以網(wǎng)安公司為例。

當你在RSAC（RSA Conference）的展會上走動時，很難不對這個行業(yè)的狀況感到困惑。數(shù)量眾多的供應商似乎都在說同樣的話，營銷活動的喧囂聲，以及缺乏任何實質(zhì)性的差異，讓一切看起來不真實。然而，盡管看起來每個人都一樣，但事實是，在展會上有幾類公司：成功的公司，尚未成功的公司，永遠無法成功的公司，以及曾經(jīng)成功但失敗了的公司。

我一直對尋找模式感興趣，并且作為一個相信一切都與人有關的人，我想了解什么使得網(wǎng)絡安全創(chuàng)業(yè)者成功。本文的主題將是這個：是什么使得網(wǎng)絡安全創(chuàng)業(yè)者成功，而其他人失敗，以及不同因素如何影響他們在這個競爭激烈的市場上的競爭能力。

在深入探討這些話題之前，讓我們先簡要談談在安全領域中成功和失敗是什么樣子。

如何判斷創(chuàng)業(yè)公司的成功：一場哲學討論

定義成功標準：獨角獸估值

第一個任務——定義成功標準或標準——并不容易。通常，傳統(tǒng)智慧常常提到公司的獨角獸地位：如果一家創(chuàng)業(yè)公司實現(xiàn)了十億美元的估值，那就是成功。截至2022年6月，Retail Bankers International統(tǒng)計了該行業(yè)的59個獨角獸公司。考慮到當時的經(jīng)濟狀況，我相信這個數(shù)字已經(jīng)有所變化，但對我們的討論來說并不關鍵。

要理解1億美元估值是否可以作為成功的衡量標準，重要的是了解估值的更一般意義以及它們是如何確定的。估值是對創(chuàng)業(yè)公司價值的主觀判斷，考慮了它在市場中的地位、客戶群體的聲譽、品牌知名度、創(chuàng)始人的背景、投資者對他們能否執(zhí)行的信念程度、市場規(guī)模、銷售渠道、轉化率、收入等許多因素。

雖然我說過，對創(chuàng)業(yè)公司進行估值是一個相當主觀的過程，但公平起見，也值得指出其他一切價值也是如此：如果有人需要寵物石頭，人們會為其支付費用。在創(chuàng)業(yè)公司的背景下，重要的是確定價值的經(jīng)濟現(xiàn)實。這是因為如果創(chuàng)始人擁有令人印象深刻的資歷、高度的自信，并且能夠描繪一個樂觀的圖景并激發(fā)投資者的興趣，他們甚至可以在產(chǎn)品問世之前或一分收入到來之前就實現(xiàn)非常高的估值。

獨角獸估值是否可以作為成功的標準是一個棘手的問題。一方面，創(chuàng)業(yè)公司的估值只是少數(shù)幾個機構投資者的看法，他們受到炒作和需求的影響，這往往是由公司創(chuàng)始人制造的。因此，在公司實現(xiàn)退出（收購或IPO）之前，不清楚市場上是否有其他人愿意為這家公司支付更高或至少與風投公司支付相同的價格。而且，在創(chuàng)業(yè)公司宣布獨角獸估值和實現(xiàn)退出之間可能發(fā)生很多事情。一個例子就是Cybereason，這家公司在2021年中被估值約27億美元，最近以約其估值的10%籌集了資金，并失去了獨角獸地位。目前還不清楚Cybereason的退出將會是什么樣。

盡管估值波動不定，它們?nèi)匀皇且粋€可靠的指標。這是因為它們?yōu)閷①Y金投入公司的投資者創(chuàng)造了激勵機制。一旦風投公司在估值超過10億美元的公司中投入大量資金，它們最關心的就是促成交易并竭盡所能確保公司的售價超過投資時的估值。這就是為什么擁有廣泛關系網(wǎng)絡的風投公司備受追捧的原因：他們不僅有時能夠為公司的增長增添很多價值，而且還幫助創(chuàng)業(yè)公司在頂峰時期退出。

定義成功標準：退出

判斷創(chuàng)業(yè)公司世界中的成功的另一個可能且可以說更具體的方法是公司在退出時的價值。具體而言，我們最關心的是兩種情況：首次公開募股（IPO）和收購。

目前，在美國股票交易所上市的網(wǎng)絡安全公司不到30家。我之前統(tǒng)計過其中的24家，但后來了解到還有幾家，所以30家似乎是一個很好的估計。IPO時的估值是一個更有說服力和令人信服的價值，不是因為它在某種程度上更客觀，而是因為更多的買家——經(jīng)紀人、投資銀行等——必須被說服公司的價格是合理的。

