你知道如何寻找成功的独角兽创始人吗？

以网安公司为例。

当你在RSAC（RSA Conference）的展会上走动时，很难不对这个行业的状况感到困惑。数量众多的供应商似乎都在说同样的话，营销活动的喧嚣声，以及缺乏任何实质性的差异，让一切看起来不真实。然而，尽管看起来每个人都一样，但事实是，在展会上有几类公司：成功的公司，尚未成功的公司，永远无法成功的公司，以及曾经成功但失败了的公司。

我一直对寻找模式感兴趣，并且作为一个相信一切都与人有关的人，我想了解什么使得网络安全创业者成功。本文的主题将是这个：是什么使得网络安全创业者成功，而其他人失败，以及不同因素如何影响他们在这个竞争激烈的市场上的竞争能力。

在深入探讨这些话题之前，让我们先简要谈谈在安全领域中成功和失败是什么样子。

如何判断创业公司的成功：一场哲学讨论

定义成功标准：独角兽估值

第一个任务——定义成功标准或标准——并不容易。通常，传统智慧常常提到公司的独角兽地位：如果一家创业公司实现了十亿美元的估值，那就是成功。截至2022年6月，Retail Bankers International统计了该行业的59个独角兽公司。考虑到当时的经济状况，我相信这个数字已经有所变化，但对我们的讨论来说并不关键。

要理解1亿美元估值是否可以作为成功的衡量标准，重要的是了解估值的更一般意义以及它们是如何确定的。估值是对创业公司价值的主观判断，考虑了它在市场中的地位、客户群体的声誉、品牌知名度、创始人的背景、投资者对他们能否执行的信念程度、市场规模、销售渠道、转化率、收入等许多因素。

虽然我说过，对创业公司进行估值是一个相当主观的过程，但公平起见，也值得指出其他一切价值也是如此：如果有人需要宠物石头，人们会为其支付费用。在创业公司的背景下，重要的是确定价值的经济现实。这是因为如果创始人拥有令人印象深刻的资历、高度的自信，并且能够描绘一个乐观的图景并激发投资者的兴趣，他们甚至可以在产品问世之前或一分收入到来之前就实现非常高的估值。

独角兽估值是否可以作为成功的标准是一个棘手的问题。一方面，创业公司的估值只是少数几个机构投资者的看法，他们受到炒作和需求的影响，这往往是由公司创始人制造的。因此，在公司实现退出（收购或IPO）之前，不清楚市场上是否有其他人愿意为这家公司支付更高或至少与风投公司支付相同的价格。而且，在创业公司宣布独角兽估值和实现退出之间可能发生很多事情。一个例子就是Cybereason，这家公司在2021年中被估值约27亿美元，最近以约其估值的10%筹集了资金，并失去了独角兽地位。目前还不清楚Cybereason的退出将会是什么样。

尽管估值波动不定，它们仍然是一个可靠的指标。这是因为它们为将资金投入公司的投资者创造了激励机制。一旦风投公司在估值超过10亿美元的公司中投入大量资金，它们最关心的就是促成交易并竭尽所能确保公司的售价超过投资时的估值。这就是为什么拥有广泛关系网络的风投公司备受追捧的原因：他们不仅有时能够为公司的增长增添很多价值，而且还帮助创业公司在顶峰时期退出。

定义成功标准：退出

判断创业公司世界中的成功的另一个可能且可以说更具体的方法是公司在退出时的价值。具体而言，我们最关心的是两种情况：首次公开募股（IPO）和收购。

目前，在美国股票交易所上市的网络安全公司不到30家。我之前统计过其中的24家，但后来了解到还有几家，所以30家似乎是一个很好的估计。IPO时的估值是一个更有说服力和令人信服的价值，不是因为它在某种程度上更客观，而是因为更多的买家——经纪人、投资银行等——必须被说服公司的价格是合理的。

对于合并和收购（M&A）也是如此：在其他实体愿意用真金白银购买创业公司之前，它的估值只不过是虚拟的钱。这就是为什么创业公司的创始人通常被称为“纸上百万富翁”的原因。

