就在一个多星期前,我有幸在风险投资公司Accel在班加罗尔举办的 Accel网络安全峰会上发表了演讲。这是我第一次访问印度,尽管我必须承认印度的交通确实很糟糕,但我还是玩得很开心。现在,我的大脑已经从时差中恢复过来,我想与大家分享我从这次活动中学到的一些东西,以及我对印度网络安全初创企业生态系统的观察,并解释为什么我对它的未来充满希望。

Photos from Accel Cybersecurity Summit

印度不断变化的现状

在谈我对印度网络安全生态系统的看法之前,请允许我谈谈我对印度现状的一些看法。

当你生活在美国,尤其是湾区时,了解印度的主要途径就是与印度移民交谈。受困于失败的美国移民系统的印度移民人数很多,因此很容易陷入这样一个误区,即认为印度最优秀的人才都梦想着移居美国。上周,我了解到事实并非如此。在Accel的活动中,我遇到了形形色色的人。有些人在湾区工作了十多年,甚至获得了美国公民身份,只为搬回来建立印度科技生态系统。还有一些人曾在美国最好的大学学习,在世界顶级科技公司积累了几年工作经验后搬回了家乡。也有很多人有机会搬到美国,但他们决定还是在印度的全球性公司工作,在那里开创自己的事业。在返回旧金山的飞机上,我身边坐着一位女士,据我所知,她已经在达拉斯生活了10多年,但她认为自己没有理由获得美国公民身份。当然,有些人因为H1B签证问题不得不搬回来,但这毕竟是少数。上周在活动中的许多谈话让我意识到,世界已经发生了变化,许多人(包括我自己)心目中的印度已经不是今天人们生活的印度了。

曾几何时,在印度从事技术工作并希望发挥自己真正潜能的人都希望移民到美国或英国。在过去的一二十年里,这种情况发生了变化。班加罗尔这样的技术生态系统为人们提供了大量发展和建立全球性公司的机会,而且无需永久迁移到任何其他国家。至少这是我上周在活动中遇到的人的感受,我觉得非常有趣。

据我采访的多位人士称,另一个不再正确的假设(至少不是人们想象的那样)是,印度工程师既便宜又容易雇用。虽然对于应届毕业生来说,情况依然如此,但经验丰富的工程师却能获得高薪。例如,顶级人工智能工程师的收入远远超过10万美元,而顶级首席技术官的收入则高达30万美元。这是因为在2024年,入门级人才在本地竞争,而高级人才在全球竞争,全球竞争推动价格上涨。

这些并不是什么突破性的知识,但对我个人来说,它们挑战了我的很多假设,改变了我对美国科技生态系统的看法。

为什么印度有潜力成为全球网安生态系统中的重要一员?

获取人才

预计到2023年,印度将成为世界上软件工程师数量最多的国家。大数定律清楚地表明,尽管并非所有大学毕业生都具备编写高质量代码所需的技能,但具备这些技能的人却绰绰有余。随着软件工程的竞争越来越激烈,许多高素质的软件工程师将开始转行从事安全工作。

转变已经开始。印度的安全从业人员在开源领域积累了丰富的工作经验,并从漏洞赏金中赚到了钱,因此他们在全球业界获得了越来越多的认可。过去,印度主要是低技能、一级SOC分析师的外包目的地(我曾将印度称为"全球SOC"),而现在,它已成为许多全球企业,尤其是美国企业寻找顶级网络安全人才的地方。

才智和勤奋

光有才华还不够,为了让创业精神茁壮成长,有才华的人还需要有饥饿感。有很多地方雇用了地球上最聪明的人,但他们却没有足够的饥饿感来承担风险,独自创业。印度不存在这个问题:印度初创企业生态系统最令人印象深刻的特点之一就是足智多谋和勤奋努力。别误会我的意思,在印度,有些人出于各种原因喜欢稳妥行事,或者永远承担不起风险。然而,这个拥有14亿人口的国家得益于大数法则;即使只有0.5%的人愿意拼搏,也有大约700万人,相当于旧金山人口的近十倍。

当我询问美国的安全从业人员是否会参加Black Hat、fwd:cloudsec或BSides Las Vegas等活动时,我经常听到的回答是"不会,因为我的公司没有足够的职业发展预算"。网络安全产品经理以及其他以业务为重点的操作人员经常因为同样的原因错过RSA大会。我知道,每个人的情况各不相同,在某些情况下,人们的经济确实非常拮据。尽管如此,网络安全领域的大多数人都拿着相当不错的薪水,因此,让他们将个人和职业发展留给公司计划的职业发展并不理想。

在印度,没有人依靠专业发展预算来实现增长。数百名安全从业人员、软件工程师以及有抱负的早期创始人从全国各地飞来参加Accel网络安全峰会。他们每个人都必须自己支付机票费用,并想好住在哪里(很多人最后都睡在了朋友的沙发上)。我坚信,为了实现自己的目标,人们必须勇于拼搏,而看到大家在行动中的机智和拼搏精神令人耳目一新。

随着有抱负的印度创始人决定全力以赴,他们的努力程度也与日俱增。由Ankita Gupta和Ankush Jain创办的API安全初创公司Akto就是一个典型的例子。几个月来,Ankita和Ankush住在班加罗尔,却在美国各地举办培训活动。每隔几周,他们就会乘飞机在美国逗留几天,举办讲座和培训,然后再飞回国内,直到Ankita最终永久搬迁到美国。当我问Ankush如何应对时差问题时,他的回答是:"你不需要--你只需要习惯它,并学会在任何情况下都保持最佳状态。作为一个弱者,我相信那些不畏艰险、追求理想的创始人理应获胜。

早期成功范例

成功的最大障碍之一是缺乏可以让人们产生共鸣、向往并努力效仿的榜样。Check Point被誉为以色列网络安全生态系统的催化剂,原因就在于它起到了榜样的作用。1996 年公司上市后,发生了几件事。首先,它激励了新一代的创始人,他们目睹了自己的朋友、同学、邻居和军方同僚是如何在以色列成功创建一家安全公司的。其次,它向投资者发出了一个信号:以色列初创企业可以在全球舞台上大展宏图。第三,它创建了一个天使投资者池,为他们的朋友和顾问提供资金支持,帮助他们起步。

获得第一个成功案例是最难的,但一旦有了成功案例,只要做得好,其他案例就会接踵而至。在很长一段时间里,印度没有成功退出的网络安全产品公司。印度有很多非常成功的服务提供商,包括全球IT服务提供商Infosys,其市值高达900亿美元(Rishi Sunak的妻子Akshata Murty的身价超过5亿美元 ,因为她是Infosys创始人的女儿),但没有产品。2024年1月,当 SentinelOne以超过1亿美元的价格收购PingSafe时,情况发生了变化。PingSafe首席执行官兼创始人阿南德-普拉卡什(Anand Prakash)是一个完美的例子,他证明了在发展了强大的服务背景后,确实有可能建立一家成功的产品公司。Anand曾经从事过漏洞悬赏工作,之后他成为一家安全服务公司的创始人,并最终创建了PingSafe,这是一家获得世界顶级风险投资公司红杉支持的产品公司,后被SentinelOne收购。

PingSafe的成功故事是印度网络生态系统有史以来最大的一次退出,它有可能像Check Point对以色列一样,成为当地生态系统崛起的催化剂。它向本地风险投资公司发出了网络安全值得关注的信号;它建立了一个拥有资金的人才库,为其他创始人提供支持;它是一个成功的故事,其他漏洞赏金猎人、服务创业者和工程师都可以效仿。最重要的是,Anand进一步说明,一个人不一定非得是印度理工学院的校友(相当于印度的常春藤联盟)才能成为成功的企业家。

值得注意的是,在PingSafe退出之前,Smokescreen退出了Zscaler但交易条款并未披露。

获得资本

影响初创公司成功的因素之一是它们获取成长资本的能力。事实是,尽管风险投资者喜欢谈论发现异类并押注弱者,但大多数(虽然不是全部)风投都在寻找模式。为了在某家公司、新的地域或新兴行业中建立信心,投资者往往会寻找过去类似领域的经验、类比以及思维模型,特别是那些曾经成功并带来超额回报的公司类型。

成功孕育着成功,一旦有一些例子表明,以前被认为风险太大或根本不可能的事情也能成功,资本往往就会开始涌入。然而,在此之前,需要有人冒风险,与众人打赌。

对印度初创企业生态系统稍有了解的人都知道,印度在消费领域取得了令人难以置信的成功。人们通常认为,这是因为印度有14亿人口,是一个巨大的销售市场。我也是这么认为的,但Seezo公司的桑德什解释说,这有点像神话,印度消费市场中只有约10%的人年收入超过2万美元。这意味着,印度的大部分消费都是由这些人完成的。显然,印度的消费阶层在不断壮大,但消费市场的规模却比大多数人想象的要小得多。Blume VC的报告很好地概述了这一事实(感谢Sandesh的分享)。无论如何,Flipkart、Ola、Paytm和Zomato只是印度成功的一些例子。印度的B2B SaaS公司也做得很好,并参与全球竞争--Freshworks、BrowSerstack、Chargebee和Postman就是其中的一些例子。很难想象,在网络安全已成为风险投资最热门领域之一的今天,在印度进行B2B网络安全投资仍然是一个逆向思维的论断(目前还没有价值十亿美元的安全公司)。

Accel India是印度最大的风险投资公司(在红杉拆分之前曾是印度第二大风险投资公司),它非常明确地表示要支持网络安全创业者。在过去几年中,它支持了多家安全公司--Akto、Seezo、Effectiv、PrimaryIO、ProjectDiscovery以及其他一些仍处于隐身状态的安全初创公司。上周,该公司组织了全国最大的网络安全峰会,有数百人参加(我有幸与Seezo的联合创始人兼首席执行官Sandesh Anand一起讨论了建立安全初创公司的问题)。Accel的合伙人普拉扬克-斯瓦鲁普(Prayank Swaroop)决心证明印度能够成为世界安全领域的领导者之一,并重点支持全国的网络安全和人工智能创始人。印度的另一家大型风险投资公司Peak XV Partners(前身为红杉)是另一个相信印度网络安全潜力的投资者,它为PingSafe、SquareX、Quick Heal和Privado等公司提供了支持。

网络安全服务方面的专业知识

从历史上看,印度对服务业的关注被风险投资视为一个问题,因为他们更喜欢创始人创建产品公司。随着生成式人工智能的兴起,服务领域可能第一次受到投资者的关注,他们认为服务可以通过LLMs进行重塑。例如,Decibel谈到"由人工智能代理驱动的服务即软件",而Felicis则解释它对服务业的兴奋之情如下:"服务市场规模巨大,其中专业和商业服务部门以35亿美元的规模领先于美国GDP,大大超过了全球软件市场的6000亿美元,这为Diagonal Software通过人工智能驱动的扩张提供了巨大的机遇。

如果服务行业能够被AI代理重新塑造,那么问题就变成了谁最有能力实现这一目标?一个潜在的简单答案是:那些在构建和运营服务型业务方面具有深厚专业知识,并且精通软件工程的人。然而,困境在于大多数服务提供商并不是构建者,而大多数产品工程师对服务了解甚少。印度在这两方面都有丰富的专业知识。如果该国的企业家抓住这个机会,找到一种方法颠覆长期以来为他们带来成功的商业模式,他们可能就有机会实现“服务即软件”模式的承诺。例如,我不确定渗透测试是否会真正被大型语言模型(LLMs)自动化,但如果会的话,那么多年来通过漏洞赏金计划和提供渗透测试服务赚取收入的印度工程师,无疑具备了找到实现这一目标所需的所有要素。

构建安全产品方面的专业知识

我之前解释过为什么在我看来,构建网络安全产品的经验是未来安全企业家的完美背景。

"在过去的一年里,我开始相信,拥有构建安全产品经验的软件工程师可能比安全工程师更适合创办网络安全初创企业。许多全栈、底层操作系统、基础架构和数据工程师积累了从概念到发布的精彩产品构建经验。更重要的是,他们知道这些解决方案的用户体验、可扩展性和稳健性对客户的采用有多么重要。我认为,任何事情都是可以学习的,那些在内部构建安全解决方案方面拥有丰富经验的人,通常也能想出如何作为一家独立公司来构建安全解决方案。关键是要有软件工程方面的经验:编写脚本可以帮助自动执行任务和配置现有应用程序,但要构建新的应用程序,还需要知道如何编程。"

