任何一条高质量发展的道路都有的衡量指标就是“领先性+可持续”。领先性不是大家潜意识认为的断崖式的技术领先,我更认为是一种行业认可的价值差异化;可持续的前提是基于某种产品的价值延续性。
目前国内创业的大部分企业是不满足这种高质量发展的,少数存在这种高质量发展的企业又被“规模化”给死死地栓住了。为了规模长时间不要利润的行为适合重资产的硬件领域,比如汽车或者无人机还有大模型这样的企业,在软件行业留给创业团队的时间并不多,能有利润的为了规模扩张,放弃精耕细作,反而转为做集成外包,毛利下来了,客户认可度变低了。这种问题是广泛存在的,以前无可厚非,高科技的资本玩法我们是学生,不进去永远不知道规律,这种情况下哪怕是“东施效颦”也要去当一次不伦不类的东施。这种容错性恰恰也说明了经济市场的繁荣,给了我们很多试错的机会,怕丢脸的也就浪费了成长的机会。
一直在那不伦不类也是有问题的,我们利用资本市场学习的是最终成功的路径,不是最后练成了一副死猪不怕开水烫的脸皮。
一个产品不管是基于用户调研来的还是研发团队基于自身的技术能力提出的,首先是要提出这个产品对应的价值主张。价值主张是你做这一个东西,首先要解决什么样的核心问题,产生什么样的价值。这个价值主张就是产品的灵魂,是必须一以贯之的,不能有任何动摇。很多情况下,产品团队非常容易迷路,比如客户提出了新需求或者有新人进来按照自己的理解加功能,这些并不是说就必然冲突,而是说这些情况下大家会很容易丢失了主线。最终漫无目的,极其发散,什么都能做,整个团队累个半死,永无止尽。
很多团队以“客户至上”为名义,把自己的价值主张拍死,不思考不自证,盲目跟随,最终落地的现象就是抱怨“人手不够,产品不好做”。“别人有我必须得有”,或者“别人有我就肯定不做”的想法都是片面的。做产品不是开斗气车,落脚点应该是解决行业的需求和对接客户场景。
基于价值主张的说法要求产品的牵头人要非常笃定,因为早期会有很多人告诉你这个也缺那个也缺,这也不行那也不行。当然这些观点是有存在的原因的,但是什么是你想做的非常重要,早期不能既要还要,而是非常淡定且坚决地说其他的不做。比如FOFA很早期大家会说加入子目录扫描的支持,包括Goby加入web漏扫和网站爬虫的功能,怎么听都是对的,但是仔细一思考就很成问题。FOFA的价值主张是提供最好的元数据,Goby的价值主张是满足实战化的最好的漏洞利用效果,这些价值主张不能有任何动摇,动摇了就是死路一条,一个垃圾产品。绝大多数情况下的失败不是因为我们不够灵活,而是太灵活了,灵活到我们是谁都忘记了。就好比我们每个人作为个体,都会有你的人生观价值观,这些价值观体现在一些具体的原则,对这些原则的坚守程度决定了你的未来。这些原则就是信仰,轻易不能动。
提出一个价值主张非常容易,任何一个产品都会有一个slogan,相似的也非常多,但是坚守阵地就非常非常难,十年干好一件小事就是追求卓越,坚持下来始终如一的产品容易得到大家的认可,像是jetbrains或者大疆这样的就是如此。
另一方面,要从大量的同类产品中脱颖而出,不仅仅在于你主张了什么,还有很大一部分在于你跟其他产品的差异性,这种差异性在早期尤为重要。乱花渐欲迷人眼,围绕客户转的产品和厂商都太多,很容易让客户形成都差不多的认知,既然差别不大,那么就是谁便宜用谁。
