在讨论新的网络安全初创企业时,我经常听到这些话:“某家公司正在做一些有趣的事情,但它注定要失败,因为微软、思科、Palo Alto、[代入你最喜欢的大型厂商]都可以轻松地搭建相同的解决方案。”
此外,我还经常看到处于早期阶段的初创企业一开始就试图向规模最大、发展最慢的企业推销产品,但一年(或两年)后才发现,他们浪费了宝贵的资源,没有聚焦,也没有什么成果。
本文,我将讨论网络安全初创公司创始人的几种思维模式,并解释为什么微软无法轻易迫使灵活的早期公司倒闭。
创新者的窘境:关键点
许多安全从业者,尤其是从业十年或更久的安全从业者,在看到处于早期阶段的初创企业和新创意时,经常会说同一句话:“这听起来是个好主意,但微软可以轻而易举实现了,而且一旦成功,这家初创企业就会倒闭”。根据不同的细分市场,你可以把微软换成Palo Alto、Snyk、思科或任何其他顶级公司,它们似乎拥有全世界所有的资源,并有能力决定未来的发展方向。
然而,尽管这种命运似乎是预先设定好的,事情却很少像大公司的信徒们预测的那样发展。McAfee公司成立于1987年,五年后上市,几十年来一直是全球最大的网络安全公司之一。Symantec是另一家成立于1982年的网络安全巨头,就在2017年还被《福布斯》评为收入最高的网络安全公司。2024年,很难找到人指望McAfee和Symantec帮助打造网络安全的未来,但在几十年前,它们无疑被视为市场上毫无争议的赢家。
McAfee没有推出业界领先的网络安全产品的原因,与曾经控制全球智能手机市场50%以上份额的黑莓手机现在仅占市场0%以上份额的原因,以及2024年的人们为什么要购买Macbook而不是IBM工作站的原因是一样的。这个原因被称为“创新者的窘境”。
克莱顿-克里斯坦森首次提出了创新者的窘境的概念。他在《创新者的窘境:当新科技导致伟大公司失败时》一书中解释道:
“[曾经领先的公司为何失败]的原因在于,良好的管理本身就是根本原因。管理者们按照游戏规则玩游戏。决策和资源分配过程是成熟公司成功的关键,而这些过程恰恰是拒绝颠覆性技术的过程:倾听客户的声音;仔细跟踪竞争对手的行动;投入资源设计和制造更高性能、更高质量的产品,以获得更大的利润。这些都是优秀企业在面对颠覆性技术变革时磕磕绊绊或失败的原因。
成功的公司都希望自己的资源能够集中用于满足客户需求、承诺更高的利润、技术上可行并能帮助他们在巨大市场中发挥作用的活动。然而,如果期望实现这些目标的流程也能像培育颠覆性技术一样,将资源集中于那些被客户拒绝、利润较低、性能低于现有技术、只能在微不足道的市场上销售的提案,这无异于拍打绑着翅膀的手臂试图飞翔。这种期望涉及到与成功组织的工作方式和绩效评估方式的一些基本倾向作斗争”。
人们普遍认为,现有企业之所以无法开发创新科技,是因为其员工丧失了识别趋势、提出新想法和构建创新解决方案的能力。事实恰恰相反:大公司聘用的顶尖人才最先发现新趋势,并提出新的解决方案。问题是,他们试图将这些想法应用于现有的客户群,而这并不是真正创新的起点。在许多情况下,接受一个新想法意味着削弱一个成熟的收入渠道,破坏公司自己的产品,优秀的管理层有充分的理由不这样做。一开始,颠覆性创新很少能带来有意义的利润率,而且它们很少起源于《财富》1000强企业,大型厂商会花大部分时间倾听它们的声音,并为它们打造产品。
新进入者胜出的原因在于,他们能够发现利基客户群的问题,并投入资金真正解决这些问题,比任何在位者都做得更好。此外,由于他们没有被几十年前的技术架构所束缚,也没有大量的现有客户需要他们去满足,因此他们可以肆无忌惮,无情地确定优先次序,并利用最新、最棒的想法来建立基础。在位者对年销售额有很高的期望,他们的所有计划都必须以实现这些数字为中心。由于初创企业不必满足同样的期望,他们有更多的时间来很好地解决细分市场客户的问题。
