是什么扼杀了网络安全产业的创造力？

中美之间的网络安全差距始终存在，这与经济发展、政治模式和国际地位等诸多因素息息相关。但是，中美之间却拥有很多高度相似的地方，例如都有庞大的合规市场，都有大量的安全从业者，都将网络安全视为国家安全以及都在产、学、研等方面高度投入。

然而，现阶段的中美两国都陷入了一个困局，那就是在创新方面的匮乏。有业内人士表示，2017年，我国网络安全创业进入了一个爆发期，但随后，无论是在创业还是在新技术、新产品的应用方面，都逐渐陷入了停滞。我们很少还能在2020年以后看到革命性的新产品，更多的是对固有技术的堆砌，以及对Gartner等国际技术的照搬。美国也是如此，传统的创业者销声匿迹，留下的只是一片精致繁华的废墟。

是什么扼杀了中美两国的创造力？应该如何才能进一步推动网络安全产业的创新？本文的作者从生态视角解释了这一点。

以色列，网络安全的创业“圣地”

在进入正文之前，我们先来聊一聊以色列。以色列是一个备受争议的国家，一方面，以色列正在逐步侵蚀巴勒斯坦的土地，对加沙地区频频发动战争；另一方面，以色列在教育、军事、经济等方面十分突出，在2023年度全球创业者大学排名中，有6所以色列大学进入全球前100名，其中5所以色列大学位居全球前50名，而以色列理工学院排名第16位。

在网络安全领域，有大量的初创公司来自以色列，这里有几个主要原因：

1.美国政府的支持使以色列作为一个创业国家得以迅速发展。

2.大量资金可用于支持以色列创业者及其想法。

3.国内领先的风险投资公司建立的支持系统和资源中心。

4.强大的天使投资网络，为支持自己的网络和回报社会的愿望推波助澜。

然而，如果没有源源不断的创业人才，如果没有在其形成过程中发挥关键作用的以色列国防军（IDF），这一切都不可能实现。以色列拥有稳定的创业人才梯队，具体情况如下：

1.以色列的儿童从小就在自信、大胆的文化氛围中长大。

2.在学校里，有一些激励冒险和创业精神的课程。

3.由于以色列实行义务兵役制，以色列国防军可以从全国挑选最优秀、最聪明的人，将他们分配到不同的军事单位，其中许多单位注重培养领导技能、批判性思维和精打细算的冒险精神。

相对而言，美国拥有比以色列更强大的网络战能力，美国仅在国防部（DOD）上就花费了近 2 万亿美元，而以色列作为一个小得多的经济体，在军事上的投资却比美国少了约 7 倍。但以色列在网络安全创业方面几乎遥遥领先。

在这两个国家，军队都为军人提供了令人难以置信的能力，使他们能够在网络安全方面塑造自己的性格并培养技术能力。没有一家私营公司能像美国国家安全局或以色列的 8200 部队或 Matzov 部队那样应对如此先进的技术挑战，也没有一家服务提供商能像这些机构那样给予员工非常大的自由度。

加入国家安全局的美国顶尖网络安全从业人员往往会在那里一待就是几十年；如果他们离开，通常是退休后从事网络安全咨询工作，有时还会成为大型组织的 CISO。但以色列不同，Unit 8200 的校友通常在 20 多岁时离开，与朋友一起创办一家成功的初创公司，或者自己创建一家具有决定性意义的产品公司。

以色列人口不到 1 千万，其首都特拉维夫的人口仅有50万，但特拉维夫是大多数初创企业活动的集中地。如此集中的人口和人才意味着，任何一个以色列公民想要创业，只需要1—2个介绍人就可以联络到任何想要联系的人。这种接近性和联系性意味着，大多数科技界人士都认识创办并成功退出科技初创企业的人。

以色列的文化、军队的纽带和领导经验，以及普通人的成功故事，这些因素的结合为新创业者创造了稳定的渠道。众所周知，以色列的创始人在寻求将自己的公司发展成为大型跨国公司时会遇到各种挑战，但这里的创业者真正掌握了创办和发展成功初创企业的艺术。

