在上一篇文章中,我讨论了为什么厂商定价对安全团队来说是个问题。原因之一是,一般的安全负责人很难与厂商进行激烈的谈判,因此人们最终支付的费用比他们需要的要多。我只是想旁敲侧击一下,但有几个人已经向我诉说了他们的苦衷。
谈判着实是个难题:有几家厂商,我有足够的样本数据,能对其定价策略稍有把握地发表看法。有一家厂商最初报价约220万美元(当时我的厂商总预算约为这一数额的三分之一),随后报价依次降至70万美元、40万美元、28万美元、23万美元、15万美元,最终降到5.5万美元,这一过程持续了好几个月。还有一家厂商一开始要价200万美元,在收到一条短信后直接降至20万美元。我认识一些和我所在公司规模相当的同行的同行,他们拿到的报价跨度涵盖了上述各个区间。我没听说过有谁拿到了最初那200万美元的报价,但有一两个拿到70 - 80万美元报价的,有不少拿到40 - 80万美元报价的(这让人挺无奈的),还有太多人对他们拿到的30万美元的合同感到满意。这种大幅度的价格波动决定了我们的预算,而且在安全产品销售领域这种情况屡见不鲜 。
这篇文章是关于如何与安全厂商进行有效谈判的建议。我在博客中尽量以证据为基础,以第一原则为原则,但在这里我做不到:我的样本受到 NDA 的严格限制。那么,你为什么要相信我呢?因为我很擅长谈判。一旦我的采购或财务团队发现了我的能力,我就会被拉去谈判工程、IT 和一般 SaaS 合同。我读过销售人员读过的所有书,并在多个行业实践过。
你未加防范的社交工程威胁者
社会工程学是最有可能让你遭受入侵的方法。尽管如此,作为一种威胁媒介,它仍然被低估了。网络钓鱼所获得的资源远远不及其可能性所应获得的资源。延续这一趋势,还有一种完全被忽视的社交工程威胁行为:安全厂商销售代表。
你的销售代表已经花了数千小时研究人类行为,学习如何影响并说服你做符合他们最大利益的事情(把你雇主的大量资金交到他们手上),即便这并非符合你的利益。这恰恰就是他们的本职工作。而且很多人在这方面相当擅长。如果你有一个规模较小且严重依赖厂商的安全团队,那么因向安全厂商支付过高费用而导致的预期年度损失,很可能比网络钓鱼造成的损失还要高 。
因此,我们需要有一种对抗的心态。谈判是痛苦的。它很艰难,很尴尬,会让你感到不舒服,会让你感到道德上的恶心。但你的销售代表就是你的对手,就像英国青少年一样。你的每一通电话,每一张礼品卡或一顿丰盛的晚餐,他们说的每一句话都是在试图操纵你。对他们来说,你不过是一个活生生的配额。我们需要以毒攻毒。
如果这还不能让你信服,那么这也是你为下一次工作谈判进行练习的一种方式。你也可以在工作之外使用它;商品和服务中可谈判的比例令人吃惊。当你和你的水管工站在污水横流的污水管前时,把价格谈低 40% 是一种美妙的感觉。
注:我和几个销售人员是朋友,我个人并不讨厌他们。不要讨厌玩家,要讨厌游戏。销售人员在酒馆里很好混,他们很好地隐藏了自己的角和尾巴(意即隐藏逐利的本性)。
基础知识
这不是一篇一般性的谈判文章。这方面的书籍很多:《Influence: The Psychology of Persuasion》、《Never Split the Difference》、《The Art of Negotiating the Best Deal》。已故的伟大人物Ross Anderson在《Security Engineering》的心理学章节中讨论威胁行动者时做了很好的总结。
在这里,我们可以列举一些来自 Cialdini 和 Anderson 的有用策略:
互惠性:大多数人认为有必要回报恩惠
承诺与一致性:如果人们觉得自己前后矛盾,就会产生认知失调
社会证明与追随:大多数人都希望得到他人的认可。这意味着在自己所属的群体中追随他人
喜欢:大多数人都愿意听从长得好看或其他方面讨人喜欢的人的要求。
权威:大多数人对权威人物敬而远之
稀缺性和时间压力:我们害怕错过,如果我们可能想要的东西突然没有了,就会导致人们直接采取行动,而不是停下来思考
需求和贪婪--销售培训师告诉我们,我们应该找到别人真正想要的东西,然后告诉他们如何得到它。优秀的欺诈者可以帮助目标实现梦想,并利用这一点榨取他们的利益
网络安全领域的谈判
获得有竞争力的投标
你能做的最简单的事情,不涉及任何尴尬的心理,就是始终获得有竞争力的出价。出价不一定要多,只要有两家出价就能引起竞标战。尽管如此,你也不想一开始就淘汰太多厂商。我曾在一个评估周期的早期,把自己的报价降到 1-2 个选项,而这是不应该的。你要让自己成为稀缺资源,而不是厂商(稀缺性)。
在开始竞价战时,告诉每个竞价者你有来自竞争对手的强有力报价,尤其是他们不喜欢的报价。你可以通过产品类型广告的竞价战来了解谁不喜欢谁(以及谁在广告上花费了更多的 SaaS 费用):
