网安初创企业创始人的理想背景

我经常讨论安全工程的兴起,以及为什么我们需要将软件工程原则、系统和流程引入网络安全。在这些讨论中,我还提到安全工程师有潜力成为伟大的创始人。事实上,我们需要更多从根本上理解安全的安全从业者,来重塑这个充满恐惧、不确定性和怀疑 (FUD) 的行业。然而,对于技术创始人来说,最理想的背景并不是安全工程。

技术创始人的最佳背景,不是安全工程

仅仅了解安全问题是不够的,重要的是能够以其他人可以轻松理解的方式解决这些问题。并非所有安全工程师都可以构建产品的后端和前端,更不用说开发原型来展示给潜在客户并收集反馈。“安全工程师”这个职位本身在不同的公司有不同的含义:在一些公司,它被用来描述构建检测和配置安全解决方案的人;在另一些公司,安全工程师编写脚本并从事自动化工作;而在很少数的公司,他们会构建内部安全工具。作为构建者的安全工程师确实可以成为伟大的创始人。例如,

  • Josh Liburdi 和 Brex 团队构建了 Substation ,这是一个开源工具包,用于创建高度可配置、无需维护且经济高效的数据管道。

  • Coinbase 团队部署了一个内部平台,将安全工具和日志源结合在一起,以扩展检测和响应安全操作。

  • Piotr Szwajkowski 和 Rippling 团队构建了他们自己的 SIEM 。

Okta、Meta、Google、Netflix、Microsoft 等公司的安全工程团队也开发并经常开源安全工具。安全工程师确实可以用开发安全工具办法来学习并解决公司的安全问题,然后利用他们的经验来创建安全初创公司。Panther Labs 就是采用这种方法的几个例子之一,催生出了一个市场真正需要的平台。

面临的挑战是,很少有安全工程师拥有构建可供广大用户使用的产品的经验。而软件工程师则完全可以胜任这项任务。

据我观察,具有构建安全方案、开发工具或基础设施产品经验的软件工程师是网络安全产品公司的理想技术联合创始人。他们不仅具备开发创新解决方案所必需的安全知识,而且还具备设计、构建和交付可扩展且用户友好的软件的技能。这也是为什么这么多初创企业起源于硅谷和特拉维夫的原因之一,这一点不足为奇。这些生态系统可以获得资金和安全人才,而且拥有大量在构建安全产品方面经验丰富的软件工程师。以色列的情况尤其如此。湾区是 AI/ML 工程师、具有丰富网络经验的工程师和大型基础设施工程师的理想之地。至于威胁检测方面的专业知识,在我看来,美国人才在这方面不如以色列人才有竞争力(不是因为不够好,而是因为可用的人才不够多)。

安全领域的产品和销售经验,为以业务为中心的网络安全创始人奠定了良好的基础

虽然打造一个能很好解决问题的优秀产品很重要,但这还不够。网络安全初创公司的创始人需要对市场有深入的了解,他们需要有能力推销产品。不仅如此,像跟踪财务状况、管理工资、监督运营、筹款以及分析师、投资者和公共关系等也是非常重要的。创始团队中应该有人专注于打造一家公司,而不仅仅是一个功能或一个产品。

网络安全产品管理和销售方面的经验,为以业务为中心的网络安全创始人打下了坚实的基础,因为这使他们能够:

  • 了解业内构建产品的细微差别。

  • 了解客户需求,以及在实施过程中常见的障碍和壁垒。

  • 熟悉购买决策的过程、需要考虑的因素以及哪些因素会阻碍初创企业向企业销售产品的能力。

  • 培养同理心并建立信誉,这使得更容易与网络安全从业者、领导者和决策者建立融洽关系。

创始团队的组成:超越标准的双创始人安排

创始人的适当人数:让数据说话

创始人人数多少才合适?我认为没有正确答案。我们的最佳实践就是看看成功的安全公司的例子,并试着从中推断。

在三家市值超过 100 亿美元的私营安全公司中,Proofpoint 有一位创始人,Kaseya 有两位联合创始人,而 Wiz 则是由三位企业家创办的。

Image Source: Strategy of Security

在市值超过 50 亿美元但仍处于私有状态的安全公司中,有两家公司(SailPoint 和 OneTrust,截至发稿,Sailpoint 已再次上市)是由单个创始人创办的,有四家公司(Mimecast、Ping Identity、Coalition 和 Tanium)是由两位联合创始人创办的,有三家公司(Fireblocks、Lacework 和 Snyk)是由三位联合创始人创办的,还有三家公司(1Password、Netskope 和 StarkWare)是由四位联合创始人创办的。