人们很容易认为,微软或Palo Alto等公司可以轻松解决任何安全问题。毕竟,它们雇得起最优秀的人才,而且一旦产品准备就绪,它们就可以将其插入运转良好的分销渠道,然后开始销售。
实际情况要复杂一些。虽然大型企业在安全方面花费的资金最多,但其中只有很小一部分企业可以被视为安全创新的早期采用者。这意味着,对于顶级网络安全公司来说,很难优先解决小市场的安全问题,而不是倾听负责创造最大收入的公司的要求。
即使现有公司决定投资解决一个利基问题,它也不会自动成为该领域的赢家。首先,大型软件公司拥有复杂的规划和预算流程。安全初创企业的竞争对手不是微软或Palo Alto,而是由10-20名开发人员组成的小型产品团队,以及在大公司官僚体系和等级制度下运作的产品经理。初创公司的创始人可以与五位潜在客户交谈,下周就能推出产品的早期版本,而微软的产品经理则需要经过一系列的讨论来收集利益相关者的反馈、确定路线图、规划资源、根据新的经验进行迭代,等等。
对于初创企业来说,它要解决的问题是整个团队唯一关注的问题。而对于微软或任何大型软件厂商来说,同样的问题只是公司要解决的3500个问题中的一个。承诺的程度也不同。除个别情况外,大公司的员工会在下午5、6点结束一天的工作,而初创企业则会不分昼夜、不分周末和晚上地工作,以实现新创意。对于早期创意来说,速度至关重要:团队行动越快,学习越快,产品就越好。这还没有考虑到,现有公司必须处理数十年的技术债务,而这些债务始终会阻碍他们快速移动和利用新科技。
在网络安全领域,创新者的窘境还有两个层面:人才和行业方向。应对新领域的威胁需要人才,而那些在防御旧堆栈攻击方面投入巨大的大型企业往往不具备这样的人才。当移动设备数量激增时,在端点,尤其是Windows安全领域拥有深厚专业知识的公司却没有在移动领域经验丰富的人才。这正是初创企业的优势所在。更重要的是,攻击的类型多种多样,对手正以前所未有的方式不遗余力地识别和利用安全漏洞。没有一家大公司能预见到行业发展的所有方式。而小型创业团队则有能力及早发现新趋势,并全力以赴追求未来愿景。虽然在很多情况下,他们的预感可能会让他们误入歧途,但最终,精明的从业者将能够预见到哪里需要创新,并在解决这些问题的过程中超越现有公司。
大型企业,尤其是微软和Palo Alto等平台型企业,确实有很多优势,包括能够利用完善的分销网络向现有客户进行追加销售,并提供单一、综合的体验,从而减少将多个互不关联的解决方案拼接在一起的需要。特别是微软,由于其将安全与其他产品捆绑在一起的战略,使其成为最大的网络安全公司。虽然这些确实是成功的重要因素,但安全领域的现实情况是,在新的问题领域,客户非常愿意利用能提供更好保护的同类最佳解决方案。如果初创企业能够开发出比现有企业更好的解决方案,它们就有机会成为市场上的知名企业。虽然从理论上讲,微软可以拥有整个安全市场,但在创新者的窘境的影响下,该行业的现实情况是,有足够的空间让灵活、雄心勃勃的初创企业分得一杯羹,甚至成长为行业领导者。
马斯洛需求层次理论:关键点
1943年,美国心理学家亚伯拉罕·马斯洛提出了一个后来被称为马斯洛需求层次理论的观点。这一理论基于这样一个前提,即一个人必须首先满足自己最基本的需求,才能有动力追求更高层次的需求。马斯洛的著作最常见的图示是一个金字塔,但金字塔并非他的创造,也没有出现在他的任何著作中。
