不要让高估值毁掉网络安全初创企业

在讨论高估值、高融资是否对初创公司有利之前，不要忽视一个话题，那就是公司的目标市场对其融资策略的影响。

在创立公司时，公司是否能够成功很大程度上取决于产品与时代潮流是否契合，也就是创立的时机是否恰当。我们能够发现有很多成功的公司，它在创立之初就预测了未来，并抢在别人前面建立起满足未来需求的解决方案。当市场上的需求显而易见时，许多创业者会同时着手解决这个问题，也就是创立公司。在这种情况下，由于竞品数量的增加，公司的发展往往更加艰难。

所以，网络安全领域的初创公司往往具备一个特点，那就是具有解决行业痛点，颇具创新性的产品。一般情况下，会在早期采用这些产品的组织有两大类：

● 第一是频繁发起武装冲突且拥有其他国家无法获得（也不允许获得）的攻击能力的国家组织。例如美国国家安全局、联邦调查局（政府机构）和以色列 8200 部队和美国空军（军事部门）。

● 第二是在由风险投资支持的，在云原生方面领先的组织。这类组织的运营规模异常庞大，面临的问题普遍比行业内其他公司提前了数年。

虽然这两类组织在安全方面的需求最高，但后者通常是创新性安全产品的早期采用者。军方和特殊机构一般会在内部构建他们所需的技术，这使他们无需依赖民用工具就能完成秘密目标。而科技初创企业和云原生 SaaS 企业虽然也会构建属于自己核心竞争力的产品，但对于安全产品，他们更多的是购买。

初创公司如果能够在早期获得高估值、高融资，其发展速度会远超其他竞争者，甚至能够一举成为该领域的头部企业，但在网络安全领域，选择以成熟安全企业为目标的初创企业在筹集风险投资和谈判估值时必须非常谨慎，因为这些企业很可能会被高估值“反噬”。

现阶段，安全团队成熟度这一量化指标正在改变安全行业，它让网络安全开始向软件工程的模式转型，这种转型会随着时间推移重新定义安全工作的方式。挑战在于，这种转变需要时间。

为安全工程师、安全架构师、检测工程师、自动化工程师和其他技术性较强、以工程为中心的安全从业者打造产品的总潜在市场（TAM），要比大众意识到的小得多。CISO虽然也是C级高管，但有多少CISO具备购买力？

全球可能有几十家服务提供商，几百家中小型企业，赋予了安全从业者采购安全产品的权力。绝大多数企业不得不依靠供应商的帮助来增强和扩展其安全能力，越来越多的企业不再将安全问题纳入内部管理，而是重新将部分责任领域外包出去。换言之，成熟安全团队的增长速度是非常缓慢的。

所以，即便成熟安全团队的TAM正在增长，但针对这一需求的市场可能需要五年、十年甚至二十年的时间才能赶得上。这意味着，网络安全初创企业的筹资战略和其他领域是截然不同的。

讲一个故事，一家由独具慧眼的创业者创立的公司，找到了几家具备高精尖安全团队的合作伙伴，验证了其正在搭建的产品确实存在需求。然后，他们自然而然地认为，既然安全技术日趋成熟，那么行业内的其他企业也会很快拥有高精尖的安全团队。

于是，这家公司引起了风险投资人的注意，并以很高的估值获得了天使轮融资。然后，公司开始部署筹措到的资金，首先是扩大生产，然后向其他成熟企业扩大销售。生产和销售数据非常好看，投资人开始相信市场上存在巨大机会，并以极高的估值投入了更多资金。在这个阶段，创始人们开始扩大公司规模。

但从这开始，一切都变得不同了。投资者以极高的估值投入了大量资金，他们期望公司还能以之前的速度继续轻松地获取新客户。创始人也对如何扩大目标市场，如何挖掘新用户做出了一些实践。然而，转折点来了。

创始人开始意识到，他们的解决方案是为高级用户打造的，因为他们最初的合作对象就是拥有高精尖安全团队的企业。其他公司并没有像他们预料的那样，迅速地跟进安全能力，大多数企业甚至都没有足够的人才来构建和维护先进的工具。

这种认识迫使初创企业需要努力扩大其 TAM，而这意味着要改变生产和营销模式，让技术含量较低的客户也能使用产品。在这方面的投入越多，早期的高级客户就会越抵触，因为他们的个性化需求和其他高级功能被量化的、简易的产品所埋没。

原本的客户开始流失，新的客户还在挖掘，这使投资者开始变得忧心忡忡，他们向创始人施压，要求他们显示出一定的收入增长。收入增长有两个来源：获取新客户、向现有客户推销新功能，即提高现有客户的价格。在这个阶段，新客户的获取开始变得困难，因为公司已经耗尽了所有拥有成熟安全团队的潜在客户资源。同时，向现有的高级用户推销产品很难，因为所有的努力都是为了让产品更容易为不太成熟的用户所使用，根本没有新功能可以向他们推销。

初创公司别无选择，只能开始提高现有客户的价格。提价实施后，投资者看到的是数字的上升，而客户则开始评估其他选择。由于早期采用者往往拥有一定的技术才能，即使相关产品在市场上没有可行的商业替代品，他们也能构建自己的工具。因此，初创公司陷入了老客户离去，新客户不来的死亡漩涡。

