网络安全创业：我们仍处在石器时代

Ross表示，目前有超过5000家网络安全初创公司，分布在看似上百个不同的类别和子类别中。毫无疑问，这意味着创业者需要面对海量产品，但5000家是“太多”还是“不够”，取决于创业者的思考角度。一般来说，审视市场状态有两种方式：一是将安全视为单一行业观察其演进，二是在更宏大的科技生态系统背景下审视安全。

“过去三十年，网络安全经历了诸多变革。在探讨未尽之事前，我们首先需要认可我们取得的诸多值得骄傲的成就。从CISO角色的设立及后续地位提升，到国际合作的深化、众多类别的漏洞被永久消除，再到互联网基础设施的安全升级改造——这些里程碑都值得庆贺。但与此同时，我们也必须承认：尽管市场上已有成千上万的产品，我们的进展并未达到行业内许多人期待的程度。” 

如果问“网络安全目前处于什么阶段？是石器时代、中世纪还是现代？”，答案可能莫衷一是。而Ross和Jason一致认为，网络安全仍处于“石器时代”。换言之，这个领域仍处于早期阶段，我们仍在安全发展的初期。Jason说：“我们确实在进步，但世界和科技生态系统同样在持续演进，因此安全在一定程度上是一个动态目标，我们离‘现代水准’仍有很远的距离。”

正因为尚处早期，攻击者仍占据巨大优势。企业仍因五年、十年甚至二十年前就存在的老问题遭受攻击。安全管理薄弱、配置错误、软件漏洞、未修复的安全隐患等，有些问题从未改变。Ross表示，虽然现实如此，但我们都乐观地认为，未来几年情况将发生重大变化，防御者将能够占据上风。“而要实现这一点，我们需要创业者愿意直面难题，并以系统思维展开思考。”

安全领域许多像检测已知病毒这样的简单问题已得到妥善解决。这并非意味着没有创新空间——恰恰相反，机遇依然丰富。但值得注意的是，遗留问题之所以存在，并非因为无人尝试解决，而是因为它们本身难以攻克。要解决这些难题，创业者需要从基本原理出发进行思考，这也意味着必须全面理解网络安全市场中的矛盾点与机遇。 

Jason提出，我们用“矛盾”这一框架来强调创业者在创业旅程中必须应对的诸多影响因素。这些问题并非非黑即白、有明确答案的决策，其价值在于通过审慎考量每个因素，并在反思中形成独特的见解。

曾几何时，安全团队愿意在整个设备集群部署代理，或花费数月时间上线和配置防火墙。但这样的时代早已过去。如今，成功的关键在于“价值实现时间”（time to value）。说服客户部署代理或串联安全工具几乎已无可能，产品必须易于上线和验证。 

如今，几乎所有安全工具要么索要云/SaaS凭证（若聚焦安全态势），要么索要云/SaaS日志（若聚焦检测与响应），以获取数据并进行处理。“好消息是，这使得新工具的启动和价值理解变得非常容易；坏消息是，当所有工具依赖相同的数据收集机制时，很难构建任一护城河——每个工具都有同等的机会解决问题。”Ross以云安全态势管理（CSPM）工具为例。他表示，替换同类产品易如反掌，且它们的操作流程如出一辙：将产品接入环境，连接票务系统等其他工具，即可看到新工具识别风险并推动修复。因此，这种可替换性既是特点也是缺陷，关键在于创业者会如何看待。

过去，销售硬件设备的公司虽价值实现时间更长，但客户粘性更强。如今，需要大量前期投入的模式已消亡。即便在网络安全领域，Elisity和Zero Networks等公司也在提供不同的细分方法，尽管存在权衡，但能快速实现价值。Ross表示，类似地，过去Archer、ArcSight和Sailpoint等平台的上市策略依赖专业服务进行耗时多年的复杂实施，客户在第三方服务上的支出甚至超过工具本身。“如今，要么近乎即时实现价值，要么没有交易。”

在许多工具架构和实现方式趋同的当下，护城河已不再是技术，而是用户体验、品牌认知和持续的价值交付。Jason指出，Wiz等公司深谙此道，这促使它们不断打造创新产品并主导营销领域。这一新现实为打造“令人喜爱的产品”创造了绝佳机遇。回顾其他行业，不难发现拥有狂热用户群体的产品：销售领域的Clay、设计领域的Canva、邮件领域的Superhuman等。在安全领域，Duo和Thinkst Canary等产品确实受到CISO和安全从业者的青睐，但问题在于这些解决方案仅解决1%的问题，尚无能覆盖安全团队大量需求的“人气产品”。“因此，打造一个庞大且受欢迎的平台绝非易事。当产品覆盖范围过大时，公司往往会变成复杂官僚的庞然大物。但难并不意味着不可行。”

