万字解读：我们为什么需要更多的网络安全初创企业和风险投资？

多少家初创企业算多？500家？1000家？还是3000家？由理查德-斯蒂农（Richard Stiennon）创办的最大、最全面的安全产业洞察 IT-Harvest给出了一个数字：近4000家。这个数字看起来确实很庞大，但如果结合参照物来看，似乎也并不多。

网络安全行业已经发展了很多年，对于那些资深从业者来说，4000家供应商无疑比20年前要多得多。然而，不可忽视的是这20年来整个IT环境也发生了非常大的变化。

首先是云的诞生和发展，20年前还没有公有云，亚马逊在2006年推出了AWS，提供弹性计算云（EC2）服务；微软在 2008 年宣布将进军公共云市场，但 Microsoft Azure（正式名称为 Windows Azure）直到 2010 年才发布。同样是在 2008 年，谷歌也宣布将进军公共云市场，并发布了自己的应用引擎。

其次是移动化，第一代 iPhone 由史蒂夫-乔布斯于 2007 年 1 月 9 日发布，随后，各种各样的智能手机快速涌现，移动化得到了快速普及和发展。与之同步发展的是通讯技术，3G、4G以及今天的5G和未来的6G都在这20年期间迅速迭代。通讯技术的发展也推动了物联网（IoT）的广泛应用。思科估计，物联网诞生于 2008 年至 2009 年之间，并将物联网定义为 “连接到互联网上的‘物或物体’多于人的时刻。”

第三是社交媒体的诞生和发展。Facebook 2004 年诞生，YouTube 2005 年诞生，Twitter（现在的 X）2006 年诞生，Reddit 2005 年诞生，Instagram 2010 年诞生，Snapchat 2011 年诞生，TikTok 2016 年诞生等等。这些社交媒体改变了大众获取信息的途径，也推动了包括直播、短视频等新兴市场的发展。

最后是虚拟货币的发展，比特币或加密货币在 2009 年诞生，区块链技术的发展催动了这种去中心化的数字货币，改变了传统金融格局。

在20年时间里改变世界的技术和案例不胜枚举，现在回过头再看一看20年前的世界，你会发现面目全非。如果将安全供应商的数量与当今其他行业供应商的数量进行比较，视角就会瞬间改变：

所以，接近4000家的安全供应商相对于其他行业来说还只是零头，如果像业界常说的那样，安全是 “每个人的问题”，那么 4000 家甚至 5000 家安全供应商甚至并不足够。即便如此，这些网络安全初创企业依然在不同维度不同方面为行业发展带来了更多的助力。

接近4000家的初创企业几乎覆盖了网络安全的所有细分领域，他们共同形成了这个碎片化的市场，也为甲方用户带来了更多选择（无论这种选择是好还是坏）。不可忽视的是，这些安全初创企业的的确确为行业发展带来了更多益处。

众所周知，黑客团体及威胁行为者不仅行动迅速，还会不断开发新的技术能力、构建和发现新的漏洞、尝试新的攻击载体，甚至创新其商业模式等等。要想在与这些不法分子的斗争中立于不败之地，安全团队就必须跟上新思想和新方法的步伐，在加强防御的同时，还要随时了解可能影响其保护组织能力的创新。

与韩信点兵不同，要想让每个安全团队都能不计得失地购买和配置安全工具和技术是不现实的。即使他们想这样做，现实中有 95%-99% 的人都不具备这样做的资源（即人才、时间和资金）。因此，用户需要有人来帮助他们探索不同的安全技术，生产不同的安全工具，来辅助其保障企业和组织的安全。事实证明，学术界、政府和非营利组织都无法满足这些需求，能够支撑起这些需求的是厂商，是初创企业。网络安全初创企业往往是那些愿意夜以继日地工作以实现其愿景的人创造的，这些人的愿景也是让安全团队有可能跟上甚至领先于对手。

大多数公司并不是通过参加 DEF CON、当地 BSides 和 Blue Team Con 的技术讲座来了解新的问题领域的，虽然也有很多公司关注这些讲座和论坛。新技术带来的新问题和解决老问题的新方法不会自发成为这个市场的常识，而推动这些知识是因为有“人”愿意传播，这些“人”就是网络安全初创企业。