對于合并和收購（M&A）也是如此：在其他實體愿意用真金白銀購買創(chuàng)業(yè)公司之前，它的估值只不過是虛擬的錢。這就是為什么創(chuàng)業(yè)公司的創(chuàng)始人通常被稱為“紙上百萬富翁”的原因。

在網(wǎng)絡安全領域，成功和失敗具有獨特的形態(tài)

網(wǎng)絡安全公司的失敗樣貌

無論是在網(wǎng)絡安全領域的成功還是失敗，都具有相當獨特的形態(tài)；讓我們從失敗開始討論它是什么樣子。

有一種被廣泛接受的"智慧"是，10家創(chuàng)業(yè)公司中有9家會失敗：這種說法在許多創(chuàng)業(yè)項目、加速器、孵化器以及任何愿意談論創(chuàng)業(yè)的作者口中反復出現(xiàn)。對于這個數(shù)字，我有很多問題，因為它是如此籠統(tǒng)、普遍，缺乏任何上下文，以至于它對任何人都沒有用處，而且很明顯是不真實的。這個數(shù)字似乎把很多事情都混為一談：如果一位學生在暑假期間創(chuàng)辦了一家公司，它會和由三位在各自領域擁有十年經(jīng)驗的聯(lián)合創(chuàng)始人建立的公司被一視同仁嗎？如果一家風投支持的公司取得了10倍而不是100倍的回報，對于創(chuàng)始人和團隊來說，它是否仍然算是失??？如果一家公司最終完全自給自足，并成為包括創(chuàng)始人和員工在內(nèi)的50人的可持續(xù)收入來源，那它是失敗還是成功？我并不一定對其中任何一種觀點持有意見，但關鍵是“10家中有9家”這個數(shù)字并沒有任何幫助，因為每種情況都高度依賴于具體背景。

這是否意味著安全創(chuàng)業(yè)公司成功的幾率比失敗的幾率更高？并非如此，但網(wǎng)絡安全領域的失敗情況值得更深入地觀察。

正如我之前所討論的，“基于信任的產(chǎn)品采用和緩慢的銷售周期意味著，我們通常會看到解決同一問題的多家網(wǎng)絡安全創(chuàng)業(yè)公司并行運營，并產(chǎn)生足夠的收入以維持生存。這解釋了另一個觀察結果：與其他行業(yè)的創(chuàng)業(yè)公司相比，網(wǎng)絡安全創(chuàng)業(yè)公司的失敗率并不高。盡管一些沒有取得進展的公司最終不可避免地會倒閉，但大多數(shù)公司都能找到至少一些忠實的客戶，足夠維持數(shù)年甚至幾十年。有些公司會快速增長，但許多公司最終能夠為其創(chuàng)始人賺取足夠的錢以過上舒適的生活。

這一觀點的重要性難以高估，因為在大多數(shù)行業(yè)中，創(chuàng)業(yè)公司的失敗意味著很快就會破產(chǎn)。然而，在網(wǎng)絡安全領域，相當大比例的創(chuàng)業(yè)公司可以獲得足夠的客戶，延長其存在多年。盡管由于投資者對增長的期望所推動的常規(guī)智慧可能認為這些公司是失敗的，但關鍵在于創(chuàng)業(yè)者為他們的創(chuàng)業(yè)項目設定的目標：如果他們只想擁有構建酷炫技術的能力，并獲得大致相當于市場上的報酬，但不必應對上司、人力資源和績效評估，那么他們很可能會認為這是成功的。

另一方面，在網(wǎng)絡安全領域，沒有取得巨大成功往往看起來像是成功。這是因為頻繁進行的收購以及許多建立了可用產(chǎn)品或擁有杰出團隊的公司仍然可以被收購（通常以未公開金額）。規(guī)模更大、更成功或資金更充足的參與者不斷尋求將新的能力添加到他們的投資組合中。大多數(shù)點解決方案都夢想成為一個大型平臺，而且正如我之前所討論的，網(wǎng)絡安全創(chuàng)新更常被收購而非內(nèi)部建設。這些事實以及由此產(chǎn)生的并購活動使那些未能取得重大進展的創(chuàng)業(yè)者能夠出售他們陷入困境的創(chuàng)業(yè)公司，并在很短的時間內(nèi)開始新的創(chuàng)業(yè)，憑借所有的經(jīng)驗教訓、人脈關系和作為第二次創(chuàng)業(yè)者的更強大的身份。我認為這對大多數(shù)風投來說算是一個不錯的結果，盡管他們認為這是一次失敗的投資。