对于上市网络安全公司来说,数据似乎更加清晰。果我们参考 Andrew Smyth 的“网络安全领域重要的上市公司”名单,并关注名单中的 14 家纯安全公司,我们会发现,Gen Digital(原赛门铁克)是唯一一家创始人为单人的公司,而 Palo Alto Networks 则是唯一一家有四位联合创始人的公司。14 家公司中有 8 家是由两位联合创始人创办的(SentinelOne、Zscaler、CyberArk、Commvault、Fortinet、Okta、Varonis、Qualys),14 家公司中有 4 家是由三位联合创始人创办的(Rapid7、CrowdStrike、Check Point、Tenable)。

安全领域的单人创业者:艰难创业之路

Venture in Security 的老读者都知道,我并不赞成人们以个人创始人的身份创建初创企业。在之前的一篇文章中,我曾解释过这一点:

“创业是一段艰难而孤独的旅程。在信息过载的世界里,需要花费时间和大量精力来突破纷扰,找到正确的问题来解决,找到最能帮助公司实现使命的投资者,并说服业内人士他们应该关心公司提供的一切。加入早期企业的员工承担着风险,创始人自然也要为自己的生计负责。要知道,下一轮融资永远没有保证,即使每个人都尽心尽力,公司也可能无法实现产品与市场的契合,这可能会让人感到沮丧。

拥有联合创始人可以为他们提供一个交流平台,让他们能够在寻找解决难题的方法时有更广阔的视野,并有助于不破坏他们的家庭生活。后者听起来可能很随意,但事实并非如此:拥有强大的团队可以大大减少创业者承受的压力,以及创始人最终带回家给亲人带来的挑战。这还不算,一家处于早期阶段的公司需要做的工作是难以逾越的--它不仅需要发掘客户和打造产品,还需要销售、筹款、招聘、营销和品牌建设、营销和品牌建设、合作伙伴关系、运营等等。拥有几个可以负责不同领域的人会大大增加初创公司成功的机会。”

我认为单独创业是个坏主意,但这并不意味着安全领域没有由单人创业者创办的成功公司。例如,Proofpoint、SailPoint 和 OneTrust 都是由单人创业者创办的,而且都取得了相当大的成功。Eric Hahn 成功将 Proofpoint 发展成为仅有的三家市值超过 100 亿美元的私营安全公司之一。

尽管如此,在安全等竞争异常激烈的市场中,独自创业尤其困难,而且越来越难。在过去的一年里,我们目睹了即使单人创业者成功地让公司起步,他们也需要聘请能够将初创公司提升到新水平的专业领导者。2024 年,Panther、JupiterOne 和 Greynoise 的创始人聘请了专业的首席执行官,并退后一步专注于技术、架构和战略等其他领域。我认为在未来的一年里,我们将在其他初创公司看到更多类似的转变,创始人了解自己的优势并正在寻找帮助公司成长的最佳方式。

在讨论一些网络安全初创企业创始人决定单干的原因时,我经常听到他们说,他们认为与自己不熟悉的人一起创办公司风险太大。一方面,在自己可以掌控的能力上下注,而不是找一个自己无法掌控的人,这是有道理的。另一方面,我认为与他人合作总是有风险的。当涉及到我们自以为了解的人时,情况也是如此。我们可能知道某人是个好同事、勤奋的工程师或精明的商业领袖。然而,我们不知道,也永远无法完全预测他们作为创始人会如何行事。在我看来,拥有一个可靠的联合创始人的好处远远大于潜在的风险和弊端。

双创始团队:传统设置

最常见的创始团队是由两位联合创始人组成。在安全领域之外,常见的是软件工程师和业务人员之间的合作;或者两位工程师之间的合作,其中一位对上市和销售感兴趣。另一方面,在安全领域,情况则更加多样化,例如:

