Why now？决定安全初创生死的灵魂拷问

存在更好的选择往往是最无力的改变理由。这听起来可能违反直觉，但这就是人类行为的现实：在商业和生活中，九十九次中有九十九次，我们倾向于维持现状。

这很有道理——有成千上万种选择，而我们避免陷入分析瘫痪的唯一方法，就是依靠自己的能力，去挑选足够好的选择并继续前进。

同样的原则通常也适用于软件选择。许多创始人没有理解的是，在每份B2B软件合同背后，都有一段两家公司决定携手合作实现共同目标的合作历史。

一般来说，供应商为买家解决的问题越多，未能兑现承诺的次数越少，其被感知的价值就越高。任何试图取代现有供应商的行为都会迫使客户思考：

更换供应商的成本常被低估。当创始人考虑转换成本时，他们往往专注于我认为与产品相关的因素，如集成、技术文档和入职支持。虽然这些因素无疑对初创企业的成功至关重要，但当企业考虑更换供应商时，他们不得不面对更多障碍：

当我们考虑到这一切时，就不难理解为何现状是企业中最强大的力量。

事实上，大多数公司几乎没有动力去更换他们的安全工具，这并不意味着绝对没有什么能迫使他们这么做。相反，这意味着需要有一个强大的驱动力来证明变革的合理性。

有句俗话说，任何新产品要想成功，至少要比现有产品好10倍。这可能是一个足够接近的估算，但我发现它用处不大，因为什么是10倍的提升非常主观。

每位创始人自然都认为他们的想法比现有产品要好得多，否则他们就不会冒险去创办一家初创企业。在我看来，安全领域有三种“为何是现在”能够促成新公司的诞生：

这三种“为何是现在”都是独一无二的，每一种都定义了可以围绕其构建的公司类型。

“为何是现在”最明显的答案是“因为新技术使其成为可能”（不出所料，这正是我们今天在人工智能领域所看到的）。

虽然新技术是“为何是现在”最明显的答案，但它也是最弱的。仅仅因为存在一个稍微更好的产品，并不意味着公司就会更换并开始使用它。这在安全领域尤其如此，因为大多数买家很容易满足于来自“可靠”供应商的足够好的解决方案。

我发现，当新技术被用来解决一个已经有很多替代方案的现有问题时，它通常无法获得广泛采用。这是因为，除非有强有力的理由让公司放弃他们现有的工具，否则现状通常会占上风。

例如，我个人并不相信大多数基于大型语言模型（LLM）的工具能够彻底改变安全领域或获得广泛采用，尽管它们能做前一代工具能做的事情。其中许多会被收购，但大多数不太可能对行业产生真正的影响或转变为一家多代传承的安全公司。

另一方面，当新技术被用来解决一个众所周知但之前解决得不好的问题时，它可以带来巨大的成果。关键在于，这个问题应该是众所周知的，但不应该有“足够好”的解决方案。

在大多数情况下，围绕新技术作为“为何是现在”的答案而建立的初创企业，都是对现有技术的迭代和渐进式改进，这使得它们成为很好的收购目标。

它们往往难以获得广泛的市场采用。这是因为客户可以选择是否采用比现有技术好10倍或不同的技术，而大多数客户并不真正关心这样做。

然而，当发生重新定义技术运作方式的巨大变革时，它确实为创新和价值创造提供了机会。

例如，如今的人工智能能够实现手动流程的有效自动化，进而可以改变技术的构建方式。

又如，现在有可能以前所未有的方式构建高度可扩展、以产品为先的管理检测与响应（MDR）公司，这或许是“为何是现在”这一问题的最强有力的答案。

基础设施的变化是“为何是现在”的一种类型，在这种情况下，客户别无选择，只能采用新的解决方案。当某些东西发生根本性变化，以至于忽略这一新现实根本不是一个选项时，就会出现这种情况。

