网络安全创业成败的11个关键理念

经过多年对网络安全行业的深入观察，以及亲身经历创意构思、客户需求探索和核心方向筛选等过程，我梳理了一系列关于行业痛点的笔记。

本文将从多个维度剖析，探讨何为 “理想” 的网络安全创业构想。

关于创业构思的总体思路

没有完美的创意

首先说明一个显而易见的事实：世上本无完美的创业想法。即使存在，可能也无关紧要 —— 因为即使两个创始团队拥有相同的创意，起点完全一致，最终打造出的产品也会截然不同。随着时间推移，他们会在产品设计、市场定位、推广策略、目标客户群体以及诸多其他因素上出现分歧。

同时，我必须承认，那种 “想法不重要，一切都靠执行” 的观点在我看来完全错误。创业想法是起点，是初始切入点，而把这个起点选对，其重要性远超许多人的认知。固然不能陷入过度分析的泥沼，但尽早花时间深入了解市场同样关键 —— 当公司还停留在商业计划书阶段时转型要容易得多（成本也低得多！），而不是在融资后，风险投资机构催着创始人快速执行时才发现方向错误。朝着悬崖狂奔只会让公司更快坠落。当然，转型和调整不可避免，但大多数公司的转型往往局限在原有市场边界内，甚至围绕最初的理想客户群体（ICP）调整（除非是 YC 孵化的创业公司，它们可能从应用安全领域直接转型去做宠物主人的 APP 之类的）。

没有切入点的客户需求探索毫无意义

在行业内，很多人把创业构思等同于向企业CISO询问他们面临的问题。我自己也做过不少这样的沟通，亲身体会到这类交流在大多数情况下价值并不大。背后的原因有几个：

首先，当你向CISO询问他们面临的问题时，99% 的情况下得到的答案都是行业内众所周知的痛点：身份认证、网络钓鱼、勒索软件、资产管理、漏洞管理，以及让开发人员规范操作等等。这反映了行业的现状 —— 我们试图解决的这些问题，其实通过阅读一篇网络文章就能基本了解，别让忙碌的CISO在视频会议上反复讲述这些日常困扰了。

其次，如果你向 10 位CISO询问他们对同一问题的看法，往往会得到 11 种不同的答案。细想一下这其实很合理 —— 每个企业的安全体系都是独特的。这就好比你问司机 “理想的汽车应该具备什么功能”：有人会说需要警报器，有人希望能容纳 50 人以上，还有人会要求能装载 3000 加仑的水。但如果不搞清楚每个人说的 “汽车” 实际对应什么使用场景（比如是救护车、大巴车还是消防车），这些反馈根本无法帮助你设计出满足他们需求的解决方案。

Image Source: ChatGPT

比询问CISO面临哪些问题更糟糕的，是直接问他们 “理想的解决方案应该是什么样”。实际上，从业者往往很难想象解决方案的迭代方向，直到有人率先提出愿景 —— 这一点其实很好理解：安全从业者每天忙于处理具体事务，要想提出独特的视角，需要有时间跳出日常，从更高的层面观察问题。但由于工作本身的高强度和紧迫性，很少有人能真正做到这一点

根据我的经验，唯一有效的客户探索方式是：先提出一个具体的愿景方向，然后去了解这个方向为什么可行或不可行 —— 而不是纠结于讨论愿景本身。每个人的情况可能不同，但这种方法对我来说效果最好。

再次强调，世上不存在完美的创业想法

在深入探讨我审视创业想法时会考虑的各个方面之前，我需要再次强调：我们的目标并非要想出一个完美的创业想法，而是要深入思考并考量那些会影响成功概率的关键因素，并基于这些因素做出明智的决策。

既然如此，接下来我们来看看需要考虑的一些因素。

理想的网络安全创业点子：初创者需考量的 11 个核心要素

对于网络安全初创公司而言，创始人与市场的契合度是决定成败的首要因素

在安全市场摸爬滚打多年后，我现在确信：世上没有值得深耕的 “好问题” 领域，没有 “绝佳” 的细分市场，也不存在 “完美” 的创业想法。唯一重要的是：你的创始团队是否是解决某个特定问题的 “天选之队”。具体来说：

在新兴且竞争不太激烈的市场中，创始人往往有足够时间摸索方向。当没有人在身后紧追不舍时，试错、犯错甚至花时间慢慢理清思路都是可以接受的。但网络安全领域并非如此 —— 一旦有创始人盯上某个创意，立刻会有 2 到 5 家公司带着相同愿景起步。如果创始人缺乏扎实的 “创始人 - 市场契合度”，需要从零学习一个新领域，或者对所涉足的问题空间没有敏锐的直觉，那么他们还没开始编写一行代码就已经落后了。