许多初创企业的错误都是可以轻易扭转的，但在没有明确的收入来源的情况下，以独角兽的估值筹集资金，通常是不可取的。

看到这里，有些人可能会认为，以工程思维瞄准成熟安全企业的公司不可能应该融资，他们应该自力更生。事实并非如此，这类企业需要融资，但不是采用高估值的筹资方案，而是要制定并实施合适的、寻找扩大潜在市场总量的方法，并创造性地找到最有效、最具成本效益的筹资方案。

创建一家初创企业很难，也没有完美的答案，什么是对的，什么是错的，都是因人而异的，取决于很多因素，目标市场就是其中之一。虽然公司可以教育市场，从而促进市场的发展，但这不是加快市场成熟的神奇方法，雇佣更多的销售人员也无济于事。换言之，市场是外部因素，单凭初创企业是无法左右的，而初创企业可以控制的是筹资策略。对于以成熟市场为目标的产品来说，比较克制或有些人称之为保守的筹资方式往往更适合。

如果公司瞄准的是市场上前百分之几的高级用户，同时又相信行业的其他企业会在未来 4-7 年内成熟起来，那么明智的做法是，不要急于在某个风险投资公司提出估值后立即获得独角兽估值。相反，初创企业可以采取以下措施：

● 努力估算TAM的扩张速度、扩张轨迹以及几年后的客户群。

● 不要简单地把 TAM 看成一个数字，而要试着想一想，现在还没有从产品获益的组织是哪些类型？其中有哪些会成为潜在客户？以及要实现这一点需要哪些改变？

● 确定并明确判断这些假设所需的所有基本条件。

● 假设这种成熟是有可能发生的，想一想现在的市场规模是否足以让公司获得一些早期用户，需要多少轮融资才能使市场扩大，以及公司在这期间能否达到必要的里程碑。

● 在前几轮融资中，估值要保守一些，直到潜在客户的数量足够多，足以证明公司有理由成为价值 10 亿美元的公司。时机就是一切：如果一家承诺确保太空旅行安全的初创公司在太空旅行成为现实之前的半年多时间里就成为独角兽，那么它就需要想办法在这五年里显示出强劲的指标，以避免下一轮融资时市场根本不存在，这可能很难做到。

● 随着新信息的出现，请重新审视自己的假设并做出相应调整。

为了推动行业发展，我们需要企业不断改进其安全思维，从基础安全发展到成熟安全。这种进化需要时间，因此专门针对高精尖用户的初创公司基本上都会受到主流市场的惩罚，因为主流市场更喜欢不那么复杂、一刀切的工具。

解决这一问题的方法之一，是在构建解决方案时考虑到广泛的受众，使高级用例成为可能，而不是只为 1%-2% 的市场构建产品。大多数用户都缺乏足够的人才，因此都在寻找“一劳永逸”的产品。与其试图对抗现实，忽视这一市场，专门为高级用户打造高级工具，不如打造更广泛市场中几乎所有人都能轻松使用的产品。换言之，企业要将目标客户从高端转换成普通，并预留出满足高端客户定制化需求的能力。

当然，当初创企业以较低的估值筹集资金时，他们可支配的资金就会减少，因此，他们需要想方设法创造性地设计创新的“走向市场”（GTM）战略，这就是创新的意义和价值。

当大多数以成熟安全团队为目标的创始人听到他们应该尝试不同的 GTM 方法时，他们的脑海中马上就会浮现出以产品为主导的增长。产品导向型增长听起来很理想，当我们已经看到它在其他市场（如开发人员工具和 DevOps）的良好运作，就很容易想象安全团队会立即购买网络安全产品。

事实上，以产品为主导的增长在开发人员中兴起之前，有 20 到 40 年的时间来培养一大批高素质、精通业务且成熟的软件工程师。随着时间的推移，其中的很多人开始拥有购买力，并推荐能帮助他们完成工作的解决方案。

在安全领域，我们仍处于培养这种人才的初期阶段，更何况无论现在还是将来，软件开发人员的数量都会多于安全人员。以产品为主导的增长的确是安全初创企业获得初期牵引力的好方法，以后还可以补充自上而下的销售渠道，但它不会神奇地解决 GTM 问题。

要想以创造性的方式接触客户，首先要深入了解问题、受问题影响的人、解决方案的价值定位以及购买流程（谁参与、在哪个阶段、他们有什么权力等）。许多新兴安全领域处于多个领域的交叉点（人力资源与安全、数据科学与安全、分析与安全等）。因此，一些安全产品可以通过针对人力资源、软件工程和数据科学等其他部门的人员进行销售。

每个组织的产品都是独一无二的，“一刀切 ”的方法是行不通的。重要的是，创始人要不断尝试，寻找将解决方案推向市场的方法，而这种方法要比让 CISO 观看更多的演示更具成本效益。

所有获得风险投资支持的初创企业都应该战略性地筹集和部署资金；对于以成熟的、1%—3% 的工程为中心的安全组织为目标的初创企业来说，尤其如此。

通过采用更加保守的筹资策略，在实现高级用例的同时面向更广泛的市场，并不断寻找创造性的方法来寻找潜在客户，并将其转化为付费客户，这些公司可以延长其成功的时间，并大大增加其成功的几率。