在网络安全领域，成功和失败具有独特的形态

网络安全公司的失败样貌

无论是在网络安全领域的成功还是失败，都具有相当独特的形态；让我们从失败开始讨论它是什么样子。

有一种被广泛接受的"智慧"是，10家创业公司中有9家会失败：这种说法在许多创业项目、加速器、孵化器以及任何愿意谈论创业的作者口中反复出现。对于这个数字，我有很多问题，因为它是如此笼统、普遍，缺乏任何上下文，以至于它对任何人都没有用处，而且很明显是不真实的。这个数字似乎把很多事情都混为一谈：如果一位学生在暑假期间创办了一家公司，它会和由三位在各自领域拥有十年经验的联合创始人建立的公司被一视同仁吗？如果一家风投支持的公司取得了10倍而不是100倍的回报，对于创始人和团队来说，它是否仍然算是失败？如果一家公司最终完全自给自足，并成为包括创始人和员工在内的50人的可持续收入来源，那它是失败还是成功？我并不一定对其中任何一种观点持有意见，但关键是“10家中有9家”这个数字并没有任何帮助，因为每种情况都高度依赖于具体背景。

这是否意味着安全创业公司成功的几率比失败的几率更高？并非如此，但网络安全领域的失败情况值得更深入地观察。

正如我之前所讨论的，“基于信任的产品采用和缓慢的销售周期意味着，我们通常会看到解决同一问题的多家网络安全创业公司并行运营，并产生足够的收入以维持生存。这解释了另一个观察结果：与其他行业的创业公司相比，网络安全创业公司的失败率并不高。尽管一些没有取得进展的公司最终不可避免地会倒闭，但大多数公司都能找到至少一些忠实的客户，足够维持数年甚至几十年。有些公司会快速增长，但许多公司最终能够为其创始人赚取足够的钱以过上舒适的生活。

这一观点的重要性难以高估，因为在大多数行业中，创业公司的失败意味着很快就会破产。然而，在网络安全领域，相当大比例的创业公司可以获得足够的客户，延长其存在多年。尽管由于投资者对增长的期望所推动的常规智慧可能认为这些公司是失败的，但关键在于创业者为他们的创业项目设定的目标：如果他们只想拥有构建酷炫技术的能力，并获得大致相当于市场上的报酬，但不必应对上司、人力资源和绩效评估，那么他们很可能会认为这是成功的。

另一方面，在网络安全领域，没有取得巨大成功往往看起来像是成功。这是因为频繁进行的收购以及许多建立了可用产品或拥有杰出团队的公司仍然可以被收购（通常以未公开金额）。规模更大、更成功或资金更充足的参与者不断寻求将新的能力添加到他们的投资组合中。大多数点解决方案都梦想成为一个大型平台，而且正如我之前所讨论的，网络安全创新更常被收购而非内部建设。这些事实以及由此产生的并购活动使那些未能取得重大进展的创业者能够出售他们陷入困境的创业公司，并在很短的时间内开始新的创业，凭借所有的经验教训、人脉关系和作为第二次创业者的更强大的身份。我认为这对大多数风投来说算是一个不错的结果，尽管他们认为这是一次失败的投资。

成功的网络安全公司是什么样子

如果说定义网络安全领域的失败很困难，那么确定成功是什么可能更加困难。我们之前讨论过，成功是否意味着独角兽的地位？这是一个良好的信号，但可能并不是一个很好的衡量标准，考虑到我们从Cybereason的故事中所了解到的情况，以及其他拥有独角兽地位的公司在当前的经济条件下需要延长其存续时间。成功是否取决于IPO时的估值？可能是这样，但我们不能忽视运气在IPO中的作用。SentinelOne在2021年6月30日完成了首次公开募股，而Cybereason的估值下跌是因为2022年初市场下滑，无法再进行上市，这既是运气不佳的结果，也是规划不善的结果（或者说更多是运气不佳）。或者，我们应该通过观察IPO后6个月、1年或几年的公司估值来判断成功？众所周知，许多上市公司的价值并不会随着时间推移而上升。

无论如何，以下是有趣的事实。IT-Harvest收集的美国最大的网络安全公司数据库中，有1,821家网络安全供应商。其中，在美国股票交易所上市的公开公司不到30家（不到2%）。这清楚地表明，绝大多数网络安全公司不会上市。

同样，大多数公司不会以独角兽估值被收购。对于那些关注Momentum Cyber发布的市场分析的人来说，对于少数一些网络安全公司而言，出色的结果是以2亿至4亿美元的价格被收购，而对于其他被认为成功的初创公司来说，一个较好的价格可能在2500万至1.5亿美元之间，这取决于公司的阶段和融资金额。