公有云的兴起改变了软件的构建、使用和采购方式，从而创造了对新安全解决方案的需求。

全球疫情和远程工作的兴起引发了一系列重大的架构转变，加速了云迁移，迫使公司适应混合工作模式——再次创造了对新安全解决方案的需求。

协作平台（如Teams、Zoom、Sharepoint和Notion）的兴起也改变了人们的工作方式，自然而然地创造了对新安全解决方案的需求。

基础设施的转变是“为何是现在”的最强类型，因此它们往往为数十亿美元公司的崛起创造了机会。Okta、Zscaler和Palo Alto Networks就是这一现象的完美例证。

我经常解释说，使网络安全独一无二的因素之一是存在一个活跃、动机明确且资金充足的对手。因此，对于安全初创企业来说，“为何是现在”的最强答案无疑是对手行为的变化。

在我要说的话之前，我先做个声明：我绝对没有意图美化攻击者。话虽如此，我发现这一点令人十分困惑：尽管防御者不断被一些闪亮的新技术分散注意力，或对新的监管举措或监管缺失感到愤怒，但攻击者却专注于带来结果的事情。

换句话说，如果某种经过验证的攻击方法既简单又能产生他们想要的结果，攻击者就没有理由转向更“现代”的方法。不过，随着基础设施的变化和企业继续提高标准，实施越来越强大的防御措施，攻击者别无选择，只能进化。

当对手行为发生变化时，这些变化会导致两种结果之一：

·

Okta于2009年成立，起初发展缓慢。Okta成立时，云采用仍处于早期阶段，身份管理并不是大多数企业的优先事项。许多组织仍然严重依赖本地Active Directory设置，这使得Okta的云优先方法在当时很难销售。

大约在2014年至2015年期间，情况开始发生变化，当时微软开始大力推广Office 365（现在称为M365）。随着越来越多的公司采用基于云的工具（如Office 365），对可靠的身份和访问管理解决方案的需求变得显而易见，而Okta则做好了乘势而上的准备。微软自身难以将其身份解决方案带入新的云原生和SaaS原生时代，这进一步增强了Okta的案例。

更广泛的SaaS爆炸式增长（Salesforce、Workday、Slack等）创造了对跨多个应用程序工作的集中式身份解决方案的更多需求。Okta的中立方法（不绑定到特定供应商，如微软）使其成为管理异构SaaS环境的组织的理想选择。

Okta的案例表明，超越领先解决方案（在这种情况下是本地AD）局限性的基础设施转变是推动变革的最强大驱动力。如果客户能够轻松扩展Active Directory以满足他们的需求，那么Okta在市场上站稳脚跟的可能性就微乎其微。

George Kurtz联合创立了Foundstone，这是一家以其漏洞管理和咨询服务而闻名的公司，并于2004年将其出售给McAfee。收购后，他在McAfee工作了大约六年，担任首席技术官（CTO）。

在此期间，他亲眼目睹了传统防病毒解决方案（主要依赖基于签名的检测）在面对现代威胁时变得无效。他与Dmitri Alperovitch（当时也在McAfee）一起意识到，攻击者正在使用更复杂的技术——无文件恶意软件、高级持续性威胁（APT）和不依赖已知签名的漏洞利用。这一市场空白激发了他们于2011年创办CrowdStrike的灵感。

CrowdStrike的重大创新是其云原生架构和侧重于行为分析而非基于签名的检测。他们的端点保护平台Falcon使用机器学习和威胁情报来实时检测恶意活动，这使得攻击者很难逃避检测。从被动防御到主动防御的转变真正使CrowdStrike与传统防病毒厂商区分开来。

CrowdStrike的案例表明，对手行为的变化可以成为安全公司“为何是现在”的强大答案。传统防御被攻击者超越所留下的市场空白并不是McAfee可以轻松添加的一两个功能。相反，这是一场需要不同方法的转变。CrowdStrike的创始人认识到了这一点，并实现了这一目标。

这里还有一个重要的观察结果：CrowdStrike并没有一开始就与传统端点安全厂商正面交锋。虽然该公司确实在添加下一代防病毒功能后大获成功，但他们最初是在McAfee和其他防病毒厂商之上，而不是取代它们，来满足行为检测和APT威胁搜寻的需求。