我不得不向下滚动,才能避开广告,看到真正的搜索结果。我们每天都离“上帝的指引”越来越远。
或者谁在竞争对手的搜索词上购买广告:
Dynatrace 在广告上花费了大量资金,这些广告针对的是那些试图登录 Splunk 实例的用户。
厂商会针对那些他们认为自己能够战胜的竞争对手展开竞争,而且这些竞争对手也是其市场进入(GTM:Go-To-Market )团队最为重视、竞争意识最强的对象。要关注市场动态:新兴的初创企业通常会更积极地想要打败行业内的老牌巨头,而在新产品类别中同时起步的公司之间竞争也会更为激烈 。
销售人员争强好胜;他们想通过获胜发财,你可以利用这一点来对付他们。他们会更在意在价格上被自己的劲敌击败,而不是被某个他们几乎不认识的随机厂商击败(需求和贪婪)。你可以说,无论你的最低出价是多少(或者只是你想支付的价格),都来自于那个竞争对手。要求所有厂商给出最佳和最终报价,然后给你想要的厂商的代表发短信,说有其他人的报价更低,但如果他们在周一之前给你更好的报价,他们很可能会赢。这样你就会变得稀缺,因为他们即将失去这笔交易,而且他们会认为你帮助了他们(互惠)。
价值否定
对于厂商而言,要想实现价值变现,首先得展示出价值。这样一来,你为他们所创造的部分价值付费就说得通了(遵循一致性、互惠原则)。如果你的销售代表说想要 “向你展示价值” 或者 “向你证明他们的价值”,通常你就能判断出这家厂商是以价值提取为导向来定价的。他们会努力让你相信他们为你提供了价值300万美元的安全保障,这样你花100万美元购买就感觉像是捡到了大便宜。这就让销售代表容易落入我最喜欢的一种策略陷阱:价值贬低法。由于他们的整套思维模式都围绕着向你展示价值并从中获取回报,所以你可以通过让他们相信自己提供的价值微乎其微,来打乱他们的节奏。这样一来,他们试图提取的价值就会变少!
假装你要自己开发构建(相关产品)。这是我上一篇文章的一个关键要点:拥有更多能够构建你所购买产品的内部版本的技术安全工程师,有助于你在谈判中压低价格,因为这样一来,他们所提供的价值就从保障你的系统架构安全转变为节省一名工程师几个月的开发时间。当你确实拥有这些技术人员时,操作起来会更容易,但这并非必要条件。厂商并不知道你的团队能做什么。你可以佯装(有这个能力)!
不管他们是哪种类型的厂商,你都要表示想选择另一家,让他们觉得需要在价格上更具竞争力。如果他们在行业内属于顶尖水平,有很多酷炫的功能,从而得以跻身于Gartner魔力象限的前列,那么你所有的讨论都要聚焦在该领域所有产品都具备的核心功能上。当与该领域功能较少的厂商交谈时,你要把大部分时间花在谈论那家低价厂商所不具备的酷炫功能上。这样一来,他们为了弥补差距,甚至会进一步降低价格 。
考虑外部制约条件
销售中的一种经典策略是借助外部因素。汽车销售员需要跟经理核对价格,于是他走进经理办公室,两人花5分钟聊了聊幻想橄榄球,然后销售员出来说他已经为你尽力争取了,但不幸的是,没能把价格降下来。这种情况在B2B软件销售中也存在:你的销售代表也会如法炮制,找来他们的副总裁或财务人员充当阻碍因素。在所有这些情况中,这都是一种虚假的限制因素,目的是让你对销售代表产生好感(喜好原则),让你觉得你们俩是在共同对抗外部限制因素(权威原则),而且对于他们那种愤怒强硬的态度也无计可施。人类的这种反应非常自然,所以你也可以对销售代表如法炮制。制造你自己的虚假外部限制因素。这些可以是人、流程,或是不可改变的因素 。
显而易见的一个限制因素是预算,而且由于预算通常都很严格,你的销售代表会在前期就试图弄清楚你的预算是多少。正如你在求职面试时绝不能一开始就说自己能接受的薪资数额一样,在这里你也需要委婉一些。一旦你们已经进行了几轮谈判,这时再提出你首席执行官(CEO)或首席技术官(CTO)给出的预算。努力让他们把价格谈到这个新预算的范围。然后,在最后关头,当你正在查看最终合同,而销售代表已经在计划着在DraftKings网站上用他的佣金去下注九串一的玩法时,告诉他自己由于某些原因,厂商预算减少了,你再也负担不起之前的金额了。在这种情况下,你有可能再争取到一个折扣,尤其是如果你的销售代表此前那些投注都已经输了的话。
非技术利益相关者(如你的老板或采购团队)的意见是很大的制约因素。如果你要与 Palo Alto 谈判,你的老板可能非常喜欢时髦的新厂商 Wiz-Google;如果你要与 Wiz-Google 谈判,你的老板可能是 Palo Alto 的老买家,你需要说服他。安全厂商往往看起来像更便宜的非安全厂商,因此,如果你正在与一家SOAR厂商谈判,你可以说你的采购团队不明白 SOAR 和 Zapier 之间有什么区别,他们希望看到更多类似的定价。这些反对意见不一定要正确,只要能隐约说得过去就行。
