虽然每个网络安全初创公司都独具特色,但它们都运作在一套模式、规则和系统之中。通过分析这些系统,可以根据创始人的背景、他们为之构建解决方案的客户类型、他们融资的方式以及其他因素,预测潜在的挑战和机遇。
本文,我将讨论网络安全初创企业的四个困境,以及它们对安全创始人和整个行业的意义。
要创立一个网络安全公司,创始团队必须具备三项关键技能:软件工程是开发技术产品所必需的,安全领域专业知识是使产品能够解决安全问题所必需的,商业眼光则是将公司的产品转化为商业机会所必需的。虽然这三项技能同等重要,但前两项,即软件和安全专业知识,需要更长时间来培养。因此,技术型网络安全创始人常常在没有任何商业理解的情况下启动初创公司,希望最终能够弄清楚商业方面的事情。具备软件工程和网络安全经验的人通常来自以下两个领域之一:- 云原生、技术先进、风险投资支持的产品公司和大型企业聘请具有工程思维的安全工程师、安全架构师和其他技术安全从业人员。软件产品公司将安全视为其产品的核心组成部分,因此愿意投资于招聘、培养、留住和利用顶级的网络安全人才。一些成熟的非软件企业,如Target、Walmart、麦当劳和几家大型银行,也可以被认为是这个类别的一部分;
- 以色列8200部队及美国军队中的等效部门,以及国家安全局等特殊的机构,都是情报军事单位。这两种类型的机构都专注于保护国家、进行攻击性行动,并收集情报以推动其国家在全球舞台上的利益。
这两类组织之间存在许多差异。最明显的差异是关注领域:像Datadog、Dropbox、Cloudflare、Google、Meta和Apple这样的产品公司拥有强大的网络防御团队,而政府则拥有无与伦比的网络攻击能力。此外,这些产品公司大多数都集中在旧金山和湾区,以愿意为所需专业知识支付高薪而闻名,而军方和网络安全政府机构则吸引那些希望在社区中产生影响并为国家服务的人。尽管存在差异,为科技先进企业和军事单位工作的人们有一个共同点:他们大多数人都接触到了全球最先进和成熟机构中安全工作的方式。这1-5%是市场上少数拥有资源(资金和人才)来加强安全态势、开发创新方法和建立自己工具的机构。另一方面,最痛苦的问题和最大的创新机会并不在军事或科技前沿公司中,而会在市场的另外三个部分中找到:- 传统的、以分析和合规为重点的企业,如银行、零售店、石油和天然气企业以及跨国公司;
- 小型和中型企业(SMBs),如零售店、餐厅、法律和会计事务所以及建筑公司;
- 市政府和公共资助的机构,如博物馆、学校、医院、公用事业提供商、商业注册机构、档案馆和财务部门。
问题在于,这些组织大都没有很高的安全预算,也没有聘请具备工程技能和能够构建定制工具的安全从业人员的心态。正是这种错位,导致了我所说的网络安全创始人困境:云原生公司和政府机构的人们致力于解决前沿问题、并思考充满希望的未来,而大众市场所面临的不那么未来主义、平凡的问题仍然存在。由于既擅长安全的软件工程师,也具备工程技能的安全从业人员都没有机会在中小型企业、地方政府等地工作,因此他们所面临的问题对于那些最适合解决这些问题的人来说,基本上是未知的。尽管安全领域的人们喜欢说“安全是每个人的问题”,但现实是,并非每家公司都同等重视安全,而且相对较少的公司拥有足够大的预算,使它们成为安全初创公司的有吸引力的目标。- 财富1000强企业拥有专职CISO和庞大的安全预算。由于政府继续实施促进上市公司安全和惩罚网络攻击的法规,这一领域很可能会继续投资于安全;
- 中型企业。这个范畴中的公司存在于一个连续的状态中。企业越大,就越有可能有一个专门负责安全的领导和一个稳定的安全预算。汇报结构差异很大:一些组织有CIO下属的CISO或安全副总裁(VP),而其他企业的CISO则向技术负责人汇报,还有一些将安全视为IT组织的责任之一,不聘请专门的安全领导者;
