每一位经历过融资过程的创始人都知道,投资者经常会问三个问题:“为什么是你?为什么是这个?为什么是现在?”

答案通常如下:

  • 我们是一支拥有多年网络安全经验的明星团队

  • 我们正在为一个非常痛苦的问题寻找解决方案

  • 无论我们要解决什么问题,所造成的漏洞数量都在不断增加,因此CISO都在关注,我们必须立即行动起来

创始人收到TS后,尤其是在资金到账之后,这些问题往往被遗忘、被视为无关紧要、被搁置,直至下一轮融资。

这很不幸,因为回答这三个问题对公司的成功至关重要。

为什么是你?:创始人与问题的契合(Problem-Founder Fit)

尽管创始人与问题的契合度对初创企业的成功至关重要,但我没有看到过太多关于这个问题的讨论。创始人分享的故事通常是以下几种:"我在安全领域工作了 X 年,所以我有资格解决 Y 问题";这种简单的说法具有极大的误导性。请注意,我说的是创始人与问题的契合,而不是创始人与市场的契合,这是有原因的:虽然市场是问题的一个重要组成部分,但它只是问题的一个组成部分。创始人需要具备哪些技能才能创建一家成功的初创企业,这取决于很多因素:

  • 他们正试图建立的公司类型(现金高效的自力更生型企业、有风险投资支持并有收购前景的初创企业、有上市野心的平台公司等)

  • 具体的安全细分领域(身份、终端、云等)

  • 是产品公司还是服务公司

  • 公司是否在一个成熟的市场上运营,或其客户是否需要接受有关问题的教育

众所周知,打造产品的人需要对技术领域有很好的把握,而仅有一般的“安全”经验是远远不够的:一个在网络领域工作了十年的人不会轻易设计出身份识别方面的解决方案,反之亦然。对创始人与问题契合度的其他方面讨论得还不够。例如,如果所有在服务领域工作多年的创始人都想打造 SaaS 产品,那么他们是否具备成功所需的技能,或者他们的背景是否会阻碍他们像产品创始人那样思考问题?或者,如果一个创始人有解决安全领域全新问题的愿景,但却没有兴趣花一半的时间去教育世界和宣传自己的工作,那么他们能将自己的解决方案推向市场吗?

考虑创始人与问题的契合度是非常困难的,原因有几个。首先,人们可以学习并变得擅长做自己以前没有做过的事情。没有人生来就是创始人、安全从业者或上市公司CEO;即使是屡试不爽的创始人,他们的第一次创业也是如此。一个人没有机会展示某些技能,并不意味着他不适合或不会成长为适合这份工作的人。其次,行业定义公司都是由那些离经叛道者创办的,他们的思维方式与众不同,为该领域带来了新的视角。杰夫-贝索斯不是商人,谢尔盖-布林不是图书管理员,埃隆-马斯克不是汽车修理工,但前者塑造了商业世界,后者塑造了信息世界,后者塑造了汽车世界。第三,许多非显而易见的关联性很难评估。例如,一个人没有从事过安全工作,并不意味着他或她不能解决大规模安全数据的问题,尤其是如果他或她曾在其他行业做过。综上所述,在我看来,最重要的是了解创始人的思维方式,看看他们过去是如何克服困难并取得成功的,而不是他们的官方血统。

人们常说,创始人需要执着于解决问题,但我认为我们并没有清楚地认识到这一因素对公司成功的重要性。实现产品与市场的契合非常困难,完成早期销售令人生畏,在几乎没有(或任何)成功迹象的情况下继续前进需要一定程度的决心和毅力,而对所处领域缺乏真正热情的人很可能不会有这样的决心和毅力。

我经常争论安全创始人在多大程度上必须是“技术人员”(这里我指的是网络安全专家)。总的来说,我认为领域知识非常重要,尤其是在早期阶段,创始人需要处理销售、工程、客户成功、筹款以及各种需要对市场和特定技术主题有深刻理解的互动。这在很大程度上也取决于客户类型:向安全领导者销售与向五项测试人员和事件响应者销售所要求的深度是不同的。领域专业知识之所以重要的另一个原因是,处于早期阶段的初创企业经常会发生转型:即使公司起步于创始人具有一定经验的领域,最终也可能发展成完全不同的东西。如果创业者不能迎头赶上,或在公司转型后不能做出适当的贡献,就可能被甩在后面,甚至拖垮初创公司。更糟糕的是,如果没有广泛接触该领域的毗邻关系,创始人可能无法识别转型的需求或机会,如果他们走的路行不通,即使转型的机会只在表面之下一点点,他们也可能被迫完全关闭。反之,过多的专业知识和数十年的行业经验可能会造成知识的诅咒,阻碍打破常规思维的能力。