对我个人而言，这个认知并非轻易得来。我曾在多个行业担任产品相关角色，总能快速理解新领域，通常 4 到 6 个月就能成为行业内的资深玩家。在抵押贷款科技领域时，我两三个月就考取了经纪人执照；加入一家端点安全公司后，也迅速掌握了新领域的知识。但看似反直觉的是，决定围绕什么问题创立公司，与决定加入哪家公司有着本质区别：加入一家公司时，前 30 天、60 天甚至 90 天内，没人指望你立刻创造价值 —— 大家理解你需要时间熟悉领域、建立同事关系，然后再开始发力。但创业时，你必须从第一天就做出关键决策。如果你对自己涉足的领域不够熟悉，稍有犹豫，至少有 2-5 家同样在做这件事的公司会随时超越你

创始人与市场契合度之所以至关重要，还有一个原因：安全产品是按类别采购的，而要在某个特定类别中实现创新，创始人通常需要对该类别的过往发展有深刻理解。当然，有时凭借全新视角切入市场能让创业者以不同方式解决问题，但即便如此，他们也必须有坚定的观点和对自身判断的绝对信心。

道理很简单：如果你在身份认证领域缺乏专业积累，创立一家身份认证公司就会更难；如果你不熟悉端点安全，要打造一家端点安全初创公司也会举步维艰，诸如此类。对于连续创业的老手来说，情况没那么绝对 —— 他们能快速组建顶尖团队，在新领域自信地执行落地。但反之，首次创业者即使在自己熟悉的领域创业都会犯错，若贸然进入陌生领域，更是劣势尽显。

优势体现在两个方面：产品本身和市场进入策略

创始人与市场的契合度体现在两个方面：市场进入策略（GTM）和产品 / 技术能力。理想情况下，创始人应同时具备在特定市场或细分市场的销售经验，以及在该领域打造产品的专业能力。在其他条件相同的情况下，若一个联合创始人具备构建云安全解决方案的经验，另一个联合创始人具备云安全解决方案的销售经验，这样的团队往往能胜过仅具备单一领域专长的团队。

正如我们所讨论的，现实中很少有理想的完美配置。就我个人而言，关键在于创始团队至少具备两类经验中的一种（要么是销售经验，要么是产品构建经验）。

让创业想法与人才获取能力相匹配

假设你已经有充分证据表明存在一个客户关心且愿意花钱解决的问题，也确信自己具备开发并销售解决方案的相关技能和经验，并且有理由相信能比别人做得更好。那么接下来的问题是 ——“谁来开发这个产品？”

我认为许多安全领域的创业者都低估了这个问题的重要性。总体而言，安全产品分为两类：一类只需几名全栈工程师、无需深度专业技能即可开发，另一类则需要高度专业化的人才。比如，态势管理通常属于前者，而检测与响应往往属于后者。你可以用一个全栈开发团队打造帮助企业管理 SaaS 许可证的工具，但全球可能只有 50 人具备足够经验来开发端点代理（这是举例说明，我并未实际统计过）。新兴技术如 AI 也是如此：有些想法靠优秀的后端工程师就能实现，而另一些则需要深耕 AI 特定细分领域、且极难寻觅的世界级博士才能完成。

不难注意到，网络安全领域的软件工程人才如今高度集中在以色列。尽管人们普遍认可以色列是漏洞研究和网络攻击领域顶尖人才的重镇，但很多人可能没意识到，美国本土专注于网络安全的软件工程师也正变得稀缺。随着越来越多安全厂商通过收购或扩张在以色列设立研发中心，拥有安全产品开发经验的美国本土软件工程师储备正在不断缩减。

无论如何，创业者在决定追求何种创意时，必须具备战略思维，并充分考虑自己能否获取构建理想产品所需的专业人才。

关于 “要做止痛药，而非维生素” 的话题

关于 “止痛药” 还是 “维生素” 的话题还有很多值得探讨的地方。如果有人不熟悉这个概念，这里先解释一下：“止痛药” 是解决客户核心刚需的必备方案（客户没有就 “疼”，必须解决），而 “维生素” 是提升体验的非必需方案（有更好，没有也能凑合）。在网络安全领域，这一概念可以直接对应到两类产品：一类是满足合规要求的 “刚需产品”（止痛药），另一类是不满足合规要求的 “改善型产品”（维生素）。

