迈向2026:创始人和安全领导者需要了解的事项
年终反思:网络安全现状
年末的最后文章通常最难写,因为它总感觉需要比往常更深刻、更聪明、更有见地。好消息是,我已经能够摆脱这些自我强加的期望,但坏消息是,这篇文章仍然会让人觉得是一种反思。这已经成为一种传统:一年前(天哪,整整一年过去了!)我邀请读者就网络安全状况进行一次坦诚的对话,这次,我将讨论随着我们进入2026年,如何销售安全产品,以及市场预期是怎样的。
销售安全产品与销售其他产品的根本不同
我们可以尽我们所愿地谈论安全与其他行业的不同。我经常这样做,因为并非每个人都理解安全是一个横向领域,而不是纵向领域;在安全领域,有一个独特的创新驱动因素,这在除国防以外的任何其他市场都很难找到——那就是对手;而且由于一系列原因,我们行业的一切都依赖于信任。
这一切都是事实,但除非我们讨论为什么销售安全产品与销售大多数其他产品不同,否则我们永远无法理解全貌。之所以如此,是因为大多数情况下,网络安全的销售行为是防御性的。这意味着安全领导者并非随意探索“市场上有什么新工具可用”,而是对风险、合规性或董事会层面的担忧做出回应。不要误会我的意思,CISO 和其他安全领导者绝对对市场有什么新东西感到好奇——新创公司、新想法以及公司正在尝试的新方法。然而,当涉及到实际开支票时,大多数安全领导者首先需要解决一些基本挑战,远在他们试驾一些新的酷炫想法之前。这些基本问题往往也相当乏味,但这是另一篇文章的话题。
想想购买行为在其他领域是如何运作的。作为一名产品领导者,我购买并推广了我应得的产品管理工具份额。我这样做是因为我有某些目标要推动,但也因为我想试验不同的解决方案,看看它们是否能对我们产生影响。市场营销人员在这方面尤其臭名昭著,这就是为什么他们不断尝试、购买、流失他们的工具。大多数其他职能都有一些喘息空间来进行实验,但安全团队总是落后,并且被现有问题压得喘不过气来,以至于他们几乎没有时间去寻找“有什么新奇的”。
从历史上看,大多数安全产品的购买都植根于帮助公司避免受损,而不是提高效率或帮助 CISO 进行创新。这就是为什么恐惧、不确定性和怀疑(又称 FUD)在一段时间内作为唯一的驱动因素起作用。而在其他市场,新想法通常专注于帮助公司获得新的竞争优势、提高效率或节省成本,安全买家则希望看到证据,证明他们做出了安全的选择,并且当坏事发生时他们会受到保护。
网络安全销售的现实变化
在过去的几年里,网络安全产品的买卖方式正在发生变化,旧的策略开始失效。发生这种变化的方面太多,这里只举几个例子。
我们已从概念验证(POC)转向价值验证(POV)
对某些人来说,这可能听起来像是文字游戏,但事实并非如此。我看到的趋势之一是,我们已经从进行概念验证(POC)转向进行价值验证(POV)。区别相当简单。当安全产品依赖于一些真正的深度技术和独特的新颖想法时,CISO 会进行所谓的概念验证(POC),以了解解决方案如何工作、它做什么以及如何与他们环境中已配置的所有其他组件协同工作。
快进到今天,我们看到大多数概念已经相当好理解。当有人说“运行时”、“态势”、“代理”、“防火墙”、“传感器”等词时,我们对事情将如何运作有一个很好的概念。在 2025 年,CISO 并不真正需要验证概念;他们需要看到价值,这完全是不同的游戏。仅仅因为传感器正在查看某些遥测数据、在运行时进行分析并生成发现,并不意味着会有太多价值。这同样适用于安全领域的几乎所有方面。如今的创始人不会被人问“它是如何工作的?”,而是会被问“所以呢?”