随着公司的发展壮大,领域专长变得越来越不重要:经营一家B轮或C轮公司更多的是要建立业务,而不是开发技术解决方案。

对具体创始人的要求在很大程度上取决于团队的人数。如果有三位联合创始人,第一位可以专注于建设,第二位专注于销售,第三位专注于筹资/日常/运营等。如果只有两位创始人,情况就会发生变化。我必须说,我认为在任何行业,尤其是网络安全行业,单打独斗的创始人都不是一个好主意。单打独斗的创始人必须是技术专家,才能设计出解决方案;必须是领域专家,才能很好地解决正确的问题;还必须是商业专家,才能销售解决方案并扩大公司规模。要在这三个方面都很出色是很难的,更何况在早期阶段,如果没有支持,甚至只是有一个对口的人在事情不顺利的时候提出想法并重新振作起来,要抽出时间来做这些事情几乎是不可能的。

为什么是现在?:产品与时代的契合Product-Zeitgeist Fit)

产品与时代的契合(Product-Zeitgeist Fit),是 A16Z 公司的D"Arcy Coolican早在 2019 年就在他的文章《Product Zeitgeist Fit: A Cheat Code for Spotting and Building the Next Big Thing》中提出的一个概念。

文章解释说,时机对创业成功至关重要:如果创意进入市场太晚,就会在拥挤的市场中面临激烈竞争;如果太早,人们就不会 "明白",也就无法接受创新。

产品与时代潮流的契合是网络安全领域的一大挑战,因为这个领域瞬息万变,新想法层出不穷。事后看来,人们总会认为新方法或新解决方案显而易见,但事实很少如此。虽然许多创始人都在拥挤的市场中跃跃欲试,打造显而易见的小工具,但也有一些人--少数人--在不确定的未来下注。在网络安全领域,这通常被称为 "类别创建"。

在安全领域,有三种类型的创新:一种是在已知的攻击面内解决新的威胁,一种是在新的攻击面内解决新的问题领域,还有一种是改变一般的安全工作方式。

在我看来,第一种方法是最直接的:有一种广泛使用的技术和一种传统的方法来保护它。最终,我们发现攻击者的方法已经成熟,以前有效的工具已经不再足够。EDR就是一个例子:当我们了解到并不是所有的攻击都能通过创建一个已知不良签名库(杀毒软件)来预防时,行为检测和检测工程作为一门学科应运而生。就产品与时代潮流的契合度而言,这类解决方案的风险最小:购买者已经有了预算,他们只需要向他们展示现有堆栈的不足之处。走这条路的不利之处在于,初创企业很可能面临激烈的竞争。

第二种想法:在新的攻击面解决新的问题领域--风险更大一些。在这种情况下,创始人需要预见到几件事:

  • 新技术被广泛采用的可能性

  • 采用新技术的速度

  • 可用于危害其安全性的风险和攻击方法

很多人都认为做这些事很容易:比如,当云技术变得很重要时,“显而易见”会有人试图利用它;现在人工智能得到广泛应用,我们可以预测几年后会发生什么(或者我们希望如此)。虽然我们很容易认为这类创新是 "显而易见 "的,但事实并非如此。3D打印和虚拟现实(VR)就是一个例子:当这些技术出现时,我们以为它们会在几年内重塑社会,但事实并非如此。那些在 3D 安防上下注的安保公司,以为所有建筑很快就会被打印出来,现在可能已经倒闭了。量子安全是另一个这样的例子--如果量子计算需要 30 年才能成为现实,那么当量子的愿景实现时,今天专注于该领域的深度技术初创公司将无一幸免。

第三类创新,即改变安全工作的方式,风险最大,但也是回报最大的领域,无论是从影响的规模,还是从经济效益来看,都是如此。仅仅看到趋势的方向是不够的,还需要能够预测趋势发展的速度。例如,安全正不可避免地从以承诺为基础演变为以证据为基础,成为一门更像工程学的学科;市场也逐渐发现,每个组织的环境都是独一无二的,如果安全从业人员(检测工程师、安全工程师、安全架构师等)不考虑这种差异,就很难真正保护企业的安全。问题不在于这些因素是否属实,而在于这种成熟会是什么样子?我们需要五年、十年还是三十年才能达到这个目标?只有时间会告诉我们答案,而这正是产品与时代精神契合的本质所在,也是它所带来的风险所在。

为什么要这样做?:产品与市场的契合(Product-Market Fit)

与前两者不同,产品与市场的契合是一个经常被讨论的话题;这很正常,它也是唯一一个有缩写的话题:PMF。对 PMF 的定义有很多种。人们通常认为它是一种市场拉力,即客户非常需要解决方案,以至于他们愿意为之买单并立即签订合同;还有一种常用的描述是,产品与市场的契合是指产品 "从货架上一飞冲天"。

无论如何定义,PMF 都表明公司正在构建的解决方案正在解决某些客户群遇到的问题,这迫使他们为之付费。但这并不意味着:

  • 解决方案的总可寻址市场足够大,足以证明有必要建立一家公司,或者正在增长,或有望增长。初创公司很可能发现,PMF 的销售对象是成熟安全团队中极其复杂的前0.005%,但由于该市场规模较小,可能不太适合快速成长的初创公司。

  • 公司对产品的定价能够使其获得健康的利润增长。每一个问题都有相关的成本,初创企业可能会发现,以极低的价格获得强劲的需求并不能长期持续,如果目标市场不愿意支付新的价格,那么当它改变价格点时,就会发现自己失去了 PMF。

  • 公司处于一个良好的市场竞争环境中。一个公司可以在 2023 年建立一个优秀的EDR解决方案,并实现产品与市场的契合,但却在数百个 EDR 供应商的红海市场中一败涂地。

  • 产品与市场的契合一旦实现,就会一直存在。市场在变,客户对合适解决方案的期望也在变。一旦出现这种情况,初创企业就会失去产品市场契合度,也就失去了获取新客户或留住现有客户的能力。创始人和产品负责人必须时刻关注不断变化的客户期望,并不断创新以满足这些期望。

与产品导向型增长类似,产品与市场的契合往往被理解为“我们造出来,他们就会来”,但事实并非如此。在新市场中,初创企业需要让业界了解问题所在,并将自己定位为最佳(或唯一)解决方案,因此实现产品-市场契合很难:如果公司所做的事情显而易见,那么竞争就会非常激烈。另一方面,越容易实现产品与市场的契合,就越有可能有许多其他创始人也在解决同样的问题。

我经常看到网络安全创始人在努力实现产品与市场契合的过程中重复犯几个错误:

  • 不尽早、不经常与用户交流。太多才华横溢的安全从业者闭门造车,花了数年时间才获得早期原型,他们认为这些想法可以改变游戏规则。这阻碍了他们尽早获得客户反馈和迭代,产生的解决方案对更广泛的市场几乎没有实际价值。

  • 由于产品与市场的契合度与产品有关,因此许多创业者会误以为 PMF 具有某种 "杀手级功能",可以改变公司的发展轨迹,这一点非常有趣。这很有可能发生,但很少有什么神奇的小工具能决定企业的未来:相反,初创企业成功的关键在于长期的承诺和一致性。

  • 把“是啊,听起来不错,我们可能会用得上”之类的表面反馈误认为是 PMF 的标志。为了让创始人高兴,人们什么话都说得出口,因为谁也不想打击冒着风险继续前行的人。但是,良好的愿望并不等于购买意向,"听起来很有趣,我想试试 "也没有什么意义。

  • 将概念验证 (POC)、价值验证 (POV) 或设计合作误认为是产品与市场的契合。这些都是有兴趣的绝佳迹象,但潜在客户有时可能只是好奇地了解新想法,并没有购买意向。最重要的是,正式试用解决方案的潜在客户通常是反馈的最佳来源。

  • 认为如果创始人正在解决他们过去亲身经历过的问题,就意味着产品市场契合(PMF)已经存在。这只有在我们明确指出,除非有证据证明相反,否则这样的解决方案的市场仅限于一个人(创始人)。要以更广泛的意义讨论产品市场契合,必须有证据表明确实存在一个市场 - 一个具有相似特征、面临相似问题并愿意为解决方案付费的客户群体。

  • 将某个收入门槛误认为 PMF。虽然 100 万美元的ARR里程碑经常被用作产品与市场契合度的代表,但实际情况要复杂得多。能表明公司已实现 PMF 的数字(与其他因素一起考虑时)与公司所应对的市场规模、解决问题的成本等因素有关。如果创始人能说服三位前雇主购买解决方案,这并不意味着真正的市场需求。当初创企业以 80% 的折扣提供产品,而客户尚未以全价续购时,情况也是如此。

  • 没有验证自己对市场的假设,或没有测试其他潜在市场。从表面上看,客户具有相似的特征,但他们对同一问题的反应可能不同,解决问题的迫切程度也不同。这往往预示着一些更深层次的差异,创始人应该了解和学习这些差异。一个由“拥有 200 到 500 名员工的中小型企业”组成的市场可能包括一家拥有 40 年历史的餐饮公司、一个药店网络和一家快速成长的 SaaS 初创公司,而所有这些企业的安全需求都大相径庭。

  • 假设如果他们不寻求风险投资,就不必担心产品市场契合。任何商业企业都需要有人认为其解决方案是可行的,并愿意为其支付费用,无论是一个由三人组成的安全咨询公司,一个拥有四千名员工的产品供应商,还是一个不是作为爱好而是有志于发展成公司的开源项目。

结语

为什么是你?为什么是这个?为什么是现在?这三个问题远不止是风险投资者关心的,它们是实现业务成功的真正先决条件。网络安全初创公司的创始人需要超越对产品市场契合基本定义的思考,寻找同时具备产品市场契合、创始人问题契合和产品时代契合的方法。

原文链接:

https://ventureinsecurity.net/p/to-succeed-cybersecurity-startups

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。