如果你的目标是打造一家风险投资级别的大型安全公司，创业者应专注于开发支持合规要求的产品（理想情况是能直接满足合规清单，或让合规流程大幅简化）。那些产品功能与合规要求无直接关联的公司，往往很快就会耗尽市场空间，或被迫转型。但如果你的目标是自筹资金的小而美企业，专注于 “维生素” 类产品反而可能是个好选择 —— 因为大多数风险投资机构通常会避开他们眼中的 “小众问题”，这就为不需要追求庞大目标市场（TAM）的创业者留下了机会。

无需跨部门采购

另一个影响创业公司成功概率的因素是：其产品或服务能否由同一团队完成营销推广、销售及部署。。

理想情况下，安全产品应由安全团队负责采购、部署、管理及使用。当安全团队需要其他部门协助部署新工具时，若这些部门向同一位高管汇报，将是最理想的情况。例如，若CISO向CIO汇报（或反之），双方更易在工作优先级上达成一致。这种一致性能让安全团队在推出新解决方案时，更轻松地获得 IT 或网络团队的支持。相反，CISO与CTO通常没有直接汇报关系，这可能导致优先级错位，协作效率降低。

一条经验法则是：购买和使用产品的团队也应直接从该产品中受益。例如，由安全团队部署和管理的云安全产品，相比之下，比那些设计为供工程师使用或需要工程师来部署的云配置错误预防工具更容易销售。

任何创业者都会告诉你，不得不应对跨团队采购会让市场进入策略（GTM）难上加难。Gartner有一张出色的图表，展示了 B2B 领域中买家的决策流程是什么样的。尽管每家公司和每个产品的情况各不相同，但其核心逻辑一致：即使存在明确的采购方，推动一家企业做出决策也是一个复杂的过程，更不用说当需要两三个团队共同决定 “谁需要这个解决方案、谁来付费、谁来管理” 等问题时了。

图片来源：Gartner

无阻力部署

不久前，我在LinkedIn上发过一篇帖子，提到 “我认为在 2025 年，没有哪家初创公司能说服CISO在其环境中部署新的代理程序。这是事实。价值实现时间比洞察的深度更重要。” 这句话虽然说得太简单了，但帖子引发的讨论很能说明问题。当然，有人认为更深层的可见性很重要，安全覆盖的深度也至关重要，等等。

社交媒体讨论是一回事，现实情况是另一回事。在现实中，可行性和价值实现时间往往（如果不是永远的话）会成为决定因素。当然，在其他条件相同的情况下，若能在简单的部署体验中获得更深层次的安全洞察，那再好不过。但实际情况并非如此 —— 当安全团队需要在两个方案间做选择时：一个是覆盖能力足够好、一周内就能部署的产品，另一个是覆盖能力更好、但需要与 IT、工程团队周旋半年（只为说服对方接受 “又一个代理程序”）才能部署的产品 —— 大多数团队会选择 “足够好” 的那个。

Wiz 公司的案例很好地说明了这一点。其 “无代理” 的产品理念，加上流畅的用户体验和快速生成的安全洞察，使其演示和销售过程都非常顺利，深受CISO和安全团队的喜爱。反观 Lacework，虽然通过代理程序获取工作负载内部的详细遥测数据，提供了更深层次的安全监测，但代理部署带来的阻力、更长的实施周期以及更复杂的架构，导致其销售周期缓慢，即使安全洞察更深入，在早期评估中也往往缺乏吸引力。当然，这两家初创公司的发展历程涉及诸多因素，但部署过程是否 “无阻力”（或是否存在阻力）无疑是导致二者结局迥异的关键因素之一。

我逐渐意识到一个现象：CISO往往会高估安全团队的实际执行能力，以及团队为完成任务愿意克服的困难程度。这并非因为他们判断失误 —— 他们清楚需要做什么，也真心想采取正确行动。问题在于，当实际执行时，他们在实施安全控制措施时遇到的阻力往往远超预期。一旦出现这种情况，他们就不得不进行优先级排序：对于那些对安全态势绝对关键的工具，比如用于防范勒索软件的终端检测与响应（EDR）工具，他们会全力以赴完成复杂部署；但对于那些 “锦上添花” 或优先级较低的解决方案，他们则很少愿意投入同样的精力。这就是为什么 “无阻力部署” 如此重要：如果工程团队的领导层认为某些安全控制措施 “不合理” 并提出反对，除非 CISO 认为这些措施至关重要，否则很可能不会坚持推进。