这些数字清楚地表明，一家致力于解决实际问题的网络安全初创公司几乎同样不太可能成为一个巨大的成功或完全的失败。该行业中绝大多数公司将处于这两个极端之间的某个位置。

作为一位对该行业热衷的人、产品负责人和天使投资者，我经常思考下一波网络安全创新将从何而来。其中一个关键问题是确定在该行业中成功创始人所共享的特质和特点。我愿意分享一些对此事的观察。

网络安全创始人需要相关背景

与其他一些行业不同，在网络安全领域，大部分创新都非常技术化，与底层技术密切相关，因此对于没有深厚领域专业知识的人来说，理解和把握这些创新将非常困难。然而，这并不意味着一个成功的创始人必须是一名工程师：重要的是他们能够理解问题、了解行业动态，并被买家和投资者认可。

这种领域知识、信誉和人脉可以通过多种方式获得，包括成为安全专业人士、安全领导者，在军队中担任与网络安全相关的职务，以及协助建立其他网络安全公司。大多数成功的网络安全公司的创始人往往具有不同组合的这些背景，例如：

George Kurtz，CrowdStrike的联合创始人兼首席执行官，曾是Foundstone的创始人和McAfee的首席技术官。

Jack Naglieri，Panther的创始人兼首席执行官，在Airbnb担任安全工程师。

Oz Golan，Noname Security的联合创始人兼首席执行官，在以色列国防军担任开发人员和安全研究员。

安全创始人通常在创业之前在他们的领域花费了大量的时间。这是合乎直觉的，因为要构建SIEM 2.0，创始人必须深入了解SIEM 1.0（理想情况下，他们应该曾在构建SIEM 1.0的团队中工作）。统计上说，一个新手在这个领域中突然提出一个能够解决行业中所有细微差别和内在复杂性的伟大创意，并加以实施，是不太可能的。

对于创始人来说，对领域的了解和大多数安全创始人都是有经验的从业者，这也意味着网络安全行业的创业者通常比B2C和大多数其他B2B行业的创始人年龄要大。几乎不可能找到没有任何领域经验的学生和应届毕业生创办一家面向企业的安全公司并将其发展成一个有影响力的成功行业参与者。在20多岁的安全创业者中很少见，但在40多岁甚至50多岁的人中开始他们的第一个安全创业项目并不罕见。这是有道理的，因为一个人需要对企业的安全运营非常熟悉，并理解不同环境的复杂性，以及在采购时的动态。然而，“罕见”并不意味着“不可能”，Vanta由Dropbox的前产品经理Christina Cacioppo创立，是一个很好的例子，证明即使高度不寻常，这种情况也是可能的。

从成熟的安全团队中获得经验，并理解那些不成熟的团队

如果你已经一段时间在阅读《安全风投》(Venture in Security)，你就会知道我思考的一些趋势和概念：从基于承诺的安全转向基于证据的安全，安全工程的兴起，采用以安全为先的思维方式的重要性，数据引力的不断增强，以及最终需要以从业者为中心的网络安全。这不是偶然，而是经过深思熟虑的观点，根源于以下几点：

那些认为只需部署一个“工具”并在Web用户界面中点击“启用”就足以确保组织安全的老一代安全分析师，注定会被成熟的技术安全从业者所取代。这个转变需要时间（如马克斯·普朗克曾愤世嫉俗地说过的：“科学的进步只是一个葬礼一个葬礼而已”），但这是不可避免的。未来的安全将看起来很像软件工程。

我们很难继续添加越来越多使用各自数据的安全工具，并将它们全部连接在一起。现在是20-60个左右的工具；未来十年，随着新的攻击向量出现，我们还能将100-200个工具组合在一起继续运作的机会有多大呢？一个安全数据层或类似模型，使不同的工具能够利用共享的数据结构，如果不是必然的，那么它是非常需要的。

我们认为的安全的很大一部分将需要内置到我们使用的产品中。正如我之前解释过的，最近发布的美国国家网络安全战略是朝着正确方向迈出的一步。在新的战略下，软件创建者而不是最终用户应该对安全负责。

