许多创业者听过这样一句话:“创意本身不值钱,执行才是关键。”我完全同意这一观点。即便是一个好的创意,如果执行不力,也很难成功。相反,那些平庸的创意,如果执行得当,也可能造就一家公司(尤其是在执行过程中能够及时调整方向)。
然而,还有一种创意类型,鲜少被讨论,我称之为“沥青坑式创意”。大多数网络安全领域的创始人可能并不熟悉这一概念,但了解它可以帮助许多公司避免走上失败的道路。在本文中,我将解释什么是“沥青坑式创意”,为何它们充满风险,并且分享一些网络安全领域可能存在的“沥青坑式创业创意”例子。
沥青坑式创业想法的定义
“沥青坑式想法”这一概念最早由YC(Y Combinator)提出,尤其是在Dalton Caldwell和Michael Seibel的一段精彩视频中,标题为《Tarpit ideas - what are tarpit ideas & how to avoid them》(沥青坑式创意——什么是沥青坑式创意,以及如何避免它们)。如果你是一个有抱负的创始人,或者正处于创意阶段的初创公司创始人,我强烈建议你观看这段短短半小时的视频。
“沥青坑”是指石油沉积物形成的池塘,看起来像是普通的水塘,因此吸引了很多动物前来。然而,这些动物误以为是水源,最终被沥青粘住,死于其中。当这些动物开始腐烂时,它们的气味吸引了更多的动物,结果这些动物也将面临同样的命运。在创业领域,“沥青坑式创意”指的是那些看似非常吸引人的创意,它们看起来简单且有效,几乎让人难以理解为什么之前没有人想到过。可是,当你稍微深入思考,你会发现这些创意已经被无数创始人尝试过,几乎都以失败告终。正如YC所解释的那样,“沥青坑式创意看起来并不明显困难,反而如此简单和完美,以至于令人难以相信之前没有人做过。但实际上,许多人尝试过这些创意,结果失败了。”
沥青坑式创意吸引创始人,原因很简单:这些问题未得到解决,买家表示希望有一个解决方案,而围绕这个问题并没有大型公司涉足。Dalton Caldwell总结道:“你以为自己发现了一个惊人的原创创意,但实际上,这个创意之所以没有成功,是因为它在执行上存在极大的挑战。”
”沥青坑式”创意并不是坏主意
在深入探讨网络安全领域的“沥青坑式创意”之前,有几个重要的澄清点。首先,沥青坑式创意并不等同于坏创意。相反,这些创意解决的是非常重要的问题,是那些让人觉得“应该有人去做”的创意,且往往得到了安全领域专家的积极反馈。正如YC的Dalton和Michael所说:“真正的沥青坑式创意是那些面对困难时仍旧坚信自己可以克服挑战的创意。尽管这些创意在现实中充满挑战,但它们确实解决了重要的问题。”
其次,我将在下文中提到的创意,可能并不完全属于“沥青坑式创意”,但它们看起来确实具备沥青坑式创意的特征。许多优秀的创始人正在追求其中的一些创意,我也为他们的成功加油。然而,这些创意曾让许多初创公司倒闭,我担心它们可能还会继续让更多的公司“栽跟头”。
说完这些,我们可以考试深入探讨一些网络安全领域的沥青坑式创意了。
网络安全领域的”沥青坑式”创业想法
网络安全的单一视图(即“CISO所需的唯一仪表盘”)
网络安全行业中最大的沥青坑式问题就是寻找“圣杯”——一个能够追踪所有安全团队需要追踪的内容的系统,换句话说,就是一个单一的视图系统。
随着基础设施变得越来越复杂,监控和保护这些基础设施的工具数量也在不断增加,IT和安全领导者们正被其环境中庞大的产品数量所压倒。虽然这些工具每个单独来看都有其合理性,但当它们组合在一起时,简直让人无法应对:每个产品都需要进行配置,每个产品都会生成一些需要团队监控的洞察,并且在高优先级警报、潜在重要的检测或关键问题被触发时,还需要采取行动。鉴于所有这些复杂性,试图将所有内容集中到一个地方的想法如此有吸引力也就不足为奇了。
乍一看,将不同的工具整合到一个统一的视图中似乎并不难。我们所需要做的就是将所有日志和所有检测汇聚到一个地方,然后以一种方式进行关联,这样就不需要再打开那些“其他”产品了。然而,实际上,做到这一点远比说起来容易。虽然大多数产品现在都提供将数据导出到外部目的地的功能,但每个产品都有需要调整的设置——否则它们就无法完成设计任务。