- 中小型企业。这些企业也存在于一个连续的范围内。虽然有一些企业(尤其是那些开发软件产品的企业)可能有CISO或安全经理,但绝大多数企业处在完全没有安全措施和将安全需求委托给第三方承包商之间的某种状态。
网络安全初创企业的创始人们知道,财富1000强企业是这个行业的金字塔顶端。这种认识使得很多人希望向市场的顶层销售——那些拥有庞大预算、大规模部署、复杂环境以及不断加强安全态势需求的少数公司。销售给市场顶端并不容易,大多数人只会购买解决方案,这些解决方案是:- “企业级成熟”,意味着没有重大的软件错误,能够支持复杂的混合(云+本地)环境,满足不同业务部门的数据驻留要求,并具备强大的访问控制,等等;
显然,大多数初创公司在pre-seed轮或种子阶段时,都不符合这些要求。像Palantir和Anduril这样的少数例外,从一开始就以政府或最大的企业为目标建立一家公司大都并不可行。它们会让初创公司陷入漫长的复杂产品评估过程,可能需要数月甚至数年的时间。聪明的创始人知道,要构建一个适合企业使用的解决方案,他们需要有能力获得大量的产品反馈,频繁迭代,并迅速完善他们的产品。唯一的方法,就是从那些能够更快做出购买决策、愿意冒险尝试初创企业、提供反馈、并且愿意时不时应对产品的错误和缺陷体验的客户,开始销售。换句话说,大多数希望向财富500强和财富1000强销售的初创企业,需要从财富10000强的客户开始。问题在于,公司离财富1000强群体越远,就越有可能意识到,中端市场的问题与高端市场或未来的客户的问题,有很大不同。创始人必须关注他们的目标,并做出同时考虑到现阶段需求和未来方向的决策。此外,他们需要意识到,尽管仅在美国就有33,185,550家小企业,但绝大多数网络安全初创公司都试图瞄准同样的1,000-5,000家企业。难怪这些组织的买家对于工具的数量感到不知所措和困惑。任何创始人都会说,他们的目标之一是防止稀释、保留他们在创业公司中的所有权。另一方面,在许多企业家眼中,他们能够获得更多的投资资本越好,因为这将给他们更多的时间,能够聘请更多的人来建立和销售产品,执行更多的营销计划等等。大多数早期的网络安全初创公司并不盈利,需要风险投资支持来验证他们的早期假设、设计商业模式、扩大公司规模,并希望找到赚钱的方法。这种情况有几个原因。首先,许多网络安全公司在推出产品之前需要进行研发投资。如果没有这样做,他们将无法构建所谓的“秘密配方”——知识产权或技术,使他们的产品对客户有价值。常见的研发投资类型包括威胁情报、恶意软件研究、检测工程以及与其他解决方案的集成。其次,考虑到大多数网络安全公司的客户是企业,他们别无选择,只能在能够希望达成第一笔交易并开始产生有意义的收入之前,将产品做到“企业级成熟”。与可以通过使用无代码工具构建产品并开始销售的B2C解决方案不同,B2B的玩家需要在早期阶段进行更大的前期投资。然而,如果仅仅是这些挑战,我认为我们今天会看到更多自筹资金的安全公司。大多数网络安全初创公司需要风险投资的最大原因之一是,该行业中产品的采用严重依赖于教育和信任。新的学习成果在各行各业传播的速度相对相似。而在网络安全和生物技术等学科中,信息的及时性是不同的。当一种新的病毒(生物或计算机)传播时,负责预防、检测和应对的各方需要尽早了解。在网络安全领域,对新攻击或威胁行为了解不足几乎会立即导致负面后果。而在其他行业中,对创新保持领先的紧迫性较低。例如,一个公司如果迟迟不采用新的营销或工程最佳实践,可能会在几年内失去竞争优势,但有足够的时间来纠正错误。为了传播关于新安全需求的信息,并引发对安全解决方案的需求,网络安全初创公司别无选择,只能投资于教育企业有关新兴威胁的重要性、以及为何应该关注这些威胁。当然,这样的教育需要前期资本投入。迫使安全初创企业从天使投资者和风险投资公司筹集资金的另一个因素,是购买过程中对信任的重度依赖。