为什么印度的网络安全充满希望？

Ross首先分享了一些他对印度现状的观察。

Ross指出，还有很多人有机会移居美国，但他们认为在印度为跨国公司工作，并在那里建立自己的职业生涯更为明智。在返回旧金山的飞机上，Ross注意到了他身旁的某位印度籍女士，“据我了解，她已经在达拉斯生活了十多年，但依旧没有决定加入美国国籍。当然，有些人因为H1B签证问题不得不回国，而这只是少数。上周在活动中，我与许多人交谈后意识到，世界已经变了，许多人心目中的印度与人们今天生活的印度已经大不相同。”

确实曾有一段时间，印度所有有抱负实现真正潜力的科技工作者都梦想着移民到美国或英国。但在过去一二十年里，这种情况已经发生了改变。Ross说，像班加罗尔这样的科技生态系统，为人们提供了大量成长和建立全球公司的机会，而且这一切都不需要以迁移到其他国家为前提。“这是我上周在活动中的所见所闻，我认为这非常有趣。”

根据Ross与多人交谈后了解到的信息，另一个不再正确的假设是：印度工程师既便宜又容易招聘。虽然这对于应届毕业生来说仍然如此，但有经验的工程师薪酬很高。例如，顶尖的人工智能工程师年薪可以远高于10万美元，而顶尖的首席技术官年薪可以达到30万美元以上。这是因为到2024年，初级人才将进行本地竞争，但高级人才将进行全球竞争，而全球竞争会推高价格。

“这些并非开创性的见解，但对我个人而言，它们挑战了我的许多假设，并改变了我对该国科技生态系统的看法。”

Ross表示，印度预计将在2025年成为全球软件工程师数量最多的国家。大数定律清楚地表明，尽管并非所有大学毕业生都具备编写高质量代码所需的技能，但确实有很多人具备这种能力。随着软件工程的竞争日益激烈，许多优质的软件工程师将开始转向安全领域，这显然合情合理。

这种转变已经在进行中。印度的安全从业者在开源工作中积累了丰富的经验，并通过漏洞赏金计划获得收入，他们正在全球范围内获得越来越多的行业认可。在过去，印度主要具备的是低技能的一级安全运营中心（SOC）分析师，但现在，它已成为许多全球公司，特别是美国公司寻找顶尖网络安全人才的区域。

仅仅拥有才华是不够的，为了创业能够蓬勃发展，有才华的人还需要有拼搏精神。世界上有很多地方雇佣着一些最聪明的人，但他们并不渴望冒险，也不渴望自主创业。与之相比，印度并没有这个问题。Ross对此表示，该国创业生态系统最令人印象深刻的特征之一，就是其同时具备智慧和拼搏精神。“不要误会我的意思，印度也有一些人出于各种原因更喜欢求稳，或者永远也不去冒险。然而，这个拥有14亿人口的国家得益于大数定律。即使只有0.5%的人愿意拼搏，那也意味着大约有700万人，这几乎是旧金山人口的十倍。”

Ross补充道：“当我问美国的安全从业者是否会参加Black Hat、fwd:cloudsec或BSides Las Vegas等活动时，我经常听到的回答是：不，因为我的公司没有足够的安全预算。网络安全产品经理以及其他以业务为重点的运营商也常常会因为同样的原因而错过RSA大会。我能理解有些公司在财务上确实存在困难，但事实上，网络安全领域的大多数人员收入都相当不错，因此对于个人职业发展而言，他们若只依赖于公司的预算，那这将是一个糟糕的状态。”

在印度，没有谁的成长会依赖于公司预算。数百名安全从业者、软件工程师以及有抱负的初创企业会从全国各地飞去Accel网络安全峰会。他们每个人都是自己支付机票费用，并自行解决住宿问题（许多人最终都睡在了朋友家的沙发上）。Ross说，他坚信为了实现自己的目标，人们必须愿意拼搏，因此当他看到印度安全人员在实际行动上的表现时，他认为这非常值得学习。

随着印度有抱负的创业者决定全力以赴，他们的拼搏精神只会越来越强。Ross表示，Akto就是一个很好的例子，这是一家由Ankita Gupta和Ankush Jain创立的API安全初创公司。据Ross介绍，在班加罗尔居住期间，Ankita和Ankush会在美国各地举办培训活动，他们会一连持续好几个月。每隔几周，他们就会飞往美国，在那里待上几天，进行演讲和组织培训，然后再飞回家，直到Ankita最终永久移居美国。“当我问Ankita他是如何克服时差的，他的回答是：‘你无法克服时差，你只能习惯它，并学会在任何状态下都发挥出最佳的水平。’作为一个同样处于劣势地位的人，我相信那些尽管面临重重障碍但仍坚持追求自己愿景的创业者，他们理应获得成功。”

