七张图读懂网络安全行业

任何时候，当我需要理解一个复杂的结构时，我都会依赖视觉效果，因为视觉效果能让我更容易地将复杂的结构分解成易于管理的部分，理解这些部分之间的相互关系，并思考其中任何一个部分会如何影响其他部分。

在这篇文章中，我将借助简单的视觉效果，从风险、人员、资金、影响者、人才和关系等几个方面，对安全行业进行分析。

关注风险：网络安全是横向的，而不是纵向的

当人们将网络安全视为一个行业时，往往会将其与金融技术、农业技术、市场技术等其他领域相比较。虽然将所有事物归类、贴标签并分配一个明确定义的桶的愿望是可以理解的，但就安全而言，这并不能很好地帮助我们。这是因为网络安全是横向的，而不是纵向的：保护数据的机密性、完整性和可用性是一种跨行业、跨技术和跨客户的需求。无论我们谈论的是太空探索还是采矿、教育还是医疗保健，无论我们关注的是人工智能和 ML、3D 打印还是虚拟现实，也无论我们在跨国公司、慈善机构还是公私合作伙伴关系中工作，每一家公司都有需要保护的东西。

以人为本：从生态系统角度看首席信息安全官和安全从业人员及其作用

CISOs 首席信息安全官

CISO 参与生态系统的方式多种多样。最常见的有以下几种：

1.许多CISO都充当风险投资公司的顾问，在尽职调查过程中提供他们的观点，并可能在他们的环境中测试工具。对许多CISO来说，与风险投资公司合作首先是一种紧跟行业创新的方式，并能听到新的想法，及早尝试新的方法。

2.很多CISO都是风险投资公司运营的CISO网络的成员。我之所以将这些网络与其他风险投资公司的网络分开提及，是因为这些网络往往更具实践性。例如，Team8运营的CISO网络让安全领导者参与构思、频繁的反馈会议以及其他帮助公司的方式。

3.常见的情况是，首席信息安全官独自或作为SVCI和Cyber Club London等天使投资集团的一部分担任天使投资人。天使网络结构并不普遍，因此首席信息安全官很少参与其中。

4.首席信息安全官经常担任网络安全初创企业的顾问，有时甚至自己创办公司。这并不奇怪：由于企业销售流程中的很多环节都是基于关系的，因此拥有强大网络的安全领导者在选择独立创业时可能会占得先机。然而，许多人并没有做好建立和扩大产品公司的准备，因为这些问题与首席信息安全官作为从业人员在企业中应对的挑战大相径庭。

5.少数CISO已加入风险投资公司，成为全职投资者。家得宝公司（Home Depot）前首席信息安全官、现任Insight Partners风险投资人Stephen Ward就是一个很好的例子。

安全从业人员

虽然安全从业人员与安全领导者在生态系统中扮演着很多相同的角色，但也有一些不同之处：

1.与 CISO 不同，安全从业人员与投资者生态系统的联系往往要少得多。极少数人与风险投资基金合作（而那些与风险投资基金合作的人往往有志于最终创办自己的公司），更少的人参与天使投资网络，除个别情况外，他们不会被邀请加入CISO网络。

2.今年早些时候，我们发起了“安全领域风险投资”天使投资集团，旨在让更多的安全从业人员对行业的初创企业和风险投资领域产生兴趣。尽管如此，在我看来，探索这些领域的安全从业人员比例仍然相对较低。

3.根据我的观察，与CISO相比，安全从业人员更有可能创办网络安全初创企业。这里的关键不在于角色，而在于背景和技能：在技术领域有深厚背景的CISO同样（而且通常甚至更）更有可能创办公司。我认为这种情况会持续下去，原因很简单，因为会写代码的安全工程师比那些需要先找到或雇佣一个团队才能验证最早假设的人更有可能尝试新想法。

根据我的观察，相对于首席信息安全官（CISOs），安全从业人员更有可能创立网络安全初创公司。这里的区别在于他们的背景和技能：在技术领域有深厚背景的CISO同样（而且通常甚至更）可能创办公司。我认为这种情况将继续存在，仅仅因为能够编写代码的安全工程师更有可能尝试新的想法，而不像那些需要在验证最早的假设之前找到或雇佣团队的人那样。

创始人

网络安全初创企业的创始人往往同时扮演着多个角色。一方面，他们接受来自天使投资人、风险投资人、顾问和安全领导者等所有其他参与者的资金和支持。另一方面，他们也是专业知识和资金的提供者：

1.网络安全初创企业的创始人经常帮助风险投资公司评估潜在的投资项目。

2.曾经有过退出经历的连续创始人或处于后期阶段的创始人，在建立自己公司的同时，往往会开出天使支票。

3.网络安全初创公司的创始人在退出公司后，有时会全职加入风险投资公司。例如，Signal Sciences的联合创始人兼首席安全官Zane Lackey现在是Andreessen Horowitz的普通合伙人。

跟着钱走：安全初创企业的投资选择

网络安全初创企业的创始人有无数种融资选择。以下是对主要资金来源的简要概述。

天使投资人

天使投资人是指投入自有资金的个人。最常见的情况是，他们是已退出企业的创始人、安全服务提供商的所有者以及拥有多年经验的CISO（通常也有过几次首次公开募股或成功收购的经历）。

由于天使投资人投资的是自己的资本，他们不需要实现特定的回报倍数（他们当然希望看到回报，但他们对任何人都没有实现回报的义务）。许多天使投资人作为演讲者、从业者、顾问等活跃在业界，因此他们会想方设法积极帮助自己投资的公司。单个天使投资人的投资额在5,000美元到250,000美元之间，但实际数字可能会有很大差异。

天使投资联盟

如前所述，天使投资联盟是由一群人组成的团体，他们聚集在一起，拉动资金，投资于他们看好的公司。基本上，天使投资联盟是天使投资人共同投资的社区。每个联盟开展业务的方式都略有不同：有些联盟只接受邀请，有些则向任何经认可的投资者开放；而有些联盟对谁能成为成员有独特的限制（如只允许CISO加入），有些则更为灵活。

天使投资联盟的成员会收到寻求资金的初创企业的信息，但并不要求他们对牵头人提出的任何具体交易进行投资；每个人都可以自行决定并选择是否参与（没有任何承诺）。当人们决定参与某项交易时，通常会规定每笔交易的最低投资额，最高可达50,000美元，最低为1,000 美元。

天使投资网络

与天使投资联盟不同，更加开放，愿意为每笔交易投资 1000 美元的经认可的个人都可以加入，而天使投资网络则不同，通常是高净值个人的专属俱乐部。它们通常以地域为中心。

天使投资网络为其成员提供交易流，并希望他们为初创企业提供至少约10,000美元的投资，尽管各网络的实际条款、角色和责任以及最低投资额各不相同。

孵化器和加速器

初创企业孵化器和加速器是网络安全生态系统中的重要角色，因为它们在初创企业成长的最初阶段为其提供支持和启动资金。单个孵化器或加速器获得资金的方式往往决定了其工作重点和能力。总体而言，它们提供的附加值各不相同，大多数以网络为重点的加速器要么难以保持其相关性并提供与起步时相同的价值，要么转变其模式（英国的CyLon），要么关闭（澳大利亚的CyRise）。

风险投资（VC）

说到投资者，大多数人都会马上想到风险投资。一方面，这是有道理的，因为大多数（如果不是全部）大型安全公司确实都得到了风险投资公司的支持。另一方面，如果我们看一下整体企业情况，有些人可能会惊讶地发现，只有不到1%-2%（https://hbr.org/2013/05/six-myths-about-venture-capitalists）的企业筹集到了风险资本（虽然链接的文章已经很旧了，但我最近看到的大多数数字都与文章所述一致）。

虽然风险投资基金的合伙人要投入一定的资金，以便在财务上保持一致，并有动力做好投资，但风险投资公司并不投资自己的资金。风险投资公司是中介机构和专业资本分配者：他们从机构投资者（养老基金、主权财富基金、捐赠基金等）和高净值个人那里筹集资金，并将其投资到有可能带来超额回报的公司。

企业风险投资（CVC）

企业风险投资公司（CVC）是生态系统中的另一个重要参与者。公司投资初创企业的动机各不相同：促进战略合作伙伴关系、围绕自己的产品建立生态系统，或者仅仅是为了获得经济回报。无论出于何种原因，重要的是越来越多的公司开始向网络安全初创企业提供资金。大多数CVC并不主导投资，而是跟投（与主导VC共同投资少量资金）。

CVC 以不同方式提供价值，包括

1. 通过成为客户并采用创始人建立的技术

2.利用现有分销渠道销售产品

3.通过提供初创企业无法获得的人才渠道

私募股权投资（PE）

私募股权投资公司是资金雄厚的资本提供者，专注于收购公司并介入扭亏为盈——增加销售额、与其他公司合并等，以实现投资价值的最大化。风险投资公司主要投资于有发展潜力的早期初创企业，而私募股权公司则收购那些已经证明对其所提供的服务有需求，但却难以最大限度发挥其潜力的老牌公司，或者私募股权投资者认为这些在进行一些转型后价值会大大提高的公司。

关注影响者：谁影响着安全工具的需求和公司的未来

证券公司要发展，就必须扩大影响范围。实现这一目标的方法之一就是投资于关系建设，即所谓的分析师关系（AR）、政府关系（GR）、投资者关系（IR）和公共关系（PR）。在这里，"关系 "一词是 "影响力 "的简称。

分析师关系

行业分析师在网络安全采购过程中发挥着重要作用。造成这种情况有几个原因，其中包括

1.市场上供应商众多，几乎不可能研究和评估所有可供选择的方案

2.事实上，安全产品很难测试，其能力（特别是与安全覆盖有关的能力）也不容易比较

行业分析公司在市场中发挥着独特的作用：

1.安全厂商购买订阅服务，可以获得研究成果，但最重要的是，他们可以花更多时间与分析师交流。他们与分析师相处的时间越长，关系就越牢固，当客户要求推荐时，分析师就会把他们的解决方案放在首位。

2.安全机构购买订阅服务，可以获得研究成果，但最重要的是可以与分析师共度时光。他们经常会提出这样的问题：对于 X 或 Y，市场上哪种工具最好？

鉴于该领域的供应商数量众多，难怪投资于分析师关系的公司更有可能被推荐为解决客户问题的潜在方案。出现这种情况并不是因为某种地下交易，而是因为分析师们更多地接触到了他们的解决方案，因此更熟悉他们能提供的价值。

政府关系

正如我之前所解释的，由于私营部门的重点是最大限度地提高股东价值和增加利润，如果没有适当的监管和执行机制，私营部门通常会寻求采取最低限度的措施来实现这些目标。

安全公司都知道，政府是市场的缔造者：通过制定网络安全要求，政府创造了对新解决方案的需求。这就是为什么政府关系（GR）领域虽然从外部几乎看不到，但对公司的成功却至关重要的原因。网络安全供应商乐于游说新的法规、框架和合规要求，因为它们有助于销售更多的产品。流程如下：漏洞导致游说新法规，游说转化为立法要求，立法要求反过来又推动网络安全需求。

公共关系

公共关系（PR）是一个专注于管理他人对问题、品牌或公司的看法和感受的领域。在许多方面，公关（影响公众）是所有其他影响领域（政府、分析公司、投资者、买家等）的重要组成部分。这是因为我们所有人首先都是公众的一员：如果CISO从新闻中得知某家安全公司被其竞争对手起诉，或者如果投资者看到一连串的产品差评，他们所做的决策就可能受到这些事件的影响。

投资者关系

投资者关系（IR）作为一个领域，与前三个领域略有不同，因为它不是影响对解决方案的需求，而是产生资本供应。投资者关系的重点是塑造人们对公司的某些看法。尽管投资者关系对私营初创公司非常有用，但对上市公司尤为重要。

投资者关系使公司能够

1.持续定期提供最新信息、进度报告和其他信息，与投资者建立信任，提高透明度。

2.建立以合作和相互支持为基础的密切关系。

3.方便潜在投资者对公司进行评估，并做出明智的决定。

关注人才：网络安全人才的流动性

在大多数行业中，学术界、地下运动、公共和私营部门以及其他方面都没有交集：一个在政府工作了几十年的人通常很难在企业领域找到工作。但网络安全行业并非如此，人才可以在不同团体和类型的雇主之间自由流动。

使情况更加独特的是，很少有人通过传统的“获得网络安全学位并找到工作”的途径进入安全行业。相反，很多人都是从 IT、合规和风险管理、软件开发、军事服务、公共服务、研究和行业分析公司、咨询和审计以及其他领域开始的。网络安全通常是第二份甚至第三份职业，因此经常会遇到曾经是音乐家、心理学家、学校教师和执法人员的从业者。

尽管人才流动性是存在的，人们也会从一个行业流动到另一个行业，但他们往往会倾向于那些他们身边有相似背景的人的领域。军方和行业分析公司之间、黑客和安全初创企业之间、学术界和云提供商之间的人才流动相对较少。

在四个类别中，人才流动性最强：

1.安全从业人员（安全分析师、安全工程师、安全架构师等）

2.公司经营者（运营、市场、产品、销售等）

3.投资者（天使投资者、天使银团牵头人、风险投资、私募股权投资等）

4.决策者（联邦、州、智囊团、政府间组织等）

在这一类别中流动相对容易：虽然投资者有不同的类型，但一般来说，风险投资人成为私募股权投资者要比加入初创企业成为经营者容易得多。对于安全公司的产品主管来说，成为营销人员比成为政策制定者更容易。安全从业人员是最灵活的——因为每个领域都需要专业领域知识，他们可以朝任何方向发展，成为投资者、经营者或决策者。成功的运营商有可能成为投资者。不言而喻，这些并不是所有的可能性，而是最常见的可能性：肯定有创始人和安全领导者成为政策制定者，政策制定者成为投资者（根据我的观察，他们往往专注于双重用途技术），而且至少有一位投资者成为了安全从业者。

在试图建立对该行业的了解时，牢记这些机制非常重要，因为根据你的人际网络和背景，你对该领域的看法可能会与周围的人大相径庭。

关注关系：合作与联盟

没有什么比各种网络安全社区和网络团体更能说明安全行业的细分了。这些团体的成员兴趣相投，因此经常相互合作；与此同时，不同团体之间的联系有时模糊不清，有时则完全不存在。

确保组织安全需要一个解决方案生态系统，网络安全供应商对此深有体会。正因如此，他们不断寻找与其他厂商合作的途径，无论是联合营销计划（如共同主办网络研讨会或分担大型会议的活动费用）、上市战略和分销（捆绑和交叉推广其产品或将其作为附加产品在市场上销售）、威胁情报共享（共享入侵指标），还是技术简化（同意使用某种类型的标准或技术方法，使其产品更易于集成）。网络安全供应商一直处于“合作竞争”的状态——竞争性初创企业和企业之间通过结成伙伴关系和联盟开展合作，旨在使所有相关方受益。

虽然从表面上看，所有投资者都在激烈争夺同一笔交易，但实际上，他们之间的关系要细微得多。首先，风险投资人和天使投资人之间存在着强大的互利合作关系。天使投资人往往最先听说新公司的消息，他们也希望自己投资的初创公司能成功完成下一轮融资。另一方面，风险投资公司一直在寻找新创意，而成为天使投资人心目中的佼佼者有助于他们领先一步进入好的交易。虽然很多人都了解天使投资人和风险投资人之间的动态，但很少有人能了解风险投资基金之间的合作和信息共享。而且，这种情况非常多：风险投资人分享他们对不同公司的看法，在尽职调查方面互相帮助，寻找共同投资的方式，等等。并非每个基金都与其他基金有联系：在筹资时，创始人需要了解不同的投资者网络是如何联系的，谁与谁交谈等。

网络安全领域有很多合作社区。信息共享和分析中心（ISAC）是非营利性协会，汇集了在类似领域（如医疗保健、汽车等）工作的公共和私营部门组织的代表，以收集和共享有关网络和物理威胁的经验、知识和分析，包括预防、缓解和恢复。各种国际组织，如反网络钓鱼工作组和国际密码研究协会，将成千上万的个人、政府机构和企业聚集在一起，共同解决关键的安全问题。包括国际隐私专业人员协会、国际信息系统安全认证联盟和ISACA在内的专业协会为会员提供教育、专业发展机会和宣传，同时还参与推荐框架和标准。由道德黑客组成的黑客社区是最具创新性和协作性的网络，他们分享信息，互相帮助，共同成长。

这些社区和其他社区中的每一个都是在更广泛的安全行业背景下运作的——安全行业将这些不同的网络整合成一张大网。从形式上看，每个网络之间可能几乎没有合作，因为大多数人只属于一个或两个社区。每个社区之间的粘合剂是超级连接者，即那些同时属于多个社区的人。例如，CISO可以是ISAC的成员、风险投资公司的有限合伙人、大型安全供应商的客户、初创企业的顾问以及专业协会标准的审查员。

结语

深入了解网络安全领域的机制并不是在安全领域建功立业的先决条件，但要想让公司发展壮大并更积极地参与该领域的塑造，这无疑是非常必要的。安全行业是一个复杂的行业——我曾经在金融科技、电子商务、零售和批发行业工作过，我必须承认，参与者的数量、人才的流动性、影响购买过程的各方以及整个生态系统都不是那么容易理解的。

为了进行创新、开发新的商业模式并找到将产品推向市场的创造性解决方案，创业者、风险投资人和未来的创始人别无选择，只能想方设法深入了解安全业务的实际运作方式。为此，突显行业运作方式的视觉效果和图表可谓大有裨益。

Ross Haleliuk

Venture in Security专栏作者，天使投资联盟负责人，LimaCharlie产品总监。

原文链接：

https://ventureinsecurity.net/p/making-sense-of-the-cybersecurity

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。