即使是经验丰富的安全从业者，要证明一款安全产品比另一款做得更好也并非易事，更不用说那些很少具备深厚技术安全专长的投资者了。例如，一款承诺防止因公司使用开源代码而产生的网络风险的产品，只有在客户环境中运行一段时间后，成功检测并防止了影响同一代码其他用户的漏洞，才能显示出其真正的价值；这在短短一个小时的评估期间内是难以测试出来的。

01

—

遍地都是网络安全公司

常听到有人抱怨网络安全领域“供应商太多”，并且认为“我们不需要 200 多种同类产品做同样的事情”。然而，很少有人分析为何会有如此多相似的供应商，是什么推动了新公司的成立，并引发了网络安全行业的淘金热。

中国境内缺乏中立且客观准确的网络安全企业统计数据，从工信或者第三方企业查询网上很难把代理商、安全认证机构等不具有自研网络安全产品的企业排除，以得到相对准确的产品技术型安全企业统计数据。大致的安全产品研发型公司数量，在 3,000 ~ 4,000 之间。

中国的部分网络安全厂商一览。

截取了部分 《2024安在新榜·网络安全产品“大众点评”全景图》

海外的网络安全公司也一点都不少。

来源: MomentumCyber

在海外（欧美），根据最大的网络安全供应商数据库 IT-Harvest Dashboard 的数据，在 17 个类别中共有 3,231 家公司。考虑到一个新的初创公司可能需要一到两年的时间才能进入分析师的视野，实际的公司数量肯定更高。

在本文中，我们探讨导致数百家“追随者”初创企业出现的一些因素，为什么这个行业里失败的企业相对较少，同样成功的企业也不多，以及为什么在美国股票交易所上市的纯网络安全公司只有 18 家。

安全公司数量多的原因

1、市场机遇巨大

我想先说一个显而易见的事实：网络安全市场的机遇是巨大的。

Gartner 预测，到 2026 年，信息安保与风险管理市场的最终用户支出将达到 2,673 亿美元，从现在到 2026 年的年复合增长率将持续保持在 11%。专注于网络安全的风险投资公司 NightDragon 指出，由于网络攻击造成的损失高达 6 万亿美元，创新者的市场机会为 4,000 亿美元，这使其成为历史上最大的不对称战场。网络漏洞的数量正在增加，总损失也随之增长。

2、对信任的高度依赖

网络安全领域的所有事务都依赖于信任。

信任的重要性从公司存在的第一天起就显现出来：对于新的初创公司来说，建立与早期采用者之间的信任关系，以获取其首批客户或设计合作伙伴需要时间。这并不是说行业内的人都有信任问题，信任之所以如此关键，是因为网络安全解决方案对企业可能产生的影响程度。

试想一下，初创公司创始人关于公司安全态势提出的任何问题的答案（团队使用了哪些工具，一切是如何连接的，存在哪些缺口等）都可能被对手轻易利用。这些正是攻击者想要获得答案的问题。如果初创公司提供的产品未能阻止其设计意图防止的事情发生，对客户的后果可能是灾难性的。此外，如果安全初创公司被恶意行为者利用，它本身可能会变成特洛伊木马（比如 2021 年的 Kaseya 勒索软件攻击）。这些都是为什么相对较少的安全领导者愿意成为新解决方案的试验品，以及为什么每个人都寻找参考客户、SOC2 合规性以及一系列表明某人已经可信地信任该产品的迹象的原因。

信任问题还表现在漫长的销售周期、全面的试用、在将解决方案带到工作场所之前在家实验室测试每个解决方案的需求、小规模的初始部署，以及其他安全采购过程中独有的特点。这一切结合起来产生了一连串深远的连锁反应。

首先，行业中的创新要成为主流需要很长时间。网络安全创新不适合快速扩展（迅速行动以占领市场）。在 B2B 领域，公司需要时间来对新解决方案建立信心，而在 B2C 领域，很少有人愿意在安全上花钱。这反过来意味着，当一种新的安全方法成为主流时，世界各地的数十（甚至数百）企业家已经了解到了原始的想法，这些投资者希望有机会在一个“热门”领域下注。由于最初开创这种新方法或解决方案的初创公司必须教育市场认识问题，以至于他们：