在Palo Alto Networks之前，大多数公司依赖传统防火墙，这些防火墙主要关注端口和协议。

但到了2000年代中期，随着基于Web的应用程序、SaaS和更复杂的网络流量的兴起，基础设施变得更加复杂。传统防火墙难以在新的环境中提供可见性和控制，因为应用程序不再绑定到特定端口，这使得攻击者很容易绕过传统防御。

对手也开始进化他们的战术，使用应用层攻击、加密流量和更隐蔽的技术，这些传统防火墙根本无法捕获。

这正是Palo Alto Networks的创始人Nir Zuk看到的机会。他认识到旧模式的防火墙已经跟不上时代了。Palo Alto Networks于2007年推出了下一代防火墙（NGFW）的概念，它结合了应用层检查、深度包检查和集成威胁防护。这允许组织根据应用程序、用户和内容（而不仅仅是端口和IP地址）来查看和控制流量。

Palo Alto Networks的时机恰到好处——随着企业开始采用云服务和基于Web的应用程序，以及攻击者变得更加复杂，对更先进的网络安全的需求变得至关重要。他们的NGFW成为了首选解决方案，乘着这些基础设施变化和新的攻击向量的东风。

Palo Alto Networks的崛起与基础设施的转变有关，而这种转变又导致了对手行为的变化。与CrowdStrike类似，Palo Alto Networks无法轻易进入企业市场，并告诉买家他们现有的解决方案（如Check Point防火墙）不够好。

同时，尽管Palo Alto Networks是一款不同的防火墙，但它仍然是一款防火墙，所以它也不能希望与Check Point长期共存（这是一种对CrowdStrike来说非常有效的策略）。

为了弥合这一差距，Palo Alto Networks采用了一种基于证据的方法：他们会说服企业在Check Point防火墙旁边以仅监控模式部署他们的解决方案，然后过一段时间向客户展示Check Point解决方案遗漏的威胁。

这是一种巧妙的策略，使他们能够证明自己的价值并取代现有供应商（如Check Point）。

Zscaler的发展历程也并非一夜之间就取得了成功。创始人Jay Chaudhry有一个愿景，即企业安全的未来将从传统的基于边界的模型（防火墙、VPN）转向云原生、零信任架构。

然而，当Zscaler于2008年成立时，市场还没有准备好接受这一转变。Jay对这一未来的信念如此坚定，以至于他自己投资了5000万美元来资助Zscaler度过早期的艰难岁月。

长期以来，企业都坚持使用本地硬件和防火墙，而将所有流量通过云进行安全处理的概念很难推销。

随着云采用的增长和远程工作团队的日益普遍，传统的基于边界的模型开始显现出裂痕。VPN速度慢且笨拙，攻击者也在寻找利用它们的方法。

这时，Zscaler提供的通过云实现安全、直接的连接以及零信任访问控制的方法开始引起共鸣。虽然这需要时间，但Zscaler和市场一起演变。企业开始意识到云优先、零信任的模型是未来，而Zscaler已经准备好了。

Jay早期的投资和长期愿景得到了回报，使Zscaler成为了该领域的领导者，一旦市场赶上，它就能脱颖而出。

疫情对于Jay和他的团队来说是一份礼物，因为即使是反应最慢、最依赖遗留系统的客户也不得不适应远程工作。Zscaler将其中的一些产品打包成“远程工作”套餐，这些套餐在公司被迫迅速适应新现实时销售火爆。

Zscaler的案例是独一无二的。

首先，该公司是由一位传奇创始人创办的，而这位创始人在此之前已经成功出售了几家安全公司。

其次，Zscaler并没有对市场的变化做出回应，而是提前预见到了这些变化。在公司成立之初，没有任何投资者愿意向一家想要在世界各地建立接入点（POPs）以迎接可能需要数十年才能实现的未来愿景的初创企业投资5000万美元。

在我看来，正是Jay愿意玩一场非常长期的游戏，才使他能够打造出Zscaler这样一家具有划时代意义的公司。当Zscaler开始时，“为何是现在”的答案相对较弱，但随着基础设施的演变，它成为了市场所需的解决方案。

