网络安全行业呼唤更多「初创企业」和「风险投资」

本文，我将讨论为什么这两种观点都是可以理解、但短视的，我们应该解决哪些问题来推动行业发展，以及我们可以从哪里着手。

多少家初创企业算多？这要看你问谁了。IT-Harvest统计了近 4000 家网络安全厂商。这算多吗？对这个问题的回答各有不同。我认为这取决于对比的点。 

对于在这个行业工作了很长时间的人来说，这肯定比二十年前要面对的情况要多得多。事实的确如此，但自那时以来已经发生了很大变化。二十年前：

• 当时还没有公共云。亚马逊于2006年推出AWS，提供弹性计算云EC2服务。微软于2008 年宣布将进军公共云市场，但Microsoft Azure直到2010年才发布。同样也是在2008年，谷歌宣布将发布其应用程序引擎，进军公共云市场。 

• 没有iPhone。2007年1月9日，Steve Jobs发布了第一代iPhone。

• 物联网（IoT）并未得到广泛应用。思科公司估计，物联网诞生于2008年至2009年，并将物联网定义为“连接到互联网上的'物或物体'多于人的时间点”。

• 那时，社交媒体还没有真正起步。Facebook 2004 年起步，YouTube 2005年起步，Twitter（现在的 X）2006年起步，Reddit 2005年起步，Instagram2010年起步，Snapchat 2011年起步，TikTok 2016年起步，数不胜数。 

• 没有比特币或加密货币。比特币是一种去中心化的数字货币，诞生于2009年。 

这样的例子不胜枚举，但关键在于，二十年后，我们所熟知的世界已经面目全非。如果我们将安全厂商的数量与当今其他行业厂商的数量进行比较，我们的视角就会瞬间改变： 

• 目前有超过 30,000家金融科技FinTech初创企业；

• 市场营销技术MarTech初创企业超过2万家（甚至3万家）；

• 目前有超过2万家（甚至3万家）人力资源技术HRTech初创企业；

• 气候技术Climate Tech初创企业超过5万家。

如果像我们常说的那样，安全是“每个人的问题”，那么我认为4千家甚至5千家安全厂商并不是很多。此外，大量的网络安全初创企业在多个不同方面为行业带来了益处。下面，我解释说明一下。 

与攻击者一样快速创新 

我们知道，对手行动迅速，并不断开发新的技术能力、构建新的漏洞、发现新的漏洞、尝试新的攻击载体，甚至创新其业务模式。要想在与坏人的斗争中立于不败之地，防御团队就必须跟上新思想和新方法的步伐，继续加强防御，并随时了解可能影响其保护组织能力的创新。 

要让每个安全团队在内部构建开展工作所需的所有工具是不可行的。即使他们想这样做，但现实情况是，市场上95-99%的团队都不具备这样做的资源（即人才、时间和资金）。我们需要有人来建立这些能力，并充当国防团队的创新实验室。事实证明，学术界、政府和非营利组织都无法满足这些需求。而初创企业则非常适合。网络安全初创企业由愿意夜以继日地工作以实现其愿景的人经营，使安全团队有可能跟上甚至领先于对手。 

大多数公司不会通过参加DEF CON、当地 BSides和 Blue Team Con上的技术讲座来了解新的问题领域（尽管许多公司会从中受益）。新问题领域和解决老问题的新方法不会有机地成为广泛的市场知识。相反，这是因为有人愿意传播这些想法。这个“人”就是网络安全初创企业。 

网络安全初创公司与CISO和安全从业人员接触，向他们传授解决安全问题的更好方法。例如，在 Carbon Black、CrowdStrike、Cylance 和其他几家公司将行为检测的概念推向市场之前，人们普遍认为拥有防病毒软件就足以保护端点免受恶意行为者的攻击。如果没有这些公司的努力，Gartner的Anton Chuvakin就不会在2013年创造出“endpoint threat detection and response（端点威胁检测与响应）”这一术语，我们也不会看到我们现在所熟知的EDR解决方案在市场上得到广泛采用。

许多公司将其营销资金用于讨论相同的问题领域或特定解决方案的价值主张，这大大加快了市场对某一问题的认识和教育。例如，如果没有这么多公司讨论API安全问题，我们就不可能有这么多从业人员知道API安全的重要性、原因以及他们可以采取的措施。 