• 处于不利地位。

• 必须选择一个狭窄且目标明确的客户群体开始，因为它知道自己的资源有限。

• 无法与大量潜在客户建立信任关系。

  
  

  
  

所有这一切很可能促使许多公司在不同的地理区域、市场细分和行业垂直领域涌现。不是每个人都能提出新想法，但大多数人都能想到如何为略有不同的客户构建一个已有的想法。

信任在多个层面上都是一个重要因素，包括从其他国家购买安全工具时。虽然全球各地都可以产生想法和创新，但美国公司会信任斯洛文尼亚的初创公司来保护自己吗？也许会，但它总是更倾向于选择美国本土的提供商。法国公司会信任日本的初创公司吗？或许会，但不如信任巴黎的初创公司那样多。网络安全创新是全球性的，但信任却不是。

这种缓慢且基于信任的新产品采纳循环，意味着没有一家公司能够占据市场的很大份额。在许多行业中，那些行动迅速的一两家公司最终会主导市场（想想云计算或个人电脑）。但在网络安全领域，单一领导者的市场份额并没有达到两位数：2022 年微软大约 150 亿美元的收入仍不到整个市场的 10%；Palo Alto 约占 3%，CrowdStrike 接近1.5%，等等。

这里值得特别指出两点。首先，尽管在许多行业中，成为市场的第一个进入者具有坚实的优势，但在网络安全领域，这往往是一个劣势，因为新的方法和技术没有足够快地成为市场知识，使先行者无法从中获利。其次，虽然如前所述，快速扩展在网络安全领域行不通，但在极少数情况下它是可能的。Wiz 是我所知的唯一一家能够实现这一目标的公司。

3、安全公司倒闭率，不像其他行业那么高

基于信任的产品采纳过程和缓慢的销售周期意味着，我们通常看到的是几家网络安全初创公司同时解决同一个问题，并且能够产生足够的收入以维持生存，而不是只有少数几家公司迅速占领市场。

这解释了另一个观察结果：网络安全企业的失败率并不像其他行业的初创公司那样高。虽然有些未能取得进展的公司最终不可避免地会倒闭，但大多数公司都会找到至少几个忠实的客户，足以让它们存续多年，有时甚至是几十年。少数公司将快速增长，但许多公司将赚到足够的钱，让他们的创始人过上舒适的生活，不必再回去打工。

不幸的是，我没有数据来支持这一观点；我尝试寻找相关资料，但目前只能提供一些轶事证据和几位在行业内工作了十年或二十年的人士的故事。

对许多人来说，经营自己的公司是自由的最高体现，因此创业的想法非常吸引人。由于较少有网络安全创始人听说失败的网络安全初创公司的故事，他们认为创办新公司的风险较低（肯定比其他行业要低）。这反过来又促使更多的人愿意冒险一试。

虽然只有少数初创公司会上市，同样只有少数公司会经历合并。这是因为合并通常发生在大型、成熟的企业之间（例如 2022 年的 NortonLifeLock 与 Avast的合并）。

网络安全初创公司成功退出最常见的方式是通过被收购。其中一个最重要的原因是，该领域的创新通常是通过收购而不是内部开发来实现的。由于网络安全创新的速度和方向是由攻击方设定的，因此对于安全企业来说，提前预测几十年后哪些新领域将变得相关，并在这些领域建立专长，在经济上既不可行也不现实。为了保持相关性，大公司必须向外寻找，不断收购新的能力和最优秀的团队，为精明的创始人提供良好的退出机会，从而鼓励更多点解决方案的创建。安全企业从众多玩家构建点解决方案中获益，因为这使得它们能够让市场筛选出少数最佳的工具，通过利用竞争压力，以合理的价格购买这些工具。这也非常适合连续创业者，他们可以在一两年后继续创建新的公司。

