安全公司：战略选择

前两篇文章讨论了安全产业面临的困境。详见

困境客观存在，如何应对，这几天在跟一些创业的朋友讨论，简单做个总结。

其实真把国内云厂商的安全产品仔细打开看看，优势也并没有多大。但有两点优势无法取代：一是销售渠道捆绑，二是console类应用捆绑，这意味着客户选择他们和使用他们都会容易一些。

所以，如果选择继续做产品，要有几点考虑：

1. 如果未来的应用在云上，需要产品做得比云厂商好，且好很多才行。云厂商的人才素质比较高，迭代能力强，可以跟他们硬刚，但也确实需要硬实力。有实力不用怕，Wiz和CrowdStrike在摆着呢，云口抢食，是可以的。

2. 如果应用跟云无关，那就继续埋头发展，别理云。但还要考虑一个重要问题，大多数安全产品本质是软件（套个盒子也是软件），软件的特点，只有头部几个公司可以活得好（ToC甚至只能活一个），所以，无论哪个领域，要考虑一个问题，你能否在该领域做到第一或前三，否则，要想活得好很难。

3. 出海。出海的话题这两年很热，但总体很难，很费时间，很费钱。举个简单的例子，可以打开国外公司的网站看看，他们的文档，数量及质量，你是否能搞到这个程度。所以，建议至少先做到国内头部再讨论这个问题。

启明星辰走了条很好的路。移动的体量，需要大量的安全产品和服务，仅靠采购是不行的，关键的东西必须握在自己手里，收购公司是非常理想的选择，快速，成建制，能力强。
今年大量央国企成立数科公司，很快会面临和移动一样的情况，安全仅靠采购是不行的，DevSecOps是他们的方向，无论开发安全，还是安全运营，能力需要都长期积累，这个时候，小一点的会建立安全团队，有实力的会选择更好的路子，直接收一家安全公司。
这对绝大多数创业公司，甚至活得不太好的上市公司来说，都是非常好的出路。

安全产业和其它软件有不一样的地方，就是对运营要求很高。很多公司，尤其是中小公司，需要的不仅是设备和软件，还需要服务，这就是MSS，几个安全大厂已经进入这个领域，但目前看，效果还不太理想。
MSS的核心竞争力是人均效率。如果仅仅卖人头，比较难赚钱。但传统的网络异构，设计有缺陷，差异太大，导致MSS的系统很难适应多家共用，效率不高，是当前的主要问题。这样的场景，如果网络不能改造，仅拿MSS这点小钱，有点粪坑里拣芝麻的感觉。

但云架构天生支持API，底层几乎一样，使得MSS可以大幅提升效率。同时，中小企业自建安全团队及能力成本极高，不如采购。对云厂商来说，这块也是不想碰的业务，因为两个问题，一是人员成本高，二是如果做MSS，客户什么问题都会找安全部门，质量的问题也会变成安全问题，对大厂员工及部门来说，都会严重影响KPI。
所以，我觉得，这一块是云生态天生留给中小安全公司的一个机会。CSPM,CWPP，CNAPP这些软件，再加上MSS的服务，是可以超越云厂商的。
在服务上，大模型可能是个好帮手。

前一段有一些投资人讨论，给了大家这么一个建议，几个公司合并起来，再融资或者去一些资本友好的地方落地。
是个方案，但是我不看好。两个亏损企业，老大不同，文化不同，背后的资本不同，估值都还偏高，合并本身就很难，合并整合更难。这种情况下，想靠合并把企业搞好，难如登天。

对自己的能力非常有信心的，选1，只要在产品上最终胜出，走到第一，前景最好。
客户关系好，能够被大型公司看上的，选2，未来走到甲乙合到一起，类似当前互联网的模式，是真正安全模式。
想塌塌实实活着，赚点小钱的，选3。想继续忽悠资本的，选4。

条条大路通罗马。