在每一家成功的网络安全公司背后,都有一位你从未听说过的软件工程师。
过去几个月,当似乎所有人都在预测软件工程将很快完全由人工智能完成时,我注意到的一些迹象却指向了一个截然不同的故事:人工智能使优秀的软件工程师变得更加重要,而非更不重要。我甚至可以说,对于一家初创公司而言,吸引优秀的软件工程师比拥有一个好点子重要得多。最终,决定公司成败的正是人才,这一点在网络安全领域尤其正确。
业界大多数人没有意识到的是,每一家成功的网络安全公司背后,都有一位你从未听说过的软件工程师。Palo Alto Networks、Zscaler、CrowdStrike、Cloudflare——所有这些以及大多数其他安全公司,都有人在构想、设计并构建了他们的平台,这些人并未广为人知,甚至没有担任CTO头衔。在这篇文章中,我将分享他们的一些故事。
软件工程师将安全愿景变为现实
我深知,当安全专业人员听到“软件工程师将定义安全的未来”时,他们会很快失去兴趣,心想:“嗯,这个想法在过去对我们来说并不奏效。”除了世界上技术最成熟、最前沿的公司外(即使在那些公司,现实也远不如BSides会议所暗示的那般美好),整个“左移”运动在其他地方都失败了。软件工程师会对安全工作者迷,这个想法已被证明,往好了说是过于乐观,往坏了说则是一种有些妄想色彩的幻想。
我来这里并非要争辩这一切即将改变。相反,我想谈论另一件事:软件工程师在定义安全行业本身发展方向中所扮演的角色。在所有关于“开发人员使用人工智能生成易受攻击代码”的讨论中,常常被忽略的是,正是这些软件工程师也在构建定义安全如何实现的解决方案。
如果你同意像 CrowdStrike、Palo Alto、Wiz 和 Zscaler 这样的公司在解决真实企业问题方面做得不错,那么你也必须承认,这些公司中的绝大多数并不是由一群安全工程师创建的。现在,我知道总有人会急于评论说安全厂商并没有真正带来任何改变,但这不是我要说的重点,我想我们可以同意,卸载杀毒软件并用单一密码替换密码管理器并不会让我们更安全。虽然创始人和首席执行官们常因愿景和执行获得赞誉,但对于那些将愿景变为现实的工程师们,却说得远远不够。这对我来说至关重要,也是我想关注的重点。
顶尖安全公司背后的技术远见者往往不为人知
我发现真正有趣的是,世界顶级安全公司背后的大多数杰出人才仍然不为人知。有多少人知道 Yuming Mao,Palo Alto Networks的首席架构师和联合创始人之一?他曾担任Juniper Networks的首席架构师和杰出工程师,通过收购NetScreen加入该公司,但我几乎无法在互联网上找到他的一张照片。有多少人知道 Fengmin Gong,他曾与 Nir 和 Yuming 合作,领导了下一代应用感知防火墙中 appID/威胁引擎的概念构思、架构设计和实现?令人着迷的是,杰出的中国工程师在 Palo Alto 的早期阶段扮演了多么重要的角色,然而历史却几乎遗忘了他们的名字。
同样,安全领域的大多数人从未听说过 Alex Ionescu,他是一位杰出的技术强人,曾担任 CrowdStrike 的创始首席架构师和端点工程副总裁。CrowdStrike 的早期员工会告诉你,如果没有 Alex Ionescu,就不会有我们今天所知的 Falcon 平台,但他很少谈论自己的故事。Alex 于2021年离开 CrowdStrike,并于2025年初回归,考虑到他重新加入前几个月公司所经历的事情,这很可能并非巧合。
另一家全球最有价值的安全公司背后的软件工程强人是 Zscaler 的联合创始人 Kailash Kailash。在 Kailash 的案例中,网上实际上有相当多关于他的信息,因为 Zscaler 的联合创始人兼首席执行官 Jay 总是将所有的技术才华归功于他。以下是 Kailash 本人谈及 Zscaler(前身为 SafeChannel)起源的方式:“那是在 Jay 家的一次晚餐上,他首次提出了云安全平台的想法。交谈之后,我深信这就是未来,但从技术角度来看,这个问题并不容易解决,也从未有人做过。经过四个月的开发、讨论和大量试错,我们似乎找到了一个可行的解决方案。”
行业内很少有人知道的真正悲剧性故事,是关于 Cloudflare 背后的杰出技术专家。虽然今天大多数人知道 Matthew Prince(首席执行官)和 Michelle Zatlyn(总裁),但 Cloudflare 是由三人创立的。Lee Holloway,Cloudflare 的第三位联合创始人,这位架构了该平台、招募并领导公司早期技术团队的技术天才,于2015年从 Cloudflare 卸任,患上了一种真正悲剧性的痴呆症,当时他只有36岁。《连线》杂志曾讨论过这个故事(也有这段2分钟的视频),但鉴于其真正的悲剧性,没有合适的地方谈论此事也就不足为奇了。
所有这些故事只是例子,说明了本文的核心观点:每一家伟大的安全公司都是由不可思议的工程师们构建的。在某些情况下,主要创始人和首席执行官就是那位工程师,但在大多数情况下,他们并不是。即使我们并不总是知道每个平台背后的技术天才的名字,但总有人,而且通常是一个团队,而不是一个人。
以色列的成功部分归功于其了解安全的软件工程师储备
过去几年以色列安全生态系统爆发式增长有许多原因——持续涌现的优秀安全人才、冒险的文化以及增值资本的存在。这些都是事实。然而,我认为以色列成功的一个很大因素在于其拥有大量了解安全的软件工程师。
可以说,美国拥有的安全人才比以色列多得多,考虑到人口,这是合理的。然而,同时具备以下三个属性的软件工程师相对较少:
- 拥有软件工程背景和构建面向客户产品的经验
- 对安全有经验、理解或热情
- 拥有在初创公司工作或从零到一交付产品的经验
这其中每一个属性都很重要。
在美国,有很多安全工程师,虽然许多人在编写自动化脚本、连接不同工具甚至构建一些内部工具方面很出色,但他们中的大多数人没有产品构建经验。然而,构建产品完全是另一门学问,因为它需要从系统、规模和用户体验的角度思考,而不仅仅是功能。产品工程意味着理解如何为可靠性、性能、用户上手和长期维护进行设计。它关乎解决问题,不仅仅是为你的团队解决一次,而是为成千上万家拥有不同架构、约束和用例的组织解决问题。产品构建需要一种超越安全专业知识的创造力和严谨性的结合。保护一个环境是一回事,而构建他人将依赖其来保护自身环境的平台则是另一回事。这就是为什么每一家成功的网络安全公司都需要优秀的产品工程师和安全领域专家(领域专家确保产品解决正确的问题,而软件工程师则将领域知识转化为可扩展的工具)。
在初创公司,人们需要能够走捷径,并且知道哪些捷径可以走。这是在为规模而设计和快速交付产品之间的妥协,因为没有快速的迭代,那个规模很可能永远不会到来。这就是为什么初创公司的经验也非常重要。许多了解安全的优秀软件工程师在美国的大型企业工作,如微软、谷歌、AWS、思科,甚至像美国国家安全局(NSA)这样的机构,但让一位工程师在思科取得成功所需的条件,与让一位工程师在初创公司成功构建产品所需的条件大不相同。让我说清楚:任何在大公司工作过的人都可能非常适合初创公司,但那些只在大公司工作了十年或更长时间的人,成功适应的可能性较小。
最后,对安全具备专业知识或热情也非常重要。诚然,安全只是另一个领域,绝大多数工程师是领域无关的。这没错,但安全确实要求人们深入一点,如果一个工程师对沉浸于那种深度毫无兴趣,那么他们成功的可能性就更小。
以色列已经建立了一个极佳的人才输送管道,输送着拥有初创公司工作经验和对安全有强烈热情的软件工程师。这是他们的秘诀之一,要复制他们的成功,我们必须复制这一点。
结语
对于安全行业的人士(CISO、安全工程师等),我的信息很简单:认识到软件开发人员不仅仅在引入漏洞,他们很大程度上正在构建我们行业的未来,正如他们过去所做的那样。网络安全的每一次突破,无论是端点安全还是云安全,都是通过软件工程师之手构建的,他们将雄心勃勃的愿景转化为可用的产品。
对于创始人,教训也很清楚:将人工智能视为工程师的工具,而不是替代品。雇用优秀的工程师,并给予他们所需的一切来做到最好——自主权、支持、认可,以及一个周围有其他杰出人才的环境。当然,给他们最新的AI工具,但同样(或者我认为甚至更重要)的是,为真正的自主权创造空间,并确保他们的影响力可见且得到回报。
最后,如果你是一位对安全充满热情或好奇的工程师,或者是一个希望从事重要、根本性难题的人,我很乐意与你联系。不仅因为我在招聘,也因为我知道许多其他创始人也正在寻找优秀的构建者。
如果你喜欢我的博客,请订阅并与你的朋友分享。我在业余时间做这件事,看到读者群增长有助于我保持动力并写更多内容。除了我的写作内容外,我不会发送任何东西,也不会把你的数据卖给任何人,因为我有更好的事情要做。
如果你是构建者——无论是现任还是有抱负的初创公司创始人、安全从业者、市场或销售负责人、产品经理、投资者、软件开发人员、行业分析师,还是其他任何正在构建网络安全未来的人,请查看我的畅销书《Cyber for Builders》。
如果你的公司有兴趣赞助 Venture in Security,请查看赞助页面。
最后,请查看 Inside the Network 播客,我们将为你带来构建网络安全未来的最佳创始人、运营者和投资者。