初创公司的收购通常分为三种类型之一：团队收购、产品收购和业务收购。

团队收购，通常发生在初创公司未能构建或商业化解决问题的方案，但其组建的团队非常有价值，以至于大型公司愿意雇佣这支团队来构建自己的产品。这种类型的收购也被称为“人才收购”。虽然这在网络安全领域不是最常见的收购类型，但确实会发生，尤其是在创始团队在新兴技术（如AI安全、加密、量子计算等）方面拥有深厚专业知识的情况下。团队收购通常会导致三种类型中最低的退出金额。

业务收购，发生在公司成功发展了一项对收购方极具吸引力的业务，以至于收购方愿意购买该公司的情况。在网络安全领域，很少有收购属于这一类别，而那些属于此类别的收购通常会看到较高的交易价值。业务收购的一个例子是 Okta 以约 65 亿美元收购 Auth0。这两家公司都建立了可持续的商业模式，并且都被公认为成功的行业参与者。

在网络安全领域，最常见的收购类型是产品收购，这种情况通常发生在一家公司开发了一个受到客户使用和喜爱的好产品，但无法足够快地成长以主导市场时。在产品收购中，买家通常希望将新工具整合进其解决方案套件中。然后，收购方已经建立的销售体系可以开始向现有客户群交叉销售和追加销售新的解决方案，增加收入，并执行典型的平台公司“落地生根，逐步扩展”的策略。当像 Palo Alto 这样的平台玩家或希望成为平台公司的企业收购点解决方案并将它们与其核心产品集成时，产品收购就经常出现。

持续的资金流入阻止了自然选择

在网络安全行业，持续不断的资本注入阻止了自然选择的过程。

这意味着，即使一些公司可能不具备长期成功所需的特质，它们仍然能够获得资金支持，从而得以继续运营。在其他行业中，那些表现不佳的公司可能会更快地被淘汰，但在网络安全领域，由于投资者持续不断地向市场投入资金，即使是表现平平的公司也能找到生存的空间。这不仅延长了许多初创公司的生命周期，还促进了更多新公司的诞生，因为投资者看到了这个领域的巨大潜力，并愿意承担更高的风险来追求潜在的高额回报。因此，市场上出现了大量的同类型的公司，它们提供的解决方案可能与现有的产品非常相似，但依然能够获得投资和发展机会。

在疫情期间，网络安全成为了增长最快的领域之一。

这一增长有几个驱动因素。首先，公司意识到现有的基础设施和安全实践并未考虑到远程工作的需求。其次，随着人们转向居家办公，网络犯罪分子抓住了这一机会，导致 2020 年至 2021 年间针对企业网络的网络攻击数量增加了 50%。对防御措施需求的增加导致了严重的人才短缺：当许多其他行业都在裁员时，网络安全团队和供应商却在努力寻找有经验的专业人士来兑现他们的承诺。

另外，即使在经济不确定性时期，网络安全支出也没有减少的趋势。当经济形势不佳时，网络犯罪活动并没有减少。2022 年就是最近的一个例子：网络攻击的数量上升了，尽管预算被冻结，但只有少数组织削减了安全团队的规模。

所有这些因素加上对未来积极的展望（Gartner 预测未来三年的复合年增长率将达到 11%），吸引了许多投资者进入网络安全领域。如果只有解决重要问题的公司能够获得资金，这本不会成为一个问题，但实际上，情况往往并非如此。

即使是经验丰富的安全从业者，要证明一款安全产品比另一款做得更好也并非易事，更不用说那些很少具备深厚技术安全专长的投资者了。例如，一款承诺防止因公司使用开源代码而产生的网络风险的产品，只有在客户环境中运行一段时间后，成功检测并防止了影响同一代码其他用户的漏洞，才能显示出其真正的价值；这在短短一个小时的评估期间内是难以测试出来的。