CISO 开始忽视 FUD 并寻找投资回报率(ROI)
在我开始写这一段时,我意识到整个这一部分完全可以被称为“从一个三字母词转向另一个三字母词”。稍微扩展前一点,我看到越来越多的安全领导者对 FUD 感到厌倦。每个初创公司都在告诉他们,“如果你不买我们正在卖的东西,你就会被攻破”,因为每个人都在重复同样的推销说辞,同时销售不同的解决方案,我认为这个论点已经完全被过度使用了。
CISO 开始忽视那些试图吓唬他们的工具,转而寻找能够增强业务弹性和效率的赋能工具。安全领导者开始询问该工具将如何帮助他们使公司更成功——消除手动工作、更快地回答其他团队的请求等等。我的一部分觉得这种情况相当讽刺。在很长一段时间里,安全供应商投入了大量营销资金,帮助传播“CISO 应该精通业务并赋能业务”的信息。现在当我们处于 CISO 正在做到这一点的时候,我们了解到大多数这些供应商实际上并没有为业务“赋能”任何东西。可以说,他们帮助创造了一个他们自己无法满足的购买标准。
CISO 寻找 ROI 的事实并没有让沟通变得更容易
这就是我们所希望的面对网络安全的严峻现实:仅仅因为我们想要展示 ROI,并不代表这样做会变得更容易。资金不再是免费的,因此如今大多数公司对自己的预算分配变得更加精明。这对安全来说是个坏消息,因为每次 CISO 为一个安全计划争取预算时,它都会与其他创收项目进行对比评估。如果一家公司试图使其收入逐年翻倍,它更有可能投资于一个新的安全计划,还是营销、产品或销售部门所说的会增加收入和改善毛利的项目?答案是显而易见的。
我认为大多数人并没有真正认识到在许多公司中 CISO 获得新预算有多么困难。我们经常听到“许多 CISO 不是业务领导者”这样的废话,但我还没有看到任何人认识到,当一切都围绕削减成本和提高收入增长时,任何能让其执行团队认同并资助新安全计划的 CISO,都是卓越的沟通者、谈判者和布道者。
沟通安全价值的挑战甚至在沟通之前就开始了。我们如何衡量风险降低?如何解释 ROI 并量化由于我们部署了安全控制而避免的攻击所带来的节省?这些都是反问句,但当 CISO 努力为关键计划争取预算时,他们被迫思考这个问题。完全公平地说:许多其他高管也难以将他们的支出与成果挂钩,不仅仅是 CISO。以营销人员为例,他们难以将任何销售活动归因于他们正在推动的具体计划。然而,CISO 的不同之处在于,他们得到的关注也较少,而董事会唯一满意的结果(零违规)根本不现实。
2025 年的网络安全销售陷入困境
我的结论是,网络安全销售正在陷入困境。一方面,FUD 不再有效,除非公司拥有如此多的心智份额,以至于买家仅将其视为最安全的选择(初创公司很少属于这一类)。另一方面,我们继续努力尝试传达安全控制的业务价值,并由此提出 FUD 的替代方案(顺便说一句,FUD 并未给行业带来好处,但无疑让许多公司变得富有)。
在我看来,最大的行业差距与安全领导者传达安全控制价值的能力无关,尽管这经常在会议和社交媒体上被提及。相反,事实是太多创业者不知道自己在解决什么问题。我记得和我的朋友 Jonathan Haas 聊过,他说得很好:大多数早期初创公司没有增长的原因是,他们还没有弄清楚他们应该增长什么。换句话说,他们不知道自己在朝哪个方向前进,甚至根本不知道自己在试图解决什么问题。在所有这些“下一代”和“人工智能驱动”的华丽辞藻背后,是他们无法明确指出他们正在解决哪个工作流程、正在替换什么工具,以及他们试图向谁销售。在种子阶段没有这些答案是正常的(毕竟,种子阶段就是为了获得这些答案),但令人震惊的是,你会遇到一些已经存在 5 年以上并且仍在努力弄清楚自己是谁、为什么存在的公司。
迈向2026:安全领导者的挑战与机遇
我不认为 CISO 的生活在新的一年里会变得容易得多,但我确实希望他们能继续获得领导层更多的支持。在 2025 年,我们已经看到了几个案例,当出现问题时,公司创始人和 CEO 站在他们的 CISO 一边,而不是把他们当替罪羊,最突出的例子是 Coinbase 的故事。最近,我们还看到 SEC 驳回了对 SolarWinds CISO Timothy G. Brown 的诉讼,顺便说一句,他在经历持续诉讼的噩梦期间仍然是该公司的 CISO。