网络安全初创公司会与 CISO 和安全从业人员接触，向他们传授解决安全问题的更好方法。例如，在 Carbon Black、CrowdStrike、Cylance 和其他几家公司将行为检测的概念推向市场之前，人们普遍认为拥有防病毒软件就足以保护端点免受恶意行为者的侵害。如果没有这些公司的努力，Gartner 的 Anton Chuvakin 就不会在 2013 年创造出“端点威胁检测与响应”这一术语，行业也不会看到现在所熟知的端点检测与响应或 EDR 解决方案在市场上得到广泛采用。

许多公司将其营销资金用于讨论相同的问题领域或特定解决方案的价值主张，这大大加快了市场对某一问题的认识和教育。例如，如果没有这么多公司讨论 API 安全问题，行业就不可能有这么多从业人员知道 API 安全的重要性、原因以及他们可以采取的措施。换言之，这些安全初创公司承担了教育市场的职责，并切实推动了技术和工具的发展。

虽然教育市场很重要，但最佳实践不会因一本白皮书或一个演讲就随之产生。在安全领域，时间就是一切，新方法越快获得认可，行业就能看到越好的结果。例如，仅有几家公司发明了密码管理器或多因素身份验证（MFA），并将其提供给那些积极寻找新解决方案的人是远远不够的。

此外，对于安全行业来说，我们不能寄希望于政府通过立法规定最低安全要求来创造对重要安全措施的需求。政府的研判工作需要时间，而时间就是安全行业最宝贵的财富。因此，许多工作必须由私营企业来进行，需要有人主动联系市场，让市场购买新的解决方案。在安全领域，这项工作通常由安全初创企业来完成，通过更广泛地投资于销售和市场推广，安全初创企业大大加快了最佳实践的形成和广泛应用。

网络安全市场得益于竞争的加剧。有了竞争，行业内的公司就会积极创新，将最好的产品推向市场，并以最具竞争力的价格提供这些产品。如果没有激烈的竞争，没有大量的安全厂商来创造竞争，那么网络安全解决方案将只能为《财富》1000 强企业和有能力支付垄断厂商高昂价格的企业所使用。

当然，国内由于合规市场的比重过大，相对于国外竞争并没有那么激烈。但不可否认的是，大多数安全工具只有大型企业才能使用，如果安全厂商的数量更少，那些中小企业将得不到安全厂商的服务，整体安全的暴露面将会越来越大。此外，恰恰是行业内的竞争迫使公司提高自身能力，避免将客户锁定在长期合同中，保障了用户与大型供应商之外的工具进行整合的能力。

如果一个人或一家公司在最初提出一个新想法时，总能成功地将其付诸实施并成为市场领导者，要么这个人是全知全能的神，要么这个人是穿越者。现实情况是，成功的创新是不断迭代的，在不同市场中脱颖而出成为“赢家”的大多数公司，都是利用了之前失败者的想法、成就和经验而建立起来的。

“我们不需要这么多安全公司”这句话的唯一立足点是，第一家试图解决问题的公司能够100%地取得成功。问题是，第一个进入者很少成为赢家。在网络安全领域尤其如此，先行者必须投入大量资源来教育市场，而市场并不容易被说服，他们不愿意承认自己确实存在问题，或是淹没在其他工作中，甚至无法考虑尝试新的解决方案。

虽然有些企业会认为不需要所谓的单点解决方案，拥有安全平台就足够了，但这种说法忽略了大型安全平台的形成过程。

每一家以平台著称的公司都是从单点解决方案起步的。Palo Alto 只是一家防火墙公司，CrowdStrike 只是一个端点检测和响应（EDR）工具，Cloudflare 的主要产品是内容交付网络（CDN），它可以帮助网站更高效地向全球用户交付内容，而不是业内许多人所熟知的安全功能。每个平台都是从单点解决方案开始的，形成平台靠的是企业的愿景、规模、执行能力、市场条件以及运气等等。没有一家企业能够从0开始直接搭建大型安全平台。

当公司变得过于庞大时，就会失去创新能力。任何行业都是如此，安全行业也不例外。无论公司保持多么灵活，最终都需要向未知领域扩张，而在这些领域，公司没有专业知识，没有人才，甚至可能没有竞争优势。

此外，创新者的困境是真实存在的，维基百科很好地总结了这个问题：“大型企业通过倾听客户心声并提供看似最高价值的产品来失去市场份额，而那些以低劣技术为低价值客户提供服务的新公司则可以逐步改进技术，直到其足以迅速从老牌企业手中夺取市场份额。”像某米、某徕等企业均是现成的例子。创新者的窘境很好地解释了为什么像某铁克这样的大型安全公司并没有成为定义网络安全的存在，尽管它们肯定有机会在未来几年内确立自己的领导地位。

大型网络安全厂商通过收购实现创新。他们的做法是，等到他们感兴趣的细分市场出现领导者或赢家，然后收购符合他们标准的顶级公司之一。换句话说，可能有数以百计的问题可能在明天变得重要，但没有人知道其中哪几个会变得重要。初创企业的创始人冒着风险去追求那些很可能无疾而终的创新，从而造就了许多业内人士喜欢抱怨的大量初创企业。

另一方面，大公司无力投资成千上万个不同的方向，而是专注于自己的核心价值主张。一旦初创企业降低了新创意的风险，现有企业就可以从中挑选出优胜者，并将其纳入自己的投资库。

由此可见，如果行业希望看到平台公司继续将越来越多的解决方案整合到一个平台上，就需要初创企业来解决小问题，因为那些胜出的企业将成为平台的组成部分，或是建立自己的平台。

安全行业受益于初创企业的最后一个理由是，任何单一平台都会随着规模的扩大而变得不那么安全。有机会使用过 SAP、Salesforce 或 Workday 等大型传统平台的人都知道，平台越大，效率就越低。此外，大型安全平台还存在沉溺于技术债务、支持渠道不畅、难以针对性定制需求以及成本高昂等问题。

大型平台之所以昂贵，是因为它们嵌入客户工作流程的程度越深，覆盖的领域越多，就越难更换，平台供应商对用户的控制力就越强。

最后但并非最不重要的一点是，平台越大，其暴露面就越大，最终引入的漏洞也就越多。更重要的是，坏人更容易集中精力在一个工具上打洞，而这个工具可以打开所有的门，这就导致最大的安全产品也可能成为最不安全的单一故障点。

总而言之，安全初创公司确实为行业带来了益处，但并不意味着它们没有问题。人们对于“初创企业太多”的声讨，其背后是“难以区分市场上的所有选择并做出明智的决定”“难以验证供应商的说法”以及“无法接受现有的市场推广模式”这三个问题，而这也是众多安全领导者和从业人员对安全行业感到失望的真正原因，也是亟须解决的三个问题。

4000-5000家安全厂商并不像人们想象得那么多，尤其是与其他领域相比。但其中有多是高度同质化的厂商呢？在安全领域，与大量供应商打交道尤其困难的一个因素是，该行业的大多数解决方案都是完全无差别的。很多厂商的网站充斥着“阻止0day”“确保企业安全”之类的话术，但对于解决哪些问题、与其他竞争对手的区别却表述不清，更有甚者甚至无法让用户区分这家厂商提供的是云安全产品、托管安全服务还是防火墙。

最后也是很重要的一点是，我们无法清楚地知道有多少初创企业能够提供真正的创新方法和理念，有多少初创企业只是复制通过传统市场渠道销售的开源解决方案。

很多网络安全创新都是深层次的技术创新，不同工具的价值很难统一评估。在比较一种解决方案和另一种解决方案时，往往无法看出这两种工具中哪一种在预防、检测或应对威胁方面做得更好。再加上大多数解决方案都是无差别的，这使得用户无法准确评估供应商市场上不同厂商的价值。

业界曾讨论过从基于承诺的安全向基于证据的安全转变的问题，但事实上，这一趋势并没有像也谢希望的那样迅速实现。这是因为它依赖于大多数组织根本不具备的安全人才。随着行业的成熟，业界必须更好地评估安全产品。这样，用户才能区分哪些工具有效，哪些工具无效，并让市场力量决定哪些解决方案会胜出，哪些解决方案会消亡，无论它们筹集了多少资金。

大多数用户对目前行业内的市场推广方式感到失望，冷冰冰的电话、垃圾邮件以及其他咄咄逼人的销售和营销行为充斥着他们的生活。他们的不满是有道理的：行业需要发展。关于如何改善当前的市场推广方式，要注意到变化。

只有当用户有兴趣评估新的解决方案时，才会与厂商联系（“推”被“拉”所取代）；

重视能够轻松找到所需的信息，并能在适合自己的时间和方式找到；

重视注册并自行试用产品的能力，而不是在确定相关产品之前进行冗长的演示和谈判；

希望能够在没有销售人员催促的情况下做出购买决定；

需要有能力与供应商及其安全团队进行技术深入探讨；

在社交媒体上发表他们不希望在业内看到的言论；

抨击特定供应商的行为，公开推广他们认为有价值的工具。

随着一代代买家的变化，有效的 GTM 策略也会发生变化。这些转变已经在软件工程等领域发生，也将在安全领域发生。然而，这样的重大转变不是一蹴而就。对于大型企业来说，这样的变革大概还需要一二十年的时间；而对于中小型企业来说，这些变革已经开始了。

这种演变为网络安全领域的市场推广策略带来了全新的视角，厂商能够选择培育社群而不是选择海纳百川，选择潜在客户质量而不是潜在客户数量，选择改善买家的体验而不是推销产品。

“网络安全领域的风险投资太多了”是安全领导者和从业人员经常重复的另一句话。多少风险投资才算“太多”？和上文一样，答案取决于我们选择什么作为参照物。

Momentum Cyber 的数据显示，从 2021 年第三季度到 2023 年第二季度，投资者已向网络安全领域投资了 413 亿美元。

Momentum Cyber Momentum Cyber

这的确很多，但如果我们看看金融科技领域的融资情况，就会发现仅在 2021 年第三季度和第四季度这两个季度，就有高达 676 亿美元的资金投入到金融科技领域。换句话说，金融科技领域两个月的投资额比网络安全领域两年的投资额高出 36%。

Momentum Cyber TechCrunch

Return on Security 的 Mike Privette 最近发布了一份 2023 年市场总结，指出去年有 684 轮融资，涉及 100 多个独特的产品类别，价值约 127 亿美元。这一数字比 2023 年一个季度（第一季度）金融科技领域的所有投资额低 20%。

另一个案例是清洁技术领域的投资。清洁技术领域三四个月的投资额就大大超过了网络安全领域两年的风险投资。

Momentum Cyber 清洁技术集团

研究其他行业的融资情况并不能帮助我们了解网络安全领域的风险投资“太多”的程度。但是，它凸显了一个事实，那就是有大量的风险资本是在流动的，而安全行业并不是唯一吸引风投的领域，也不是大部分资本部署的地方。

网络安全作为一个行业和一个专业实践领域，从获得风险投资中获益匪浅。

初创企业所做的一切工作，包括创新、市场教育、采用最佳实践和积累知识等都离不开风险投资。必须有人来支付研发费用，为安全厂商提供资金来雇佣研究人员和软件工程师并构建产品，以及为市场营销提供资金。正是市场营销使得安全厂商有可能宣传重要问题，并为这些问题提供大规模的解决方案。

大量的风险投资确实促进了安全初创企业的发展，但其中大部分都会失败。但人们忘记了，每一家初创企业不仅增加了行业的复杂性，也增加了行业的知识体系。每一家初创企业，无论其最终能否成长为一家成功的企业，都会贡献自己的经验，供他人借鉴。大型平台并不是整个行业的发明者，它们利用的是他人创造的知识（单点解决方案），并将其汇集到一个平台上。

如果没有风险投资的资助，没有投资者要求厂商快速创新的压力，行业将无法与那些积极进取、高度敏捷、资金雄厚、同样快速创新的黑客和威胁行为者相抗衡。在某种程度上，风险投资的压力促使初创企业增加收入和扩大运营规模，同样也加速了密码管理器、MFA、漏洞管理、云安全态势管理等安全最佳实践的采用。

那些认为网络安全需要更少风险投资的人往往没有意识到，如果没有风险投资的资助，创新将更加缓慢，工具整合也根本不可能实现。

要建立一家平台公司，创始人需要在一个细分市场找到产品与市场的契合点，然后迅速向其他问题领域扩张。没有风险投资的支持，安全领域不可能出现任何平台公司。Palo Alto公司可以自力更生建立一个小型防火墙公司，但不可能建立一个能够提供广泛平台的公司；CrowdStrike、Wiz、Snyk、Cloudflare 或任何其他平台公司也是如此。

平台创建分为两步。首先，风险投资为知识积累提供资金，其不受欢迎的副作用是拥挤的市场和单点解决方案的产生。然后，同样的风险投资公司资助知识的整合和完善，从而创建安全平台。因此，如果我们希望看到行业整合，就应该欢迎网络安全领域的风险投资。

总而言之，网络安全领域的风险投资十分重要，但这并不意味着没有问题。当人们说“风险投资太多了”之类的话语时，其本质是“厂商应该能够在没有风险投资支持的情况下取得成功”以及“不是每家公司都应该获得资金，因为不是每家公司都能带来真正的创新”。实际上，这两个问题都是切实存在的，也都需要行业来寻求解决办法。

并不是每个创始人都应该创建一家由风险投资支持的公司。有些网络安全问题可以通过建立开源项目、自创小型解决方案，或通过建立服务提供商将自己的专业知识货币化来更好地加以解决。理想情况下，创业者可以决定是否应该筹集风险投资。挑战在于，说起来容易做起来难。

当大多数网络安全公司筹集到大量资金时，少数没有筹集到资金的初创公司往往会发现自己无力竞争（2023年的国内市场环境证明了这一点）。最佳解决方案应该胜出的想法是好的，但在现实生活中，能够获得更多资源的初创公司可以更有效地向市场宣传自己的产品，雇佣规模更大或能力更强的团队，更快地推出新产品和新功能，更频繁地进行迭代，更高效地进入市场。

风险投资带来的这种飞轮效应，使得一家自力更生的安全公司在竞争激烈的市场中胜出的可能性微乎其微。这很可能会让那些还记得可以围绕开源工具建立业务而无需筹集任何外部资金的人感到不快。不过，这就是市场的现实，小型、自力更生团队的时代已经过去了。当然有例外，比如 Wazuh 和 Thinkst等，但新创始人已经不会选择走这条路。

获得风投支持并不能保证成功，一家公司比竞争对手获得更多资金并不意味着它一定会赢。也就是说，没有风险投资支持的初创公司开始超越风险投资支持的竞争对手的可能性很低，但不是没有任何可能。在一些风险投资兴趣不大的细分市场，这种可能性或许更大，但在那些能给安全创业者带来丰厚商机的细分市场，这种可能性就微乎其微了。

值得补充说明的是，最近的经济衰退肯定会迫使初创企业更明智地部署资本，并可能淘汰那些不能为愿意付费解决问题的客户解决实际问题的厂商。然而，这不太可能改变风险投资支持的公司与自筹资金的公司之间的普遍现实，尤其是当我们谈论产品时。

用户不需要更少的资金、更少的风险投资或更少的初创企业，但投资人需要。风险投资人需要能够辨别好坏，更好地评估安全初创企业。

专业风险投资人（完全或部分专注于网络安全的投资者）在评估安全公司方面具有巨大优势。前安全创始人和CSO成为投资者的效果会更好，比如曾任 Signal Sciences 联合创始人兼CSO、现任 Andreessen Horowitz 普通合伙人的 Zane Lackey，以及曾任 The Home Depot 的CSO、现任 Insight Partners 董事总经理的 Stephen Ward。

确保投资者了解实际情况的一个好方法是将他们纳入安全团队。这可能有悖于常理，但没有什么比与安全团队共事更能帮助风险投资人了解安全团队的痛点了。有几家企业风险投资基金正在带头这样做。这种合作对双方都有好处：投资者可以尽可能地接近问题，而安全团队则有机会在最新、最先进的技术进入市场前对其进行评估。

作为安全领导者和投资者需要不同的技能组合，当然，我们无法期望做出投资决策的人都会变成安全工程师。解决许多行业问题的关键在于投资者与安全专业人士之间建立更紧密的合作关系。对于初创企业来说，安全从业人员可以通过成为天使投资人或顾问来增加价值。通过与风险投资公司密切合作，安全从业人员可以帮助投资者更好地了解不同的问题领域和细分市场，甚至在尽职调查期间协助评估公司。

如果风险投资公司在不了解其资助对象的情况下将越来越多的资金投入到安全问题上，那么这个行业将不会从中受益。不过，“我们不需要这么多网络安全领域的风险投资”是不会推动网络安全向前发展的。如果安全从业者和风险投资公司能找到合作的方式，共同发现值得资助的创新，行业将会过得更好。

Momentum Cyber Momentum Cyber

展望未来，希望业内能有更多人了解初创企业的复杂性，不要再说“我们需要更少的初创企业”和“我们需要更少的风险投资”之类的话语。如果有的话，应该鼓励更多的人去尝试解决棘手的问题。不仅仅是建立微小的功能并将其作为 SaaS 解决方案出售，而是要创新，尝试用不同的方法解决老问题，并帮助行业走向成熟。这就是创新的运作方式：不同方法的复合，成功的公司是建立在许多失败的公司之上。

在网络安全领域，我们需要更多的风险投资和资本，需要有更多了解安全领域细微差别的投资者，也需要用于支持具有远大理想的、雄心勃勃的创始人解决棘手问题的资本。创新需要资本。黑客和威胁行为者正在投资发展他们的能力并建立新的能力，如果我们想保护我们的基础设施，也应该这样做。

安全领域的创新不可避免，理应如此。不是谁先出现，谁就能确定市场的方向。这也是某铁克无法解决所有安全问题的原因，即便它是成立最早的、历史最悠久的网络安全公司之一。初创企业是创新的驱动力，而大型平台则会导致停滞不前。当我们提倡行业整合时，我们应该更加切实地了解自身需求，而不是使用有 50 年历史的企业资源规划（ERP）工具，抑或是不得不在传统客户关系管理（CRM）产品中定制一个屏幕。

安全厂商不能再认为他们可以一如既往地做他们一直在做的事情，循序渐进不意味着一定会成功。创始人需要开始考虑如何有效地部署资金，以及如何让公司实现盈利。此外，安全初创企业不能希望自己的市场营销策略一成不变。CSO们已经厌倦了目标不明确的销售和营销活动。创始人需要了解他们正在打造的产品，并学会如何以产品买家和用户能够理解的方式进行沟通。

投资者需要明白，安全市场的现状是一场音乐椅游戏。大公司将继续购买产品，因为这是他们保持创新能力的方式。但是，无论该类别有 25 家还是 250 家供应商，椅子的数量都在5到10张之间。Palo Alto 不会购买十个版本的相同解决方案，微软或 Okta 也不会；私募股权公司不会收购产品与市场契合度不高的初创企业；安全买家的名单也不是无限的。当“音乐”停止时，会有太多的公司将没有椅子可坐。在技术或市场没有发生足以证明其存在价值的根本性变化的情况下（例如从杀毒软件到 EDR），任何进入饱和类别的新公司都将面临血洗。而且，投资者需要做好准备，因为在某些时候，那些看似永远有效的游戏规则将不再有效。

最后，安全领导者和从业者需要接受行业如此发展的事实，不仅仅是接受，而是真正地拥抱它。安全行业不会再回到由黑客文化、地下社区和看似无供应商的环境所定义的时代。攻击的数量只会越来越多，该领域的初创公司数量也会随之增加。我们不能寄希望于以某种方式避免处理复杂性问题，而是需要将其视为既定事实，并想方设法为这一新现实增添价值。这一次，我们需要更好地评估安全工具，验证供应商的说法，并使产品适应每个组织的独特环境。单靠工具并不能拯救企业，我们拥有的不只是工具，还有作为人、作为企业的主观能动性和全局调动能力。

至于整个行业，它将继续发展。无论未来十年会发生什么，有三条法则将始终不变。首先是物竞天择，适者生存。那些能解决实际问题、由世界级团队打造并在竞争中胜出的公司将胜出。其次是普赖斯定律，对于任何有生产力的群体来说，50% 的成果是由群体总数的平方实现的。在网络安全领域，这意味着在所有安全初创企业（假设有 5000 家）中，约 71 家（√5000）将拥有 50%的市场份额。最后，做生意只有两种赚钱方法：一种是捆绑，另一种是拆分。网络安全行业并非独一无二，它也面临着同样的钟摆效应，从最佳产品（单点解决方案）到最佳组合（整合平台），然后再回溯。