负责任的投资者会利用经验丰富的安全领导者的网络来帮助他们评估网络安全初创公司的想法。虽然仅仅依靠外部帮助并不是理想的，但总比没有好。遗憾的是，许多风险投资公司、个人投资者（普通合伙人GP）尤其是家族办公室，希望涉足网络安全领域，因为这听起来像是一个热门市场，但他们缺乏评估安全公司的网络或能力。这导致了“旅游资金”的持续流入，对创始人和公司来说，这是“容易”的资本，而这些公司本来是无法通过经验丰富投资者的严格尽职调查的。这反过来又阻止了自然选择的过程，即只有好的初创公司才能获得资金成长，导致市场上充斥着可疑的“下一代”工具。

以色列不断对网络安全添柴火

关于以色列对于世界网络安全的影响，更详细的介绍可以参考如下文章：

为何以色列的网络安全发展繁荣

8200 部队，相当于美国的国家安全局或英国的 GCHQ，负责进攻性和防御性的网络安全行动以及网络战。该部队也成为以色列的主要创业孵化器，在将以色列转变为人均初创公司最多的国家方面发挥了关键作用。尽管初创公司名单长达数百家，涵盖各个领域和行业，包括像 Wix 和Viber 这样的知名公司，但 8200 部队校友创办的公司中，可能有最大比例的集中在网络安全领域。鉴于该部队专注于开发尖端的网络战能力，这一点并不令人意外。

虽然以色列国防军提供了稳定的企业家供应，但生态系统内一系列成功的退出案例形成了一个复杂的天使投资者圈，他们有能力评估有前途的想法，识别获胜的团队，并给予他们所需的支持。除了由运营商转型而来的活跃天使投资生态外，以色列还拥有一个成熟的风投生态系统。2022 年，YL Ventures 宣布了其 4 亿美元的第五期基金，被认为是迄今为止为网络安全筹集的最大种子基金。

虽然以色列并不是唯一拥有先进网络安全能力的国家，但其独特之处在于服役人员的企业家精神。在美国，常见的是 NSA、CIA 和 FBI 的校友转入私营部门担任高级安全领导职位或创立咨询公司。尽管华盛顿特区的网络安全技术和风投生态系统相当成熟，但相对较少的前政府安全领导人会选择创办自己的公司。相比之下，在以色列，人们普遍认为军事服务是暂时的，结束服役后创办企业是自然而然的下一步。

安全服务业务

创业相对容易

在网络安全领域，启动一项服务业务相对来说较为简单。这主要是因为网络安全服务业务通常不需要大量的启动资金，也不需要像硬件或软件产品那样的长时间研发周期。相反，这类业务更多地依赖于人力资源，特别是具有专业知识和技能的安全专家。创业者可以通过提供网络安全咨询、渗透测试、安全审计、事件响应等服务来迅速进入市场。

此外，随着网络威胁的日益增多，各组织对网络安全服务的需求也在不断增长，这为新的服务提供商创造了大量的市场机会。创业者可以利用自己或团队的专业知识，为客户提供定制化的解决方案，帮助他们应对特定的安全挑战。‍由于网络安全是一个高度专业化的领域，创业者可以通过建立良好的口碑和客户关系，逐渐扩大业务规模，实现业务的持续增长。‍‍‍

‍

在过去几十年里，在会计、法律、营销、销售、运营和 IT 等对每家企业生存至关重要的领域，传统的教育系统培养了足够多的员工来满足市场需求。许多职业，如销售和运营岗位，可以在工作中学习。那些需要深厚专业知识的职业，如法律和会计，被视为高薪且稳定的职业，因此多年来吸引了许多人。相比之下，网络安全虽然不是一个全新的领域，但直到最近才被广泛认为是每个企业都需要的东西。因此，网络安全专业人才的需求旺盛，而能够胜任这项工作的人才供给却相对较少，这为在职人员开展临时性的“副业”创造了机会。

虽然很难准确计算具体数字，但根据轶事证据显示，许多安全专业人士都在尝试提供“兼职”服务。这在直觉上是有道理的：网络安全知识非常抢手，所以如果有空闲时间和在这个领域的深厚专业知识，利用这些优势是有意义的。

