我们不难发现,大多数网络安全初创公司似乎都缺乏想象力。他们试图用多年来的老方式进行销售:让CISO们看Demo演示,希望安全领导者们能立刻意识到他们的小工具有多棒。他们仿佛没有其他模式可以选择,唯一的其他方式可能就是PLG以产品为主导的增长,但事实证明,这种方式更加难以依靠。尽管故事才刚刚开始,但对话往往就此结束。
我曾解释过,并非一切都与技术有关,安全行业还有其他创新方式。在本文中,我将重点讨论网络安全初创企业的分销渠道和商业模式设计。
三种买家角色和向他们销售的方法
有三种类型的客户:个人、中小型企业(SMB)和企业,他们评估和购买安全工具的方式各不相同。
个人:B2C安全销售之痛
无论人们是否关心自己的安全,有一点是明确的:他们不想为此付费。在所有以消费者为中心的安全产品中,只有VPN获得了主流应用,迫使人们为其付费。究其原因,这与安全并无多大关系;个人使用 VPN 是为了观看盗版电影和美国境外的流媒体电影,而在某些国家,则是为了观看色情电影和访问被封锁的网站。
近年来,密码管理器的使用率越来越高,因此 Bitwarden、Dashlane、LastPass 和 1Password 等公司开始为个人提供捆绑服务,尽管它们的大部分收入都来自企业。B2C 安全公司发现,让足够多的人采用安全工具是一场艰苦的战斗。据我所知,能够建立一个专门针对个人和家庭的整体安全平台的公司只有 Aura。
中小型企业:他们需要帮助,但不了解,也不想为此付出代价
中小企业是全球经济的重要组成部分。在美国,这个数字是惊人的:根据美国商会的数据,美国有 3320 万家小型企业(雇用 500 人以下的企业),这些企业加起来占美国企业总数的 99.9%。报告还指出:"在 1995 年至 2021 年期间创造的新工作岗位中,小企业占不到三分之二(63%),即 1730 万个新工作岗位。小企业占所有出口商的 97.3%,占已知出口额(4133 亿美元)的 32.6%。它们还雇用了美国私营部门近一半的劳动力(46%),占国内生产总值的 43.5%"。
与企业市场相比,中小型企业得到的服务严重不足,但要在这一细分市场取得成功绝非易事。虽然一些中小企业,特别是那些拥有 100-500 名员工的企业,可能已经比较成熟,但绝大多数企业对安全的认识不足或根本不了解,因此也就没有网络防御的预算。因此,向中小型企业销售产品需要大量的教育、商业模式和单位经济,这样才能在部署规模较小的情况下保证盈利。
企业市场:网络安全市场的圣杯
绝大多数网络安全产品公司都以企业市场为目标——这是安全行业的圣杯。出现这种情况有几个原因:
有预算:大型企业有需要保护的东西,因此他们愿意为安全拨款;
监管要求:为了保护公众和加强国家防御,监管机构不断提高企业安全的标准,从而产生了对新安全工具的需求;
订单大:企业部署规模大,订单规模也大,因此对初创企业极具吸引力(一个财富 100 强客户带来的收入可能超过 500-2,500 家中小企业)
从历史上看,直接向安全领导者(CISO和CSO)销售或依靠渠道合作伙伴(分销商、集成商、咨询公司等)销售的方式一直行之有效,这两种方式占安全销售额的 90%。由于安全工具的数量与日俱增,大型企业的 CISO 已经学会依赖行业分析师(如 Gartner、Forrester 和 IDC 等公司)的帮助和建议。因此,对于初创企业来说,投资于分析师关系以建立关系,并希望影响他们的意见,已成为游戏的一部分。在过去的几年里,新创公司开始努力从众多公司中脱颖而出,在嘈杂的市场环境中获得关注。
选择你的毒药:专注于一个细分市场
我观察到的大多数问题都可以归类为这两大类中的一类:
个人或企业会遇到的问题
个人和企业都遇到的问题
