每年年终总结,我都会给团队重新画一张下面的这张鸿沟图,我需要战友们都无比清晰我们走到哪里了、将要去哪里、怎么去到那里。
这张图是我在第一次创业之后学会的,就来源于下面这本创业圣经,《跨越鸿沟》,为了追求原汁原味,当时买的是英文原版,正文也就差不多 250 页,花了 24.99 美金,不便宜。如果没有英文阅读障碍的读者,还是推荐购买原版,摒除翻译后的原味丢失。
01
—
跨越鸿沟的概念
《跨越鸿沟》是对 Everett Rogers (埃弗雷特·罗杰斯)提出的创新扩散理论的一种改编。作者 摩尔(Geoffrey Moore)认为,在创新产品的早期采用者即天使客户(一般是一些技术爱好者和行业先知)与早期大多数客户(实用主义者)之间存在一道鸿沟。
摩尔相信,「先知者」和「实用主义者」有着非常不同的期望,他试图探索这些差异,并提出成功跨越‘鸿沟’的技巧,包括选择目标市场、理解整体产品概念、定位产品、建立营销策略、选择最合适的分销渠道和定价。
我们先对一些文章中的名词做个定义和解释:
5、Laggards:落后者、迟缓者,那些看到一个产品或者一项技术已经被其他所有人都接受和应用之后,自己不得不开始使用的人群或组织。
根据摩尔的观点,任何拥有创新或新产品的人,应该一次专注于一组客户,利用每一组作为向下一组营销的基础。最难的一步是在先知者(早期采用者)和实用主义者(早期大多数)之间的过渡。这就是他所指的鸿沟。如果一个成功的公司能够创造一种跟风效应,即建立起足够的势头,那么该产品就会成为事实上的标准,通过为某一业务垂直领域中的一个棘手问题提供完整的解决方案,然后再扩展到相邻的垂直领域并从那里继续扩大。
02
—
网络安全创业鸿沟
是倒置的
在网络安全中,初创企业面临着倒置的跨越鸿沟问题。简单来说,虽然在其他行业中,中小企业是第一个采用新解决方案的,而大企业则是最后一个,但在安全领域,情况恰恰相反。在安全领域,初创企业通常首先将产品卖给那些在安全成熟度方面最为 Sophisticated(成熟)的企业(除非这些企业选择自行开发解决方案)。
然后,他们会接触受监管行业的企业。(想象一下首先攻克市场上最难的部分所带来的挑战!)
对大多数初创企业而言,这已经是它们市场的终点,因为大多数其他公司既不是在安全性方面高度成熟的,也不是受到高度监管的,因此它们对于购买现有供应商提供的、已经广为人知的解决方案感到满意。这正是网络安全领域‘跨越鸿沟’的确切含义。
少数幸运能够打入大众市场的公司会成为价值数十亿美元的玩家。
销售安全产品比销售其他解决方案更难:大型企业的安全团队以规避风险著称,但同时他们又是创新者和早期采用者。这种矛盾造成了许多初创企业发现自己无法克服的采纳障碍。更糟糕的是,由于大多数安全问题都相当小众,通常没有通向大众市场的路径(因此,初创企业也没有机会跨越鸿沟)。
03
—
向企业销售安全产品
本质上,大型企业很少成为新技术的早期采用者。通常,一个新想法需要首先在灵活、快速行动的早期采用者如个人用户、小型和中型企业中获得认可,只有当它足够成熟后,企业才能希望引起财富 100 强企业的注意。无论是新的生产力软件、新的客户关系管理(CRM)系统,还是新的营销管理软件,其采用路径往往遵循从小型企业到中型市场企业再到大型企业的模式。
网络安全行业打破了这一规律。这是因为大型企业:
拥有最复杂和技术多样性最高的环境。
因为所有这些复杂性,特别难以确保安全。
需要保护大量的收入和品牌价值。
拥有评估、采用和维护安全解决方案所需的人才(这要求能够接触到具有高度专业技能的人)。
经常是上市公司,因此受到监管机构对日益增长的合规要求列表的高度审查。
虽然上述因素意味着大型企业有强烈的动机去购买网络安全解决方案,但这并不会改变这些组织采购的核心性质。这意味着,购买安全产品的公司是规避风险的、行动缓慢的,并且在购买需求方面极为复杂。
对于安全初创企业而言,大型企业是圣杯般的存在。