Duo Security是如何利用新技术实现数十亿美元成果的绝佳例证。这家公司的故事之所以引人入胜，是因为它并没有真正发明多因素身份验证（MFA）。MFA已经被认为是必要的，但实施起来很困难：发送RSA令牌既繁琐又耗时。

Duo利用新技术（它在iPhone发布后几年成立，当时智能手机正逐渐流行）打造了一种可爱的MFA体验，这种体验易于采购、实施和使用。Rami McCarthy和我之前曾在《安全领域的风险投资》的一篇文章中写过关于Duo如何打造客户喜爱的安全产品。

比新技术更重要的是，Duo解决了一个日益增长的攻击向量——账户接管。在公司成立时，这个问题还没有被这样称呼，但它已经成为一个巨大的问题。

在Duo的案例中，“为何是现在”的答案是新技术，而他们带来的创新不在于技术的新颖性，而在于用户体验。

尽管Abnormal和Material仍然相对年轻，而且电子邮件安全领域仍然由Proofpoint和Mimecast主导，但它们作为挑战者的崛起并非巧合。

这一新一代电子邮件安全解决方案的出现并非仅仅因为可行——而是因为电子邮件领域发生了一些根本性的变化。

多年来，许多安全公司试图取代Proofpoint和Mimecast，但都失败了。是什么让Abnormal和Material能够做到别人做不到的事情？答案在于两个关键的三字母缩写：API和BEC。

直到2010年代初，公司主要依赖传统的Exchange服务器进行电子邮件服务。任何想要提供电子邮件安全服务的公司都必须构建一个代理，并说服客户部署这个代理。基于代理的检查资源密集、难以部署，而且至关重要的是，公司不会运行两个相互竞争的电子邮件安全代理（就像他们不会运行两个防火墙一样）。

然而，大约在2015年，情况发生了变化。微软和谷歌推出了API，使得无需代理即可直接检查电子邮件成为可能。基于API的解决方案可以在20到30分钟内启动并运行，而基于代理的解决方案则需要数天或数周的时间来配置复杂的电子邮件安全网关。这一基础设施的转变大大降低了新进入者的阻力。

但这还不足以让公司更换供应商。当基于API的检查变得可行时，Proofpoint和Mimecast已经构建了强大、多方面的平台。仅仅依靠部署的简便性来与它们竞争将是一场必败之战。

幸运的是（尽管对行业来说不幸的是），同时发生了另一场转变——商业电子邮件妥协（BEC）的兴起。

BEC攻击在2010年代初开始出现，但在2016年至2018年间爆发，成为最具破坏性的网络威胁之一。成千上万的公司成为BEC的受害者，而传统的电子邮件安全解决方案难以阻止这些社会工程学攻击。

这就创造了一个机会。就像Palo Alto Networks与Check Point并肩作战而不是取代它一样，Abnormal和Material将自己定位为补充Proofpoint和Mimecast，而不是取代它们。这个想法很简单：客户可以保留他们现有的工具，但添加一个新供应商来专门解决日益严重的BEC问题。

通过API简化部署和BEC带来的迫切需求相结合，为新一波电子邮件安全初创企业的崛起创造了条件。

时至今日，我们看到像Sublime这样的新进入者带着具有竞争力的、以从业者为中心的解决方案出现，进一步重塑了电子邮件安全领域的格局。

在过去的几年里，我遇到了许多处于不同发展阶段的创业者——从那些正在构思并寻找新想法来创办公司的人，到那些正在扩大初创企业规模的人，以及那些正在经历退出的人。

接触不同的故事和经验使我意识到一个简单的事实：花时间为自己定义“为何是现在”的答案的创始人，比那些将其视为需要为风投准备的幻灯片内容的创始人要成功得多。

“为何是现在”是揭示买家是否有真正紧迫性去改变他们已经在做的事情的最佳问题。在我看来，向首席信息安全官（CISO）询问他们的优先级是有用的，但深入了解“为何是现在”是创始人能够做的最具影响力的事情。

这是因为安全领导者无法预测未来，也无法预见他们两年后需要什么。他们能够向创始人提供强烈的信号，说明当前是否有优先级，但创始人的工作是要找出是否存在一种趋势，或者这只是暂时的转变。