你也可以利用技术利益相关者的意见作为限制因素。销售人员通常料到工程师会比较难缠,那就利用这一点。安排工程师参与电话会议,并且态度强硬。要像林纳斯·托瓦兹(Linus Torvalds)在Linux内核邮件列表里对那些本意良好的开发者大发雷霆那样强硬。为你准备一些技术问题让工程师去问,这些问题你要知道厂商会难以应对,尤其是那些他们的竞争对手可能更擅长处理的问题。让你的工程师发出表示不满的咕哝声。之后,给你的销售代表发消息,说会议进行得不太顺利,工程师们不太认可。他会陷入被动,会竭尽全力挽救这笔交易 。
向他们施压
给你的销售代表施压是一件非常容易的事情。他们对人类行为的了解根本无法与他们的生活压力相提并论。他们靠着明确量化的业绩指标过活。如果他们在某个季度或年度的销售业绩太差,收入就会很糟糕,更糟的是,他们会被销售这台大机器里的另一个量化齿轮(指其他销售代表)取代。如果你曾在季度末和销售团队一起做安全评估或者商讨合同的关键条款,你就很清楚这一点。他们神经紧绷。我常常觉得自己就像是一只金毛猎犬,在安抚他们那焦虑的猎豹般的能量,不过当然不像现实中那么可爱啦。
因此,在购买时,应尽量给他们施加压力。确保你是在季度末购买(时间压力)。如果他们还没有完成配额,他们就会想方设法让你以低价成交(如果他们没有达到收入目标,整个公司也会如此)。
在交易上多花时间。让他们投入尽可能多的时间;他们花在与你打交道上的时间越多,花在其他交易上的时间就越少。进行全面的价值验证。参加他们昂贵的厂商活动,接受他们的晚餐和免费赠品。你要努力增加他们获得你这个客户的成本。他们在你身上投入的越多,就越需要达成交易来证明这些沉没成本的合理性。为了不浪费时间和精力,他们会接受低于预期的利润率。
给予希望
为了弥补这些压力,你需要给予人们希望。希望会让人们长期处于片面、不健康的状态。问问达拉斯牛仔队、多伦多枫叶队、纽约大都会队、费城 76 人队或托特纳姆热刺队的球迷就知道了。
所以,当你没有采用价值贬低策略时,要在交易和厂商的事情上表现出兴奋。打电话时态度要真诚友善。让他们觉得你会达成这笔交易,他们只需跨越最后一道障碍。这一次,在你购买之前,这真的是最后一个需要解决的问题了 。
对于他们销售的其他产品(即便你目前并未购买),或者对于某些潜在的未来应用场景(如果当前合作顺利,这些应用场景将大幅增加你的费用支出),要表现出兴奋和乐观的态度。这被称为“先立足再拓展”的交易,这类交易对他们来说极具吸引力。他们会愿意在与大公司的相对小额交易上花费大量时间,同意一些不合理的条款,期望之后通过大规模拓展业务来获得回报。
你可以主动提出让自己成为可推荐案例。这可以小到只是让你的公司标志出现在他们的网站上,也可以大到作为他们产品的热情推广者,参与到他们的潜在客户/客户活动中。当你为一家厂商希望与之关联的公司工作时,这种方式效果最佳。我在那些知名的大型软件即服务(SaaS)公司拿到的交易条件,要比在小初创公司时更好。而且,当你听起来对产品充满热情,并且能够清晰流畅地表达出来时,这种方式的效果会更好。他们会希望把你介绍给潜在客户,并且在定价时确实会考虑到这一点 。
祝你好运
当我最初分享这篇文章的草稿时,有人问我:“好吧,如果你把所有的谈判策略都写在一篇关联着你真实姓名的博客里,难道你交谈过的每个厂商不会都读到这篇文章,从而知道你在做什么吗?” 我不这么认为。虽然那些试图向我推销东西的销售代表在我早期订阅者中占了相当大(令人沮丧)的比例,但我认为实际上没多少人会去读它。
更重要的是,所有这些策略的强大之处在于,即便你知道自己正在被它们影响,它们依然有效。这就是我们有缺陷的心理的强大力量,也正是为什么这篇文章讲的是你可以对他们采取的行动,而不是防止他们操控你的防御策略。防御要困难得多!我们愚蠢又易受影响的大脑太容易犯错了。相比之下,对他们进行反向操控要容易得多 。
所以,朋友们,去读一读谈判方面的书籍,运用这些策略,对这类社会工程学威胁进行反击。如果我们谈判技巧足够高超,说不定我们的销售厂商朋友们会主动放弃(那些手段),一开始就给我们公平、透明且互惠互利的定价,这样我们就能避免所有这些麻烦了?当然不可能,但梦想还是要有的嘛 。
原文链接:
https://securityis.substack.com/p/security-is-a-negotiation-problem
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