当一种新的方法或新类型的解决方案出现时,需要很长时间才能被广泛采用。每个产品评估(价值证明或概念验证)可能需要几个月的时间,而达成交易则需要更长时间。由于信任具有地理维度,任何获取市场份额的努力通常是局部的:总部位于美国的企业愿意从美国或以色列的初创企业购买安全产品,而德国公司更倾向于选择德国的安全服务提供商,澳大利亚企业通常希望从澳大利亚的安全公司购买,依此类推。所有这些综合起来意味着,当买家们理解一种新的解决方案时,最初投资于这种新方法、新理念或新解决方案的公司,将会有数十个模仿者试图在自己的市场或行业垂直领域做同样的事情。避免这种情况的一种方法是以隐秘模式构建产品,筹集足够的资金以便能够快速行动,然后加速并释放销售机器,以在竞争对手能够复制初创公司所做的事情之前,尽快占领市场的大部分份额。尽管情况并非总是如此,但有更多资金的网络安全公司能够聘请更多顶尖人才,更快速地构建更优秀的产品,并更迅速地进入市场是合理的。随着时间的推移,这些优势会累积:能够发布更多代码的能力可能使初创公司在其竞争对手之前推出更大的平台,而后者可能陷入提供规模较小、吸引力较低的功能等问题。网络安全资金困境的另一个部分,是要筹集多少资金。寻求投资的创始人必须理解(我称之为)募资三角形:估值、稀释和筹集的资本。这三个数字相互关联,共同决定第四个数字——最低可接受的退出条件。在每一轮定价的融资中(即估值的融资轮次,通常是由风险投资公司领导的任何融资轮次),初创公司大致会出让公司20%的股份,以换取约定的投资金额。例如,一家融资500万美元的公司,通常会出让公司20%的股份,以换取500万美元,使得融资后估值为2500万美元。请注意,这并不总是适用,实际交易条款会有很大的变化;20%并不是一个规则,而是最常见的做法,至少在美国是如此。估值、稀释和融资之间的相互关系,意味着创始人通常认为他们应该以最高的估值进行融资。这不仅能满足他们的自尊心(成为价值10亿美元的公司的创始人听起来比估值2.5亿美元的公司更酷),而且采取这种方法可以让他们获得尽可能多的资金,而不会过多地削减自己的所有权。例如,一位创始人筹集了5000万美元的资金,可能会以10%的股份换取1000万美元,但如果他们以2亿美元的估值进行融资,他们可能会以同样的10%股份获得4000万美元。虽然从这个角度看很诱人,但这也是一个错误的角度,会导致糟糕的财务决策。在筹集资金时,还需要考虑的另一个因素,是最低可接受的退出金额。在创业初期阶段,公司估值是基于创始人和投资者之间的共识而得出的一个神奇数字。如果创业者有着宏大的愿景和出色的业绩记录,并且能够在投资者中制造出错失良机的恐惧,他们通常可以以极高的估值筹集大量资金。然而,随着公司的发展和进行A轮、B轮、C轮等融资,估值逐渐成为公司价值的具体反映,这可以通过收入、用户增长、财务预测和其他硬性数据来衡量。创始人应该筹集的资金数量与他们对潜在退出方式、公司可能获得的收入以及是否能上市等观念直接相关。在我们进一步探讨之前,值得明确的是,还有三个因素反映了网络安全市场的运作方式:- 所有希望在安全领域上市的公司,应该有机会每年产生至少1亿美元的年度重复收入(ARR),并在未来几年保持令人印象深刻的增长(理想情况下,每年增长25%以上)。大多数市场规模不足以达到这些数字:不具体指出我在该行业看到的问题,大多数今天已知的产品类别的公司规模太小,无法达到1亿美元的ARR。在网络安全领域,IPO真的只适用于平台公司;
- 谈到收购,收购金额越低,交易越容易进行。不仅如此,收购者根据不同的范围做出购买决策:一家年收入100万美元的公司大致相当于年收入200万美元的公司;一家创业公司年收入1100万美元大致相当于年收入1700万美元的公司,依此类推。一旦跨过一个新的门槛(比如100万美元、500万美元、1000万美元、2500万美元等),买方将愿意为该业务支付更多的费用;