位于金字塔底部的是生理需求,其次是安全和保障需求。一旦这些基本需求得到满足,人们就会努力满足归属感、爱和成就感等心理需求。位于金字塔顶端的是自我实现,它被视为充分发挥个人潜能的终极阶段。在生活中,并非每个人都能有幸达到开始考虑自我实现的阶段。
马斯洛式的网络安全需求层次理论
关于马斯洛需求层次理论在网络安全中的应用,已经有很多文章。以下只是其中的一些例子;在网上快速搜索一下,就会发现还有更多的例子。
我并不是要争论在众多金字塔中哪一个看起来最相关。相反,我想讨论马斯洛需求层次理论对初创安全公司的影响。曾几何时,今天所谓的主要攻击载体还是新鲜事物。无论我们谈论的是终端安全、网络、代码、云还是其他,市场上都没有能够解决这些领域已知威胁的解决方案。当出现新的初创公司来解决某个领域的问题时,他们面临的主要挑战是教育市场需要担心攻击载体。此外,初创企业要解决的问题很大,最好的办法是建立必须具备的能力,获得市场份额,然后再慢慢发展"可有可无"的能力。他们仍然需要选择正确的策略,等等,但是他们正在解决的是大问题领域,并且在这样做时具有更大的灵活性。
人们现在可能会说,在工具方面,基本的安全需求已经得到了满足。虽然并非每个企业都能很好地完成安全基础工作,大多数企业仍在为基础工作而苦苦挣扎,但我们确实拥有了针对终端安全、资产管理、漏洞管理和其他问题领域的可靠工具。如今,大多数初创企业在寻找能够进入市场的楔子时,大多着眼于“好东西”(nice-to-haves),即为市场上最成熟的顶级企业提供解决方案。由于CrowdStrike、Palo Alto、微软等平台型企业的发展,从一个大的问题领域(如终端)入手,为大众市场构建解决方案的机会已基本不复存在。尽管这一事实并不一定意味着在现有类别中没有创新的可能,但一家公司需要带来令人印象深刻的新产品,而不是以“又一个X工具,但肯定比现有的更好”的姿态出现。
如今,创始人在创办公司时,在大多数情况下都会面临一个棘手的问题:他们所涉足的领域,今天对一小部分客户来说还算不错,但明天能否迅速成为市场上其他客户的必备品?某些领域的采用率要高于其他领域:例如,多因素身份验证的采用率要远远高于检测工程和为每个组织的环境构建定制检测。
问题不容易辨别:
总潜在市场(TAM)总量很大,但公司难以在早期吸引客户的原因是,只有少数客户符合早期采用者的特征,或者说,只有少数客户符合早期采用者的特征; 市场很小,而这10-50个客户就是初创企业所希望的一切,因为对于很小的一部分市场来说,有这样的解决方案就不错了。
他们是否只是出于好意,想鼓励创始人继续前进?人们总是这样做。对于任何希望更好地发现客户并尽可能减少偏见的人,我强烈推荐阅读Rob Fitzpatrick所著的《妈妈测试》(The Mom Test); 他们是大型市场的创新者还是先行者? 他们是细分市场中的创新者吗? 难道他们只是安全团队中的一小部分人,在前面讨论过的马斯洛需求层次理论中处于很高的位置,以至于他们正在寻找解决方案来解决在未来几十年内其他人都无法解决的问题?
他们在和谁交流; 某个潜在客户是独一无二的,还是某个群体的代表; 可以加入该群体的其他组织的数量; 影响问题紧迫性或认为问题紧迫性的因素; 这些因素是集团内所有公司都有的,还是只有部分公司有,原因何在?
不同的细分市场需要不同的市场策略,拥有不同的买家,并受到不同行业趋势的影响; 网络安全领域的大多数细分市场规模都太小,公司无法达到IPO的规模并上市; 一些细分市场正在萎缩,而另一些细分市场今天可能还很小,但正在扩大。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...