  • 两名安全工程师

  • 安全工程师和机器学习工程师

  • 安全工程师和一名产品/销售/营销对应人员

  • 软件工程师和一名产品/销售/营销对应人员

  • 安全主管和安全工程师

  • 安全工程师和一名软件工程师

  • 两位专注于业务的联合创始人

这个名单可以一直列下去。正如我所解释的那样,我认为理想情况下至少应该有一名能够构建产品并可能成长为 CTO 角色的软件工程师,以及一名了解问题领域和客户需求的领域专家(技术或非技术)。如果软件工程师有构建安全产品的经验并且对安全领域充满热情,那就更好了。

联合创始人超过两人的创始团队:人多力量大

尽管人们普遍认为标准的创始团队由两个人组成 - 一个技术人员和一个业务人员,但历史表明,3-4 人的创始团队往往最终会建立定义行业的公司。从 Check Point、Palo Alto Networks、CrowdStrike、Lacework 和 Netskope 到 Snyk、Wiz 和 Cloudflare,网络安全行业中一些最具影响力的参与者都是由 3 到 4 人的团队创办的(Orca Security 有 8 位联合创始人!)。

以下是属于此类别的部分公司的简短清单:

  • Check Point: Gil Shwed, Marius Nacht, Shlomo Kramer

  • Splunk: Michael Baum, Rob Das, Erik Swan

  • Palo Alto Networks: Rajiv Batra, Nir Zuk, Yuming Mao, Dave Stevens

  • CrowdStrike: George Kurtz, Dmitri Alperovitch, Gregg Marston

  • Lacework: Mike Speiser, Sanjay Kalra, Vikram Kapoor

  • Fireblocks: Idan Ofrat, Michael Shaulov, Pavel Berengoltz

  • Netskope: Krishna Narayanaswamy, Lebin Cheng, Ravi Ithal, Sanjay Beri

  • Snyk: Assaf Hefetz, Danny Grander, Guy Podjarny, Jacob Tarango

  • 1Password: Dave Teare, Natalia Karimov, Roustem Karimov, Sara Teare

  • Cloudflare: Matthew Prince, Lee Holloway, Michelle Zatlyn

  • Wiz: Ami Luttwak, Assaf Rappaport, Roy Reznik, Yinon Costica

  • SonarSource: Freddy Mallet, Olivier Gaudin, Simon Brandhof

  • Acronis: Serguei Beloussov, Stanislav Protassov, Yakov Zubarev

  • Verkada: Benjamin Bercovitz, Filip Kaliszan, Hans Robertson, James Ren

  • Cybereason: Lior Div, Yonatan Amit, Yossi Naar

  • Exabeam: Domingo Mihovilovic, Nir Polak, Sylvain Gil

  • Orca Security: Avi Shua, Ety Spiegel Hubara, Gil Geron, Hadas Amitay, Liran Antebi, Matan Ben-Gur, Shay Filosof, Wagde Zabit

  • Dragos: Jon Lavender, Justin Cavinee, Robert M. Lee

  • Nord Security: Eimantas Sabaliauskas, Jonas Karklys, Tom Okman

  • ID.me: Blake Hall, Matthew Thompson, Tanel Suurhans

  • Ledger: Eric Larchevêque, Joel Pobeda, Nicolas Bacca, Thomas France

  • Axonius: Avidor Bartov, Dean Sysman, Ofri Shur

  • Vectra Networks: Hitesh Sheth, James Harlacher, Marc Rogers, Mark Abene

  • At-Bay: Etai Hochman, Roman Itskovich, Rotem Iram, Tilli Kalisky-Bannett

  • Material Security: Abhishek Agrawal, Chris Park, Ryan Noon

  • Teleport: Alexander Klizhentas, Ev Kontsevoy, Taylor Wakefield

  • Immuta: Matthew Carroll, Michael Schiller, Sapan Shah, Steven Touw

  • Expel: Dave Merkel, Justin Bajko, Yanek Korff

  • Lookout: James Burgess, John Hering, Kevin Mahaffey

  • Claroty: Amir Zilberstein, Benny Porat, Galina Antova

尽管人们可能倾向于认为首次创业者更有可能组建更大的创始团队,因为他们希望通过招募更多人手来弥补创业经验的不足,但事实却完全不同。许多选择组建更大创始团队的创业者都有过创业经验。例如,Wiz、Palo Alto Networks、CrowdStrike、Snyk、Axonius 和许多其他公司都是由第二次甚至第三次创业者创建的,他们积累了丰富的知识,了解什么才是最有效的,因此决定组建更大的创始团队。