成功的網(wǎng)絡安全公司是什么樣子

如果說定義網(wǎng)絡安全領域的失敗很困難，那么確定成功是什么可能更加困難。我們之前討論過，成功是否意味著獨角獸的地位？這是一個良好的信號，但可能并不是一個很好的衡量標準，考慮到我們從Cybereason的故事中所了解到的情況，以及其他擁有獨角獸地位的公司在當前的經(jīng)濟條件下需要延長其存續(xù)時間。成功是否取決于IPO時的估值？可能是這樣，但我們不能忽視運氣在IPO中的作用。SentinelOne在2021年6月30日完成了首次公開募股，而Cybereason的估值下跌是因為2022年初市場下滑，無法再進行上市，這既是運氣不佳的結果，也是規(guī)劃不善的結果（或者說更多是運氣不佳）。或者，我們應該通過觀察IPO后6個月、1年或幾年的公司估值來判斷成功？眾所周知，許多上市公司的價值并不會隨著時間推移而上升。

無論如何，以下是有趣的事實。IT-Harvest收集的美國最大的網(wǎng)絡安全公司數(shù)據(jù)庫中，有1,821家網(wǎng)絡安全供應商。其中，在美國股票交易所上市的公開公司不到30家（不到2%）。這清楚地表明，絕大多數(shù)網(wǎng)絡安全公司不會上市。

同樣，大多數(shù)公司不會以獨角獸估值被收購。對于那些關注Momentum Cyber發(fā)布的市場分析的人來說，對于少數(shù)一些網(wǎng)絡安全公司而言，出色的結果是以2億至4億美元的價格被收購，而對于其他被認為成功的初創(chuàng)公司來說，一個較好的價格可能在2500萬至1.5億美元之間，這取決于公司的階段和融資金額。

這些數(shù)字清楚地表明，一家致力于解決實際問題的網(wǎng)絡安全初創(chuàng)公司幾乎同樣不太可能成為一個巨大的成功或完全的失敗。該行業(yè)中絕大多數(shù)公司將處于這兩個極端之間的某個位置。

作為一位對該行業(yè)熱衷的人、產(chǎn)品負責人和天使投資者，我經(jīng)常思考下一波網(wǎng)絡安全創(chuàng)新將從何而來。其中一個關鍵問題是確定在該行業(yè)中成功創(chuàng)始人所共享的特質(zhì)和特點。我愿意分享一些對此事的觀察。

網(wǎng)絡安全創(chuàng)始人需要相關背景

與其他一些行業(yè)不同，在網(wǎng)絡安全領域，大部分創(chuàng)新都非常技術化，與底層技術密切相關，因此對于沒有深厚領域?qū)I(yè)知識的人來說，理解和把握這些創(chuàng)新將非常困難。然而，這并不意味著一個成功的創(chuàng)始人必須是一名工程師：重要的是他們能夠理解問題、了解行業(yè)動態(tài)，并被買家和投資者認可。

這種領域知識、信譽和人脈可以通過多種方式獲得，包括成為安全專業(yè)人士、安全領導者，在軍隊中擔任與網(wǎng)絡安全相關的職務，以及協(xié)助建立其他網(wǎng)絡安全公司。大多數(shù)成功的網(wǎng)絡安全公司的創(chuàng)始人往往具有不同組合的這些背景，例如：

George Kurtz，CrowdStrike的聯(lián)合創(chuàng)始人兼首席執(zhí)行官，曾是Foundstone的創(chuàng)始人和McAfee的首席技術官。

Jack Naglieri，Panther的創(chuàng)始人兼首席執(zhí)行官，在Airbnb擔任安全工程師。

Oz Golan，Noname Security的聯(lián)合創(chuàng)始人兼首席執(zhí)行官，在以色列國防軍擔任開發(fā)人員和安全研究員。

安全創(chuàng)始人通常在創(chuàng)業(yè)之前在他們的領域花費了大量的時間。這是合乎直覺的，因為要構建SIEM 2.0，創(chuàng)始人必須深入了解SIEM 1.0（理想情況下，他們應該曾在構建SIEM 1.0的團隊中工作）。統(tǒng)計上說，一個新手在這個領域中突然提出一個能夠解決行業(yè)中所有細微差別和內(nèi)在復雜性的偉大創(chuàng)意，并加以實施，是不太可能的。