解决安全问题，始于可见性

在安全领域，解决问题的起点是可见性。尽管现在业内人士和社交媒体上的意见领袖们开始流行宣称 “行业已经受够了可见性”，但这种观点忽视了一个基本事实：可见性始终是识别、理解并最终解决安全问题的第一步。无论是网络流量、工作负载行为、访问模式还是配置错误，若缺乏对环境中实时动态的清晰洞察和可执行信息，安全团队的响应就如同盲人摸象。可见性为威胁检测、策略执行和风险优先级排序奠定了基础 —— 它本身并非解决方案，但却是后续所有行动的必要前提。

对于CISO和安全领导者而言，可见性是实现高效决策的关键。无论是为新工具、流程变革还是团队扩张论证投资的合理性，他们都必须先明确安全漏洞所在，以及这些漏洞如何影响业务。一项安全控制措施若存在缺失、配置错误或被绕过，只有被发现才能得到解决；某个工作负载若在泄露敏感数据或连接未经授权的端点，只有先被监测到才能被阻止。有效的安全体系构建在对 IT 环境的测量、监控和映射能力之上。可见性并非最终目标，但它永远是安全工作的起点 —— 没有可见性，就没有安全的前行之路。

对于创业者而言，这意味着：如果目标领域已有可见性产品能暴露安全问题（从而让他们有机会销售修复方案），那么他们需要从构建可见性层（即先暴露安全漏洞）入手。最理想的产品形态是能快速发现问题，并立即提供修复能力—— 这样既能通过可见性价值（证明问题存在）论证产品存在的必要性，又能通过修复能力（直接解决问题）实现实际价值。

另一方面，仅提供可见性的产品正变得越来越难销售，因为它们只会给本就不堪重负、疲于应对源源不断 “紧急” 任务和优先级变化的安全团队增加更多工作。诸如各类资产管理平台等解决方案，普遍存在 “那又怎样” 的问题：理论上，人们需要将所有安全问题集中管理，但实际操作中，很难证明购买另一个 “问题存储库” 比选择一个更能直接解决问题的方案更有必要。

避免开发需要用户大幅改变行为习惯的产品

我认为，作为初创公司，必须明智地选择值得攻克的战场。试图说服整个行业其现有做法有误，往往是一场不值得打的仗。正如一位非常成功的企业家在我们的一次讨论中所说：作为一家公司，你需要比部分潜在客户更有洞察力，但绝不能比所有潜在客户都 “高明”—— 否则，你将失去所有客户。。

从广义上讲，如果采用某个新解决方案需要客户彻底重构整个安全体系，并质疑自己和团队多年来做出的决策，那么这家初创公司成功的可能性极低。大多数组织不愿（也无法）仅仅为了适配一个新工具而推翻根深蒂固的策略 —— 无论这个工具多么创新。更明智的做法可能是顺应企业现有的工作方式起步，通过循序渐进的方式帮助他们实现升级。总之，依赖客户行为的 “颠覆性改变” 来推动产品落地，基本不会奏效。

让产品契合各方利益诉求

若想让采购流程更顺畅，需让参与采购的多方尽可能都能从中获得价值。很多重大合作机会的出现，往往源于买方团队中有人希望通过引入某个解决方案实现职业上的重大突破—— 例如，他们可能正押注于公司的数字化转型，若能通过引入合适的供应商成功推动这一目标，就可能获得晋升总监、副总裁等机会。因此，若一款产品不仅能解决安全问题，还能带来更多附加价值，往往更易被采纳。Chainguard 就是一个典型例子：它通过让安全能力无缝融入开发流程且不干扰开发工作，为开发团队提供便利，同时又为安全团队提供了更强的控制能力和可见性。这种跨部门的价值提升了产品的适用性，使其在复杂的企业环境中更易取得成功。

理解利益相关者动机的另一个方面，是要明白哪些因素可能影响人们的职业生涯、引发冲突甚至导致被解雇。安全领导者必须有所取舍，避免在非绝对必要的地方引入摩擦，这包括避免试图修复本就没有问题的东西。没有客户会替换自己花费数百万美元和多年时间才采用的产品。例如，CIO或CISO如果向CEO提出 “我们需要 500 万美元来替换我们刚花了 3 年时间和 1000 万美元实施的 Zscaler 或 SailPoint”，很可能会被解雇