美国网络安全生态系统的演变

美国没有类似的网络安全初创企业创始人渠道。在美国，安全创始人的背景通常各不相同，这往往与他们希望解决的问题类型有关。

从历史上看，网络安全服务公司的创始人通常都有黑客背景，后来又有渗透测试背景。随着法规的跟进，慢慢地，有合规处理经验的人也开始建立自己的企业，尽管他们更注重治理、风险和合规（GRC），而不是实际的安全。另一方面，网络安全产品的创始人通常都有很强的信息技术（IT）和网络背景。在网络安全成为一门独立学科之前，大多数安全从业人员都是从这两个领域开始其职业生涯的。

无论他们接受过何种培训，也无论他们的专业领域如何，将许多产品创建者团结在一起的是他们对开源的热爱。这不仅是因为安全知识是在与开源贡献者重叠的人群中共享的，还因为构建安全解决方案的行为本身通常就是一种社区倡议。只有在一段时间后，这些项目中的一部分才会“产品化”，成为私营公司。

因此，相对于产品或服务的创始人，早期的美国创业者更像是对安全充满热情的技术专家，是他们构建了今天所依赖的大量工具和基础架构，并确立了构成安全知识体系的概念和知识领域。

时至今日，很多事情都发生了变化。网络安全是一个行业、一门学科和一种职业。作为一个行业，网络安全拥有一个由供应商、投资者、分销商、分析公司和监管机构等参与者组成的不断发展的生态系统，它影响着不同市场参与者的行为，促进价值创造，并使公司能够获得所需的解决方案。作为一门学科，网络安全正日趋成熟，被人们更好地接受和理解。在互联网和社交媒体的推动下，越来越多的专业会议、活动和社区使人们更容易接触到安全，并促进了全球知识的传播。作为一种职业，网络安全变得越来越复杂，也越来越专业，因此，我们再也无法涵盖所有可能的安全领域。

与此同时，解决安全问题的意义也发生了变化。在过去，如果想解决某个重要领域的问题，要么会寻求外部服务，要么会在网络、IT 或邻近领域建立开源项目。这意味着安全从业人员有了更多改变现状的选择。他们可以加入一个安全团队，在安全运营中心（SOC）工作；他们可以成为工程师，专注于应用安全；他们可以创办自己的产品或服务公司等等。

要在安全领域找到出路，既容易又困难。容易是因为入门所需的知识就在身边，网络安全具备互联网的核心主旨：分享。大量的培训机构让网络安全、创立公司等方面的知识实现了民主化，愿意以导师和顾问身份提供帮助的经验丰富的企业家、自身从业者以及投资者也正在发挥着作用。而困难则是因为这些知识的普及，竞争和实现有意义的差异化变得越来越困难。

网络安全创业的新门槛

在当下，开发安全产品比以前困难得多。造成这种情况的原因有很多：

1.在同一市场上竞争的公司不足十家的时代已经一去不复返了。以前，对安全解决方案的需求并不存在，因此每个创始人都必须投入资源来教育市场。时至今日，由于信息太多，买家、投资者、分析师和业内人士几乎不可能将信号与噪音区分开来。

2.执行速度变得至关重要。由于竞争者众多，再也不可能慢慢吞吞，花很长时间了解周围环境后再开始建设和销售。

3.差异化很难实现。由于市场上同质化、差异化程度低的产品数量众多，创始人必须有信心在众多产品中脱颖而出。

因此，要想在2024年打造一款安全产品，创始人需要拥有安全方面的经验、拥有打造产品的经验以及有兴趣从事打造企业所需的工作。在以色列，以色列国防军和当地的初创企业生态系统为科技创业者提供了具备这三个要素的人才，但在中美两国，这三个对成功至关重要的领域之间的重叠却很少见。这意味着，中美两国的网络安全创始人梯队存在问题。

中美网络安全创始人梯队问题

讨论网络安全创始人梯队问题主要有两个方面：技能和思维方式。在技能方面，建设者与从业者在维恩图上的重叠非常罕见。大多数安全从业人员都不是建设者，而大多数软件工程师对安全也不甚了解。作为一个不具备构建能力的从业者，创办一家新公司会变得更加困难，也会减慢交付代码的速度。另一方面，不了解安全的软件工程师创办的公司很少能解决正确的问题，同样也很少能以安全买家所期望的方式解决问题。

在美国，同时具备这两种技能的人通常担任安全工程师或软件工程师。由于这些人很少，他们的报酬也很高，尤其是如果他们加入的是一家 FAANG 公司，或者是一家热门的由风险投资支持的云原生安全初创公司，他们的年薪可能会达到25万至 75万美元。因此，这些人几乎不会放弃原来的生活方式，选择去冒险创业。