首先,拥有一家 F500(财富 500 强)客户可能是一个游戏规则改变者,因为它可以解锁使用这些客户作为参考的能力,并吸引其他客户的注意。
其次,大型企业的合同规模巨大,尽管部署产品可能需要很长时间,但单一客户每年可带来数百万美元的经常性收入。
第三,服务于企业的公司被所谓的平台玩家收购的可能性最高。
由于大型企业行动缓慢,并且即使考虑与初创企业合作也需要大量的信任,大多数安全初创企业在成立之初直接瞄准 F500 强企业都不会成功。那些能够做到这一点的公司往往拥有与首席信息安全官(CISO)良好建立的网络、与买家的预先存在的关系,或其他竞争对手所不具备的竞争优势。另一方面,大多数早期阶段的公司必须首先从面向中型市场企业开始,证明自己的能力,之后再寻求扩张。从一开始就瞄准财富 500 强企业并取得成功的公司例子包括 Sourcefire 和 Wiz。
04
—
向中小型企业(SMBs)销售安全产品
小公司往往不理解网络安全风险,正因为如此,他们通常对支付安全解决方案不感兴趣。与大型企业不同,小公司在收入和品牌价值方面有较少的东西需要保护,而且除了少数例外,大多数不受复杂的法规要求和政府监管的影响。
为了向这类市场销售,安全供应商需要使其单位经济模型奏效。理论上,有两种方法可以实现:通过产品主导的增长(Product-Led Growth, PLG)或通过渠道销售。
由于小型和中型企业的部署规模较小,初创企业不能指望通过销售人员花费数周时间来关闭一个只能带来 25 个端点的客户来建立盈利的业务。理论上,产品主导的增长可以通过以下方式解决这个问题:
让产品易于自助采购。这样公司可以通过避免雇佣昂贵的销售团队大幅降低客户获取成本。
让产品易于采用。这样公司就不必雇佣支持团队来引导潜在客户完成试用,因为考虑到部署规模较小,这样做并不合算。
然而,那些认为 SMBs 可以通过 PLG 模式购买安全产品的人通常会感到失望。这是因为,“理论上,理论与实践没有区别,但在实践中却有”。由于 SMBs 不是精明的买家,他们往往无法区分像虚拟私人网络(VPN)、密码管理器和托管检测与响应(MDR)公司这样的服务。对于不熟悉安全的人来说,这种问题会被安全领域的营销方式进一步加剧。我猜这三家公司(VPN、密码管理器和 MDR)的网站都会声称“我们帮助您保护您的公司”,而没有提供关于如何实现的具体细节。
PLG 模式之所以不适合向 SMBs 销售,是因为首先需要对它们进行安全教育。内容和布道可以帮助解决问题,但这只能做这么多。这时渠道的作用就显现出来了。托管服务提供商(MSPs)和 IT 顾问是安全解决方案的理想分销商:
他们与客户建立了预先存在的信任关系(了解客户的需求,并能轻松识别谁会从安全解决方案中受益)。
他们(至少理论上)具备评估、采用和维护安全解决方案的技能。
他们在寻找额外的创收途径(IT服务的利润率较低且已被商品化)。
他们处于教育客户关于安全的位置(从而克服安全销售的最大障碍)。
05
—
向个人销售安全产品
以消费者为中心的安全市场实际上并不是一个真正的市场,至少目前还不是(而且可能在不久的将来也不会是)。
简而言之,唯一在消费者中获得主流采用的安全解决方案是虚拟私人网络(Virtual Private Networks, VPNs)。讽刺的是,这种情况的发生与安全性关系不大,个人用户获取 VPN 是为了观看盗版电影、流媒体播放美国以外的影片,以及在某些国家观看成人内容和访问被审查机构屏蔽的网站。
06
—
烧钱补贴在安全领域不奏效
许多所谓的“产品管理最佳实践”来自于消费者导向的硅谷公司的超级增长经验,如 Meta、Google、Instagram 等。这些公司的理念是,创始人和产品领导者可以通过补贴用户增长,利用推荐、增长循环和病毒式传播来快速扩大每日活跃用户(DAU)的数量,然后再考虑如何实现货币化。
