毫无疑问,打造网络安全产品并将其推向市场是困难的。我之前从多个角度详细讨论过这个问题,比如产品管理的挑战,以及信任的作用及其对行业的深远影响等。

在这篇文章中,我讨论了影响我们行业运作的另一个方面,即逆向的跨越鸿沟问题。我将探讨它是什么、为什么重要,以及它对希望打造下一代网络安全产品的创始人和创新者意味着什么。

‘跨越鸿沟’的概念

如果你熟悉“跨越鸿沟”这个概念并了解其运作原理,可以跳过这一段。如果不熟悉,我认为最好的解释方式就是分享维基百科页面上的一段摘录:

“跨越鸿沟”是对埃弗雷特·罗杰斯提出的创新扩散理论的一种改编。作者认为在产品的早期采用者(技术爱好者和愿景者)与早期大众(实用主义者)之间存在一个鸿沟。摩尔认为愿景者和实用主义者的期望差异很大,并尝试探索这些差异,提出成功跨越“鸿沟”的技术,包括选择目标市场、理解完整产品概念、定位产品、制定营销策略、选择合适的分销渠道和定价。

摩尔认为,任何创新或新产品都应专注于一个客户群体,逐步利用每个群体作为基础来吸引下一个群体。最困难的步骤是从愿景者(早期采用者)向实用主义者(早期大众)过渡,这就是所谓的“鸿沟”。如果成功的公司能够创造一种从众效应,积累足够的势头,那么产品就会成为事实上的标准。要实现这一点,需要先为一个业务垂直领域中的一个棘手问题提供完整解决方案,然后再扩展到相邻的垂直领域。

对于任何处于创业阶段的人,我强烈推荐阅读杰弗里·A·摩尔的《跨越鸿沟:将颠覆性产品营销和销售给主流客户》。这本书深入探讨了如何成功将创新产品推向主流市场的策略和挑战。

网络安全中的逆向的跨越鸿沟问题

在网络安全领域,初创公司面临逆向的“跨越鸿沟”问题。简单来说,在其他行业中,中小企业通常是最先采用新解决方案的,而大型企业则是最后采用的。但在网络安全中,情况正好相反。

  • 初创公司通常首先将产品销售给那些在安全成熟度方面最为先进的企业(除非这些企业选择自行构建解决方案)。

  • 然后,他们会接触到强监管行业的企业(想想首先应对市场中最难部分的挑战!)。

  • 对于大多数初创公司来说,他们的市场到此为止,因为大多数其他公司在安全方面既没有成熟方案,也不受严格监管,因此他们只需购买成熟企业提供的常规解决方案即可。这正是网络安全领域“跨越鸿沟”的含义。

  • 那些能够进入大众市场的幸运公司会成长为市值数十亿美元的企业。

销售安全产品比销售其他解决方案更困难:大型企业的安全团队以风险规避为主责,同时他们又是创新者和早期采用者。这种对立就引出采用障碍,许多初创公司发现难以跨越。更糟糕的是,由于大多数安全问题相对小众,通常没有通向大众市场的路径(因此,初创公司也没有机会“跨越鸿沟”)。

向企业销售安全

大型企业本质上很少成为新技术的早期采用者。通常,一个新想法需要先在个人、小型和中型企业等敏捷、快速的早期采用者中获得关注,只有在技术足够成熟后,才能吸引《财富》1000强企业的注意。无论是新的生产力软件、客户关系管理(CRM)还是营销管理软件,通常都遵循中小企业 > 中型市场企业 > 大型企业的采用路径。

网络安全行业打破了这一常规。这是因为大型企业:

  • 拥有最复杂和技术多样化的环境。

  • 由于复杂性,特别难以保障安全。

  • 需要保护大量的收入和品牌资产

  • 拥有评估、采用和运维安全解决方案的人才(这需要具备高度专业化技能的人)。

  • 通常是针对上市公司,会受到监管机构的严格审查,需要遵守不断增加的合规要求。

虽然上述因素意味着大型企业有很大动力购买网络安全解决方案,但它们并不会改变这些组织采购的核心性质。这意味着购买安全产品的公司在采购需求上倾向于规避风险、行动缓慢且非常复杂。

大型企业是安全初创公司的梦寐以求的“圣杯”。首先,拥有一家财富500强客户可以带来巨大改变,因为可以将其作为标杆客户,吸引其他客户的关注。其次,大型企业的合同金额巨大:尽管产品部署可能需要很长时间,但单个客户就能带来数百万的年度常态化收入。第三,为大企业服务的公司最有可能被所谓的平台玩家收购。如同我之前所说,Palo Alto 不会收购所有公司,但更可能收购目标市场和他们一致的公司。

由于大型企业行动缓慢且需要大量信任才能考虑与初创公司合作,大多数安全初创公司在一开始并不容易成功地吸引财富500强客户。那些能够做到的公司通常得有和CISO建立的关系网,与买家之前的合作关系或个人联系,独特的技术或产品优势拥有竞争对手无法轻易复制的技术创新,大多数早期公司则需要先从中型市场企业入手,证明自己,然后再寻求扩展。从一开始就瞄准财富500强的成功的公司有Sourcefire和Wiz。

向中小企业销售安全

小公司通常对网络安全风险的理解有限,因此通常不愿意为安全解决方案付费。与大型企业不同,它们的收入和品牌价值要少得多,除了少数例外,大多数情况下不受复杂要求和政府监管的约束。

对于安全厂商来说,要在这种市场中销售产品,公司需要优化‘最小运作单元’的经济收益。理论上,有两种方法可以实现:通过产品驱动增长(PLG),或者通过渠道销售。

由于中小企业的部署规模较小,如果初创公司让销售人员花费数周时间来争取一个只有25个终端的客户,就无法建立盈利的业务。理论上,产品驱动增长(PLG)可以通过以下方式解决这个问题:

让产品易于通过自助方式获取。这样,公司可以通过避免雇佣昂贵的销售团队,大幅降低客户获取成本。

  • 让产品易于采用。这样,公司就不需要雇佣支持团队来引导潜在客户进行试用,为小规模部署而雇佣支持团队也没有意义。

  • 那些相信中小企业可以通过产品驱动增长(PLG)方式持续购买安全产品的人通常会感到失望。正如尤吉·贝拉所说,“理论上,理论与实践没有区别,但实际上是有区别的。”由于中小企业不是成熟的买家,他们往往无法区分VPN、密码管理器和MDR服务等产品。对于不熟悉安全领域的人来说,这个问题会因为安全营销的方式而加剧。这些公司(VPN、密码管理器和MDR)的官网可能都会声称“我们帮助您保护公司”,但没有详细说明实现的方式。

产品驱动增长(PLG)在向中小企业销售时效果不佳的原因在于,他们首先需要接受有关安全的教育。虽然内容和宣传可以提供帮助,但作用有限。这时,渠道的作用就显现出来了。托管服务提供商(MSPs)和IT顾问是安全解决方案的理想分销商,因为他们可以提供指导,定制解决方案,并与中小企业建立信任关系。他们充当可信赖的顾问,帮助中小企业应对安全产品的复杂性,确保他们选择适合自身挑战的正确解决方案。

  • 他们与客户有预先建立的信任关系(了解客户的需求,能够轻松识别出哪些客户会从安全解决方案中受益)。

  • 他们(至少在理论上)具备评估、采用和维护安全解决方案的技能。

  • 他们正在寻找额外的收入来源(IT 服务的利润率很低,并且已经商品化)。

  • 他们能够对客户进行安全教育(从而克服安全销售的最大障碍)。

像 Huntress 这样的公司最近在 D 轮融资中筹集了 1.5 亿美元,估值为 15.5 亿美元,是渠道在中小企业领域所能实现的完美例子。

向个人销售安全产品

我不会讨论向个人销售安全产品,因为1) 面向消费者的安全市场目前并不是真正的市场,至少目前不是(可能在短期内也不会是),2) 我之前已经讨论过这个问题。简单来说,唯一在消费者中获得主流采用的安全解决方案是虚拟专用网络(VPN)。讽刺的是,这与安全性关系不大:个人获取VPN是为了观看盗版电影、在美国以外地区流媒体播放影片,以及在某些国家观看成人内容和访问被审查的网站

安全领域中逆向跨越鸿沟问题的影响

传统的产品管理策略在这种情况下并不奏效

许多所谓的“产品管理最佳实践”源自硅谷消费类公司(如Meta、Google、Instagram等)的高速增长经验。这个思路是创始人和产品负责人可以通过补贴用户增长、利用推荐、增长循环和病毒式传播来快速扩大日活跃用户(DAU)数量,然后再考虑盈利模式。尽管理论上这种方法很有吸引力,但在网络安全领域应用时却行不通。这是因为大多数网络安全产品依赖于企业销售,需要经过长时间的产品评估、缓慢的采用周期,并且购买过程中高度依赖信任。逆向的“跨越鸿沟”问题使得安全产品的销售与营销、销售、人力资源、财务等其他类型的B2B软件销售不同。创始人在评估市场进入策略和设计初创公司分销渠道时需要牢记这一点。

销售严重依赖于信任关系

安全领域的销售高度依赖于信任,几乎没有捷径可绕过这一现实。现有关系、同行的热情介绍、渠道合作伙伴和分析公司推荐、已建立的CISO网络——随着工具数量的增加(以及CISO面临的噪音增加),这些因素的影响力只会越来越强。

许多公司最终在同一市场细分中共存很长时间

我之前讨论过为什么安全领域有这么多厂商(以及为什么我们需要更多,但那是另一个话题)。安全领域的“逆向跨越鸿沟”问题直接导致了更多公司的出现。让我解释一下。

如果一家新公司从销售给中小型企业开始,他们需要签署数百甚至数千个客户才能达到比如说 100 万美元的年度经常性收入(ARR)的简单里程碑。要实现这一点,他们的产品需要解决一个 1) 市场上普遍存在的问题,2) 人们愿意付费解决的问题,以及 3) 客户非常了解的问题,不需要过多解释。

另一种达到 100 万美元 ARR 的方法是拥有 2-5 个企业客户。由于企业合同的价值更大,安全初创公司不需要解决一个普遍的行业问题——即使是非常小众的产品也能为投资者创造良好的增长信号,进而获得资本支持。这也是为什么,正如我之前解释的,安全初创公司不像其他行业的公司那样容易失败,它们可能会比一些人认为的存续更长时间。

我们在技术或理论上取得了进步,但这些进步并没有广泛应用于实际操作中

“逆向跨越鸿沟”问题使行业的关注点偏向于进一步提升已经成熟的前5-10%企业的安全状态。同时,市场上的大多数消费者本来就缺乏购买安全解决方案的动力,因此几乎看不到创新。针对中小企业的初创公司较少,意味着在市场营销和教育买家关于安全重要性方面的投入也更少,而市场教育不足又导致需求减少。形成一个封闭的循环,扩大了网络安全领域中“有”和“无”之间不断扩大的差距。

网络安全公司变得以收购为中心

大多数安全初创公司未能跨越鸿沟并进入大众市场,主要有两个原因:

  • 如果一家初创公司正在解决一个重要问题,并且拥有巨大的可服务市场(TAM),但却未能成长为一家大公司,通常是因为与《财富》1000强企业交易所需的信任度较高。建立这种信任需要时间、资源和强有力的品牌声誉,这对初创公司来说可能是一个很大的挑战。

  • 如果初创公司正在解决一个重要但在成熟企业之外不太常见或不太被理解的问题,它们常常因为市场规模小而无法成长。这样的市场限制了客户基础和增长潜力,使得公司难以获得足够的投资和资源来扩大规模。

确实,处于前沿的公司有时能够引领创新方向并开创一个新市场。然而,更常见的情况是,这些初创公司会消耗大量风险投资(如果他们筹集到了资金),最终为后来者铺平道路,后者则可能利用他们的成就获得成功。这种情况常常由于市场准备不足或需求尚未成熟,导致初创公司难以维持长期发展。

前者,即信任因素,是网络安全创新典型流程看起来如下的主要原因:

  • 初创公司充当研发中心,孵化和验证新想法,但往往未能获得大规模市场的吸引力。

  • 大型厂商收购领先的创新者,并将其整合到自身平台中。这使他们能够利用已有的信任,并将这些新技术通过其成熟的分销渠道进行推广。

原文链接:

https://ventureinsecurity.net/p/inverted-crossing-the-chasm-problem

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。