同一问题的另一个侧面，Jason和Ross将其称之为“差异化与市场速度的难题”。  

公有云让软件的启动和扩展能力变得民主化，如今新产品的上线周期已从过去的数年缩短至数天或数周。随着越来越多初创公司不断丰富技术知识库，构建不同类型产品的奥秘已基本被揭开。Jason以安全领域为例，他表示大多数以检测为核心的产品架构如出一辙：

“每种类型的产品（代理、扫描器、防护或修复工具）会遵循不同模式。尽管每个工具不可避免存在细微差别和独特功能，但在基础层面，其整体架构和实现方法已被充分理解并形成模板。” 

Jason说，AI进一步缩短了市场进入时间。如今，人们可在一个工具中生成需求列表，在另一个工具中转化为功能完善且设计精良的用户界面，最终通过第三个工具将用户界面与AI生成的后端结合，形成完整产品。甚至无需精通任何编程语言，数天、数小时（早期原型甚至数分钟）即可推出新应用。  

鉴于大多数系统通过输入和分析数据运行，同一产品类别内外的差异化变得极其困难。云安全态势管理（CSPM）、数据安全态势管理（DSPM）甚至云成本管理，其工作原理都大致相同。Ross对此表示，产品需调用API、获取数据、分析并输出建议的模式，意味着企业最终会向相邻领域扩张，产品类别的界限开始模糊。换言之，当所有人都能获取相同数据时，大家都在构建相似的产品。AI只会放大这一现实：未来几年，所有公司可能都将使用相同的大语言模型（LLM）和公开数据。

“云和AI为市场进入开辟了更快的路径，但企业必须通过自身执行力维持领先地位。技术上已不存在阻碍他人复制Wiz或Vanta的壁垒，Upwind和Drata的案例正是明证。差异化不再依赖独特技术或洞见，而在于终端用户体验和他们能实现的结果。因此，唯一可靠的成功秘诀是“执行力”！

创业者需要牢记的另一个核心参数是“平台化解决方案”与“最佳单点解决方案”的权衡。Ross表示，关于这一话题已有诸多讨论。“我们不重复每场圆桌会议和播客中老生常谈的‘整合即将到来……’，而是从基本原理出发简要剖析。”  

1、市场端：整合是一个持续的过程。大型企业创新乏力，因此新方法和新理念往往始于初创公司。随着时间推移，那些获得市场traction的初创公司通常会通过收购成为大型产品的功能模块。早年McAfee和Symantec主导安全市场整合，如今则是Cisco、Palo Alto、CrowdStrike、Okta和私募股权公司。市场整合并非“即将到来”，它一直存在。这一过程在安全领域和其他行业一样自然。  

2、客户端：人们所谓的“整合”呈现出截然不同的逻辑。安全领导者始终面临这种矛盾——大型厂商的捆绑方案是否足够好？还是他们对某个特定问题的重视程度，足以让他们愿意购买最佳单点解决方案？新增一个供应商带来的额外价值，是否能提供有说服力的投资回报率（ROI）？  

Ross说，创业者对市场端的整合逻辑理解颇深，他们知道多数成功的安全公司最终会被收购，而大型企业除了通过并购，几乎没有其他方式创新和扩展产品组合。但在客户端，社交媒体让我们误以为“单点解决方案的时代已结束，所有CISO现在只购买平台化产品”。这种结论看似合理，却与现实不符。

“的确，客户在技术栈中新增工具的门槛已达到历史峰值，且仍在不断提高——毕竟，当所有人都在向CISO灌输对新威胁的恐惧，当每家初创公司都声称在解决‘导致99.9%安全漏洞的问题’，难怪CISO对FUD（恐惧、不确定、怀疑）产生了免疫。但每当CISO认定某个特定问题对其组织至关重要时，他们通常会寻求该领域的最佳单点解决方案。” 