从第一天起就向企业销售产品

有一点大多数人都没意识到（我也是直到最近才明白）：如果你想打造一款面向企业的安全产品，就得从一开始就直接卖给企业。

传统的产品策略建议是从中小企业（SMB）入手，然后拓展到中端市场，最终进入大型企业市场，逐步从 500 人规模的公司向 1000-2000 人、最终到万人以上的企业进军。这种策略在某些行业或许可行 —— 比如通过添加单点登录（SSO）、多因素认证（MFA）、基于角色的访问控制（RBAC）和 7×24 小时支持等功能，让产品变得 “适合企业”。但在安全领域，这种方法行不通。大型企业的需求及其环境的复杂性，与中端市场和中小企业有着根本区别。你无法通过后期改造让产品适应大企业的需求。如果你的目标是服务头部企业，就必须从第一天起就围绕它们的需求进行设计。看看那些最成功的安全公司吧：Okta、CrowdStrike、Zscaler、Palo Alto、SailPoint—— 它们都是从为大型企业打造产品起步的。

这里的核心观点并非所有人都应该瞄准大型企业 —— 每个市场细分领域都有大量机会。关键在于，如果你确实目标是高端市场，就必须找到尽可能贴近它的起点，理想情况下从第一天起就为这些企业设计产品。

向以工程为核心和非以工程为核心的两类公司进行销售

无论你追求哪个创意，都必然要从某个细分市场起步。真正的问题是：选哪个？我见过一个常见误区：创业者专注于为硅谷科技公司里以工程为核心的安全团队开发产品，却没意识到如果产品需要安全工程师才能操作，其市场将非常有限 —— 因为大多数公司根本没有这样的团队。。

理想情况下，你需要定义自己的理想客户画像（ICP），让以工程为核心和非以工程为核心的安全团队都能使用你的产品。你可能仍会从工程导向明显的群体入手，因为他们往往是早期采用者，但你的产品不应局限于他们。

从何处寻找网络安全初创企业的好点子

安全领域几乎所有方向都有人尝试过，除人工智能和新兴技术等明显例外，大多数问题已有详尽记录并为人熟知。如今的创新机会不在于 “解决什么问题”，而在于 “如何解决问题”——换句话说，不是去挖掘全新的问题领域，而是用新方法攻克现有难题。

我认为有五个方面值得关注：

1.新技术为更好地解决现有问题创造的机会。人工智能当然是其中之一，但跳出 AI 范畴也会有收获 —— 尤其是当你想到WireGuard、eBPF、Osquery等技术进步曾催生过多批企业时。

2.关注那些让行业感到疲惫的领域。例如，身份管理整体上已被私募股权主导，企业长期以来一直在寻求该领域的新解决方案。

3.关注那些曾仓促进入市场、行事草率的初创公司。它们或许最终取得了成功并被收购，但这并不意味着其他人没有机会尝试并兑现这些公司最初未能完全实现的承诺。

4.关注科技领域的长期趋势及其带来的机会。这包括企业软件采购的分散化、云环境日益复杂、混合办公模式的兴起等。

5.关注攻击者行为的变化。攻击者通常非常务实 —— 只要觉得攻击的 “投入产出比” 划算，就会持续使用有效的手段。

我相信还有其他可以创新的领域，但这些是我在思考创业构思时首先想到的方向。

"为什么是现在？"仍然是决定创意时要考虑的首要因素

在我最近一篇题为《“为何是现在？”：决定安全初创公司成败的关键问题》的文章中，我探讨了一个观点：企业除非迫不得已，否则不会更换其技术栈。在安全领域，有三种 “为何是现在？” 的驱动因素会催生新公司的诞生：

• 新技术让以全新且有效的方式解决问题成为可能，这从本质上使新解决方案更优。例如，当下人工智能能够高效自动化手动流程，进而可能改变技术构建的整个商业模式。举例来说，如今或许可以用前所未有的方式打造高度可扩展、以产品为核心的托管检测与响应（MDR）或渗透测试公司。

• 基础设施的变化使得旧的方法在新的世界中变得不充分或完全不适用。基础设施的转变是 "现在为什么？"的最强类型，因此往往会为十亿美元级公司的出现创造机会。Okta、Zscaler 和 Palo Alto 就是这种现象的最佳例证。

• 基础设施的变革会让旧有的安全方法在新环境中显得力不从心，甚至完全失效。这类结构性变化是最强劲的 “为何是现在？” 驱动因素，往往能催生市值数十亿美元的企业。Okta、Zscaler 和 Palo Alto 网络安全公司便是这一现象的典型例证

最重要的是要记住，无论是在安全领域还是其他领域，都不存在完美的创业点子。

原文链接：

https://ventureinsecurity.net/p/a-perfect-cybersecurity-startup-idea

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。