网安初创不会轻易被大厂干掉！｜思维模式探讨

在讨论新的网络安全初创企业时，我经常听到这些话：“某家公司正在做一些有趣的事情，但它注定要失败，因为微软、思科、Palo Alto、[代入你最喜欢的大型厂商]都可以轻松地搭建相同的解决方案。”

此外，我还经常看到处于早期阶段的初创企业一开始就试图向规模最大、发展最慢的企业推销产品，但一年（或两年）后才发现，他们浪费了宝贵的资源，没有聚焦，也没有什么成果。

本文，我将讨论网络安全初创公司创始人的几种思维模式，并解释为什么微软无法轻易迫使灵活的早期公司倒闭。

创新者的窘境对网络安全的意义

创新者的窘境：关键点

许多安全从业者，尤其是从业十年或更久的安全从业者，在看到处于早期阶段的初创企业和新创意时，经常会说同一句话：“这听起来是个好主意，但微软可以轻而易举实现了，而且一旦成功，这家初创企业就会倒闭”。根据不同的细分市场，你可以把微软换成Palo Alto、Snyk、思科或任何其他顶级公司，它们似乎拥有全世界所有的资源，并有能力决定未来的发展方向。

然而，尽管这种命运似乎是预先设定好的，事情却很少像大公司的信徒们预测的那样发展。McAfee公司成立于1987年，五年后上市，几十年来一直是全球最大的网络安全公司之一。Symantec是另一家成立于1982年的网络安全巨头，就在2017年还被《福布斯》评为收入最高的网络安全公司。2024年，很难找到人指望McAfee和Symantec帮助打造网络安全的未来，但在几十年前，它们无疑被视为市场上毫无争议的赢家。

McAfee没有推出业界领先的网络安全产品的原因，与曾经控制全球智能手机市场50%以上份额的黑莓手机现在仅占市场0%以上份额的原因，以及2024年的人们为什么要购买Macbook而不是IBM工作站的原因是一样的。这个原因被称为“创新者的窘境”。

克莱顿-克里斯坦森首次提出了创新者的窘境的概念。他在《创新者的窘境：当新科技导致伟大公司失败时》一书中解释道：

“[曾经领先的公司为何失败]的原因在于，良好的管理本身就是根本原因。管理者们按照游戏规则玩游戏。决策和资源分配过程是成熟公司成功的关键，而这些过程恰恰是拒绝颠覆性技术的过程：倾听客户的声音；仔细跟踪竞争对手的行动；投入资源设计和制造更高性能、更高质量的产品，以获得更大的利润。这些都是优秀企业在面对颠覆性技术变革时磕磕绊绊或失败的原因。

成功的公司都希望自己的资源能够集中用于满足客户需求、承诺更高的利润、技术上可行并能帮助他们在巨大市场中发挥作用的活动。然而，如果期望实现这些目标的流程也能像培育颠覆性技术一样，将资源集中于那些被客户拒绝、利润较低、性能低于现有技术、只能在微不足道的市场上销售的提案，这无异于拍打绑着翅膀的手臂试图飞翔。这种期望涉及到与成功组织的工作方式和绩效评估方式的一些基本倾向作斗争”。

人们普遍认为，现有企业之所以无法开发创新科技，是因为其员工丧失了识别趋势、提出新想法和构建创新解决方案的能力。事实恰恰相反：大公司聘用的顶尖人才最先发现新趋势，并提出新的解决方案。问题是，他们试图将这些想法应用于现有的客户群，而这并不是真正创新的起点。在许多情况下，接受一个新想法意味着削弱一个成熟的收入渠道，破坏公司自己的产品，优秀的管理层有充分的理由不这样做。一开始，颠覆性创新很少能带来有意义的利润率，而且它们很少起源于《财富》1000强企业，大型厂商会花大部分时间倾听它们的声音，并为它们打造产品。