单点解决方案要想获得市场traction，必须成为“止痛药”而非“维生素”，即必须解决安全领导者夜不能寐的紧迫问题。Jason表示，不同CISO关注的痛点不同（这正是客户调研和市场规模分析的意义所在），但根本前提是：有人必须深度关注某个问题，才会购买最佳单点解决方案。“对于那些‘足够好’的解决方案就能满足的问题，初创公司根本无法与专注平台化的大型公司进行竞争。”

Jason说，创业者面临的另一个决策点是“创建新类别，还是在现有市场中深耕”。两者均为可行选择，但各自伴随着不同的挑战与机遇。  

在现有市场中深耕有利有弊。优势在于市场已有需求、既定预算，且安全买家无需从零了解问题。劣势在于现有市场竞争激烈，被老牌企业主导，多数公司除非有强烈驱动因素，否则不愿更换工具。仅比现有方案好50%，通常不足以成为切换至新供应商的理由。 

“创建新类别的初创公司则较少面临现有竞争者的压力。市场对其产品应如何运作、具备哪些功能没有预设期待。但另一方面，市场没有既定预算，CISO可能甚至未意识到相关问题，更不用说为何要花钱解决了。选择类别创建路径的初创公司必须首先聚焦市场教育，即宣传所解决的问题、其重要性，以及为何值得关注。”  

类别创建者往往需要耗费大量风投资金用于市场教育，且由于“先发劣势”，很难成长为大型公司。若成功，其结局通常是被收购。待市场成熟后，新玩家常借助早期进入者奠定的基础和市场认知崛起。Ross以CSPM市场为例：早期玩家Dome9、RedLock和Evident.io被大型公司（Check Point和Palo Alto）收购；Sysdig和Lacework等公司斥资数亿美元推广相关问题；随后Wiz于2020年入场，利用早期云安全玩家的铺垫迅速落地。  

Ross表示，如今类别创建的动态已发生变化。由于风险资本充裕，当新类别出现时，不再只有一个市场创建者，而是数十家共同创建者。几年前的数据安全态势管理（DSPM）领域便是如此，如今的非人类身份（NHI）领域也在重演。当众多公司共同培育市场时，新方向会获得更强的合法性，但竞争也会加剧——众多公司将争夺更小的市场份额。

Jason表示，另一个影响安全领域产品构建方向的因素，是安全团队会更多选择“外包”还是“内包”。  

尽管投资者常宣称安全预算正在增长，但Jason和Ross一致认为安全领域的招聘已达峰值。在他们看来，未来几年企业将缩减安全人员配置预算，并寻求尽可能外包各类任务，包括渗透测试、托管检测与响应到漏洞悬赏平台。

Jason说，从商业角度看，安全外包完全合理，这也符合将非核心功能委托给能更高效、更经济完成的第三方趋势。“未来十年，我们将见证‘高度专业化’的崛起，招聘、营销、IT（当然也包括安全）等领域将比以往更倾向于依赖服务。” 

这种向服务转型的趋势，与让企业更易规模化交付服务的技术变革不谋而合。对此，Jason指出，实现规模化的最显著因素是AI。借助大语言模型（LLM），以技术为核心的服务提供商能达到前所未有的效率水平。另一个让安全服务规模化比以往更容易的因素，是客户依赖工具的“单一化”趋势：

Jason表示，这种“单一化”让服务交付的规模化变得容易得多，也让构建能覆盖更广泛市场的解决方案成为可能。

此外，对外包的关注不仅限于服务提供商。“我们已看到客户开始愿意外包一些五年前难以想象的任务。一个典型例子是Chainguard在容器镜像安全领域的应用。几年前，没人会想到将这类问题交给第三方，但如今这已成为理所当然的选择。”

如今，几乎每家新创公司都别无选择，只能首先聚焦云原生技术。Ross指出，这是早期采用者关注的方向，也是最容易构建的（一切皆可通过API实现）。只有当初创公司凭借初始用例取得一定成功后，才会开始考虑如何满足有本地部署需求的客户。  

对大多数公司而言，在云原生之前优先满足本地部署客户的需求并非明智之举：解决本地部署漏洞的机会并未扩大（至少不像云领域的机会那样迅速增长）。但必须牢记，大多数公司并非纯云架构，保障混合环境的安全仍有实实在在的市场空间。“此外，‘云优先’思维持续越久，就越可能为逆向投资创造机会——终有初创公司能借此获利。” 