對于創(chuàng)始人來說，對領域的了解和大多數(shù)安全創(chuàng)始人都是有經(jīng)驗的從業(yè)者，這也意味著網(wǎng)絡安全行業(yè)的創(chuàng)業(yè)者通常比B2C和大多數(shù)其他B2B行業(yè)的創(chuàng)始人年齡要大。幾乎不可能找到?jīng)]有任何領域經(jīng)驗的學生和應屆畢業(yè)生創(chuàng)辦一家面向企業(yè)的安全公司并將其發(fā)展成一個有影響力的成功行業(yè)參與者。在20多歲的安全創(chuàng)業(yè)者中很少見，但在40多歲甚至50多歲的人中開始他們的第一個安全創(chuàng)業(yè)項目并不罕見。這是有道理的，因為一個人需要對企業(yè)的安全運營非常熟悉，并理解不同環(huán)境的復雜性，以及在采購時的動態(tài)。然而，“罕見”并不意味著“不可能”，Vanta由Dropbox的前產(chǎn)品經(jīng)理Christina Cacioppo創(chuàng)立，是一個很好的例子，證明即使高度不尋常，這種情況也是可能的。

從成熟的安全團隊中獲得經(jīng)驗，并理解那些不成熟的團隊

如果你已經(jīng)一段時間在閱讀《安全風投》(Venture in Security)，你就會知道我思考的一些趨勢和概念：從基于承諾的安全轉向基于證據(jù)的安全，安全工程的興起，采用以安全為先的思維方式的重要性，數(shù)據(jù)引力的不斷增強，以及最終需要以從業(yè)者為中心的網(wǎng)絡安全。這不是偶然，而是經(jīng)過深思熟慮的觀點，根源于以下幾點：

那些認為只需部署一個“工具”并在Web用戶界面中點擊“啟用”就足以確保組織安全的老一代安全分析師，注定會被成熟的技術安全從業(yè)者所取代。這個轉變需要時間（如馬克斯·普朗克曾憤世嫉俗地說過的：“科學的進步只是一個葬禮一個葬禮而已”），但這是不可避免的。未來的安全將看起來很像軟件工程。

我們很難繼續(xù)添加越來越多使用各自數(shù)據(jù)的安全工具，并將它們?nèi)窟B接在一起?，F(xiàn)在是20-60個左右的工具；未來十年，隨著新的攻擊向量出現(xiàn)，我們還能將100-200個工具組合在一起繼續(xù)運作的機會有多大呢？一個安全數(shù)據(jù)層或類似模型，使不同的工具能夠利用共享的數(shù)據(jù)結構，如果不是必然的，那么它是非常需要的。

我們認為的安全的很大一部分將需要內(nèi)置到我們使用的產(chǎn)品中。正如我之前解釋過的，最近發(fā)布的美國國家網(wǎng)絡安全戰(zhàn)略是朝著正確方向邁出的一步。在新的戰(zhàn)略下，軟件創(chuàng)建者而不是最終用戶應該對安全負責。

這只是一個簡單的摘要，還有很多要討論的內(nèi)容。當我思考網(wǎng)絡安全行業(yè)的創(chuàng)新將來可能來自哪里時，我立刻想到的是技術安全從業(yè)者。這也是為什么我們?yōu)槲覀兊奶焓孤?lián)合基金開發(fā)了一個以安全從業(yè)者為中心的投資理念，并吸引了來自全美和全球各地的安全工程師、架構師、檢測工程師、分析師和研究人員等70多名成員加入我們的使命。

云原生企業(yè)中高度成熟的安全團隊

首先要看的是云原生企業(yè)中的高度成熟安全團隊。比如谷歌、Netflix、Dropbox、Brex、Figma、Meta、Airbnb、亞馬遜、優(yōu)步等等。通常，它們得到知名風投支持，大部分總部設在西海岸或在那里有較大的存在，并且擁有雄厚的安全預算，不僅能夠雇傭頂級安全從業(yè)者，還能夠自主構建自己的工具。Netflix和谷歌是很好的例子，兩者都以構建自己的安全基礎設施而聞名，而不是使用傳統(tǒng)的供應商（盡管最近這種情況開始有所改變）。