新进入者胜出的原因在于，他们能够发现利基客户群的问题，并投入资金真正解决这些问题，比任何在位者都做得更好。此外，由于他们没有被几十年前的技术架构所束缚，也没有大量的现有客户需要他们去满足，因此他们可以肆无忌惮，无情地确定优先次序，并利用最新、最棒的想法来建立基础。在位者对年销售额有很高的期望，他们的所有计划都必须以实现这些数字为中心。由于初创企业不必满足同样的期望，他们有更多的时间来很好地解决细分市场客户的问题。

网络安全领域的创新者的窘境‍‍

人们很容易认为，微软或Palo Alto等公司可以轻松解决任何安全问题。毕竟，它们雇得起最优秀的人才，而且一旦产品准备就绪，它们就可以将其插入运转良好的分销渠道，然后开始销售。

实际情况要复杂一些。虽然大型企业在安全方面花费的资金最多，但其中只有很小一部分企业可以被视为安全创新的早期采用者。这意味着，对于顶级网络安全公司来说，很难优先解决小市场的安全问题，而不是倾听负责创造最大收入的公司的要求。

即使现有公司决定投资解决一个利基问题，它也不会自动成为该领域的赢家。首先，大型软件公司拥有复杂的规划和预算流程。安全初创企业的竞争对手不是微软或Palo Alto，而是由10-20名开发人员组成的小型产品团队，以及在大公司官僚体系和等级制度下运作的产品经理。初创公司的创始人可以与五位潜在客户交谈，下周就能推出产品的早期版本，而微软的产品经理则需要经过一系列的讨论来收集利益相关者的反馈、确定路线图、规划资源、根据新的经验进行迭代，等等。

对于初创企业来说，它要解决的问题是整个团队唯一关注的问题。而对于微软或任何大型软件厂商来说，同样的问题只是公司要解决的3500个问题中的一个。承诺的程度也不同。除个别情况外，大公司的员工会在下午5、6点结束一天的工作，而初创企业则会不分昼夜、不分周末和晚上地工作，以实现新创意。对于早期创意来说，速度至关重要：团队行动越快，学习越快，产品就越好。这还没有考虑到，现有公司必须处理数十年的技术债务，而这些债务始终会阻碍他们快速移动和利用新科技。

在网络安全领域，创新者的窘境还有两个层面：人才和行业方向。应对新领域的威胁需要人才，而那些在防御旧堆栈攻击方面投入巨大的大型企业往往不具备这样的人才。当移动设备数量激增时，在端点，尤其是Windows安全领域拥有深厚专业知识的公司却没有在移动领域经验丰富的人才。这正是初创企业的优势所在。更重要的是，攻击的类型多种多样，对手正以前所未有的方式不遗余力地识别和利用安全漏洞。没有一家大公司能预见到行业发展的所有方式。而小型创业团队则有能力及早发现新趋势，并全力以赴追求未来愿景。虽然在很多情况下，他们的预感可能会让他们误入歧途，但最终，精明的从业者将能够预见到哪里需要创新，并在解决这些问题的过程中超越现有公司。

大型企业，尤其是微软和Palo Alto等平台型企业，确实有很多优势，包括能够利用完善的分销网络向现有客户进行追加销售，并提供单一、综合的体验，从而减少将多个互不关联的解决方案拼接在一起的需要。特别是微软，由于其将安全与其他产品捆绑在一起的战略，使其成为最大的网络安全公司。虽然这些确实是成功的重要因素，但安全领域的现实情况是，在新的问题领域，客户非常愿意利用能提供更好保护的同类最佳解决方案。如果初创企业能够开发出比现有企业更好的解决方案，它们就有机会成为市场上的知名企业。虽然从理论上讲，微软可以拥有整个安全市场，但在创新者的窘境的影响下，该行业的现实情况是，有足够的空间让灵活、雄心勃勃的初创企业分得一杯羹，甚至成长为行业领导者。