Ross说，成功路上最大的障碍是缺乏人们可以联系、向往并试图模仿的范例。Check Point之所以被誉为以色列网络安全生态系统的催化剂，就是因为它扮演了这样的范例角色。“1996年，该公司上市，随后发生了这么几件事。首先，它激励了新一代创始人，他们目睹了自己的朋友、同学、邻居和军事界的同龄人如何在以色列成功创建了一家安全公司。其次，它向投资者发出了信号，表明以色列初创企业可以在全球舞台上大放异彩。第三，它带来了一批投资者，他们拥有资金来支持自己的朋友和顾问，帮助他们起步。”

Ross指出，历史上任何领域的首份成功是最难的，但一旦有了第一个，其他人就会效仿。长期以来，印度一直没有成功的网络安全产品公司，尽管有许多非常成功的服务提供商，包括市值900亿美元的全球IT服务提供商Infosys，但却没有较为出色的产品公司。而这种情况在2024年1月发生了改变，当时SentinelOne以超过1亿美元的价格收购了Pingsafe，PingSafe的CEO兼创始人Anand Prakash便成为了一个完美的例子，其证明在服务业拥有强大的背景后，确实有可能再建立一家成功的产品公司。Ross介绍，Anand 以前从事漏洞赏金工作，之后他成为了一家安全服务公司的创始人，并最终创立了PingSafe，这是一家由红杉资本（世界顶级风险投资公司之一）支持的产品公司，最终被SentinelOne收购。

影响初创公司成功的一个关键因素是其获取增长资金的能力。事实上，虽然风险投资家喜欢发现异类或支持弱势者，但大多数投资者都会寻找固定的模式。Ross表示，为了对公司、新地区或新兴行业产生信心，投资者会寻找过去类似领域、类似情况和思维模式的先例，因为这些公司曾取得成功并带来了超额回报。

一旦有了几个先例表明之前被认为太冒险或根本不可能的事情可以成功，资金就会开始流入。然而，在这种情况发生之前，还需要有人敢于冒险，逆流而上。

Ross说，任何对印度初创生态系统稍有了解的人都知道，该国在消费者领域取得了巨大成功。“人们通常认为这是因为其14亿人口构成了一个庞大的销售市场。我之前也是这么认为的，但来自Seezo的Sandesh解释说，这其实有点误导，因为印度消费市场只有大约10%的人年收入超过2万美元。这意味着，印度的大部分消费都是由这些人完成的。当然，消费阶层正在增长，但总市场容量（TAM）远小于大多数人的想象，Blume VC的这份报告很好地概述了这一事实。而无论如何，Flipkart、Ola、Paytm和Zomato都是印度成功的例子。印度的B2B SaaS公司也做得很好，并在全球范围内展开竞争——Freshworks、BrowSerstack、Chargebee和Postman就是其中的一些例子。很难想象，在当今网络安全已成为热门投资的世界里，印度B2B网络安全投资仍然是一个逆向的论点。”

印度最大的风险投资公司Accel India（在红杉资本分拆之前曾是第二大风险投资公司）明确表示，它希望支持网络安全领域的创业者。过去几年，该公司投资了几家安全公司——Akto、Seezo、Effectiv、PrimaryIO、ProjectDiscovery，以及一些仍处于隐秘模式的安全初创公司。上周，Accel India举办了印度最大的网络安全峰会，吸引了数百人参加。Accel的合伙人Prajyank Swaroop坚信印度可以成为世界安全领域的领导者，并专注于支持全国范围内的网络安全和人工智能创业者。印度的另一家大型风险投资公司Peak XV Partners也是看好印度网络安全潜力的投资者之一，他们同样投资了PingSafe、SquareX、Quick Heal和Privado等公司。

历史上，印度对服务的关注曾被视为一个问题，因为风险投资公司更偏爱产品公司。随着生成式人工智能的兴起，服务领域可能首次受到投资者的关注，他们假设服务可以通过大型语言模型（LLMs）进行重塑。例如，Decibel 谈到了“由AI代理驱动的、作为软件的服务”，而 Felicis 则这样解释其对服务行业的兴奋之情：“服务行业规模巨大，由专业商业服务部门引领的美国GDP已达到3.5万亿美元，远超全球软件市场的6000亿美元，这也为Diagonal Software通过人工智能驱动的扩张提供了巨大机遇。”