这只是一个简单的摘要，还有很多要讨论的内容。当我思考网络安全行业的创新将来可能来自哪里时，我立刻想到的是技术安全从业者。这也是为什么我们为我们的天使联合基金开发了一个以安全从业者为中心的投资理念，并吸引了来自全美和全球各地的安全工程师、架构师、检测工程师、分析师和研究人员等70多名成员加入我们的使命。

云原生企业中高度成熟的安全团队

首先要看的是云原生企业中的高度成熟安全团队。比如谷歌、Netflix、Dropbox、Brex、Figma、Meta、Airbnb、亚马逊、优步等等。通常，它们得到知名风投支持，大部分总部设在西海岸或在那里有较大的存在，并且拥有雄厚的安全预算，不仅能够雇佣顶级安全从业者，还能够自主构建自己的工具。Netflix和谷歌是很好的例子，两者都以构建自己的安全基础设施而闻名，而不是使用传统的供应商（尽管最近这种情况开始有所改变）。

在安全实践方面，这些公司中的许多公司比行业其他企业领先了多年，他们的安全团队正在解决的问题在其他企业中尚未解决。这可能是由以下三个原因之一造成的：

他们面临的问题是如此特定和独特，以至于市场上其他人永远不会面临相同的问题。 其他公司也面临着相同的挑战，但他们没有人才、资源或解决问题的知识。 其他公司尚未经历这些问题，但有各种原因可以明显看出，它们在可预见的未来将面临这些问题。 这些云原生企业的安全从业者成为创始人后，具有以下优势之一：

与全球行业内最具前瞻性的安全专家之间建立了良好的人脉网络。

对产品构建所需的理解较好，这是因为他们以前的雇主大多是具有坚实产品思维的产品公司。

通常能够很好地区分上述讨论的三类问题，并避免解决那些对更广泛市场来说太独特的问题。

结果是能够从湾区顶级风投筹集资金，并快速实施他们的愿景。当由云原生创业公司的安全从业者创办的公司在种子轮或A轮后停滞不前时，通常是因为以下原因：

创始人缺乏了解湾区以外的安全团队的能力。不幸的是，除了总部位于西海岸、得到风投支持、资金充裕的公司之外，普通的安全组织通常没有雇佣大量精通Python、拥有全球最佳云安全人才等的检测工程师和威胁猎人。那些选择将产品仅针对高级用户优化的创始人往往在市场的其他领域难以取得进展。

创始人缺乏了解湾区以外公司的安全基础设施的能力。这种情况通常发生在他们决定将产品量身定制为仅适用于云原生企业时。采取这种方法可以让他们在西海岸快速增长，但一旦他们开始与银行、零售、制造业、公用事业等公司接触，他们会意识到这些潜在客户并不是纯粹的云原生企业。

总体而言，我确信那些在全球最大、最有影响力的科技公司拥有经验的安全从业者是推动网络安全行业成熟的最有力量。他们不仅拥有领域专业知识和在大规模环境下解决难题的经验，还具备了构建成功公司所必需的强大产品思维。

拥有在大型企业工作经验或向政府提供服务的安全从业者

在第二类别的人中，我会提到几个广泛的子类别，包括：

在大型企业工作经验的安全专业人员 在服务公司工作经验的安全专业人员 向政府提供服务的安全专业人员 在军队的网络安全部门、三个字母代号机构以及特种部队中任职的安全专业人员。我承认，将这些安全专业人员纳入这个宽泛的类别中，他们在网络安全方面拥有非常深入和多样化的技术经验。例如，在军队服役并保卫关键基础设施，使他们能够建立起其他人无法获得的防御和攻击技能。他们具备的一些优势包括：

技术深度和强烈的使命感 与在政府、大型跨国公司和组织中工作的人建立了强大的网络 丰富的服务提供经验和招募优秀安全从业人员的能力

当由安全从业者创办的公司面临困难时，通常是因为：

创始人没有建立产品并将其推向市场的经验。那些没有在产品公司工作过或在托管安全服务或政府承包商方面拥有丰富经验的人往往缺乏正确的思维方式和对运营产品公司所需的理解。 当这些挑战被克服，或者当这些人与具有产品公司运营经验的联合创始人、导师或加速器（如DataTribe）合作时，他们可以创造出非常成功的企业。一个很好的例子是DataTribe的投资组合公司Dragos，它是工业控制系统安全领域的领导者。