马斯洛需求层次理论对网络安全的影响

马斯洛需求层次理论：关键点

1943年，美国心理学家亚伯拉罕·马斯洛提出了一个后来被称为马斯洛需求层次理论的观点。这一理论基于这样一个前提，即一个人必须首先满足自己最基本的需求，才能有动力追求更高层次的需求。马斯洛的著作最常见的图示是一个金字塔，但金字塔并非他的创造，也没有出现在他的任何著作中。

位于金字塔底部的是生理需求，其次是安全和保障需求。一旦这些基本需求得到满足，人们就会努力满足归属感、爱和成就感等心理需求。位于金字塔顶端的是自我实现，它被视为充分发挥个人潜能的终极阶段。在生活中，并非每个人都能有幸达到开始考虑自我实现的阶段。

马斯洛式的网络安全需求层次理论

关于马斯洛需求层次理论在网络安全中的应用，已经有很多文章。以下只是其中的一些例子；在网上快速搜索一下，就会发现还有更多的例子。

我并不是要争论在众多金字塔中哪一个看起来最相关。相反，我想讨论马斯洛需求层次理论对初创安全公司的影响。曾几何时，今天所谓的主要攻击载体还是新鲜事物。无论我们谈论的是终端安全、网络、代码、云还是其他，市场上都没有能够解决这些领域已知威胁的解决方案。当出现新的初创公司来解决某个领域的问题时，他们面临的主要挑战是教育市场需要担心攻击载体。此外，初创企业要解决的问题很大，最好的办法是建立必须具备的能力，获得市场份额，然后再慢慢发展"可有可无"的能力。他们仍然需要选择正确的策略，等等，但是他们正在解决的是大问题领域，并且在这样做时具有更大的灵活性。

人们现在可能会说，在工具方面，基本的安全需求已经得到了满足。虽然并非每个企业都能很好地完成安全基础工作，大多数企业仍在为基础工作而苦苦挣扎，但我们确实拥有了针对终端安全、资产管理、漏洞管理和其他问题领域的可靠工具。如今，大多数初创企业在寻找能够进入市场的楔子时，大多着眼于“好东西”（nice-to-haves），即为市场上最成熟的顶级企业提供解决方案。由于CrowdStrike、Palo Alto、微软等平台型企业的发展，从一个大的问题领域（如终端）入手，为大众市场构建解决方案的机会已基本不复存在。尽管这一事实并不一定意味着在现有类别中没有创新的可能，但一家公司需要带来令人印象深刻的新产品，而不是以“又一个X工具，但肯定比现有的更好”的姿态出现。

如今，创始人在创办公司时，在大多数情况下都会面临一个棘手的问题：他们所涉足的领域，今天对一小部分客户来说还算不错，但明天能否迅速成为市场上其他客户的必备品？某些领域的采用率要高于其他领域：例如，多因素身份验证的采用率要远远高于检测工程和为每个组织的环境构建定制检测。

问题不容易辨别：

总潜在市场（TAM）总量很大，但公司难以在早期吸引客户的原因是，只有少数客户符合早期采用者的特征，或者说，只有少数客户符合早期采用者的特征；
市场很小，而这10-50个客户就是初创企业所希望的一切，因为对于很小的一部分市场来说，有这样的解决方案就不错了。