我认为三个人一起工作可能是理想的安排,尤其是如果他们的技能互补的话。例如,

  • 经验丰富的安全工程师,能够负责技术产品管理、售前和技术销售。此人可以成为公司的技术代言人。

  • 经验丰富的产品和/或销售主管,专注于市场推广(销售、市场营销、合作伙伴关系等)、融资和运营。他可以成为公司的业务代言人。

  • 具有构建安全产品经验的软件工程师,能够负责工程设计(架构、招聘和执行),并担任首席技术官(CTO)。这个人可以更专注于内部。有趣的是,这与以色列网络安全初创公司经常采用的模式类似。

安全领域的连续创始人:成功机会的增加和失败的不同原因

在创办初创企业方面,没有规则,只有模式。我发现,与初次创业的人相比,经验丰富的创业者更有机会打造出行业领导者,并追求雄心勃勃、复杂的未来愿景。尽管人们很容易认为任何人都能解决任何问题,但实际上,如果初次创业的人选择定义更明确的问题、竞争不那么激烈的市场或需要大量努力和市场教育的问题,他们通常有更大的成功机会。定义更明确的问题不一定会导致较小的成果。以 Duo Security 为例。Duo 解决的问题范围非常明确:帮助公司采用多因素身份验证来大幅改善其安全态势。Duo 被思科以 23.5 亿美元现金收购——对于公司和两位都是初次创业的创始人来说,这都是一个极好的结果。

首次创业者很有可能创立一家大型安全公司。Okta 和 Duo 就是很好的例子。然而,Splunk、CrowdStrike、Palo Alto Networks、Wiz、Zscaler、Fortinet、SentinelOne 和 Tenable 等绝大多数行业领导者都是由经验丰富的创业者创立的。这很直观:他们积累了大量知识和经验,能够执行并使他们的下一家公司比之前的任何一家都更成功。经验丰富的创始人的愿景和抱负往往会随着创业之旅的进展而逐渐增长。在实现一两次退出后,他们中的许多人会尝试以前未解决的、失败风险很高的问题领域,如果成功,则会获得不成比例的高回报。这是有道理的:作为拥有退出经验的成功创始人,他们不再需要考虑赚钱,而是可以全心全意地实现对整个行业的影响。

重复出现的模式是,经验丰富的创业者从第一天起就试图打造品类领导者。他们筹集大量资金(比如 5000 万美元或更多的种子资金),并试图迅速领先于竞争对手。最近被 Zscaler 收购的 Avalor 公司的创始人之前曾创建并退出了 Datorama(Salesforce于 2018 年以约 8 亿美元收购了它)。由 Twistlock 创始人( 2019 年被 Palo Alto Networks 以 4.1 亿美元收购)创办的公司 Gutsy的创始人在 2023 年筹集了 5100 万美元的巨额种子轮融资。

更多的经验使创业者能够有更广阔的视野,也更容易获得他们所需的支持,使他们随后创办的每家公司都取得更大的成功。他们可以在第一天筹集到更多的资金,他们拥有一支久经沙场的核心团队,等等。在我看来,增加连续创业者成功几率的最关键因素之一就是网络。如果他们在 CISO 中建立了良好的声誉,并证明他们制造的产品有效且有附加值,那么安全领导者很可能会愿意尝试他们开发的新解决方案。反之亦然:那些因 FUD 和不道德的销售行为而毁掉自己声誉的创始人,就是在为自己的失败埋下伏笔。诚信很重要,尤其是对我们这些打算留在这个行业并将安全工作视为终生追求的人来说。

虽然经验丰富的创始人通常成功的可能性更高,但事情也并非那么乐观。我注意到,第二次和第三次创业失败通常不是因为执行不力,而是因为他们试图执行以前奏效的策略。他们中的一些人没有意识到市场在不断发展,十年前奏效的方法今天可能不再奏效。而且,在极少数情况下,旧方法确实有效,但却很少是最有效的方法。

原文链接:

https://ventureinsecurity.net/p/structuring-founding-teams-to-win

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。