许多人开始越来越清楚地认识到,虽然现在创办一家网络安全初创公司比以往任何时候都要容易,但有可能取得成功的门槛也在不断提高。
很多基础性问题已经解决,剩下的很多问题几乎让人觉得已经超出了打造一个更好的工具就能轻松解决的范畴。更糟糕的是,安全领导者越来越不愿意购买新产品。部分原因是他们希望减少厂商的数量,但预算规模等因素也起到了一定的作用。对于初创企业来说,这意味着比以往任何时候都更难获得新客户、增加收入、并达到投资者期望的里程碑。
通常,人们会说,要建立一家公司,就必须找到一个足以让人痛苦到想要解决的问题领域。我认为这种观点过于简单化:安全领域的问题成百上千,但安全解决方案的购买者需要无情地确定优先顺序。仅仅因为某件事情是个问题,并不意味着CISO会投入时间和精力去解决它。
此外,即使初创企业能够找到一批优秀的早期采用者,也可能无法获得足够的客户来建立一家成功的公司。
需要考虑的因素很多,本文将简要介绍其中几个。
网络安全的"土地和扩张"陷阱
为了起步,每家新公司都需要找到一个楔子,一个独特的切入点。找到一个强有力的初始楔子至关重要,因为无论创始人的愿景有多远大,他们都必须找到愿意克服初期次优体验、错误和产品缺陷的早期用户。如果已经有一个成熟的竞争对手能很好地解决手头的问题,那么买家就没有什么动力去考虑与早期初创企业合作。
假设创始人很幸运地找到了一个还没有很好解决方案的创意。然后呢?
初创企业可以解决的问题几乎是无限的,而安全领域的问题清单却是有限的。当初创公司发现了一个最初进入的机会时,它知道随着时间的推移,它需要扩展到其他相邻的领域。这种战略通常被称为"登陆和扩张":从销售一个小功能开始,随着时间的推移扩大覆盖范围,从而增加功能数量,取代传统解决方案。
这种方法是有道理的,坦率地说,也没有什么其他方法可以做到这一点。挑战在于,虽然从个人创始人的角度来看,整个情况是这样的:
买家的体验更像是这样:
与企业合作的每家厂商都希望扩大自己的产品范围,因此,他们都在试图取代所有其他工具,以解决企业所依赖的相邻问题。虽然每家初创公司都可能选择了不同的楔子,但归根结底,每家应用安全厂商都想拥有所有的应用安全,每家端点安全公司都想提供端点安全所需的一切,每家身份安全公司都想拥有所有的身份,等等。这意味着初创公司不仅要取代传统的安全提供商,还要在竞争中胜出,并整合其他早期参与者的产品。
在相当长的一段时间里,安全解决方案的购买者不得不与数十家厂商打交道,他们对"再增加一家"已经变得非常担心。对于新成立的网络安全公司来说,这是一个大问题。
当创始人在决定构建什么之前、验证他们的想法时,他们经常会联系CISO,询问他们正在解决什么问题。安全负责人通常会列出一长串重要问题(很少只有一两个)。虽然创始人已经学会了验证某些事情是否确实是一个真正的问题,以及是否愿意为新的解决方案付费,但在最初的验证过程中,有两个问题变得越来越重要,那就是:
"您说X是一个问题。我很好奇,这个问题是否如此紧迫和重要,以至于你愿意在已经很复杂的环境中再添加一个新工具,还是说你更愿意等到现有厂商添加一些东西来解决这个问题?"
"解决这个问题的"足够好"的办法是什么样的?
这些简单的问题,如果在合适的时机提出,可以帮助许多充满激情的企业家避免构建解决重要问题但难以获得任何进展的解决方案。
合同平均值下降
厂商数量不断增加,再加上"土地和扩张"战略,造成的另一个副作用就是平均合同价值(ACV)不断下降。具体情况如下:
每天都有新的安全需求出现,CISO几乎别无选择,只能寻找解决方案,无论是从现有供应商那里获得的新功能,还是全新的工具。问题在于,安全预算并非无底洞,虽然它们没有下降,但也没有迅速增长。而且,在安全预算增加的情况下,这种增长通常被现有供应商吞噬了(即,如果安全预算每年增加10%,那并不是额外的10%可供支配,因为公司已经支付的大多数供应商会提高价格)。
CISO们知道,即使他们今天别无选择,只能花钱购买新创公司的小功能,但很有可能明天大型公司就会开始提供相同的功能。他们可以等待时机,或者从小型初创公司购买一个权宜之计的工具,因为他们知道自己很快就会寻求替代。
由于安全初创企业的数量一直在增长,竞争也越来越激烈,创始人开始急于获得新的标识,并向投资者展示他们正在取得的进展。此外,他们还知道,如果能很好地执行"落地和扩张"战略,那么今天只支付少量费用的客户明天就可能成为主要收入来源。
初创企业希望不惜一切代价获得新客户,而CISO则需要花最少的钱购买新工具,这两者经常会相遇。当这种情况发生时,创始人可以获得新的标识,而安全领导者则可以获得小套功能和强大的支持。现实情况是,这些合同的平均合同价值(ACV)低得令人难以置信。许多新的安全厂商并不是在争夺数十万或数百万美元的合同;如果他们能为自己销售的一个小功能每年获得2万至5万美元的合同,他们就已经很幸运了。在大多数情况下,这也是他们所能收取的最高费用,因为没有买家会为一个在现有安全堆栈基础上、作为净新工具添加的小功能,支付数十万美元。
在如此众多的初创企业试图在同一领域竞争并取代现有企业、以及相互竞争的情况下,难怪"登陆并扩张"战略中的"扩张"部分往往会成为海市蜃楼。
向安全买方推销愿景
我经常遇到一些创始人,他们认为自己可以向CISO和安全团队推销长期愿景,让他们为初创公司下注,而无需先找到坚实的楔子。换句话说,他们构建了一个现有公司已经提供的小功能,希望能说服CISO"给他们一个机会",因为"很快他们的产品就会比其他任何产品都好"。在我看来,在一百个案例中,有九十九个案例是行不通的。
正如我之前解释过的,"安全创始人必须了解这两个群体在做出购买决策时的不同之处:
投资者购买的东西只有~10%已经存在;90%(或更多)尚未建成。风险投资者购买的是假定一切顺利,公司可能(希望--将会)实现的愿景。向投资者销售的目的是让他们兴奋,让他们眼睛发亮,想象明天可能发生的事情。
企业客户购买的东西中,90%以上必须是当前存在的;10%(或更少)可以是未来的愿景。买家都知道,初创企业本身就存在风险和不稳定性,一两年后公司可能就会消失。企业同意从初创公司购买产品,就已经在承担风险。CISO想知道产品能为他们解决什么问题。每一位创始人都有一个鼓舞人心的愿景,这个愿景远远超出了当前产品的范围,但客户并不是要购买这个愿景,他们的目标是解决当前的问题。向企业销售产品的重点在于支持、支持、响应时间、合同价格、产品功能、替代当前(或传统)堆栈部分的能力以及其他实用性问题"。
由于安全买家与厂商之间的关系越来越务实,那些承诺要重新构想如何做某事的初创公司又遇到了一个难题。他们需要从一两个小功能入手,以令人信服的产品打入市场,并找到那些不仅同意购买该小功能,而且愿意接受创始人未来观点的买家。这很难,但这是唯一可行的办法。
我认为,大多数安全初创公司都无法避免需要提出一个强有力的切入点。一个例外是,如果他们试图从一开始就打造一个赛道的领导者,比如Wiz在云安全领域所做的。即便如此,除非创始人都是经验丰富的创业者,能够获得巨额资金、信任和支持,否则也不太可能进展顺利。CrowdStrike、Zscaler、Splunk和Wiz等大多数行业领导者都是由经验丰富的创业者创立的,这是有原因的。
思考不同的问题领域和想法
赛道创建vs.问题和需求演变
对于网络安全初创企业的创始人来说,谈论赛道创建已经成为一种良好的传统。对许多人来说,这听起来就像是成功创建公司的唯一途径就是做一些全新的事情。
我认为这种观点既误导又错误。