第一类——个人或企业遇到的问题:是最常见的。人们希望约会、看书、运动、购买午餐食品并送货上门、与朋友共度美好时光,等等。各种各样的企业对消费者(B2C)业务都在努力满足人们的这些愿望。
另一方面,企业则有不同的需求,其核心是实现盈利和为股东创造回报。甜甜圈店需要跟踪供应商的交货情况和销售数字,保险公司需要向监管机构报告风险资本的数额,航空公司则需要管理飞机的起降情况等。企业对企业(B2B)企业正在满足不同类型企业的所有这些独特需求。
有些问题是个人和企业都会遇到的,例如协作、电子签名、笔记和文档共享。能够满足这些需求的公司有能力为某一客户群构建解决方案,然后在此基础上向上下游市场发展。例如,个人、中小企业和企业都可以使用Asana等项目管理工具;虽然每个群体使用的具体功能会有所不同,但解决方案的核心很可能是相同的。
虽然网络安全是每个人都面临的问题,但安全公司并没有能力为个人客户提供服务,然后再为企业客户提供服务,反之亦然。有一些例外,如密码管理器,但在大多数情况下,个人所需的解决方案(一体化个人安全)与中小企业所需的解决方案(一体化企业级安全)看起来非常不同,而中小企业所需的解决方案与企业所需的解决方案(针对特定问题领域的高级解决方案,如端点安全、云安全等)更是大相径庭。安全初创企业别无选择,只能从一开始就选择自己想要专注的细分市场。
提供安全保障的三种基本模式
从根本上说,我认为市场上有三种提供网络安全的基本模式:
我们保护您
我们为您提供自我保护的工具
我们奠定基础,利用他人的工作为您提供保障
我们保护您
大多数网络安全公司都属于“我们保护您”模式。在这种模式下,安全初创公司开发专有能力来预防、检测和应对威胁。他们的承诺很简单:公司已经开发出一些“秘方”(知识产权),能够比竞争对手更好地解决安全问题。
利用“我们保护您”模式的公司拥有最大的总市场(TAM),因为它们最不可能要求客户拥有专门的安全人才。另一方面,这类产品很难进行评估和相互比较;通过签署合同,买方表示相信供应商能够保证其安全。
我们为您提供自我保护的工具
另一方面,有一些公司的价值主张是作一个放手不管的基础设施提供商:"我们为您提供确保自身安全的工具"。大多数初创公司都将成熟的安全企业作为目标客户,这些企业拥有充分发挥其产品优势的资源(尤其是人才);因此,它们的TAM有限。使情况更加复杂的是,许多拥有技术安全工程人才的公司并不只是购买现成的产品。相反,每当他们遇到无法满足的需求时,他们都会进行“制造或购买”评估,因为他们的团队完全有能力在内部开发解决方案。
我们奠定基础,利用他人的工作为您提供保障
这是值得特别一提的模式。在这种模式下,安全初创公司为产品奠定基础,然后依靠社区来完成工作,无论是构建内容还是开发集成。这种利用他人工作的公司模式通常被称为“众包安全”;我们可以看到SOC Prime、Bugcrowd和Shuffle等公司都采用了这种模式。
从第一性原则出发,思考买家之旅
我遇到的许多创始人都认为,建立一家安全公司可以让他们的市场定位完全预先确定。"我们是一家B2B公司,所以我们只需向企业销售,让CISO参加演示,向他们展示我们的解决方案有多棒"。或者,他们对另一种选择过于兴奋,决定接受PLG产品主导型增长,希望安全从业人员自己发现他们的工具,在最初的“哇!”之后,他们会立即将产品带给他们的经理,让他们当场购买。在我看来,这两种方法都不适合建立成功的市场推广战略。
要规划一个成功的市场推广战略,首先要了解公司试图解决的问题,确定谁最关心这个问题的解决,他们如何了解新的解决方案,以及哪些因素和利益相关者会影响他们的决策。客户旅程,尤其是在B2B领域,是非线性的。
尽管现实很复杂,但把客户旅程想得一团糟也是无益的。网上有很多很好的客户旅程图模板。无论创始人选择哪一种,重要的是要做好以下几件事:
1.确定谁参与了决策,他们对决策有多大的影响力,以及他们的利益所在;
2.了解在客户旅程中最有影响力的人是从哪里获得信息的;这就是你应该优先考虑的销售和营销工作。虽然这一步听起来很基本,但令人难以置信的是,有多少公司把钱花在了社交媒体广告和活动上,而他们的钱应该花在组织一次仅限受邀者参加的活动、编写一份有用的报告或赞助当地的BSides上;
3.集思广益,找出潜在客户在购买过程的每个阶段试图回答的问题、可能导致他们流失的因素、他们的顾虑和动机;
4.了解潜在客户在旅程的每一步都经历了哪些活动(演示、内部审查、预算批准等);
5.制定一项计划,说明公司将如何满足不同利益相关者群体在其 "客户旅程 "每个阶段的需求。
绘制客户旅程图是一项非常有用的工作,因为它可以帮助创始人了解目标市场的行为方式,以及人们和公司需要什么才能成为满意的客户。最重要的是,它能让创始人确定并测试不同的市场策略,因为每个参与其中或能影响购买过程的人,都可以成为分销渠道。
跟随客户:商业模式的形成和销售安全产品的不同方式
B2C 细分市场:有些人确实关心安全问题
虽然绝大多数人确实不关心自己的安全,但也有一些人关心。B2C 安全产品销售的一个好策略就是把重点放在小众人群上,因为数字安全对这些人的财富、健康、声誉甚至生存都至关重要。这些人包括:
记者
人权活动家
政治家和其他政要
影视演员
高管
高净值个人
色情演员
性工作者
诸如此类。要想通过如此小众的方式建立起不断增长的业务可能很难,但这可能是一个很好的开始:对于那些安全并非可有可无的人来说,他们通常是以消费者为中心的隐私和安全工具的早期采用者。
掌握B2B2C:雇主为个人支付的安全费用
消费者采用安全产品有两个障碍:
安全增加了摩擦,而人们不喜欢处理摩擦,如果可以避免的话;
安全需要花钱,而人们并不习惯为软件付费。
虽然前者无法在本次讨论中得到有效解决,但后者却可以。
提高人们关注安全的可能性的一种方法是免费提供给他们。与用户数据货币化相比,还有另一种更适合销售网络安全的解决方案,即由雇主为网络安全买单。这种模式通常被称为 B2B2C(企业对企业,企业对消费者),在过去几年开始兴起。例如,BlackCloak为高管提供安全服务,而 Agency 则更广泛地将安全作为员工福利。1Password等公司也鼓励其客户将密码管理器作为一项福利提供给员工。这样做的目的是,一旦员工离职,他们很可能会继续支付使用该工具的费用,因为该工具已经拥有他们宝贵的数据(更好的办法是,1Password 可以鼓励人们要求他们的新雇主作为一项福利支付费用)。
当安全作为员工福利提供给员工时,它属于福利预算的一部分,因此可以向人力资源(HR)、人事与文化部门而不是CISO销售。这种方法的缺点是,作为员工福利的安全是一种可选项,而不是基本的业务支出,因此在经济困难的时候,它很快就会被削减。不过,一旦被采纳,我认为(没有数据支持)大多数公司会继续支付员工福利,因为没有人愿意向员工传达“我们不再希望你和你的家人安全上网”的信息。
加倍重视渠道:为渠道提供销售所需的东西
渠道合作伙伴不仅是安全生态系统中的重要角色,而且有些客户只通过渠道购买,因此很难忽视这种分销方式。以下是网络安全销售的现实情况:根据Canalys和Steven Kiernan在 LinkedIn 上发表的文章:
每销售 10 美元的网络安全产品,就有超过 9 美元是通过合作伙伴销售的;
2023 年第2季度,通过渠道进行的网络安全技术支出增长了12.7%,达到174 亿美元,占市场总额的91.5%;
这一增长率远远超过了0.6%的直销增长率;
通过总代理建立的两级合作伙伴占总支出的69.3%。一级合作伙伴占22.2%;