Ross表示，有时初创公司只能选择纯云方案，因为其他选项过于复杂，且创始人缺乏解决本地部署复杂性的经验。数据安全领域便是实例，基于云的数据安全态势管理（DSPM）是可解决的问题，但一旦涉及企业级混合DSPM，问题会迅速变得非常复杂。而解决这些复杂问题，正是创造价值的真正机遇所在。  

另一方面，创业者在早期阶段需要做出的决策之一，是构建一个用于“生成发现（警报）”的安全产品，还是专注于“解决问题”的产品？  

Jason表示，每位安全领导者都会说，他们不需要另一个“告知问题所在”的工具。正如Yaron Levi在其相关主题的精彩文章中指出：“有可见性而无行动只是噪音。”CISO不想要更多“指出问题”的工具，而是渴望能帮助他们实施基础控制、带来更好安全效果的解决方案。  

“颇具讽刺意味的是，安全买家在实施解决方案前，确实需要先知晓问题存在。这意味着，任何创建新类别的公司都不得不从‘可见性层’入手。深耕现有市场的公司可更多聚焦问题解决，但开拓新市场的公司必须先定义‘问题是什么’。” 

如果某个问题已被充分理解，初创公司可采取不同路径，构建从核心解决问题的方案。Jason投资的Resourcely便是典型案例：它通过提供安全默认配置，帮助企业预防云环境中的配置错误。  

传统的“预防、检测、响应”控制体系中，每个环节都有其价值和需求。但为何很少有团队选择“主动工具”而非“被动工具”？Jason表示，原因有以下几点：

从理念上讲，预防性控制是从根本上解决问题的方式。但在现实中，市场似乎并不常奖励“主动行为”。安全领域习惯了固有模式，并将其应用于所有新老问题。Jason解释，市场似乎尚未准备好大规模转变思维，但这种假设已准备好迎接挑战，且部分挑战者终将成功。

另一个重要维度是企业如何管理采购与合同，以及合同期限对“价值实现时间”预期的影响。 

Ross表示，许多高效安全团队会与核心供应商签订多年期合同，建立紧密合作关系。除此之外，他们可能在试验领域签订各种一年期协议。安全领导者清楚，他们可能会替换大量单点解决方案、低信任度的新增工具，以及为临时填补大型合作伙伴产品缺口而购买的工具。

“当CISO与小型初创公司签约时，初期很少有建立长期关系的意图。供应商明白，除非持续创新和改进产品，否则很难留住客户。买方也清楚与初创公司合作的风险（如公司转型、被收购或倒闭），因此很难向这种合作投入大量资源。并非他们不乐意建立长期合作，而是工具和供应商太多，无法与每家都深入合作。” 

合同期限缩短直接关联客户对“价值实现时间”的预期。如今人们的想法与以往不同，若仅签订一年期合同，客户希望工具能快速上线运行。而对于三年及以上的长期合同，买方可能愿意等待更久，Sailpoint或Zscaler等大规模实施项目便是如此。但对于一年期合同，价值实现必须是“即时的”。 

Ross说，初创公司创始人还需警惕另外两大挑战：“平均合同价值（ACV）下降”和“快速试用预期”。“初创公司不计成本获取新客户的诉求，与CISO尽可能减少新工具支出的需求，常常不谋而合。此时，创始人得以新增客户名录，安全领导者则以有限成本获得特定功能支持。但现实是，这类合同的平均价值（ACV）低得惊人。许多新安全厂商不再争夺数十万或数百万美元的大单，能以每年2万至5万美元的价格卖出一个小功能已属幸运。在多数情况下，这也是他们的最高定价，因为没有买家会为现有安全栈上新增的一个小功能支付数十万美元。”  

在采购环节，客户正寻求更便捷的产品试用方式。这不仅限于安全领域，而是整个企业软件行业的趋势。“便捷试用”并非指自助服务或产品驱动增长，而是让买家快速做出高信心决策。Ross指出，在2025年，任何需要6个月以上部署周期的初创公司注定会失败。随着产品差异化减弱，替换成本降低，SaaS试用门槛下降，但实际采购和落地的门槛依然很高。

关于合规与安全的关系，人们可以提出许多哲学问题：安全是否带来合规？合规是否带来安全？这些问题值得深思，但在此语境中并非核心。Jason表示，其关键在于：1、合规是驱动许多安全采购决策的核心因素；2、合规是安全领导者为购买安全产品论证商业价值时常用的理由。  