对此，Ross指出，如果服务领域可以通过AI代理进行重塑，那么问题就变成了谁最适合将这一愿景变为现实？一个潜在的答案是：那些在“构建和运行服务业务，以及软件工程方面”拥有深厚专长的人。但问题是，大多数服务提供商并不是建设者，而大多数产品工程师对服务又知之甚少。“而印度正好在这两个方面都有丰富的专长。如果印度的创业者不错过这个机会，并能找到一种方式来颠覆长期以来的商业模式，他们也许能实现‘软件服务模型’。例如，我不知道渗透测试是否真的能通过LLMs实现自动化，但如果真的可以实现，那么多年来一直在通过漏洞赏金和渗透测试赚钱的印度工程师，无疑拥有实现这一目标所需的一切要素。”

《软件工程师是幸运的，因为他们将继承网络安全》一文里指出：在过去的一年里，作者越来越相信，拥有构建安全产品经验的软件工程师可能比安全工程师更具推出网络安全初创公司的能力。许多全栈、底层操作系统、基础设施和数据工程师从概念到发布都积累了构建产品的丰富经验。而更重要的是，他们深知用户体验、可扩展性和这些解决方案的稳健性，这对客户而言都是非常重要的。显然，这一切都可以学习，而那些在内部构建安全解决方案方面有着良好记录的人，通常也能知道如何更好地运营一家独立公司。关键在于拥有软件工程经验，即编写脚本可以帮助自动化任务和配置现有应用程序，同时需要知道如何编程来构建新的应用程序。

Ross表示，近年来，越来越多的安全产品是在以色列和印度，而不是在美国构建的。“我们已经看到了拥有大量构建安全产品经验的软件工程师对以色列生态系统的影响。显然，印度也有同样的潜力。”

印度初创公司只需较少的启动资金就能验证问题并构建产品。因此，它们的估值往往较低，这对潜在收购者来说非常具有吸引力，尤其是如果它们的产品和价格更高的美国产品质量相当。Ross认为这一点尤为重要：“因为正如我之前所解释的，大多数网络安全初创公司在B轮融资之前被收购是更好的选择。”

对印度网络安全创业者来说，另一个可以发挥巨大作用的因素，是许多大型安全公司已经在印度设立了机构。Palo Alto、SentinelOne、Zscaler、Microsoft、Trellix、FireEye等众多公司都在印度建立了稳固的本地团队。由于这一事实，那些擅长解决实际问题并产出高质量产品的初创公司，其被收购的可能性得到了大幅度提升。

尽管人们很少讨论，但70%到90%的收购都以失败告终，而失败的原因往往与文化冲突，以及无法整合被收购公司有关。Ross认为，由于潜在收购者已经存在于印度本地，因此他们更愿意收购同一地区的初创公司。

印度相对于其他国家的另一个优势是其工程师精通英语，因此不必像许多其他国家的软件开发人员那样面临语言障碍。比如，乌克兰近年来由于需要防御俄罗斯而迅速发展了强大的网络安全能力。但乌克兰工程师的母语不是英语，这可能会阻碍他们在国际舞台上的活跃度。

为了实现其潜力，印度需要制定自己的战略

Ross认为，印度已经具备了“成为全球网络生态系统重要参与者”的所有要素。然而Ross也说了，仅仅因为某人有做某事的潜力，并不意味着他们就能成功。

如今，网络安全行业竞争如此激烈，以至于如果没有强大的美国市场存在，公司将越来越难以扩大规模。Ross认为，印度网络安全创业者需要制定自己的战略，至于这个战略会是什么样子的，还有待观察。“可能会像Akto那样，CEO常驻美国，CIO每月或每月左右访问美国；也可能像PingSafe那样，完全在印度发展公司。但无论如何，对于印度的网络安全初创公司来说，与任何其他行业的初创公司一样，首要挑战都是分销。他们离客户越近，与他们建立的关系就越深入，成功的可能性就越大。”

Ross表示，印度网络安全初创公司还有另一种有效的途径，那就是利用他们在硅谷无与伦比的人脉网络。在美国工作多年的印度人对美国文化有着深入的了解，并知道这里的商业运作方式。当然，这些人在国内也拥有着自己的人脉网络，可使他们能够在印度招聘人才和开发产品。

至于印度网络安全生态系统的未来会是什么样子，这还有待观察。但有一点是明确的：印度网络安全创业者拥有所有可支配的资源，并且所有因素都对他们有利，因此现在是成为印度安全创业者的最佳时机。