但事实上不可能没有差异性的,FOFA早期跟shodan对比,无论从数据量还是品牌我们都是没法pk的,但是他们没有域名和不提供html字段的检索,这并不违背他们早期做“iot领先”的价值主张,因为品类少且没有虚拟主机的需求。这种给了我们很大的机会,因为我们发现用户大部分(包括我们自己)是做攻击面梳理和应用漏洞的研究,iot只是其中很小的一个分支,这种差异性后来很明显的就带来了大量的客户群。我们从来认为用户比我们聪明,而不是高冷地俯视用户。
前一段时间一个国外公司的亚太区负责人通过朋友联系到我,他说对FOFA印象深刻,在跟踪APT的过程中对比了行业内各大平台,说“我们做了大量工作,我相信你们并没有做针对性的追踪,你们的数据是最多的”。这个已经有很多国外的追踪APT的技术文章体现出来了,越多越多的海外安全公司利用我们做基础元数据库。
同样,Goby跟Nessues去pk漏洞扫描就是死路一条,除了时间和品牌,漏洞库根本就不是一个级别,积累类似和保证质量根本就是很难完成的任务。但是这个根本不重要,因为实战化的需求对漏洞的利用效果和实效性的要求陡然提升,做好实战化就是差异性,不要去pk版本比对的漏洞数量,而要pk能一键利用的exploits数量以及实效性。
最终可能FOFA也会增加二级目录,Goby也会增加ajax爬虫结合Web漏洞扫描,这些并不是所有场景的主战场,你找一个先切入进去,验证用户的场景匹配度,它一定不是解决所有问题,但是一定要有在某个细分场景下的最好来验证,这就是差异性带来的垂直打穿。网络安全是一个极其碎片化的细分市场,你连垂直领域都打不穿,一开始就是做大而全,可以预见的是在一个实战化的全球网络安全领域,这样的产品毫无竞争优势。这种竞争优势是用户用脚投票的,是能够自增长的。
至于创新,我们好像很难准确的定义出来它是什么应该怎么做。我个人的感觉是要么你的技术直觉超过行业认知,要么你对技术场景的理解很透彻,在别人还没总结出来的时候你找到了解决方案。我们对于技术直觉的绝对领先性没有信心,但是对于找场景突破口是有直觉是有的,虽然难,但已经是最容易且可以完成的部分。这里就特别强调产品运营的能力,可以这么说:创新是根据用户场景磨出来的。你必须在被人没看到或者没想到方案之前先实现,直接融入产品里面去,而且要积累一定的量才行,如果只有一两项就大喇叭说,很容易被抄袭,尤其是在国内初创企业不重视知识产权自己很多初创企业没那么多钱申请专利的情况下,提创新反而是个负担。
经历过价值主张的提出与捍卫,到早期产品原型和差异化的定位,你大概就能找到一些资金生存下来,接下来你避无可避的就会跟所谓的大厂来几场阵地战,投入大量资金投入大量人力。怕你就输了,因为高质量的科技发展道路决定了你必须要成为国际上知名的品牌,能够在核心技术上跟人拼刺刀。你要在技术上在成本上在产品宣传上形成碾压。这时候你想小而美也不太可能了,怎么也是几十亿美金的公司吧。
我很期待不久的将来有一堆的网络安全企业走向国际的,这个不是可选项,而是必然的,只有久经考验的才是伟大的。把你丢到一个丛林,弱肉强食适者生存,还是非常残酷的,以前大家容易选择一个相对舒适的环境,通过非技术类的“优势”去维持自己的发展,天塌下来有别人顶着的想法根深蒂固。目前的环境把我们集体都丢了进入,不靠自己的技术优势品牌优势的企业会成批的倒闭,原本就艰难维系,太阳下暴晒再被冷风吹一吹,最后一根稻草就被压坏了。与此同时,必然会产出一批生存能力很强的企业,遇到困难就解决困难,真正地走入国际市场,真正地把技术价值做出来,建立护城河,最终让人认可和尊重。残酷是残酷,但这才是正确的道路。