前两篇文章讨论了安全产业面临的困境。详见
困境客观存在,如何应对,这几天在跟一些创业的朋友讨论,简单做个总结。
继续产品路线
其实真把国内云厂商的安全产品仔细打开看看,优势也并没有多大。但有两点优势无法取代:一是销售渠道捆绑,二是console类应用捆绑,这意味着客户选择他们和使用他们都会容易一些。
所以,如果选择继续做产品,要有几点考虑:
如果未来的应用在云上,需要产品做得比云厂商好,且好很多才行。云厂商的人才素质比较高,迭代能力强,可以跟他们硬刚,但也确实需要硬实力。有实力不用怕,Wiz和CrowdStrike在摆着呢,云口抢食,是可以的。
如果应用跟云无关,那就继续埋头发展,别理云。但还要考虑一个重要问题,大多数安全产品本质是软件(套个盒子也是软件),软件的特点,只有头部几个公司可以活得好(ToC甚至只能活一个),所以,无论哪个领域,要考虑一个问题,你能否在该领域做到第一或前三,否则,要想活得好很难。
出海。出海的话题这两年很热,但总体很难,很费时间,很费钱。举个简单的例子,可以打开国外公司的网站看看,他们的文档,数量及质量,你是否能搞到这个程度。所以,建议至少先做到国内头部再讨论这个问题。
抱大腿
启明星辰走了条很好的路。移动的体量,需要大量的安全产品和服务,仅靠采购是不行的,关键的东西必须握在自己手里,收购公司是非常理想的选择,快速,成建制,能力强。
今年大量央国企成立数科公司,很快会面临和移动一样的情况,安全仅靠采购是不行的,DevSecOps是他们的方向,无论开发安全,还是安全运营,能力需要都长期积累,这个时候,小一点的会建立安全团队,有实力的会选择更好的路子,直接收一家安全公司。
这对绝大多数创业公司,甚至活得不太好的上市公司来说,都是非常好的出路。
软件加服务,MSS
安全产业和其它软件有不一样的地方,就是对运营要求很高。很多公司,尤其是中小公司,需要的不仅是设备和软件,还需要服务,这就是MSS,几个安全大厂已经进入这个领域,但目前看,效果还不太理想。
MSS的核心竞争力是人均效率。如果仅仅卖人头,比较难赚钱。但传统的网络异构,设计有缺陷,差异太大,导致MSS的系统很难适应多家共用,效率不高,是当前的主要问题。这样的场景,如果网络不能改造,仅拿MSS这点小钱,有点粪坑里拣芝麻的感觉。
但云架构天生支持API,底层几乎一样,使得MSS可以大幅提升效率。同时,中小企业自建安全团队及能力成本极高,不如采购。对云厂商来说,这块也是不想碰的业务,因为两个问题,一是人员成本高,二是如果做MSS,客户什么问题都会找安全部门,质量的问题也会变成安全问题,对大厂员工及部门来说,都会严重影响KPI。
所以,我觉得,这一块是云生态天生留给中小安全公司的一个机会。CSPM,CWPP,CNAPP这些软件,再加上MSS的服务,是可以超越云厂商的。
在服务上,大模型可能是个好帮手。
抱团取暖
前一段有一些投资人讨论,给了大家这么一个建议,几个公司合并起来,再融资或者去一些资本友好的地方落地。
是个方案,但是我不看好。两个亏损企业,老大不同,文化不同,背后的资本不同,估值都还偏高,合并本身就很难,合并整合更难。这种情况下,想靠合并把企业搞好,难如登天。
对自己的能力非常有信心的,选1,只要在产品上最终胜出,走到第一,前景最好。
客户关系好,能够被大型公司看上的,选2,未来走到甲乙合到一起,类似当前互联网的模式,是真正安全模式。
想塌塌实实活着,赚点小钱的,选3。想继续忽悠资本的,选4。
条条大路通罗马。
END