在中国，由于经济下行等问题的影响，中小企业的安全从业者们无法得到重视，一个人的安全部门比比皆是。但在高度监管的行业却相反，在这些行业工作的安全从业者，他们往往拥有大量的资源倾斜，拥有优质的团队，更有甚者会建立安全实验室，来帮助企业应用最前沿的安全技术。

但无论是哪种类型的安全从业者，都极少有人跳出来创业。低收入的安全从业者在艰难生存，高收入的不愿放弃舒适生活。即便创业，大家的目的也不全都是为了推动行业发展，以创业的名义打造个人IP抑或是收割资本的大有人在。

对安全充满热情的安全工程师和软件工程师最有能力重塑这个行业，为安全带来新思维，打造网络防御的未来。然而，由于丰厚的报酬、良好的经济和职业发展前景，他们缺少创业精神。以色列的安全从业者能看到身边的朋友、同学和同事们纷纷成立公司，中美两国却与之相反，他们没有足够的创业动力。

为了让安全工程师敢于冒险，放弃成功的高薪职业，他们需要有饥饿感。然而，他们越有经验，就越有可能安于现状，越不可能愿意回到吃拉面和为支付房租而挣扎的状态，经验丰富而又饥肠辘辘的安全工程师和软件工程师十分罕见。

此外，大多数工程师对安全、市场推广、销售、营销等业务不感兴趣。而那些对业务感兴趣的工程师，要么是对业务手册和“一贯做法”根深蒂固，以至于难以换位思考；要么是对他们所见过的所有做法深恶痛绝，以至于与现实脱节，坚持推进那些不会带来结果的方法。

中国也存在这样的问题，大量的创业者进入市场的目的不是为了影响或改变行业，也极少有企业将目光放在这里，更多的是在国内政策的倾斜下，收割来自国家、资本方面的融资。在风头过后，要么将公司打包卖给大型企业，要么直接放弃，圈一波钱走人。

由于可“收割”的时间较短，企业想要快速提高营业额，快速建立一个“好看”的年度财报，就只能在营销上下功夫。所以我们能够看到，讲故事的企业越来越多，真正能够解决问题的却越来越少。同时，由于产品同质化的制约，各个厂商开启了价格战，这让本就乌烟瘴气的市场变得更加混乱，买家不知道如何选择，资本也不确定如何进场，只有大量的卖家聚在一起，叫嚷着行业的不景气。

需要保持饥饿感

乔布斯曾说过：“保持饥饿。保持愚蠢。永远不要放弃追求新想法、新体验和新冒险的欲望”。这句话在网络安全领域依然适用。

事实上，最有机会重塑安全工作方式并解决行业中最棘手问题的人并不是最有天赋、最有才华，甚至不是最好的安全工程师。他们是那些被目的感、使命感和成就感所驱使的人。他们充满渴望。这并不意味着对金钱的渴望（尽管那些能够产生大规模影响的人当然应该得到公平的工作报酬）。他们渴望的是影响力、规模、增长、开创新局面以及在行业中有所作为。

我国同样拥有这样具有使命感的创业者，他们不仅是对知识或专业成长的渴望，而是对大规模影响的渴望，以至于他们愿意牺牲舒适的生活，推着巨石上山，一干就是多年。

渴望为网络安全产业带来更好发展的创业者们是饥饿的，追求大规模影响力的以色列创始人也是饥渴的，刚刚步入社会，在大学期间就准备好创业的应届毕业生们更是如此。此外，辞去高薪工作加入 Y Combinator 的年轻学生们渴望创业，有抱负的安全从业人员渴望得到帮助，自愿花时间组织活动、发表演讲、教授他人安全知识、为开源项目做贡献的人们也在“忍饥挨饿”。换言之，保持饥饿，就是保持创新。

原文链接：

https://ventureinsecurity.net/p/immigrant-founders-in-cybersecurity

原文作者：

Ross Haleliuk

Ross Haleliuk 最初是一家 B2B 教育科技公司的联合创始人，之后在多个行业担任产品负责人，职业生涯长达十年，最后进入网络安全行业。他的专长领域包括市场推广和产品战略、战略定位、产品与市场契合度拓展、增长、运营和筹资。

END

点击这里阅读原文