尽管教育很重要，但市场对最佳实践的广泛采用并不会因为某人发表了一份白皮书或在会议上做了一次演讲而发生。在安全领域，时机就是一切，新方法越快获得认可，我们就能看到越好的结果。例如，仅仅有几家公司发明了密码管理器或多因素身份验证（MFA），并将其提供给那些积极寻找新解决方案的人是不够的。 

此外，我们不能寄希望于政府迅速采取行动，通过立法规定最低安全要求来创造对重要安全措施的需求。很多工作必须由私营企业来完成。需要有人主动联系市场，让市场购买新的解决方案。这项工作由安全初创企业完成：通过更广泛地投资于销售和市场推广，安全初创企业大大加快了新实践的采用。 

网络安全市场得益于竞争的加剧。有了竞争，行业内的公司就会不断创新，向市场推出最好的产品，并以最具竞争力的价格提供这些产品。如果没有激烈的竞争，没有大量的安全厂商来创造竞争，网络安全解决方案就只能为《财富》1000强企业和那些能够支付得起垄断厂商高昂价格的企业所使用。我们现在的情况是，大多数安全工具只有大型企业才能使用，如果安全厂商的数量更少，情况会更糟。 

此外，正是行业内的竞争促使公司提升其能力，防止它们将客户锁定在为期十年的合同中、并限制买家整合超出大型厂商封闭生态系统的工具的能力。 

如果一个人或一家公司在最初提出一个新想法时，总能成功地将其付诸实施，并成为市场的领导者，那将是一件了不起的事情。但现实情况通常并非如此。成功的创新是不断迭代的，大多数在不同市场上成为“赢家”的公司，都是利用了之前失败者的想法、成就和经验而建立起来的。 

以汽车为例。在亨利-福特于1908年推出T型车之前，成百上千的人进行了创新，这些创新后来成为现代汽车的基石。1769 年，Nicholas-Joseph Cugnot用蒸汽机制造了一辆自行式汽车。1886 年，Karl Benz为三轮汽车申请了专利，这种汽车被称为“Motorwagen”。1873 年，美国工程师George Brayton发明了二冲程煤油发动机。在这些里程碑之间，还有无数其他的里程碑，最终造就了福特、梅赛德斯、特斯拉等公司。

技术也不例外。虽然史蒂夫·乔布斯绝对是最有远见的人之一，但他并不是第一个发明 iPhone 的人（如果有人想更好地了解这个故事的起源，我强烈推荐观看《魔术总动员》）。如果没有数十位甚至数百位网络安全创始人（其中许多人最终失败了）为他们的出现奠定基础，我们就不会有 Wiz、Palo Alto 和 Cloudflare（仅举几例）。 

“我们不需要这么多安全公司”这句话的唯一立足点是，第一家试图解决问题的公司能够百分之百地成功。问题是，很少有首个进入者成为赢家。在网络安全领域尤其如此，先行者必须投入大量资源来教育买家，而这些买家并不容易被说服，他们不愿意承认自己确实存在问题，并且被其他工作所淹没，甚至无法考虑尝试新的解决方案。 

虽然我们很容易认为我们不需要所谓的单点解决方案，我们需要的只是安全平台，但这种说法忽略了对平台如何产生的理解。 

每一家以平台著称的公司都是从单点解决方案起步的。我们忘得太快了，Palo Alto只是一家防火墙公司，CrowdStrike只是一个EDR工具，而 Cloudflare的主要产品是其CDN，它可以帮助网站更高效地向全球用户交付内容，而不是业内许多人所熟知的安全功能。 

我曾谈到网络安全创始人缺乏的是建立公司，而不是功能或产品。虽然我坚持我在那篇文章中所说的话，但值得承认的是，每个平台都是从一个单点解决方案开始的。是愿景、执行能力、市场条件，当然还有运气，决定了谁能成为平台，谁不能，而不是公司开始时的第一个功能。 

公司规模过大，就会失去创新能力。任何行业都是如此，安全行业也不例外。无论公司保持多么灵活，最终，它都需要扩展到未知的水域，在那里，它没有专业知识，没有人才，甚至可能没有竞争优势。 

此外，创新者的困境是真实存在的（对于那些不熟悉这一概念的人，我强烈推荐阅读Clayton Christensen的书）。维基百科很好地总结了这个问题：“大型现有企业通过倾听客户的意见，提供看似价值最高的产品，从而失去了市场份额，而那些以低端技术为低价值客户提供服务的新公司却可以逐步改进技术，直到其足以迅速从老牌企业手中夺取市场份额”。创新者的窘境很好地解释了为什么赛门铁克这样的公司并没有定义网络安全的现在，尽管它们肯定有机会在未来几年内确立自己的领导地位。 

大型网络安全厂商通过收购实现创新。他们的做法是，等到他们感兴趣的细分市场出现领导者或赢家，然后收购符合他们标准的顶级公司之一。换句话说，有数以百计的问题可能在明天变得重要，但没有人知道其中哪几个会变得重要。初创企业的创始人冒着风险去追求那些很可能无疾而终的创新，从而造就了许多业内人士喜欢抱怨的大量初创企业。另一方面，大公司无力投资追求成千上万个不同的方向，而是专注于自己的核心价值主张。一旦初创企业降低了新创意的风险，现有企业就可以从中挑选出优胜者，并将其纳入自己的投资组合。 

由此可见，如果我们希望看到平台公司继续将越来越多的解决方案整合到一个平台上，我们就需要解决小问题的初创公司，因为那些胜出的公司将成为平台的组成部分（甚至建立自己的平台）。 

安全行业受益于初创企业的最后一个原因是，任何单体平台都会随着规模的扩大而变得不那么安全。有机会使用过SAP、Salesforce或Workday等大型传统平台的人都知道，平台越大，效率就越低。而且：

• 大型平台淹没在技术债务中；

• 大型平台的支持渠道不畅；

• 大型平台变得异常难以实施，尤其是在需要定制的领域；

• 大型平台之所以昂贵，是因为大多数客户要为他们永远用不上的众多功能付费；

• 大型平台之所以昂贵，是因为它们嵌入客户工作流程的程度越深，覆盖的领域越多，就越难更换，平台厂商对买方的控制力也就越强。 

最后，平台越大，其表面积就越大，最终引入的漏洞也就越多。更重要的是，坏人更容易集中精力在一个能打开所有门的工具上打洞，从而导致最大的安全产品也可能成为最不安全的单一故障点。

总而言之，我不认为我们有大量的安全初创企业。但这并不意味着没有问题。当人们说“初创公司太多了”时，我听到的却是“我发现很难区分市场上的所有选择并做出明智的决定”、“我发现很难验证厂商的说法”以及“我发现业内的市场推广做法不可接受”。 

如下三个问题正是众多安全领导者和从业人员对安全行业感到失望的真正原因。这也是我们需要解决的三个问题。 

4,000-5,000家安全厂商并不像人们想象的那么多，尤其是与其他领域相比。这个世界的竞争已经变得异常激烈，事实就是如此。 

在安全领域，与大量厂商打交道尤其困难的一个因素是，行业中的大多数解决方案都是完全无差别的。当我浏览不同公司的网站时，我常常发现甚至很难理解产品是用来对付什么攻击向量的，更不用说它与竞争对手有什么不同了。 

营销网站上充斥着“我们阻止零DAY”和”我们确保企业安全”之类的说法，让人分不清自己看到的是云安全产品、托管安全服务提供商，还是防火墙经销商。 

最后，我们并不总是清楚有多少初创企业能够很好地部署资金并真正创造出创新的方法和想法，而有多大比例的初创企业只是通过传统的市场渠道销售开源解决方案的复制品。 

许多网络安全创新都涉及深度技术，不同工具的价值难以评估。在比较一种解决方案与另一种解决方案时，通常很难判断哪一种工具更有效地防止、检测或应对其旨在解决的威胁。这与大多数解决方案缺乏差异化的事实相结合，使得在供应商市场中导航变得非常令人沮丧。 

我曾讨论过从基于承诺的安全向基于证据的安全转变的问题，但事实上，这一趋势并没有像人们希望的那样迅速实现。这是因为它依赖于大多数组织根本不具备的安全人才。随着行业的成熟，我们必须更好地评估安全产品。这样，我们才能区分哪些工具有效，哪些工具无效，并让市场力量决定哪些解决方案会胜出，哪些解决方案会消亡，无论它们筹集了多少资金。 

大多数安全购买者对目前行业内的市场推广方式感到失望，冷冰冰的电话、垃圾邮件以及其他咄咄逼人的销售和营销行为充斥着他们的生活。他们的不满是有道理的：行业需要发展。关于这个话题，我有很多话想说，但我以前已经写过很长的文章，有些观点值得重复。 

我们看到，下一代安全领导者，成长的千禧一代在销售过程中采用了不同的方法： 

• 只有当他们有兴趣评估新的解决方案时，才会与他们联系（传统的“push”模式正被新的“pull”模式所取代）；

• 重视他们能够轻松找到所需的信息，以及找到信息的方式和时间；

• 他们看重的是注册并自行试用产品的能力，而无需经过冗长的演示和销售谈判，就能确定相关产品可能是一种解决方案；

• 要看是否有能力在没有销售人员催促的情况下做出购买决定；

• 需要有能力与厂商及其安全团队进行深入的技术探讨；

• 在社交媒体上发表他们不想看到的行业现状；

• 指出特定厂商的行为，并公开推广他们认为有价值的工具。

随着一代代买家的变化，有效的 GTM 策略也会发生变化。这些转变已经在软件工程等领域发生，也将在安全领域发生。然而，这样的重大转变不会在一夜之间发生。我认为，对于大型企业来说，我所说的变革大概还需要一二十年的时间；而对于中小型企业来说，这些变革已经开始了。这种演变为网络安全领域的市场策略带来了全新的视角，使企业能够选择培育社区而不是完美的归因，选择潜在客户质量而不是潜在客户数量，选择改善购买者的旅程而不是推销产品。

"网络安全领域的风险投资太多了"，这是安全领导者和从业人员经常重复的另一句话。多少风险投资才算“太多”？一样，答案取决于我们选择什么作为比较点。 

Momentum Cyber的数据显示，从 2021年第三季度到2023年第二季度，投资者已向网络安全投资了413亿美元。

很多吗？当然多。但是，如果我们看一下金融科技领域的融资情况，就会发现仅在2021年第三季度至第四季度这两个季度，就有高达 676 亿美元的资金投入到金融科技领域。换句话说，金融科技领域两个月的投资额比网络安全领域两年（！）的投资额高出 36%。瞬间，我们的视角发生了变化。 

Return on Security的Mike Privette最近发布了一份2023年市场总结，指出去年有684轮融资，涉及100多个独特的产品类别，价值约127亿美元。这一数字比2023年一个季度（第一季度）金融科技领域的所有投资额低20%。

另一个例子是对清洁技术CleanTech的投资。CleanTech领域三四个月的资金投入就大大超过了网络安全领域两年的风险投资。 

研究其他行业的融资情况并不能帮助我们了解网络安全领域的风险投资“太多”的程度。但是，它凸显了一个事实，那就是有大量的风险资本可用，而安全并不是唯一的，也不是大部分资本投入的地方。 

网络安全作为一个行业和一个专业实践领域，从风险投资中获益匪浅。 

初创企业所做的一切工作--创新、市场教育、采用最佳实践和积累知识，都离不开风险投资。必须有人来支付研发费用，为安全厂商提供资金来雇佣研究人员和软件工程师并构建产品，以及为市场营销提供资金--正是市场营销使安全厂商有可能宣传重要问题，并为这些问题提供大规模的解决方案。 

大量的风险投资确实导致了安全初创企业的增长，但其中大部分都会失败。但人们忘记了，每一家初创企业不仅增加了行业的复杂性，也增加了行业的知识体系。每一家初创企业，无论最终能否成长为一家成功的企业，都会贡献自己的经验，供他人借鉴。大型平台并不是整个行业的发明者，它们利用的是他人创造的知识（单点解决方案！），并将其汇集到一个平台上。 

如果没有风险投资机构的资金和投资者要求快速发展和创新的压力，我们将无法与那些积极进取、高度敏捷、资金雄厚、同样快速发展和创新的对手抗衡。讽刺的是，来自风险投资机构的压力促使初创企业增加收入并扩大运营规模，同样也加速了密码管理器、MFA、漏洞管理、云安全态势管理等安全最佳实践的采用。 

那些认为网络安全需要更少风险投资的人往往没有意识到，如果没有风险投资的资助，创新将变得更加缓慢，工具整合也根本不可能实现。 

要建立一家平台公司，创始人需要在一个领域找到产品与市场的契合点，然后迅速向其他问题领域扩张。我认为，没有风险投资的支持，安全领域不可能出现任何平台公司。Palo Alto 可以自力更生建立一家小型防火墙公司，但不可能建立一家能够提供广泛平台的公司；CrowdStrike、Wiz、Snyk、Cloudflare或任何其他平台公司也是如此。 

创建平台分为两步。首先，风险投资为知识积累提供资金。其不受欢迎的副作用是市场拥挤和单点解决方案的产生。然后，同样的风险投资机构资助知识的整合和完善，从而创建安全平台。因此，如果我们希望看到行业整合，就应该欢迎网络安全领域的风险投资。 

总而言之，我不认为网络安全领域的风险投资“太多”。但这并不意味着没有问题。当人们说 “风险投资太多了”这样的话时，我听到的是“公司应该能够在没有风险投资支持的情况下取得成功”，以及“不是每家公司都应该获得资金，因为不是每家公司都能带来真正的创新”。在我看来，这两种担忧都是合理的，我们作为一个行业应该寻求解决。 

并不是每个创始人都应该创建一家有风险投资支持的公司。有些网络安全问题可以通过建立开源项目、引导小型解决方案，或通过建立服务提供商将自己的专业知识货币化来更好地加以解决。理想情况下，创业者可以决定是否应该筹集风险投资。挑战在于，说起来容易做起来难。 

当大多数网络安全公司筹集到大量资金时，少数没有筹集到资金的初创公司往往会发现自己无力竞争。最佳解决方案应该胜出的想法是好的，但在现实生活中，能够获得更多资源的初创公司可以更有效地向市场宣传其产品，雇佣规模更大或能力更强的团队，更快地推出新产品和功能，更频繁地进行迭代，更高效地进入市场。风险投资带来的这种飞轮效应使得一家自负盈亏的安全公司在竞争激烈的市场中胜出的可能性微乎其微。我完全理解，这很可能会让那些还记得可以围绕开源工具建立业务而无需筹集任何外部资金的人感到不快。不过，在我看来，这只是市场的现实，小型、自力更生团队的时代已经过去了。总会有例外，比如 Wazuh和Thinkst，但新创始人越来越难走这条路。 

获得风险投资支持并不能保证成功，一家公司获得比竞争对手更多的资金并不意味着它一定会赢。也就是说，我认为没有风险投资支持的初创公司开始超越风险投资支持的竞争对手的可能性很低。在一些风险投资兴趣不大的细分市场，或许有可能出现这种情况，但在那些能给安全创业者带来丰厚商机的细分市场，则不可能出现这种情况。 

值得补充说明的是，最近的经济衰退肯定会迫使初创企业在部署资本时变得更聪明，并有可能淘汰那些不能为愿意付费解决问题的客户解决实际问题的公司。然而，这不太可能改变风险投资支持的公司与自筹资金的公司之间的广泛现实，尤其是如果我们谈论的是产品的话。 

我们不需要更少的资金、更少的风险投资或更少的行业初创企业。我们需要风险投资机构能够辨别好坏，更好地评估安全初创企业。 

我以前曾详细讨论过“门外汉”很难理解固有的复杂网络安全领域这一事实。专业风险投资机构（完全或部分专注于网络安全的投资者）在评估安全公司方面具有巨大优势。前安全公司创始人和首席信息安全官成为投资人的情况就更好了，比如曾任Signal Sciences联合创始人兼首席安全官、现任Andreessen Horowitz普通合伙人的Zane Lackey，以及曾任The Home Depot首席信息安全官、现任Insight Partners董事总经理的Stephen Ward。 

确保投资者及时了解实际情况的一个好方法就是让他们融入安全团队。对有些人来说，这听起来可能有悖常理，但没有什么比与安全团队共事更能帮助风险投资人了解安全团队的痛点了。有几家企业风险投资基金正在带头这样做。这种合作对双方都有利：投资者可以尽可能地接近问题，而安全团队则有机会在最新、最先进的技术进入市场之前对其进行评估。 

作为安全领导者和投资者需要不同的技能组合，我们不应期望做出投资决策的人都会变成安全工程师。解决许多行业问题的关键在于投资者与安全专业人士之间建立更紧密的合作关系。对于初创企业来说，安全从业人员可以通过成为天使投资人（如我们与 VIS Angels 的合作）或顾问来增加价值。通过与风险投资机构密切合作，安全专业人士可以帮助投资者更好地了解不同的问题领域和细分市场，甚至在尽职调查期间协助评估公司。 

我认为，风险投资人在不了解他们所资助的是什么的情况下，将越来越多的资金投入到安全问题上，并不会给整个行业带来好处。不过，我也不明白，在社交媒体上说“我们不需要这么多网络安全领域的风险投资”如何有助于推动网络安全向前发展。如果安全从业者和风险投资机构能找到合作的方式，共同发现值得资助的创新，那么我们都会过得更好。 