经销商是最大的渠道类别,其次是系统集成商。MSSP是增长最快的类别,其次是服务提供商;
领先的12家网络安全供应商占渠道支出的50.6%。
希望通过渠道进行销售的初创企业经常会犯一个错误,那就是认为他们所需要做的就是在经销商和集成商面前演示他们的优秀解决方案。实际情况要复杂得多。首先,企业需要从战略角度考虑通过渠道销售的潜力,并在其发展历程的早期进行考虑。有些决策如果不考虑渠道销售,就会完全关闭这种分销方式的大门。例如:
如果公司在其网站上透明地列出定价,那么经销商或集成商就很难收取他们需要的价格来满足其利润率;
如果公司的价格与竞争对手相比过低,那么按销售额提成的渠道合作伙伴就没有积极推广解决方案的动力。100万美元的10%比10万美元的10%(10万美元比1万美元)高出十倍;在其他条件相同的情况下,渠道销售人员有动力销售更昂贵的解决方案;
如果产品难以实施,或者需要过多的手动配置才能启动,渠道合作伙伴就不可能成功销售。
要开始使用渠道模式,初创企业需要:
证明市场对公司提供的产品有真正的需求。仅有演示和几份推荐信是不够的:渠道合作伙伴会希望初创公司能带来几笔已敲定的大交易,基本上是免费提供资金,让他们开始建立关系并展示市场潜力;
销售和客户赋能资料、培训以及持续反馈,旨在让销售代表更容易销售。初创公司需要雇佣一位全职致力于促进关系、回答问题、提供培训、定期跟进,并做一切必要的事情来保持销售代表的参与度的人员;
与销售人员的关系和正确的激励制度。提供宣传资料和举办网络研讨会不足以让渠道销售人员保持参与和积极性。公司必须投资于建立关系,认可出色的表现,并将渠道视为自己团队的延伸。
渠道销售有不同的形式,除了经销商和集成商之外,还有其他参与者。Huntress 已经证明,托管安全服务提供商 (MSSP) 和托管服务提供商 (MSP) 是一个巨大的业务来源。这在今天听起来显而易见,但在公司成立之初,几乎没有人相信它能围绕这一分销渠道建立起自己的市场。
押注新型渠道:通过数据平台进行销售
正如我之前所讨论的,数据引力(数据大规模增长并吸引产品和服务的能力)导致了网络安全的构造转变:安全数据正在向 Snowflake、BigQuery、微软Azure数据仓库、亚马逊Redshift 等迁移。未来十年,数据仓库和云提供商有可能发展成为网络安全的最大分销渠道。已经在一个地方拥有数据的客户会发现,只需“启用”一个插件,就能无缝地插入他们的数据,而不必进行冗长的部署和试验。
有能力进入市场并建立合作关系的安全公司可以完全通过这一渠道销售自己的产品。数据湖和云提供商的现场销售代表配备了市场营销资料和网络安全解决方案的相关信息,可以不费吹灰之力地对现有客户群进行追加销售和交叉销售。数据仓库和云提供商跟踪两个指标:摄取和消费,或者换一种说法--获取数据,并确保客户使用尽可能多的附加组件和服务,充分利用平台的功能。在核心产品的基础上销售网络安全产品可以促进消费,帮助销售代表完成配额,并为各方提供稳定的收入来源。
与形象大使合作:通过 vCISO 联系中小企业
据估计,中小企业市场的全球网络安全销售额超过400亿美元,根据一些预测,到2025年将达到900亿美元。所有这些都使中小企业成为网络安全创始人的一个具有吸引力的市场。直接向中小企业销售产品很难,因为这需要教育他们了解自己的需求,确保他们有足够的预算等等。接触中小企业的另一种方法是瞄准安全社区中另一个不断增长的部分—— vCISOs。
Virtual CISO 通常被称为 "CISO 即服务",是指同时为多个组织工作的安全领导者,他们所做的工作与全职CISO所做的工作相同(安全战略制定、安全与合规计划设计、工具选择等)。我预计,CISO面临的压力不断增加、法规日益增多,以及CISO因履行职责而被追究责任并受到法庭审判的案例,将促使越来越多的CISO离开全职工作,成为vCISO。然而,到目前为止,大多数vCISO都是没有在企业中担任CISO经验的从业人员。