创新扩散对网络安全的意义

创新扩散：关键点

埃弗雷特·罗杰斯提出的创新扩散理论描述了新思想、新概念或新产品获得采纳的方式。根据这一理论，人群可分为创新者、早期采用者、早期多数人、后期多数人和落后者。

1991年，杰弗里·摩尔（Geoffrey Moore）出版了《跨越鸿沟：向主流客户营销和销售高科技产品》一书，对创新扩散理论进行了扩展和调整。杰弗里·摩尔以埃弗里特·罗杰斯的观点为基础，认为任何新事物都有两个市场：早期市场和主流市场。创新者是技术爱好者，他们总是在寻找新思路和新方法，他们喜欢率先尝试和测试每一种新思路和新方法。他们与那些有远见、能迅速意识到新创意前景的早期采用者一起，构成了产品、服务或方法的早期市场。另一方面，早期多数（实用主义者）、后期多数（保守主义者）和落后者（怀疑论者）构成了主流市场。作者解释说，在产品的早期采用者（技术爱好者和远见卓识者）和早期多数（实用主义者）之间存在着一条鸿沟。要想跨越这条鸿沟，使公司成功发展，超越少数早期爱好者，初创企业创始人必须深思熟虑，确定进入市场的方式，并采用循序渐进的方法来吸引用户。对于任何正在创建早期初创公司的人，或者考虑将来要创建一家公司的人，我都非常推荐杰弗里·摩尔的这本书。

跨越网络安全初创企业的鸿沟

杰弗里·摩尔的理论与网络安全高度相关，尽管我承认，有些因素让我们的行业显得有些独特。在网络安全领域，创新者是一小部分安全成熟度最高的组织。这些人通常是具有工程思维的安全团队，他们总是在寻找新的想法和解决方案，以进一步加强其组织的安全态势。网络安全创新者正在内部构建自己的解决方案，开源部分堆栈，并在BSides和DEFCON等会议上展示新想法。

一旦新方法被证明与更广泛的企业相关，我们就会看到早期采用者，这些资源较少但安全成熟度较高的公司，介入进来。

绝大多数企业客户可以被定义为实用主义者，还有相当一部分是后进者。在中小企业领域，绝大多数都是安全方面的怀疑论者（落后者）。要让保守派和怀疑论者实施新的安全方法，通常需要政府监管或保险要求。如果某项控制措施没有得到双方中任何一方的强制，就无法得到主流采用。

在每个客户群中，有些企业不太可能从安全初创企业购买产品。那些只通过渠道合作伙伴购买解决方案的大型企业、规避风险的企业和行动缓慢的企业，更不可能与处于早期阶段的安全初创企业签订协议，并在其环境中部署解决方案。

成熟的企业正在寻找企业级工具，而种子期前或种子期公司很少能满足这些要求。早期创业公司与其尝试进行长达一年的POC，不如寻找那些愿意与新成立公司合作的客户。他们需要愿意处理错误、提供反馈、与创始人一起改进产品，并帮助公司取得成功。换句话说，他们需要成为安全解决方案的创新者和早期采用者。值得注意的是，一些大型企业拥有专门用于创新和实验的预算，完全可以成为早期公司的最佳合作伙伴。创始人必须了解他们在与谁交谈，并将精力集中在他们所处阶段最有可能获得最佳投资回报的领域。

当处于早期阶段的创始人与安全领域的领导者和从业人员讨论他们的方法，发现他们对这种方法感兴趣时，立刻就全身心投入，从投资者那里筹集资金，并建立一个解决方案，这为时过早。创始人必须了解是什么让这些人兴奋不已：

他们是否只是出于好意，想鼓励创始人继续前进？人们总是这样做。对于任何希望更好地发现客户并尽可能减少偏见的人，我强烈推荐阅读Rob Fitzpatrick所著的《妈妈测试》（The Mom Test）；
他们是大型市场的创新者还是先行者？
他们是细分市场中的创新者吗？
难道他们只是安全团队中的一小部分人，在前面讨论过的马斯洛需求层次理论中处于很高的位置，以至于他们正在寻找解决方案来解决在未来几十年内其他人都无法解决的问题？

可能的解释有很多，因此创始人必须挑战自己的假设，并努力去理解：

他们在和谁交流；
某个潜在客户是独一无二的，还是某个群体的代表；
可以加入该群体的其他组织的数量；
影响问题紧迫性或认为问题紧迫性的因素；
这些因素是集团内所有公司都有的，还是只有部分公司有，原因何在？

初创的主要风险及如何降低网络安全创新的风险

初创企业要想取得成功，就必须在其生命周期的早期就尽可能降低其最危险假设的风险。我认为，最好的方法是利用有限的资源来验证公司的头号风险。网络安全初创公司面临的两个最常见的关键风险是分销和产品。

根据我的观察，大多数网络安全初创企业之所以失败，是因为它们无法建立可扩展、可复制的分销渠道。在2024年，一家公司可以专注于打造一款优秀的产品，然后人们就会购买它，这种想法是可笑的：这个行业竞争异常激烈，每个类别都有很多替代产品，而且通常差异化很小。分销是关键，处于早期阶段的网络安全初创企业创始人最好从尽力降低分销风险开始，无论是验证需求、测试不同的市场策略，还是寻找在其市场上可行的方法。

还有一小部分网络安全初创企业的主要风险在于产品。这些公司基本上都是深层次的技术创新，技术的不确定性很高，公司能否打造出产品非常值得怀疑。对于大多数网络安全初创企业来说，产品并不是他们最大的风险：解决绝大多数行业问题的模式已经形成，因此技术很少成为最大的不确定因素。

安全领域最常见的问题之一是，创始人直接投入到产品开发中，却没有意识到他们的主要风险在于分销。网络安全初创企业的创始人没有花时间验证需求，了解市场客户如何购买解决方案，也没有与CISO和安全从业人员交谈，寻找其他非显而易见的方法让客户购买他们的产品，而是一门心思地琢磨添加什么功能最好。因此，绝大多数人的优秀解决方案最终都无人问津。

应对初创企业无法控制的因素：市场和经济

影响初创企业成功的因素很多。虽然有些因素，如执行能力和找到PMF产品与市场的契合点，通常在创始人的控制范围之内，但许多其他因素却无法控制。有两个因素最有可能影响公司的命运，而创始人又无法轻易改变，这就是市场状况和经济状况。

选择正确的细分市场是成功的关键。这是因为

不同的细分市场需要不同的市场策略，拥有不同的买家，并受到不同行业趋势的影响；
网络安全领域的大多数细分市场规模都太小，公司无法达到IPO的规模并上市；
一些细分市场正在萎缩，而另一些细分市场今天可能还很小，但正在扩大。

初创企业的创始人必须了解他们的市场，不仅仅是专家们预测的未来几年市场规模有多大，还要了解该细分市场的逆风和顺风是什么样子，影响其发展方向的趋势是什么，该细分市场的产品通常是如何被采用的，转换成本有多高，安全团队处理问题的紧迫性有多大，等等。

说到经济，它对成功机会的影响程度在很大程度上取决于公司所处的阶段。对于处于早期阶段的初创企业来说，经济状况并不重要。如果潜在客户遇到了非常痛苦的问题，他们会愿意购买早期初创公司的解决方案，而不用担心预算问题。另一方面，如果一家初创企业没有为明确界定的客户群解决“火烧眉毛”的问题，那么无论经济状况如何，它都不太可能获得牵引力。种子期前和种子期初创企业如果拥有坚实的团队、强劲的增长信号以及足够多的早期客户来验证公司正在解决一个有影响力的问题，通常也不会有任何融资问题。

公司所处的阶段越晚，经济状况对其成功的影响就越大。如果在A轮或B轮融资时经济状况不佳，而此时初创公司本应扩大规模并招聘销售团队，那么销售额就很可能达不到配额，公司也很难达到所需的里程碑。如果公司的上市准备工作恰逢经济衰退和上市窗口关闭，情况就会更糟。这就增加了初创企业需要寻求额外资金来渡过难关的可能性，要么举借风险债务，要么通过出售股权来稀释现有股东。

结语

我们的思维定势认为，网络安全是一个独一无二的行业。虽然在很多方面都确实如此，但现实是，安全是更广泛的技术领域的一部分。许多其他技术领域为我们提供了可成功应用于安全领域的思维模式、想法和框架，网络安全创始人当然可以从更多地关注安全之外的领域中获益。

原文链接：

https://ventureinsecurity.net/p/mental-models-for-cybersecurity-startup