在安全實踐方面，這些公司中的許多公司比行業(yè)其他企業(yè)領先了多年，他們的安全團隊正在解決的問題在其他企業(yè)中尚未解決。這可能是由以下三個原因之一造成的：

他們面臨的問題是如此特定和獨特，以至于市場上其他人永遠不會面臨相同的問題。 其他公司也面臨著相同的挑戰(zhàn)，但他們沒有人才、資源或解決問題的知識。 其他公司尚未經(jīng)歷這些問題，但有各種原因可以明顯看出，它們在可預見的未來將面臨這些問題。 這些云原生企業(yè)的安全從業(yè)者成為創(chuàng)始人后，具有以下優(yōu)勢之一：

與全球行業(yè)內(nèi)最具前瞻性的安全專家之間建立了良好的人脈網(wǎng)絡。

對產(chǎn)品構建所需的理解較好，這是因為他們以前的雇主大多是具有堅實產(chǎn)品思維的產(chǎn)品公司。

通常能夠很好地區(qū)分上述討論的三類問題，并避免解決那些對更廣泛市場來說太獨特的問題。

結果是能夠從灣區(qū)頂級風投籌集資金，并快速實施他們的愿景。當由云原生創(chuàng)業(yè)公司的安全從業(yè)者創(chuàng)辦的公司在種子輪或A輪后停滯不前時，通常是因為以下原因：

創(chuàng)始人缺乏了解灣區(qū)以外的安全團隊的能力。不幸的是，除了總部位于西海岸、得到風投支持、資金充裕的公司之外，普通的安全組織通常沒有雇傭大量精通Python、擁有全球最佳云安全人才等的檢測工程師和威脅獵人。那些選擇將產(chǎn)品僅針對高級用戶優(yōu)化的創(chuàng)始人往往在市場的其他領域難以取得進展。

創(chuàng)始人缺乏了解灣區(qū)以外公司的安全基礎設施的能力。這種情況通常發(fā)生在他們決定將產(chǎn)品量身定制為僅適用于云原生企業(yè)時。采取這種方法可以讓他們在西海岸快速增長，但一旦他們開始與銀行、零售、制造業(yè)、公用事業(yè)等公司接觸，他們會意識到這些潛在客戶并不是純粹的云原生企業(yè)。

總體而言，我確信那些在全球最大、最有影響力的科技公司擁有經(jīng)驗的安全從業(yè)者是推動網(wǎng)絡安全行業(yè)成熟的最有力量。他們不僅擁有領域?qū)I(yè)知識和在大規(guī)模環(huán)境下解決難題的經(jīng)驗，還具備了構建成功公司所必需的強大產(chǎn)品思維。

擁有在大型企業(yè)工作經(jīng)驗或向政府提供服務的安全從業(yè)者

在第二類別的人中，我會提到幾個廣泛的子類別，包括：

在大型企業(yè)工作經(jīng)驗的安全專業(yè)人員 在服務公司工作經(jīng)驗的安全專業(yè)人員 向政府提供服務的安全專業(yè)人員 在軍隊的網(wǎng)絡安全部門、三個字母代號機構以及特種部隊中任職的安全專業(yè)人員。我承認，將這些安全專業(yè)人員納入這個寬泛的類別中，他們在網(wǎng)絡安全方面擁有非常深入和多樣化的技術經(jīng)驗。例如，在軍隊服役并保衛(wèi)關鍵基礎設施，使他們能夠建立起其他人無法獲得的防御和攻擊技能。他們具備的一些優(yōu)勢包括：

技術深度和強烈的使命感 與在政府、大型跨國公司和組織中工作的人建立了強大的網(wǎng)絡 豐富的服務提供經(jīng)驗和招募優(yōu)秀安全從業(yè)人員的能力

當由安全從業(yè)者創(chuàng)辦的公司面臨困難時，通常是因為：

創(chuàng)始人沒有建立產(chǎn)品并將其推向市場的經(jīng)驗。那些沒有在產(chǎn)品公司工作過或在托管安全服務或政府承包商方面擁有豐富經(jīng)驗的人往往缺乏正確的思維方式和對運營產(chǎn)品公司所需的理解。 當這些挑戰(zhàn)被克服，或者當這些人與具有產(chǎn)品公司運營經(jīng)驗的聯(lián)合創(chuàng)始人、導師或加速器（如DataTribe）合作時，他們可以創(chuàng)造出非常成功的企業(yè)。一個很好的例子是DataTribe的投資組合公司Dragos，它是工業(yè)控制系統(tǒng)安全領域的領導者。