vCISO 社区有可能成为安全解决方案的强大分销商。vCISO 必须使其收入来源多样化,而不仅仅局限于咨询,与愿意支付销售佣金的供应商合作,让客户采用能解决其问题的产品,可以实现多方共赢。
调整激励措施:通过与保险提供商合作开展B2B销售
保险公司有很大的动力尽其所能防止客户遭受网络事故。其中一种方法就是强制要求投保人购买、维护并定期升级其安全产品和服务保险。
保险公司愿意推荐某些供应商的程度不尽相同:一些公司拥有 "认可 "或 "首选 "解决方案列表,而另一些公司则更多地采用基于原则的方法,接受任何符合预定义列表的工具。虽然大多数网络保险提供商更倾向于建议投保人从成熟的行业领导者那里购买安全产品,但考虑到保险公司的数量,初创企业也可以找到与其中一些公司建立关系的方法。
对于服务提供商来说,与保险公司合作可能更加直接。保险公司内部不具备网络安全专业知识,因此在不可避免地出现漏洞时,他们会依赖第三方进行事件响应(IR)和恢复。精明的数字取证和事件响应(DFIR)公司可能会发现,与保险公司合作是扩大业务范围和寻找稳定客户的好方法。
正确对待PLG:让安全从业人员成为大使
关于产品导向型增长和让实践者成为安全产品的拥护者,我已经谈了很多,在此,我只想说:从业人员无需通过几次销售电话就能轻松试用安全解决方案的能力将变得越来越重要。与此同时,我认为任何公司都不可能仅仅通过PLG就建立起自己的安全业务:PLG是一个很好的辅助增长渠道,但从目前来看,它还不是一个能让公司取得成功的渠道。创始人必须牢记这一点,收起“只需构建,客户自来”的一厢情愿;在大多数情况下,客户都不会来。
通过邻接关系进行销售:IT、财务和其他职能
安全预算是IT预算的一部分,因此,当公司已经依赖的IT解决方案开始提供安全功能时,安全团队别无选择,只能首先对其进行评估。这种避免安全解决方案泛滥的愿望将继续存在,而微软等围绕捆绑构建整体业务战略的公司也非常清楚这一点。
另一个需要牢记的事实是,随着安全领域表面积的扩大,所有权不明确的用例数量也在增加。这种不明确性为创始人创造了绕过或补充传统CISO外联工作的机会。下面是一些例子:
软件安全解决方案可以定位并销售给工程团队和安全团队(或从一开始就捆绑到工程师的工具中)
数据安全解决方案可以定位并销售给数据科学团队以及安全团队(或从第一天起就捆绑到数据科学家的工具中)。
人员安全解决方案可以定位并销售给人力资源/招聘团队以及安全团队(或从一开始就捆绑到人力资源和招聘人员的工具中)
最后,根据初创企业的价值主张,创始人可能会发现最关心它的人远在安全领域之外。例如,承诺节省XX%成本的初创公司可能会发现,如果信息是由财务部门转发的,那么CISO就会更容易关注。这种方法和其他方法一样,可能会适得其反:CISO可能会觉得外部团队侵犯了他们的领地,从而完全无视所提出的解决方案,即使该产品在其他方面也很出色。
作为分销渠道的风投:利用投资者促进客户增长
风险投资机构的经济效益(所谓的"2加20模式")并不能使其成为优秀的客户,但其连通性却使风险投资机构成为完美的分销商。投资人正在努力证明他们提供的是资本以外的价值,而他们相当于基金规模2%的运营预算,使得他们很难雇佣大型投资组合支持团队,尤其是对小型基金而言。成功将风险投资机构转变为分销商的关键在于提供以下解决方案:
有可能为其投资组合公司解决实际问题;
不要要求风险投资公司支付这些费用,他们可以将成本转嫁给所投资的公司。
