信息化觀察網(wǎng)

網(wǎng)絡安全初創(chuàng)公司沒有遺留平臺的負擔，比老牌同行更敏捷、更具創(chuàng)新性，往往能以更吸引人的價格提供更個性化的服務。

曾當過AMD總裁，現(xiàn)為硅谷網(wǎng)絡安全初創(chuàng)公司Virsec Systems首席執(zhí)行官的Atiq Raza對老牌公司和初創(chuàng)公司都有自己的經(jīng)驗和見解。

我管理過擁有數(shù)百供應商的大企業(yè)。某些功能上你需要一直以來在某件事情上保持良好聲譽的保守但成熟的供應商。但包括安全在內的很多職能，卻需要最新、最有效、最具創(chuàng)新性的解決方案，這些方案往往出自更年輕的公司。

這里面包括了靈活性、速度、創(chuàng)造力和創(chuàng)新能力。年輕公司不受固定思維或方法論的局限，也沒被現(xiàn)有技術束縛，可以自由撕裂、挑戰(zhàn)各種既定設想，創(chuàng)造初代改變游戲規(guī)則的技術。這就是初創(chuàng)公司為什么經(jīng)常驅動新興市場，打敗成熟公司的原因。

但是，采用初創(chuàng)公司的風險也很高。初創(chuàng)公司有可能倒閉，或者因被收購而停止服務。更糟的情況是，因為缺乏經(jīng)驗和缺少足夠的控制，初創(chuàng)公司可能犯下不僅沒能改善客戶安全，反而危害客戶安全的錯。

通過對IT及安全人員，以及網(wǎng)絡安全行業(yè)資深人士的廣泛調查，可以得出7條與安全初創(chuàng)公司合作的最佳實踐建議。

1.執(zhí)行盡職審查

與初創(chuàng)公司合作的任何公司企業(yè)都應關注的一個重要問題是：“他們能存活多久？”所以，必須從技術和業(yè)務兩方面對合作的初創(chuàng)公司進行盡職審查。該公司能不能證明自己的技術如所宣稱的那樣有效？該公司是否具備發(fā)展壯大所需的恰當管理與資金支持？

與初創(chuàng)公司合作可能意味著占據(jù)領先優(yōu)勢而不僅僅是能對抗網(wǎng)絡攻擊者。當你決定與網(wǎng)絡安全初創(chuàng)公司攜手，那一定是因為他們以全新的方法處理問題，或者提供超越老牌供應商的功能。構建雄心勃勃的安全項目的時候，你肯定想要超過自己的同行，想找到所能找到的最先進的產(chǎn)品。

當然，初創(chuàng)公司的生存力也是主要的考量。僅僅擁有良好的技術還不夠。如果銷售或運營不佳，初創(chuàng)公司也走不了多遠。所以，除了查看產(chǎn)品或服務，還必須放眼更廣，考察他們的運營和商業(yè)模式。

行業(yè)分析師或同行在這方面可以提供所需的洞見?；蛘吣阋部梢詮男」δ荛_始，逐步擴大合作。但最終，除非你公司采取完全分布式的安全組合，否則你還是得把注壓在那家你真的非常中意的安全初創(chuàng)公司上。

2.準備好初創(chuàng)公司供應商被大公司收購

對初創(chuàng)公司及其客戶而言，大公司的收購有好也有不好。成立不久，尚未被收購的初創(chuàng)公司，一旦運作不良或資金斷裂就有倒閉的風險。如果被收購，客戶可能會失去曾經(jīng)擁有的與小公司的私人關系，曾經(jīng)享受的產(chǎn)品或服務也可能終止或改變。公司企業(yè)應準備好面對自己最中意的初創(chuàng)公司供應商因被大公司收購而產(chǎn)品難以為繼的局面。

但在那之前，應該會能享受幾年的高投資回報價值。這有點像是在老牌連鎖酒店訂房和在Airbnb訂房的區(qū)別。必須做更多的盡職審查，如果沒做好審查，可能會驚喜變驚嚇。但如果做好盡職審查，或許會挖到寶。

3.查找現(xiàn)實用例

僅僅產(chǎn)品不錯還不夠。與初創(chuàng)公司合作最大的隱患在于，他們可能無法擴展自己的產(chǎn)品以適應客戶需求。在一臺PC上完美阻止惡意軟件且零誤報的機器學習創(chuàng)新產(chǎn)品，可能對1萬臺250種型號的PC網(wǎng)絡束手無策。

決定合作前讓意向初創(chuàng)公司拿出現(xiàn)實世界中與你公司類似的用例。你肯定不想在部署之后才發(fā)現(xiàn)該初創(chuàng)公司的產(chǎn)品沒辦法適應你的需求或無法與現(xiàn)有其他系統(tǒng)集成。

4.查閱主創(chuàng)人員的技術和業(yè)務背景

主要開發(fā)人員和業(yè)務管理人員是否具備網(wǎng)絡安全市場從業(yè)經(jīng)歷？他們之前工作過的網(wǎng)絡安全公司聲譽如何？

初具前景的初創(chuàng)公司可能無法應付與其他產(chǎn)品協(xié)同所需的集成及功能增強需求。有必要核查一下其工程副總裁是否具有網(wǎng)絡安全背景，找找他們之前供職的公司提供的是什么產(chǎn)品。

5.購買前先試試產(chǎn)品和技術支持

看演示的時候可以直接略過準備好的說辭，詢問還沒實現(xiàn)的功能。如果他們盡用技術潮詞忽悠，那基本可以開始找下一家了。

公司企業(yè)可以索取試用版軟件，嘗試各項功能，且在試用時不吝尋求技術支持。這么做不僅可以確定產(chǎn)品是否符合自身需求，也可以考察該公司的響應性。

一般情況下，初創(chuàng)公司和小型公司對客戶問題的響應會更快一些。你可以接觸到主要人員、開發(fā)主管或其他直接參與產(chǎn)品的人士，能更直接地解決問題。

但不利的一面是，初創(chuàng)公司可能沒有足夠的資源進行大規(guī)模更改或響應大量請求，請求太多時可能得等上許久。

評估初創(chuàng)公司交付能力的時候，可以尋求同行的意見，詢問其他也在跟這家供應商合作或正在考慮合作的公司，從他們的經(jīng)驗和觀點中得出對自己有用的東西。最大的陷阱是供應商宣稱的技術壓根兒不存在。

摸清該技術產(chǎn)品的真實本質非常重要。IT和IT安全發(fā)展很快，公司企業(yè)總在考慮如何創(chuàng)造性地改善自己的風險態(tài)勢，如何用新興解決方案優(yōu)化自己的資源。

但同時，這種優(yōu)化動作又得與最小化公司風險的需求相平衡。優(yōu)化失敗的可能性是存在的，如果將要失敗，不如在前期試用的時候就暴露出來。

6.評估初創(chuàng)公司自身的安全操作

初創(chuàng)公司常能提供聞所未聞的全新解決方案。很多時候，這種創(chuàng)新超越了與老牌大公司合作的需求。

但盡職審查還包括評估意向供應商自身的網(wǎng)絡安全操作，將客戶對公司的要求放到供應商身上。

如果該初創(chuàng)公司無法滿足這些要求，那就只有請他收拾東西走人了。有些技術上可以入選的產(chǎn)品最終卻因為其公司無法呈現(xiàn)可接受的安全控制與策略而無奈放棄。創(chuàng)新與否先放一邊，一家連自己的網(wǎng)絡安全都不愿投資的初創(chuàng)公司，實在不值得押寶。

7.如果做不好審查，還是換成老牌供應商吧

覺得審查初創(chuàng)公司和維持與初創(chuàng)公司的關系很麻煩？沒錯，很多人都有這種感受。很多大企業(yè)只愿意與大公司維持業(yè)務關系。這種情況下，經(jīng)銷商、系統(tǒng)集成商、托管安全服務提供商之類的中間人或許會有所幫助。

不是每家公司都能做好必要的初創(chuàng)公司盡職審查。如果你做不到，或者你的公司不愿意做，那還是繼續(xù)跟著老牌供應商吧。