运营服务业务给网络安全专业人士带来了两个优势：一是对市场不同领域公司面临的问题有一个广泛的视角；二是能够在不离开全职工作的情况下建立稳定的经常性现金流。前者意味着安全从业者可以轻松发现各种客户群体中存在的模式和问题，而后者则降低了离职单干的风险。

当最初作为个人项目启动的服务公司发展壮大时，它们通常会签署更多的合同并雇用人员来处理增加的工作量。随着时间的推移，那些特别成功的公司获得了利用部分资源实验开发产品的能力，而无需筹集任何资金。许多想法是自然而然产生的，源于服务公司需要自动化为不同客户解决相同问题的手动步骤，有些则是为一个客户定制的项目后来被商业化并作为独立产品推出，还有一些是通过模式匹配和实验的结果。

不管怎样，对安全的持续需求为安全专业人士提供了建立自己服务业务的机会，有时甚至可以自主开发产品。这通常会导致咨询和软件开发工作室的混合体，有时（尽管很少）会导致独立产品公司的分拆。

结语

我经常听到有人说“我们不需要 200 多家终端检测与响应（EDR）供应商”，坦白说，我自己也多次说过这样的话。虽然这可能是事实，但安全供应商的数量直接反映了网络安全产品是如何构建和推向市场的。更具体地说，这是行业对信任的高度依赖所带来的一种副作用。

在大多数行业，使创新者能够快速扩展的关键，在于他们从早期客户那里获得的信任信用。这意味着，渴望创新并急切想要解决痛苦问题的客户，即使产品存在各种缺陷、漏洞和潜在的不一致，也会愿意支付费用并使用产品。

然而，在网络安全领域，这种情况发生的频率不高。开创新解决方案的供应商被迫努力向买家解释为什么他们的工作很重要，才能享受到劳动成果。很少有安全团队愿意迅速大规模部署未经验证的新技术，这本可以让初创公司快速成长，占据市场份额，并迅速实现市场主导。如果我们审视安全领域采购流程的次级后果，就会意识到 6-12 个月的新技术评估不可能只留下五家供应商，因为会有更多的创始人试图构建相同的解决方案，并将其出售给他们所能触及的人和公司。当德国人希望与德国的安全提供商合作，美国人只信任美国公司，澳大利亚人则偏好澳大利亚的初创公司时，试图将全球公司的数量减少到个位数将违反数学规律。

当我反思为何我们有如此多的供应商时，我意识到行业内的参与者数量不能更低，这仅仅是因为网络安全作为一个市场的运作方式。此外，我意识到我们所有人都从拥有如此多的供应商中受益。因为网络安全高度依赖于信任，公司在部署新的技术到其环境中之前需要进行彻底的评估，如果只有一两家公司处理同样的问题，创新的传播和普及将需要很长时间。想象一下，如果整个欧洲必须等待十年才能获得同态加密的最新进展，仅仅因为是一位美国人描述了第一个完全同态加密方案的可行性构造。世界各地的安全团队能够较早地接触到新的防御技术，这虽然伴随着重复努力的成本，但却是有益的。改变这一状况的唯一方法是让人们对早期阶段的网络安全初创公司感到信任，并允许它们快速扩展，将新方法和工具的概念验证缩短到几天或最多一周，这是一般理智的安全领导者都不会提倡的事情。

安全领导者从众多供应商中受益，因为激烈的竞争推动公司不断创新，降低价格，并改善客户体验。更多的创业机会意味着更多的创始人可以解决重要的问题，并且更多的人可以实现可观的财务回报。更多的公司也意味着投资者有更多的机会接触网络安全。

当我们看到列表并认为“只要前五名就够了”时，很容易说“我们不需要这么多工具”。讽刺的是，今天排名前五的供应商名单很少与该领域首批五家供应商的名单相同。在领导者出现之前，不同的人可能需要进行数十次或上百次的尝试。下次当你听到有人说“我们不需要 3,000多家网络安全供应商”时，告诉他们事情远比这复杂。

往期回顾：