传统安全市场VS新兴安全市场
这个内容总觉得会写不好,或者会得罪人。
这几年做会棍,听得最多的是“我们面对的是新兴安全市场”、“传统XXX已死”之类的话。而近来安全圈的各种投融资案例,也是主打“新兴理念、新兴市场”的旗号,似乎人人都要和“传统”划分界限。
就连当时的我也时不时被打上鸡血,回到公司找BOSS聊天,大言不惭地鼓吹转型,要做新兴安全市场。
很幸运的是,我有个好老大,他忍着耐心听我狂侃,在我口水说干无以为继的时候,才慢悠悠地说道:“你说得挺好,那么你告诉我,什么是传统安全市场?什么是新兴安全市场?什么是市场?”
这时的我,突然懵逼了。
在讲之前,我同样问下大家:什么是传统安全市场?什么是新兴安全市场?什么是市场?
先来看个有意思的情况。
这些年里冒出来的许多标榜针对新兴安全市场的初创安全公司中,创始人团队绝大部分都是一呼百应,声名在外的技术牛人,却很少见到销售类、市场类的人的身影。就像@梁伟那篇《创业坎坷:一不小心就开启的脏雪球模式(完结篇)》中诉说的那个故事一样:几个技术人员自己花时间自己鼓捣了一个产品,在踩了一堆坑接近崩溃的边缘时,“为了解决吃不上饭和愁白的头发”,才会找来一两个销售人员,而且这些销售人员极难进入整个团队的核心。
我为什么会提到这个情况?直接的,我是在为安全行业的销售人员抱不平。深入点,则是对安全行业创业模式的一种担忧。
这些年的互联网行业种种创业神话,吹皱了安全行业里面技术男们的一江春水,无论大牛小牛,纷纷纵身一跃,跳入创业的火海,希冀着用自己手头的技术,做出一个划时代的产品,成为下一个Google、Facebook,至不济也是个FireEye。
在很多人的眼里,他们代表的就是新兴安全市场,代表着未来的安全市场主流,就像当年“登月计划”的技术积累造就了一大批新兴科技巨头一样。
这就是安全行业创业模式的现状,产品导向+技术导向,有了技术,有了产品,再来谈市场。需求导向和客户导向?那是什么东西?
如果依从这种定义,那么传统安全市场与新兴安全市场的区别,就是新兴的技术和产品作为分界线。这也是现在安全行业的普遍定义。
然而,实际的市场真的像我们所认为的,是以技术和产品作为分界线吗?
“市场”这个词,借用曼昆《经济学原理:微观经济学分册》中的定义:“是由某种物品或劳务的买者和卖者组成的一个群体。买者作为一个群体决定了一种产品的需求,而卖者作为一个群体决定了一种产品的供给。”
套用到当下的现状会发现,以技术和产品作为分界线来区分传统和新兴安全市场,犯了一个根本性的错误,就是我们只关注了卖者这个群体,关注了产品的供给,却没真正关注到买者和需求。
技术和产品的先进,就一定有人买单?我说我的技术和产品解决了什么什么问题,什么什么需求,就一定有用户愿意花钱购买?我看不见得。
从整体来看,安全行业走到今天,从来都不是卖稀缺资源的,因此,注定不是一个供方主导的市场,而是由需方主导。这不单纯是需方出钱的原因,而是因为现阶段安全供方的需求供给层次太低,需方的可选择性太多,已经接近于完全竞争市场状态。
因此,许多厂商说的所谓新兴安全市场,在没有得到需方认可的情况下,真的新吗?你解决的需求,真的新吗?你的产品、技术真能构造一个有一定门槛、有客户买单,解决与别人不同层次的客户需求的市场出来吗?
那么,不按产品、技术分,不按供方思维看,那该怎么定义传统和新兴安全市场?
这里用个被玩到烂的东西:马斯洛模型。
把五层马斯洛模型从人的需求套用到企业客户的需求来看,第一层的所谓生理需求就是企业存活的问题。这个需求,不好意思,阿里巴巴能解决,安全行业很难,因为我们也是穷人,要靠别人养活。
第二层的安全需求。嗯,我们的本行啊。绝大部分安全企业的产品、技术都是为了满足这个层面的安全需求。从这点上来说,做得再牛逼,只是满足的安全需求多一些和少一些的区别,用户给钱给多点给少点的区别。
常说的新兴安全市场,那是因为你的客户可能被定义为新兴客户,例如P2P、电商这类,而你提供的东西实际还是在传统安全的层面,没有大的改变,还是买方市场,还是得遵从买方市场的逻辑来。
第三层是社交需求(也有叫社会需求,我不是搞这个的所以不纠结)。这个需求实际挺有意思的。从我的理解来看,企业的社交需求,是一个产业链、生态圈的概念,即如何对外寻求可“连接”的对象,寻求已有的或潜在的利益共同体。
到了这个层次,传统的安全理念已经无法满足,这就有了一个真正意义的新兴安全市场:如何“连接”我们的客户,让他们在安全技术、理念的驱动下,形成一个产业链和生态圈?
这点上,大家可以向我们的对手(地下黑产)学习下。地下黑产中,技术起的作用在于“连接”,把产业链上中下游利用各类技术、平台串联起来,让大家自发地围绕着产业链条去“社交”,构建相应生态圈。虽然这是一个反面教材,但是却值得借鉴。
那么,有没可能安全行业也做到这种程度,创造一个新层次的需求市场呢?可能,但很难,主观、客观的制约都很多。怎么做呢?我能想到的是,用数据来实现“连接”。
我为什么推崇威胁情报?因为,广义上的安全威胁情报可以作为一种“连接”的桥梁,将不同的需方和不同的供方连接起来,不断推动一个产业链(也许不仅仅是安全)或一个生态圈的形成和完善。
像现在火热异常的业务风控与反欺诈领域,为何阿里聚安全、同盾、通付盾、岂安等受追捧?就在于他们将客户们通过数据或情报连接在一起,将自己的客户通过技术连接成了一个利益共同体,来解决超出企业生存和安全需求之外更高层次的需求。而且从短期来看,这属于供方市场,自然有需方愿意买单。
另外,阿里云正在推行的生态圈概念,也是一种尝试。虽然现在是针对云安全厂商的生态圈构建,打造一个基于阿里云的安全厂商利益共同体。但是,有没可能,在不太遥远的未来,这个阿里云安全生态圈逐步扩展到阿里云上的客户,将甲乙丙三方都拉到一起,相互连接共赢,相互促进发展,从而创造出一个全新的,基于安全的“企业社交”市场?我们可以拭目以待。
至于马斯洛的第四、第五层需求。这里就不讲了。我也编不下去了。
说了这么多,离题千万里。拉回到最初的问题。个人认为,传统VS新兴,看的不是产品、技术新不新,而是你满足的需求层次和需求内容新不新。还在搞攻防?再新再牛逼,你还是在传统安全市场打滚。
再说句不好听的,传统的基于安全需求层次的市场已经是“水浅王八多”了,个人和团队再牛逼,要想从启明、绿盟、天融信,加上BAT3四大巨头口里夺食,too young too simple。
当然,你本身如果就打定主意是to BAT3或者启明他们,当我没说。
最后,期待一个真正的新兴安全市场的出现,出现真正的新兴玩家来颠覆我们的认知吧。上帝保佑,阿弥陀佛。
PS:个人是个话唠,加上人比较平庸,写的不好情有可原。个人唯一好的就是承受能力强,看法有问题尽管来拍砖。