如果我们看一下赢家--各自市场上最大的公司,就会发现创造赛道并不是唯一的出路,而且,当开辟新天地确实是一个好主意时,什么是"赛道"却是在赢家宣布之后才决定的。
公司的成功并不是因为他们发明了各种各样的新概念。相反,它们是建立在一个核心、关键的洞察力之上的。例如,CrowdStrike公司就是基于这样的理念建立起来的:基于签名的检测已不再足够,如果没有行为检测,端点就不会安全。另一方面,Vanta是基于中小企业需要SOC 2认证以便向企业销售的理念而建立的。这样的例子不胜枚举;重要的是,创始人应该专注于找到一个独特的核心见解,而不是考虑如何创建一个新的赛道。建立一个赛道是成功执行既正确又及时的独特见解的副产品,而不是率先申请几个字母的结果。
其次,也是最重要的一点,建立一个新的赛道需要做大量的工作--教育市场、让买家意识到特定攻击载体的重要性、说服CISO为初创公司正在建立的新项目分配新的预算项目,等等。所有这些都需要大量资金--这些资金被从打造最佳产品和执行上市战略中挪用。通常,更明智的做法是不做第一,而是在别人已经花钱做好这些基础工作后再进入市场。Wiz的策略就是一个很好的例子。
基础问题领域的安全vs.特定需求的安全
每个企业都有一些我认为是基础性的问题。在这个清单上,我会加上端点、云、电子邮件、应用程序和网络安全、身份和访问管理、资产和漏洞管理以及合规性。虽然这并不意味着其他安全领域就不那么重要,但我经常看到,一家公司在制定了稳固的端点安全计划后,才开始关注第三方风险管理等问题。
好消息是,这些问题领域是众所周知的,而且有现成的预算。要想了解最大的预算都分配给了哪些领域,一个简单的方法就是观察哪些领域有大型上市企业或私募股权公司拥有的成功公司。遗憾的是,这份名单并不包括物联网、区块链、移动或OT/ICS安全领域,我们也没有看到大量成功的威胁情报公司。坏消息是,所有这些领域的竞争都异常激烈。微软、Palo Alto、CrowdStrike、SentinelOne、Okta和Wiz等大型企业主导着基础问题领域的安全。此外,还有很多成功的公司虽然没有太多的曝光率,但却年复一年地赚钱。Mimecast和Proofpoint就是这样的两个例子。
所有这一切是否意味着没有机会构建解决基础安全问题的新解决方案?完全不是;事实上,大多数初创企业正是冲着这些赛道去的。进入这些细分市场的门槛和壁垒非常高。成功时有发生,但为此需要机会之窗,而不仅仅是执行能力。例如,当微软需要时间将其身份解决方案过渡到"云为先"的世界时,Okta就可以进入并提供全新的身份解决方案,迅速抢占了一大块市场。当人们意识到端点安全不仅仅是基于签名的检测时,CrowdStrike获得了执行的机会,并且做得很好。当大流行病迫使几乎所有企业重新构建工作流程、忘记传统的网络边界并采用云技术时,Wiz发现了一个绝佳的发展机会,并成为云安全领域的领导者。这两家公司的创始人都执行得非常出色,但我认为时机在他们的成功中也起到了至关重要的作用。
一旦一家公司成为市场领导者,成功就会滋生成功,而要想赶走一个已经站在顶端但尚未丧失执行能力的公司是非常困难的。在2024年与当今具有强大执行能力的领先企业(如Wiz、Vanta或CrowdStrike)正面交锋并不明智。
提出新创意的另一种方法是寻找利基需求。不无讽刺的是,由于遵守监管要求是推动网络安全需求的最有力因素之一,因此绝大多数创始人都将目光投向了医疗保健和金融等高度受监管的行业。垂直SaaS公司("汽车安全"、"太空安全"、"医疗安全"等)也属于这一类,针对最成熟客户的前1-5%的公司也属于这一类。后者值得更详细的讨论。
大多数早期采用安全技术的企业都是以工程为中心的云原生组织中成熟的安全团队,他们在处理安全问题时积极主动,具有前瞻性思维。然而,他们的许多问题都非常先进,无法转化为大众市场。处于早期阶段的网络安全初创企业创始人如果发现成熟企业对他们正在构建的产品有需求迹象,就需要辨别他们正在解决的问题是否具有大众市场潜力,或者是否更有可能保持小众化。
一般来说,要建立一家大型安全公司,创始人需要选择一个市场,在这个市场中,早期采用者只占较大市场的一小部分。如果产品要求用户具备高级技能,那么它很可能仍将是一个利基解决方案,因为大众市场通常不具备这些技能;它需要的是一个"设置好就不用管它"的简单选项。
新市场的安全vs.现有市场的安全
许多人都希望通过关注新市场来摆脱安全方面的竞争。
说起来容易做起来难。残酷的事实是,如果一个市场没有大量成功的参与者,很可能是有原因的。研究该细分市场的历史、哪些初创企业试图改变其运作方式,以及它们的退出方式,可以提供有用的见解。我们通常认为别人没有意识到的天才想法,其实是别人曾经尝试过并取得不同程度成功的想法。
据说,运营技术(OT)和中小企业(SMB)这两个市场机会很多。
我们看到,OT和ICS是一个非常难以攻克的难题。很少有公司为OT安全分配预算,没有明确的买家,了解这些问题的人才数量有限,市场高度分散,不同的细分市场必须遵守不同的法规,等等。我最近专门对这一领域进行了长篇深入研究。确实有几家公司在OT领域取得了成功,如Dragos和Nozomi,但市场增长速度并不如许多人所希望的那样快。每隔几年就会出现一家新公司,希望它能突破市场的激烈竞争,但迄今为止,大多数公司的愿望都没有实现。
中小型企业(SMB)市场是人们喜欢看到巨大商机的另一个领域。这种观点认为,所有企业都受到了攻击,因此中小企业别无选择,只能加强防御。直觉上,这种想法是对的。美国小型企业管理局(U.S. Small Business Administration)的数据似乎表明,这确实是一个不错的市场:
大多数企业都是小型企业,占美国企业总数的99.9%。
小企业雇用了6170万美国人,占私营部门雇员总数的46.4%。
从1995年到2021年,小企业创造了1730万个新的净就业岗位,占1995年以来创造的净就业岗位的62.7%。
约38%的小型企业在业务运营中使用专用软件。
然而,尽管这些数字看起来令人印象深刻,但向中小企业销售的经济效益却让许多安全初创公司大失所望。中小企业并不是成熟的买家,因此很多中小企业无法区分虚拟专用网络(VPN)和托管检测与响应服务(MDR)的价值。此外,由于几乎没有监管压力,也没有专门的安全预算,中小企业成为一个巨大市场的希望尚未实现。由于部署规模较小,因此很难进行直销,而渠道销售仍然是大规模进入中小企业的最佳途径,但其竞争也越来越激烈。要想在中小企业市场上取得经济效益,一种方法是打造一款专为自助服务设计的产品,但这也行不通,因为中小企业不会主动寻找安全工具,也无法对其进行有效评估。无论从哪里寻找,都是死胡同。据我所知,唯一能在中小企业市场有所作为的公司是Huntress。有些人可能还会举出Vanta、Drata和Secureframe的例子,但它们都是销售促进工具,能让中小企业轻松地向企业销售,而不是安全公司(即使它们提供的成果之一实际上是安全)。
所有这一切是否意味着加时赛和中小企业等市场不适合下注?完全不是,但考虑这两个市场的创始人必须扪心自问,是什么让他们在许多人失败的地方取得成功。假设之前的尝试者不够聪明或不够努力,必然会走向失败。
革命性技术的安全性vs.利用新技术解决安全问题
大数据、移动设备、云计算、区块链、物联网(IoT),甚至3D打印技术,这些过去被视为革命性技术的例子比比皆是。其中一些技术真正重塑了当今世界的运行方式,而另一些技术则由于种种原因未能兑现承诺。
无论结果如何,"X的安全性"这个角度的结果如何都是最有趣的。老实说,答案大多是"不太好",至少最初是这样。以云安全为例。我们看到Wiz,就认为这个市场很热门。虽然今天确实如此,但我们花了近十八年的时间才走到今天。一路走来,我们取得了一些中等程度的成功(如Palo Alto以3亿美元收购Evident.io,以及以1.73亿美元收购RedLock),但总体而言,在公共云发展的前15年中,并没有出现价值十亿美元的公司。在承认物联网安全的重要性十多年后,我们还没有看到物联网安全公司一举成功。移动安全作为一个市场也从未真正起飞,这是令人遗憾的,因为我们正被网络钓鱼、网络钓鱼和其他类型的攻击所淹没。区块链和3D安全也不是什么新鲜事物。我们希望人工智能的安全性会有所不同。也许会,也许不会;最有可能的是,会有很多赢家,但这些胜利的规模和形式仍有待观察。从长远来看,肯定会出现人工智能安全奇才,但它会在未来五年内出现吗?我不敢肯定。
另一种产生具有潜在影响力想法的方法是利用新技术解决旧的安全问题。从这个角度出发的成功者与失败者的区别在于,他们是从问题出发还是从解决方案出发。如今,人工智能技术被广泛应用于解决各种问题,因此我们就以人工智能为例。有两种方法可以找到有趣的想法:
看看人工智能与[挑选你最喜欢的安全领域]的交叉点,然后问"用于身份/SOC/产品安全等的人工智能会是什么样子?
首先要深入了解问题空间。然后,了解新技术创造了哪些机会,它的边界是什么,最适合解决哪些问题。
后者更加费力,但确实能带来更深刻的见解,也更有可能获得有价值的东西。
选择市场是关键
我认为大多数初创企业都面临三大风险:市场风险、技术风险和执行风险。最好选择执行风险高和/或技术风险高但市场风险低的创意。这是因为,虽然创始人可以控制执行和技术,但他们无法控制市场。如果人们对某一特定领域有专业知识和/或兴趣,那就再好不过了,但无论如何,选择正确的市场是成功的关键。
创始人开始创业后,他们将能够学到更多东西,转移或发展他们最初的角度,迭代他们的解决方案,并测试不同的信息。他们很难(通常是不可能)改变市场。此外,他们将遇到的每一个新人、了解到的每一个新问题--他们生活和呼吸的一切都将与他们一开始选择的市场有关。
对于建立风险投资支持的初创公司来说,安全领域的某些细分市场是艰难的,但对于自主创收公司来说却是非常好的。一个很好的例子就是欺骗防御技术,它并没有产生著名的风险投资支持的赢家,但却见证了像Thinkst Canary这样的公司的茁壮成长。显然,这在很大程度上取决于他们的团队、提供的产品,以及他们在经营过程中所做决策的复合效应。尽管如此,很明显的一点是,当市场太小或销售周期太长时,自力更生的公司很可能会比风险投资支持的公司活得更长,而风险投资支持的公司往往会因为不断增长的增长期望而内讧,他们没有有效的方法来满足这些期望。
一些问题领域,如身份和云安全,是CISO最关心的问题,因此享有大量预算。这些市场也吸引了最多的竞争对手。部分细分市场或刚刚开始成熟(物联网安全),或尚未出现大幅增长(移动安全),或极其复杂(ICS/OT安全)。这并不意味着这些领域不好进入,但考虑在这些细分市场建立初创企业的创始人必须对自己的竞争优势和在许多人失败的地方取得成功的能力有清醒的认识。
事实证明,电子邮件、终端、应用程序和网络安全等一些市场的规模足以支持数家上市公司,而其他许多市场则从未有过IPO。虽然过去的业绩永远不能保证未来的结果,但希望在从未涉足的领域建立大型上市公司的创业者必须挑战自己的假设,以确保市场基本面确实已经发展到能够实现这一目标的程度。
把握时机也非常重要
另一个重要部分是把握时机。市场必须发生一些根本性的变化和转变,从而为新理念或新方法创造机会之窗。有时是新的技术进步,如人工智能或云的兴起,但往往是其他社会和行业的变化,如转向SaaS、混合工作安排或绕过上一代防御系统的新方法。这些变化既带来了新问题,也为最终解决尚未解决的老问题提供了机会。
结束语
在2024年,要找到一个创新的角度来解决一个棘手的安全问题,并有可能发展成为一个大问题,是非常困难的。无论我们能想到哪种解决方案,要么是针对相当先进的问题,因此市场有限,只有少数成熟企业;要么是在商品化、难以区分的市场中解决一个众所周知的问题;要么是要求安全领导者想象未来世界中的攻击,而他们甚至还没有解决造成过去和现在许多问题的差距。
在开始投资安全领域几十年后,我们仍在努力解决补丁、漏洞管理和授权等基本问题,而这并不是因为我们没有努力。事实上,要确保从未考虑过安全问题的系统的安全是很难的,而要在日益复杂的环境中做到这一点更是难上加难。同样,要说服CISO关注那些未列入2-3大优先事项清单的问题也很难,而对于大多数公司来说,这份清单多年来一直未变。
显而易见,尽管很难找到一个楔子并建立一家大型安全公司,但仍会有初创公司取得成功。同样显而易见的是,表层的洞察力已不足以构想出胜算很大的强者。将深刻的技术洞察力与客户发现相结合,将继续成为寻找创意和创办公司的关键,从而塑造未来的网络安全。
原文链接:
https://ventureinsecurity.net/p/in-2024-finding-cybersecurity-startup
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