展望未来，我希望业内能有更多人了解初创企业的复杂性，不要再说“我们需要更少的初创企业”和“我们需要更少的风险投资”之类的话。如果有的话，我们应该鼓励更多的人去尝试解决棘手的问题。不仅仅是建立微小的功能并将其作为SaaS解决方案出售，而是要创新，尝试用不同的方法解决老问题，并帮助行业走向成熟。这就是创新的运作方式：不同方法的复合，成功的公司是建立在许多失败的基础之上的。 

我还认为，在网络安全领域，我们需要更多的风险投资机构和更多的资本。我们需要了解安全领域细微差别的投资者，也需要用于支持具有远大理想的雄心勃勃的创始人解决棘手问题的资本。创新需要资本。坏人正在投资发展他们的能力并建立新的能力，如果我们想保护我们的基础设施，我们也应该这样做。

安全领域的创新是不可避免的，理应如此。我们不能希望谁先出现，谁就能确定市场的方向。此外，我认为我们不应该寄希望于赛门铁克这家成立于1982年的历史最悠久的网络安全公司能够解决所有的安全问题。初创企业是创新的驱动力，而大型平台则会导致停滞不前。当我们提倡行业整合时，我们应该非常小心我们的愿望：如果你想听一些恐怖的故事，可以去问问那些不得不使用有50年历史的ERP工具的人，或者那些不得不在传统CRM产品中定制一个界面的人。 

作为一个行业，我们需要的是重新设定人们的期望值。 

安全厂商不能再认为自己可以一劳永逸地做自己一直在做的事情。创始人需要开始考虑如何有效地部署资金，以及如何让公司实现盈利。此外，安全初创企业不能希望自己的市场策略一成不变。首席信息安全官们已经厌倦了目标不明确的销售和营销活动。创始人需要了解他们正在构建什么，并学会如何以产品买家和用户能够理解的方式进行沟通。 

投资者需要明白，正如Cole Grolmus所说，目前的证券市场就是一场抢椅子游戏。大公司将继续购买产品，因为这是他们保持创新能力的方式。但是，无论该类别有25家还是250 家厂商，椅子的数量都在五到十张之间。Palo Alto不会购买十个版本的相同解决方案，微软或Okta也不会。私募股权公司不会收购产品与市场契合度不高的初创企业。安全买家的名单不是无限的，到了某个时候，当音乐停止时，太多的公司将没有椅子可坐。在技术或市场没有发生足以证明其存在价值的根本性变化的情况下（想想从杀毒软件到 EDR），任何进入饱和类别的新公司都将面临血洗。而且，投资者需要做好准备，因为在某些时候，那些看似永远有效的游戏规则将不再有效。 

最后，安全领导者和从业人员需要接受行业发展的事实；不仅仅是接受，而是真正地拥抱它。安全行业不会再回到由黑客文化、地下社区和看似无厂商的环境所定义的时代。攻击的数量只会越来越多，该领域的初创公司数量也会随之增加。我们不能寄希望于以某种方式避免处理复杂性问题，而是需要将其视为既定事实，并想方设法为这一新现实增添价值。这一次，我们需要更好地评估安全工具，验证厂商的说法，并使产品适应每个组织的独特环境。正如我之前所说，单靠工具并不能拯救我们，但如果我们拥有的只是工具，为什么我们不使用它们呢？

就整个行业而言，它将继续发展。无论下一个十年会发生什么，有三条法则将始终不变。

• 首先是自然选择法则。那些能解决实际问题、由世界级团队打造并在竞争中胜出的公司将活下去。

• 其次是Price's Law（普赖斯定律），这是一个数学原理，主要是指对于任何有生产力的群体来说，50%的成果是由群体总数的平方根实现的。在网络安全领域，这意味着在所有安全初创企业（假设有5000家）中，约71家或5000家的平方根将拥有50%的市场份额。

• 最后，正如Jim Barksdale所说，做生意只有两种赚钱方法：一种是捆绑，另一种是拆分。网络安全行业也不例外，它同样面临着钟摆效应，从我们所说的最佳产品（单点解决方案）到最佳套装（整合平台），如此往复。

原文链接：

https://ventureinsecurity.net/p/why-we-need-more-startups-and-venture