近年来,越来越多的安全产品是在以色列和印度而不是美国制造的。我们已经看到,拥有大量具有安全产品开发经验的软件工程师对以色列生态系统的影响;印度也有可能利用同样的成功因素。

合理估值

印度初创企业在起步、验证问题和打造产品方面所需的资金较少。因此,他们的估值往往较低,这对潜在收购方来说非常有吸引力,尤其是如果他们的产品质量与价格昂贵得多的美国或以色列同行相当的话。这一点尤为重要,因为正如我之前解释过的,大多数网络安全初创企业最好在B轮融资之前就被收购。

存在本地收购方

另一个对印度网络安全创业者非常有利的因素是,许多(大多数)大型安全公司已经在印度开展业务。Palo Alto、SentinelOne、Zscaler、Microsoft、Trellix、FireEye等公司都拥有完善的本地团队。这一事实大大增加了那些能解决实际问题并拥有高质量产品的实力雄厚的初创公司被收购的机会。

尽管很少有人讨论这个问题,但70%到90%的收购都以失败告终,而大多数原因都与文化冲突和无法吸收被收购公司有关。事实上,潜在的收购方已经在印度当地开展业务,这使得他们更有可能收购一家位于同一地区的初创公司。

地缘政治一致性

地缘政治的一致性是影响印度成为全球网络安全市场强国的关键因素之一。印度并不是唯一一个拥有强大网络安全人才的国家。中国和俄罗斯也拥有大量人口和坚实的安全专业人才库。问题是,与印度不同,中国和俄罗斯都是敌对国家,因此没有能力成为西方市场的安全解决方案供应商。

语言流畅性

与其他国家相比,印度的另一个优势是其工程师能说流利的英语,因此不必面对许多其他国家的软件开发人员所面临的语言障碍。例如,由于需要抵御俄罗斯,乌克兰近年来一直在迅速发展强大的网络安全能力。尽管如此,英语不是乌克兰工程师的母语这一事实很可能会阻碍他们活跃于国际舞台。

有趣的是,由于历史原因,印度人一直说英式英语。近几十年来,随着美国流行文化的传播,连口语也开始演变,美式英语变得越来越普遍。

为实现自身潜力,印度需要制定自己的游戏规则

我认为印度具备成为全球网络生态系统中重要一员的所有要素。然而,一个人有潜力去做某件事,并不意味着他一定能成功。

我不认为印度企业家试图复制以色列网络安全企业家的成功经验就能取得成功。Check Point成立之初,公司通过解决新市场中的实际问题赢得了市场领导地位。他们从以色列做到了这一点,而无需迁往美国。如今,在以色列建立安全公司的知识代代相传,以色列创始人完全有能力在国外建立自己的公司。即便如此,一直以来行之有效的做法是,一开始从当地增值风险投资公司筹集一轮资金,并在以色列建立一个研发中心,在筹集到A轮资金后,在美国聘用市场推广(GTM)团队,并让首席执行官搬到美国东海岸。这样,首席执行官和GTM团队就可以靠近客户,而工程设计则留在以色列。

如今,网络安全行业竞争激烈,如果没有强大的美国业务,要想扩大公司规模变得越来越难。我认为,印度的网络安全创业者需要制定自己的游戏规则。至于会是什么样子,还有待观察--会不会类似于Akto的做法(首席执行官常驻美国,首席技术官每个月左右访问美国)?有可能。或者像PingSafe那样(公司完全在印度发展)?也有可能。无论如何,对于印度网络安全初创企业来说,与任何行业的蚂蚁初创企业一样,首要挑战显然是分销。他们离客户越近,与客户建立的关系越深,成功的可能性就越大。

印度网络安全创业者成功的另一个潜在途径是利用他们在湾区无与伦比的网络。在美国生活和工作多年的人非常了解美国文化,也知道这里的商业运作方式。然而,他们在国内也有网络--这种网络可能使他们在印度雇佣人才和制造产品成为可能。

印度网络安全生态系统的未来将是什么样子,还有待观察。但有一点是明确的,那就是印度的安全创业者拥有一切可以利用的资源和一切对他们有利的因素,现在正是创业的大好时机。

原文链接:

https://ventureinsecurity.net/p/betting-on-india-why-the-country

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。