虽然从理论上讲,这种方法听起来颇具吸引力,但在试图将其应用于网络安全领域时就会失效。这是因为我们认为的大多数网络安全都是基于企业销售的,这涉及到长时间的产品评估、缓慢的采用周期,以及购买时对信任的高度依赖。倒置的跨越鸿沟问题使得销售安全产品与销售市场营销、销售、人力资源、财务和其他类型的 B2B 软件有所不同。创始人在评估其上市策略并决定如何为其创业公司设计分销渠道时,需要牢记这一点。
07
—
销售高度依赖于信任关系
在安全领域,销售很大程度上依赖于信任,几乎没有任何捷径可以绕过这一现实。现有的关系、同行的温暖介绍、渠道合作伙伴和分析公司的推荐、已建立的首席信息安全官(CISO)网络 —— 随着工具数量(以及因此 CISO 们需要处理的信息噪音量)的不断增加,这些因素的影响只会变得更强。
08
—
许多公司在同一市场细分领域长期共存
我之前讨论过为什么安全领域有如此多的供应商(以及为什么我们需要更多,但这是另一个完全不同的故事)。安全领域的倒置跨越鸿沟问题直接导致了更多的公司出现,让我解释一下。
如果一家新公司从向小型和中型企业销售开始,它需要签署数百甚至数千名客户才能达到一个简单的里程碑,比如 100 万美元的年度经常性收入(ARR)。要做到这一点,他们的产品需要解决:
1)在市场上广泛存在的问题。
2)人们愿意为此付费的问题。
3)理解得如此透彻以至于客户不需要更多的解释。
另一种达到 100 万美元 ARR 的方法是拥有 2 到 5 个大企业客户。因为在企业级市场的合同价值要大得多,安全初创企业不一定需要解决一个广泛存在的行业问题 —— 即使是构建一些极其小众的产品,也仍然可以为投资者创造良好的增长信号,促使他们继续提供资金。这在一定程度上解释了我之前提到的,安全初创企业不像其他行业的公司那样轻易失败,而且它们可以比一些人认为的应该的时间更长地存在。
09
—
我们在推进尖端技术
但并未提升实践水平
倒置的跨越鸿沟问题使行业的关注点偏向于进一步提升前 5-10% 已经成熟企业的安全状态。与此同时,市场中的大多数,本就缺乏购买安全解决方案的动力,看到的创新非常有限。针对 SMBs 的初创企业减少意味着用于营销和教育买家了解安全重要性的支出减少,而市场教育的减少又意味着需求的减少。这是一个闭环,放大了网络安全领域拥有者与缺乏者之间不断扩大的差距。
10
—
网络安全公司变得以收购为导向
大多数安全初创企业未能跨越鸿沟并打入大众市场,原因有两个:
如果它们正在解决一个重要问题,总目标市场(Total Addressable Market, TAM)很大,但未能成长为大型公司,通常是因为向财富 1000强企业销售所需的大量信任。
如果它们解决的问题不够普遍或在最成熟的企业之外不够为人所理解,它们通常因为市场规模小而难以成长。
后者很难完全预测,有时候,领先于时代意味着公司有机会定义创新的方向,并成为塑造新市场的第一人。然而,更常见的情况是,这意味着初创公司将烧掉风险投资的资金(假设它们已经筹集了一些资金),只为后来者铺平道路,让后来者能够利用它们的成就获利。
前者,即信任因素,是网络安全领域创新流程典型模式的主要原因:
初创企业充当研究和开发中心,孵化和验证新想法,但却未能获得大众市场的牵引力。
大型供应商收购领先的创新者,并将其整合到自己的平台上。这使它们能够利用已建立的信任,将这些新增功能嵌入其成熟的分销渠道中。
结语
—
中国被两股力量拉伸
网络安全创业要务实
我们国家现在处在一个十分矛盾的历史节点,国人一方面感觉中国发展迅速即将一飞冲天,同时又感觉到沉重的生活和发展压力。华夏民族的承压能力在数千年的历史中,不断被锤炼和验证,我们可以肯定地判断,在如今这个外部压力越来越集聚的时候,我们民族特有的凝聚力又将再一次带我们冲破迷雾和黑暗。
凝聚力最大的表现,是摒除偏见和分歧,将所有人都拉回到同一视平线、同一价值观、同一行为模式,或者说无限趋同。往小了说到我们网络安全领域,它意味着国央企会更加重视技术实用性,民企会更加看重信任和人情。
对于创业者们,我的建议是,多听、多看、独立思考、实事求是,我们公司的价值观供大家共勉。
往期回顾: