单，这在设计上是有重大缺陷的，这也是让我印象深刻的一个创业产品。还有一个是关于运营指标的定义，用词的严谨性不足，指标定义的维度和标准不统一，完全不符合运营指标的可视化以及逻辑输出。从这个维度上，安全产品的设计缺陷也是普遍情况。

创业者不能山寨化头部企业的定义产品，需要在产品原型基础上以头部用户真实需求持续打造产品，从而在产品的功能、可用性、兼容性与用户体验方面具备竞争力。

创客汇复赛时我在朋友圈的感慨“拿Gartenr的概念，看互联网的需求，做政府国企的生意”逻辑上总是那么别扭，得到不少朋友的认可，实在是有感而发，关于安全市场，本身就是个极具争议的话题，美国市场同样分为政府市场和企业市场，政府市场除了标准化的设备采购，是以集成项目和工程为主，也是政府合规需求和产业扶持的重点，所以最大的安全公司不乏洛克马丁一类。企业市场行业区别同样非常大，在信息化时代注重网络与信息安全、企业内部安全始终是美国的主流市场，同样收入巨大。而中小企业，或者互联网时代的数字企业，公有云的比例非常高，以云为主题的安全需求日益增多，而安全创业企业主要面对的是企业市场中数字化和云背景下新需求的创新，Gartner的概念近几年也主要集中在这个领域。

中国同样分为政府/国企市场和企业市场，国企的性质和政府需求划分为一类，主要是面对的合规需求以及监管需求相对一致，虽然说政府的公共服务互联网化和数字化的趋势明显，除了承担公共服务职责的部分机构外，大部分的需求仍然关注的是信息化时代的内部需求，没有对外服务的界面，也没有对外提供服务的业务，这类客户关注的是合规，以及监管检查的诉求。民营企业行业差异巨大，传统行业信息化水平有限，没有对外服务的需求，要么是漠视安全风险，不做投入，要么是在勒索病毒、钓鱼邮件、商业秘密被恶意盗取的安全事件下通过事件驱动开始投入，当然，随着《网络安全法》《数据安全法》等法律出台，合规的需求也逐渐提上日程。互联网企业和数字化转型企业，在关注内部企业安全的同时，需要关注对外提供服务的用户安全以及合作伙伴的生态安全，从In B到To C、To B、To G的复合需求，另外一个，中国的公有云使用率与美国相差甚远，决定了区域差异对产品的影响。

市场的差异化决定产品的适用场景，赛道和产品是面对政府客户、传统行业、互联网或数字化产业，地域场景的差别，都决定需求差异巨大，而创业企业需要面对什么样的市场，确实是个难题。政府有钱，产品压力有限貌似是个好市场；传统行业没钱，需求不旺盛，有关系也有项目；互联网和数字化企业钱还行，有需求，产品适配需要优化，而且产品要求高，竞争压力大，更何况，大厂往往会自己干。

在企业面临生存压力时，活下去是第一要务，所以给钱的就是爷，那么有钱的市场、有关系的渠道，都是救命稻草，这就造成供需的扭曲，造成需求与产品的不匹配，如果评估安全效果，那真是一言难尽，如果再塞进去继承的需求，变成项目式的交付，偏离主业、偏离产品，真实一个吞噬一切的黑洞。没渠道、没关系的市场，就用无底线价格的法宝去恶性竞争，100万的成本就可以用5-10万的价格竞争，甚至在甲方明白套路后做出限制扩容和涨价的条框也在所不惜，变成安全不从市场挣钱从融资方挣钱的逻辑，客户、交易、市场规模作为业务发展指标，当然，资本市场也不会一直这么傻，最终败坏的是整个行业。