更糟糕的是,每个供应商都希望成为那个安全团队将用来进行工作的单一仪表盘。当公司环境中的每个产品都在争夺成为“唯一”的时候,安全团队自然会被50多个“单一视图”所包围(正如一位CISO所说的,“单一痛苦视图”)。任何选择专注于成为这一单一视图的初创公司,尤其是当这成为他们的主要卖点时,都将面临巨大的挑战。
单一的高层报告和指标仪表盘或副驾驶工具(即“CISO完成工作所需的唯一工具”)
“单一视图”创意的变种是单一的高管报告和指标仪表盘(或最近出现的CISO副驾驶)。通常的推销方式是:安全团队有许多产品,每个产品专注于解决问题的一个切片。理解这些工具如何共同创造价值的唯一方式就是将所有的指标和业务层面的洞察统一到一个唯一的仪表盘中,这是CISO将会跟踪的仪表盘。如今,这一推销方式有时会扩展为提供所谓的CISO副驾驶——一个安全领导者可以提问并获得所需答案的地方。
从某种意义上说,这个创意是当安全领导者放弃将所有安全信息集中到一个地方(单一视图)的愿望时,所产生的结果。他们决定,最好的做法是将所有关于分布式技术栈的指标集中到一个地方(单一仪表盘),或者在这些混乱之上引入一个智能层(副驾驶)。
猛地一看,这个想法对初创企业来说似乎很有道理。领导者们往往自信地表示,他们 "一定会为在一个地方即可获得所需的一切而买单",而创始人也乐于这样做。然而魔鬼总是在细节中。
首先,尽管CISO们渴望这个统一的仪表盘,但他们通常很难为其找到预算。这是因为虽然安全预算通常不会缩减,但也不是无底洞。当CISO们必须做出艰难的决策,决定哪些需求优先获得资金时,用来制作图表和图形的工具总是会被推到优先级列表的底部,远低于检测与响应或增加人力。每一项安全采购都必须与安全成果挂钩,而遗憾的是,简化管理层的工作并不是业务优先事项。
其次,我们无法将所有安全复杂性抽象成一个仪表盘、一个副驾驶,或其他任何安全领导者使用的小工具。确实,安全环境中有许多动态变化的因素,而有效的解决方案确实很难实施——简化环境、整合工具、建立高效能团队等等。认为某个神奇的工具可以通过仪表盘(或聊天机器人)隐藏所有痛苦的想法并不现实,这也不是CISO们的工作方式。正如Yaron Levi在一篇优秀的文章中指出的那样,这篇文章应该是每个创始人必读的,“CISO们通常不会坐在指挥中心的中央,盯着无尽的仪表盘(或者说‘单一仪表盘’),等待看到什么时候有人行为不当,然后他们才跳起来去用棒子敲打他们的头。”
每个CISO对于什么构成最重要的指标、他们应该专注于什么以及他们最需要哪些帮助都有不同的看法。他们这样做是有道理的:每家公司都是不同的,拥有独特的环境、核心资产和不同的思维方式。除了这些客观差异外,大多数安全领导者还有自己的信念,这些信念与他们的成长经历以及他们最熟悉的职能高度相关。试图提出一个适合所有人的解决方案从未成功过,而且很可能永远都不会成功。
比行业领导者提供的更准确的检测和响应工具(即“更好的检测和响应算法”)
另一个比许多人意识到的更常见的陷阱想法是构建一个检测和响应工具,声称比行业领导者(如CrowdStrike、Microsoft、Palo Alto、Wiz等)提供的产品更准确。其说法通常是现有产品产生了过多的误报,0.1%到5%的有效性提升将会显著改善检测质量,从而提升客户体验。
单独看,这个想法是不错的——任何安全产品都可以改进,我们还没有找到如何在不增加漏报风险的情况下减少误报的方法。然而,这正是使它成为陷阱想法的原因:大多数追求这一领域的初创公司都会在缓慢而痛苦的挣扎中死亡。
确实,有些初创公司通过在效果上竞争取得了成功,但这些成功通常需要一种全新的方法。当Palo Alto能够与Check Point一起推广他们的防火墙时,是因为防火墙的世界发生了变化,之前的防火墙确实存在显著的漏洞,这些漏洞能够轻松地向买家展示。类似地,当Abnormal、Material或Sublime在与Proofpoint和Mimecast共存的环境中取得成功时,主要原因是:1) 公司非常担心员工点击恶意链接,2) 现有厂商在应对如商业电子邮件欺诈(BEC)等新挑战或利用新技术(如AI)方面的效果不佳。