- 越早期的投资者,其退出倍数就需要越高,以使其基金模型的经济效益得以实现。种子阶段的风险投资公司可能期望获得5-10倍甚至更高的回报,而D轮的投资者可能满意于2-3倍的回报。
- 如果创始人认为他们有机会上市(至少年收入1亿美元和两位数增长率),那么以高估值融资、尽快增长并迅速达到独角兽地位可能是有意义的。然后,假设他们能够增加收入并让市场对未来保持兴奋,那么上市可能是可能的。现实情况是,绝大多数网络安全初创公司不符合这个模式;
- 如果创始人认为他们不太可能拥有一个能上市的平台,那么筹集较少的资金可能更明智,这样他们就不会变得太昂贵(跳过独角兽地位)。如果公司在保持适度估值的同时不断增长,更有可能被收购(收购金额在250-300以下比那些超过这个数字的要容易得多)。
事情的发展方式,有很多可能的排列组合。理论上,创始人可以决定他们想要走的道路,并为此结果进行优化。实际上,说起来容易做起来难。大多数从一开始就试图为较小的结果进行优化的创始人,可能没有足够的雄心壮志和能力来使公司一开始就取得成功。面对未来的最佳方式,是做出能让创始人保持选择权的决策(除非他们决定背水一战,从一开始就追求IPO)。在最早期的阶段,不确定性最高,拥有被收购或进行IPO的选择是理想的。随着创始人不断了解,他们应该能够看清哪种选择是最现实的,并为他们希望实现的结果,优化他们的决策。- 没有人能预测未来,但多样性选择胜过单一路径,除非对于那条单一路径的成功有极高的信心;
- 专注于解决真实的客户问题,比幻想未来的退出情景更重要;
- 大多数风险投资公司的激励机制,是只资助那些追求最高目标的雄心勃勃的创业者;
- 难以计算,估值、稀释和投资资本之间的权衡是真实存在的;
- 对于初创企业来说,迅速达到非常高的估值、并因此变得过于昂贵而无人购买,是很常见的。如果这是有意为之,因为公司正在寻求IPO,那就很好,但如果不是的话,这可能是非常不幸的;
- 产品赛道的规模和基本要素很重要。有些市场太小,不足以让一家公司上市,除非创始人改变他们的关注点,否则他们很可能无法克服赛道的限制。
我观察到科技行业面临的一个挑战是,大多数创始人倾向于只关注他们决策的一级后果。这是一个大错误,因为每个决策都会导致一系列后果,而后果又会导致另一系列后果,如此循环。例如,来自科技前沿公司的创始人希望对未来的新范式进行大胆而重大的赌注,并推动安全领域的可能性边界。他们喜欢为仅云和云优先公司构建先进的工具,向具有自己的检测工程师、安全工程师和应用安全团队的科技前沿玩家销售。他们喜欢解决令人兴奋和智力刺激的问题,因此最终只为行业的1-5%提供解决方案,从而限制了他们的总可寻址市场(TAM)为250-500家公司。然后,他们有可能陷入致命的恶性循环中:- 他们通过向硅谷初创企业销售迅速获得了市场份额,对市场规模问题视而不见;
- 这鼓励他们以高估值筹集大量资金,并聘请庞大的销售团队,然后意识到仅仅依靠云和云优先公司的总市场规模,不足以维持增长预期;
- 如果公司找不到一种方法来将其总市场扩大到更多传统企业,其增长很可能会放缓;
- 当增长放缓时,筹集下一轮资金可能变得更加困难,或者导致估值下调;
这只是创始人需要考虑各方面的其中一个例子;重要的是,他们不能只看决策的直接结果,还要考虑第二、第三、第四和第五阶梯的后果。这并不是要他们陷入分析泥沼,而是要他们扩大对问题的思考范围,让自己有尽可能多的选择余地。网络安全创业者面临着许多两难选择,他们如何抉择不仅决定他们最终将建立何种公司,还将影响安全行业的未来。制定战略决策的人,必须了解其选择的利弊得失和后果。https://ventureinsecurity.net/p/four-cybersecurity-startup-dilemmas👉👉
还没有评论,来说两句吧...