“约15年前，许多组织必须遵守PCI DSS（支付卡行业数据安全标准），当Web应用防火墙（WAF）被纳入合规要求后，相关厂商的销售额大幅提升。面临严格监管要求的企业别无选择，只能投资于帮助其达到合规要求的解决方案。相比之下，与合规要求无直接关联的安全理念或产品往往难以获得同等市场关注。若缺乏外部监管推动，这些产品必须依赖技术优势、成本效益或可证明其投资回报率，即便如此，多数企业仍可能兴趣寥寥。”

Jason说，欺骗技术平台便是典型案例：这类解决方案通过部署诱饵和陷阱诱捕攻击者，提供了差异化的安全思路（如Thinkst Canary可大幅缩短平均检测时间（MTTD）），但由于没有主流监管标准强制要求部署欺骗技术，多数组织对其投资犹豫不决——尤其是当预算与合规驱动的支出挂钩时。

对此，Ross补充了几点：

遗憾的是，人们不擅长评估风险和概率，因此合规作为企业必须达到的底线要求，确实是论证安全投资合理性的有力依据。

“安全领域创业者在瞄准与合规要求无直接关联的问题时需谨慎。但成功的产品未必需要直接满足合规条款，另一种途径是建立‘合规相关性’。例如，Chainguard提供了更优的容器安全方案，虽未直接被安全团队视为‘合规工具’，但其解决方案能自然与合规要求挂钩。真正解决买家关切的安全问题的优质方案，应能合理关联合规要求，这才是关键所在。”

Jason指出，就购买决策流程而言，安全产品大致可分为两类：一类直接面向安全团队销售（通常聚焦IT领域，安全负责人是主要或唯一决策者）；另一类需面向多个团队销售（通常聚焦云领域，需多团队参与决策并获得批准）。  

1、面向IT的安全产品销售往往更简单：预算更充足，实施也更便捷。由于IT主管与安全主管可能是同一人，或向同一上级（通常是CIO）汇报，因此几乎不存在影响产品落地的冲突或优先级错位问题。CIO与CISO对核心诉求的认知通常一致，这使IT安全领域成为初创公司的理想切入点。

一般来说，若安全团队既是购买方又是唯一用户，这类工具最易被采纳。例外情况是SASE等影响全公司用户体验的解决方案——此类产品的落地门槛极高（代理、VPN等“串联式”解决方案通常都是如此）。 

2、云领域的情况则大不相同：云环境的主导者通常是工程师，而面向工程团队的安全产品需要极强的能力去影响工程负责人——他们的优先级、关键绩效指标（KPI）不同，且汇报对象也不同（通常是CTO）。“价值实现时间”在此成为阻碍：一旦涉及多部门协作，价值实现周期会拉长，购买流程耗时翻倍或三倍，多数项目最终无法获得足够支持。

更棘手的是，IT部门通常被视为成本中心，而工程部门是“价值中心”，因此拥有否决权。任何对工程师体验或生产力产生负面影响的方案，都可能且通常会被阻止。安全领导者通常不愿采取任何可能惹恼开发人员的举措。原则上，若安全创业者试图向非最终用户的安全团队推销产品，往往会失败；若安全工具影响软件开发人员的体验，初创公司将难以跨越落地障碍。 

“因此，在销售云安全和应用安全工具时，创业者必须兼顾各方需求，巧妙应对组织复杂性，同时明确谁是批准者、谁是执行者、谁会在出现问题时表示反对。”

看待安全问题的方式多种多样。作为安全从业者，我们需要自问：“保护组织最有效的方式是什么？”对这一问题的回答，往往能为定义市场所需的新想法提供良好起点。而作为安全创业者，我们需要自问不同的问题：“市场会回馈我们什么？”这一问题的答案，将指引创业者做出成功所需的决策。  

调和这两个问题的答案并非易事。推销更多“警报工具”更容易，但安全实践真正需要的是更多“预防措施”；向单一团队销售更容易，但许多复杂问题唯有让多个利益相关方协同才能解决；打造一个客户三分钟即可上手的产品更直观，但如果不花时间部署代理或定制安全策略，许多深层价值就会被忽视。类似例子不胜枚举。

当然，这无关好坏，现实即是如此。我们很容易沉迷于“自己对安全应如何实现”的设想，但正如智者所言：“理论上，理论与实践没有区别，但在实践中却有。”重要的是，创业者需不时勇敢挑战固有模式——唯有如此，我们才能创新，才能构建安全的未来，才能解决诸多此前未能攻克的复杂难题。