对 CISO 来说,迹象相当积极,但出于显而易见的原因,我认为他们的工作不会变得更容易。预算压力将继续迫使他们以更少的资源做更多的事,而来自该领域所有供应商的噪音只会让他们更难区分什么是真实的,什么是废话。一线希望是,所有这些噪音应该成为安全领导者重新关注基本要素的机会,因为这些才是真正重要的。公司继续遭受破坏是因为他们没有做好基础工作,而不是因为他们没有购买某个下一代产品。
迈向2026:创始人的挑战与机遇
进入 2026 年,市场将只会变得更加竞争激烈。在过去的几年里,数十(或数百家?)新初创公司成立,其中大多数仍处于隐秘模式,但所有这些公司都在试图解决各种问题并提供新的解决方案。他们中的大多数并非试图解决新问题——他们瞄准的是现有市场,这意味着他们将不得不说服买家替换他们现有的解决方案。这将非常困难。将近一年前,Eyal Worthalter 在 LinkedIn 上发表了这篇帖子,我深表赞同:
“在网络安全领域,“更好的捕鼠器”推销已经失效。原因如下。大多数企业已经奠定了他们的安全基础。EDR、SASE、SIEM、CSPM——核心技术栈已经就位。不完美,但足以处理几乎所有事情。
去年教会了我这一点:在完成了一次完美无瑕的 POC,并展示了 40% 的更好检测率之后,CISO 仍然走开了。为什么?因为“更好”已经不够了。想想当我们推销一个“更好”的解决方案时,我们真正在要求什么:
- 拆除现有的集成
- 重新培训整个安全团队
- 重建自动化行动手册
- 修订程序和文档
为了什么?渐进式的改进。残酷的事实是?除非你比现有方案好 10 倍(不是 50%——是 10 倍),否则你正在打一场对抗组织惯性的必败之战。“足够好”是你真正的竞争对手,而不是其他供应商。我认为在 2025 年,我们只会看到交易在以下情况下达成:
- 合规要求迫使改变(即你的产品解决了特定的行业要求)
- 我们解决了一个他们的技术栈无法触及的全新问题
A 和 B 都依赖于产品本身。所以卖家对此能做的并不多。相反,如果我们能展示出数量级的改进,证明组织变革的痛苦是合理的,并能推动更好的业务成果,我们就能达成更好的交易。其他一切都只是让已经不堪重负的安全团队感到选择疲劳加剧。去年我得到的最诚实的反馈是:‘你的解决方案更好。但‘更好’不值得付出变革管理的代价。’”
Eyal 的话在一年前是对的,从现在起一年后它们将变得更加正确。显然,作为创始人,我们必须押注于 CISO 们将继续有足够的兴趣从新一代公司购买。我确信会有,但对初创公司的门槛将继续提高。虽然这不会变得更容易,但我认为当压力来临时,生存本能发挥作用,人们会更快、更有效地弄清楚他们主张的是什么。
为了结束这一年,我必须说,这个行业继续在成熟,我继续对我们前进的方向感到无比乐观。愿新的一年是更多公司明确其目标的一年,愿他们有足够的跑道能够做到这一点。创业很难,我祝愿所有为捍卫我们的现在和未来而不懈努力的人在新的一年里取得巨大成功!CISO、创始人、营销人员、投资者、安全专业人士——无论你是谁,我们都站在同一边。新年快乐!
如果你喜欢我的博客,请订阅并与你的朋友分享。我在业余时间做这件事,所以看到读者群增长有助于我保持动力,写更多东西。除了我的文章,我不发送任何东西,也不把你的数据卖给任何人,因为我有更好的事情要做。
如果你是建设者——现任或有抱负的初创公司创始人、安全从业者、营销或销售领导者、产品经理、投资者、软件开发人员、行业分析师,或者其他正在建设网络安全未来的任何人,请查看我的畅销书《Cyber for Builders》。
如果你的公司有兴趣赞助 Venture in Security,请查看赞助信息。
最后,查看 Inside the Network 播客,我们为您带来建设网络安全未来的最佳创始人、运营者和投资者。