招聘公司是符合上述标准的一类企业,因此它利用风险投资公司作为分销商取得了巨大成功。通过与风险投资公司合作,招聘公司可以获得风险投资公司所投资公司的介绍。这对各方来说都是双赢的:投资者可以证明他们确实在帮助创始人,招聘公司可以获得巨大的业务来源,而企业家则可以获得适合其团队的合格候选人。
利益一致:分销商为何能成为优秀的投资者
任何建立或参与过早期创业的人都知道,初创企业最需要的是客户。尽管有些人可能会将其定位为增值,但没有什么比介绍合格的潜在客户和达成交易更有价值:
客户是最终的验证,证明问题是真实的,提出的解决方案是可行的
早期收入证明产品具有足够的价值,至少能迫使市场上有人为之付费
更多的客户意味着更多的用户反馈、更多的想法、更多的功能请求、更多的建议,因此也意味着更快的学习速度
事实上,没有什么比初创公司吸引客户的能力更重要,这一点没有改变:随着公司规模的扩大,它需要雇佣人员并建立新的流程,但始终关乎推动收入增长和培育潜在客户的销售渠道,以推动这种增长。
美国和全球的传统投资者一直在努力为其投资的公司提供真正的增值服务。有几家公司以人脉关系广而著称,其中一些是希望回馈社会的从业人员。其他许多公司承诺向潜在客户提供介绍,却没有意识到他们与安全领导者和安全工具购买者的关系往往非常浅薄--只够发送一封电子邮件进行介绍,却不足以说服CISO真正考虑这家初创公司正在构建的产品。以色列是一个例外:正如我之前解释过的,“以色列的顶级风险投资公司建立了强大的网络,汇集了来自美国和全球顶级企业的安全领导者,这使他们有能力成为初创企业创业者的强大资源枢纽,为那些打造下一波网络安全创新浪潮的人与那些需要网络安全创新的人牵线搭桥。在这种安排下,CISO既能支持创新,又能从创新成果中获益,而安全创业者则能以执行领导支持的形式获得力量放大器”。
尽管美国的风险投资机构一直在想方设法证明自己确实能带来附加值,但无从证明的一方却是分销商。集成商、顾问、经销商 (VAR)、托管安全服务提供商 (MSSP)、云服务提供商等可以将一家初创公司打造成市场领导者之一。当渠道合作伙伴的销售团队得到适当的激励和所需的支持时,他们就能以惊人的规模分销产品。
人们会认为,任何在市场上拥有如此强大力量的实体都会想方设法利用它,但事实似乎并非如此。在所有不同类型的分销商中,只有SentinelOne和CrowdStrike等平台型企业投资于他们选择在其Marketplace上销售的公司。到目前为止,我还没有听说有任何大型服务提供商、经销商或集成商成立子公司来投资他们分销的安全厂商。可能会有一次性的、资产负债表外的投资,但不会有专门的企业风险投资部门这样的正式投资。我认为,Optiv、CDW、Guidepoint Security等公司可能会错失从他们在市场上转售的公司获取投资回报的机会。
结语
正如Steve Zalewski总爱说的那样,初创企业要想在行业中创新,创始人就必须“爱上问题,而不是解决方案”。然而,仅仅深入了解问题是不够的,如果不了解更广泛的生态系统,公司将很难设计出成功所需的商业模式和分销渠道。
在过去的几年中,我总结出大多数安全从业人员对安全生态系统的了解只是停留在表面。这个生态系统确实有很多部分:加速器和孵化器、风险投资公司、CVC、天使投资人和天使投资网络、投资银行、渠道合作伙伴、分析公司、服务提供商、政府、保险提供商、云基础设施提供商、开源等等。要消化的东西很多,但如果对生态系统、参与者及其动机缺乏广泛的了解,就很难提出新的想法并设计出行之有效的商业模式。
原文链接:
https://ventureinsecurity.net/p/business-and-distribution-model-design
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