竞争效能的前提是背后有更大的故事——例如基础设施的根本变化或技术的进步,即使如此,成功的方式也是在现有工具旁边部署,解决一个特定的高价值用例,然后从此扩展,而不是与现有厂商正面竞争。在2024年,没有人会相信一个拥有10名员工的初创公司,它在终端上的覆盖面比CrowdStrike更好(当然也没有人会在他们的设备上并排运行两个代理来验证这一点)。这并不意味着无法提出一种革命性的检测方法;更重要的是,CrowdStrike有数百(甚至数千)名威胁和恶意软件研究员及检测工程师,很难想象一个小型初创公司能够做得更好。
在网络安全领域,很少有人能够测试不同供应商的效能,并且在大多数情况下,这几乎是不可能的。效能本身并不是一个真正的区分因素(虽然许多安全从业者可能会对此感到沮丧,但这就是现实)。分销渠道才是真正的护城河,这也是为什么在大多数情况下,宣传5%-10%更高的检测覆盖率不足以获得演示,更不用说取代现有厂商了。
一种在没有误报的情况下防止数据泄露和内部威胁的方式(即“完美的数据丢失防护(DLP)”)
构建完美的数据丢失防护(DLP)系统是最常见的沥青坑理念之一。当有志的创始人在进行CISO访谈时,询问他们的关注点时,防止数据丢失(无论是意外还是故意的)几乎总是会出现在许多安全领导的前十个关注事项中。他们会说,任何能够“正确”构建DLP的公司,如果能做到不产生假阳性或假阴性,且可以在不影响员工体验的情况下部署,都会获得巨大的成功。
如果不是因为完美的DLP系统是不可能实现的,这是有可能的。不要误会我的意思——在这个领域确实有一些公司做出了令人印象深刻的工作,所以并不是我们缺乏人才或创意。问题在于,正如我的朋友曾经说过的,“数据丢失防护帮助让诚实的人保持诚实”。要判断某个行为是否恶意,必须理解其意图,而这在当前是无法实现的,无论一个工具能够聚合和关联多少日志源。当一个销售员工通过电子邮件发送一个大文件时——应该阻止他们吗?可能不需要,因为在大多数情况下,他们只是在履行工作职责。或者,应该阻止吗,即使这会影响他们的生产力和用户体验?有人可能会说,确实有办法分析文件并决定是否应该共享,但即便如此——应该阻止员工分享一份协议吗,因为在第67页上写着“本文件应保密”?
这些问题确实很多,但结论很简单——完美的DLP系统是不可实现的。然而,这并不意味着数据丢失防护是一个不值得进入的市场领域。相反,如果一家公司有独特的切入角度(像Cyberhaven和Harmonic等公司所做的那样),那它完全应该追求这个方向,但如果没有这样的创新角度,那么仅仅想着实现理想的DLP是行不通的。安全工具通常需要在准确性和噪音之间做出某些权衡。始终会有误报,也有一些威胁会逃过检测——完美的安全是无法达到的(尤其是在不通过政策限制让技术变得完全不可用的情况下)。
一种改变企业客户购买安全产品方式的方法(即“自助式安全市场”)
越来越多的安全领导者和从业者对产品的购买和销售方式感到不满。CISO们对于无休止的销售推广、不断的冷电话、不同工具之间难以区分、尝试供应商提供的产品所面临的复杂性,以及无法验证供应商营销主张的情况感到越来越烦恼。与此同时,供应商意识到渠道合作伙伴和行业分析师的力量是巨大的,安全买家的活动成本每年都在上涨,市场竞争如此激烈,以至于在所有的噪音中脱颖而出几乎变得不可能。
在所有这些乱象的背景下,一个备受关注的想法是建立一个网络安全购买平台。它可能有不同的变体,例如:
向 CISO 收费,让他们看到可以尝试的公司名单。
向供应商收取在平台上展示的费用,并向CISO免费提供完整体验。
让CISO更容易查看不同供应商提供的产品,并在平台内直接进行POC(概念验证)测试。
这些只是一些例子,还有许多其他的挑战。需要注意的是,我这里讨论的是专注于企业市场的尝试。还有一些公司针对小型和中型企业(SMBs)这一被忽视的市场,但那是完全不同的游戏,因此不在本次讨论的范围之内。
为什么改变企业购买安全产品的方式是一个“陷阱”想法?原因有很多,但毫无疑问,主要有两个原因:激励机制和构建市场的问题。
目前的模式,尽管远非完美,但在某种程度上有效,因为它为那些控制资源的人创造了正确的激励机制。大型企业依赖于他们信任的合作伙伴——行业分析公司、咨询公司、系统集成商和增值经销商,他们帮助企业做出决策。由于其环境过于复杂,难以由年轻的供应商提供服务,而且它们的领导层对风险过于的规避,不会信任那些尚未跻身于Gartner象限的初创公司。大型企业的安全领导者需要为他们的决策提供充分的理由,而“我在市场上看到这个”显然不是其中之一。现有的系统对已建立的供应商也有效,这些供应商拥有分销优势,并且与财富1000强公司建立了现有的关系,无论是通过直接合作还是通过合作伙伴。每个供应商都希望保持对销售渠道的控制,这意味着他们需要直接与负责资金的人或尽可能接近这个人进行沟通。
毫不奇怪,最难适应当前模式的公司往往是年轻的初创企业。由于急于尝试任何能够帮助他们找到新客户的途径,他们总是渴望支持那些能够给他们希望的创始人。问题在于,如果买家并不认同他们的热情,那么任何试图改变安全产品购买方式的努力都是徒劳的。这也引出了这个想法的第二个问题——即建立一个市场有多么困难。
有意改变安全产品购买方式的初创企业,本质上是在建立双边市场,他们试图将买家(CISO)与卖家(安全供应商)连接起来。我认为,安全行业并不是一个适合建立此类市场的领域,原因如下:
安全买家的数量非常少,而且他们彼此之间有联系。在任何平台出现之前,他们已经交换了关于供应商的想法、经验和观点。
安全买家的数量少得令人难以置信,而且他们都是相互联系的。在有任何平台之前,他们就已经开始交流想法、经验和观点(包括对供应商的看法)。
安全供应商的数量非常庞大,而且不具备差异化。这意味着买家无法区分比如说25个产品,因为它们都拥有相同的销售推销、相同的功能,并且据称解决相同的问题。
供应商有夸大其宣传的动机,特别是当他们知道买家会将他们的宣传与竞争对手的宣传进行比较,而这些竞争对手也在使用同一平台时。
供应商有动机夸大自己的说法,尤其是当他们知道买家会将他们的说法与使用同一平台的竞争对手的说法进行比较时。
没有客观的方式来评估安全工具(因此,正如我之前所讨论的,安全是一个寻求“灵丹妙药”的市场。在这样的市场中,我认为那些建立关系、理解问题并寻找解决方案的老式媒人(行业分析师),比自动化的约会平台要有效得多,因为在约会平台上,买家需要自己去做工作,而最终,他们很可能对结果感到不满意)。
结束语
我再次强调:本文中提及的观点并非糟糕的主意。实际上,情况恰恰相反——它们是非常出色的创意,但同时也被公认可能会带来一些不那么愉快的后果。一切都取决于个人的看法,对我来说可能看似是一个沥青坑式的想法,但对于一位富有远见的创业者而言,可能是重新塑造一个历史上鲜有成功案例的领域的绝佳机会。关键在于拥有这种远见卓识。只要信念坚定,这些(或其他任何看似棘手的想法)都有可能转化为一家成功、迅速扩张且具有深远影响力的企业。这里的提醒并不是要放弃挑战难题,而是在着手解决这些问题之前要深思熟虑,并且不要仅仅因为安全领域的领导者在他们的通报电话中提及这些问题,就盲目追求这些想法。
如果你还没有看过,我强烈推荐观看那段YC关于沥青坑式想法的视频。我相信你会像我一样觉得它非常有启发性。
最后,如果你是一位在我所提到的的“沥青坑”领域内创业的创始人,请不要将这些观点视为个人冒犯。我犯错的次数远多于做对的次数,这次很可能也是其中之一。我衷心祝愿你取得成功(如果你有任何新的进展,欢迎随时给我发消息,并附上你的联系方式)。祝你好运!
原文链接:
https://ventureinsecurity.net/p/tarpit-startup-ideas-in-cybersecurity
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
