網(wǎng)絡(luò)安全初創(chuàng)公司沒有遺留平臺的負擔(dān)，比老牌同行更敏捷、更具創(chuàng)新性，往往能以更吸引人的價格提供更個性化的服務(wù)。

[[247270]]

曾當過AMD總裁，現(xiàn)為硅谷網(wǎng)絡(luò)安全初創(chuàng)公司 Virsec Systems 首席執(zhí)行官的 Atiq Raza 對老牌公司和初創(chuàng)公司都有自己的經(jīng)驗和見解。

這里面包括了靈活性、速度、創(chuàng)造力和創(chuàng)新能力。年輕公司不受固定思維或方法論的局限，也沒被現(xiàn)有技術(shù)束縛，可以自由撕裂、挑戰(zhàn)各種既定設(shè)想，創(chuàng)造初代改變游戲規(guī)則的技術(shù)。這就是初創(chuàng)公司為什么經(jīng)常驅(qū)動新興市場，打敗成熟公司的原因。

但是，采用初創(chuàng)公司的風(fēng)險也很高。初創(chuàng)公司有可能倒閉，或者因被收購而停止服務(wù)。更糟的情況是，因為缺乏經(jīng)驗和缺少足夠的控制，初創(chuàng)公司可能犯下不僅沒能改善客戶安全，反而危害客戶安全的錯。

通過對IT及安全人員，以及網(wǎng)絡(luò)安全行業(yè)資深人士的廣泛調(diào)查，可以得出7條與安全初創(chuàng)公司合作的最佳實踐建議。

1. 執(zhí)行盡職審查

與初創(chuàng)公司合作的任何公司企業(yè)都應(yīng)關(guān)注的一個重要問題是：“他們能存活多久?”所以，必須從技術(shù)和業(yè)務(wù)兩方面對合作的初創(chuàng)公司進行盡職審查。該公司能不能證明自己的技術(shù)如所宣稱的那樣有效?該公司是否具備發(fā)展壯大所需的恰當管理與資金支持?

與初創(chuàng)公司合作可能意味著占據(jù)領(lǐng)先優(yōu)勢而不僅僅是能對抗網(wǎng)絡(luò)攻擊者。當你決定與網(wǎng)絡(luò)安全初創(chuàng)公司攜手，那一定是因為他們以全新的方法處理問題，或者提供超越老牌供應(yīng)商的功能。構(gòu)建雄心勃勃的安全項目的時候，你肯定想要超過自己的同行，想找到所能找到的最先進的產(chǎn)品。

當然，初創(chuàng)公司的生存力也是主要的考量。僅僅擁有良好的技術(shù)還不夠。如果銷售或運營不佳，初創(chuàng)公司也走不了多遠。所以，除了查看產(chǎn)品或服務(wù)，還必須放眼更廣，考察他們的運營和商業(yè)模式。

行業(yè)分析師或同行在這方面可以提供所需的洞見?；蛘吣阋部梢詮男」δ荛_始，逐步擴大合作。但最終，除非你公司采取完全分布式的安全組合，否則你還是得把注壓在那家你真的非常中意的安全初創(chuàng)公司上。

2. 準備好初創(chuàng)公司供應(yīng)商被大公司收購

對初創(chuàng)公司及其客戶而言，大公司的收購有好也有不好。成立不久，尚未被收購的初創(chuàng)公司，一旦運作不良或資金斷裂就有倒閉的風(fēng)險。如果被收購，客戶可能會失去曾經(jīng)擁有的與小公司的私人關(guān)系，曾經(jīng)享受的產(chǎn)品或服務(wù)也可能終止或改變。公司企業(yè)應(yīng)準備好面對自己最中意的初創(chuàng)公司供應(yīng)商因被大公司收購而產(chǎn)品難以為繼的局面。

但在那之前，應(yīng)該會能享受幾年的高投資回報價值。這有點像是在老牌連鎖酒店訂房和在Airbnb訂房的區(qū)別。必須做更多的盡職審查，如果沒做好審查，可能會驚喜變驚嚇。但如果做好盡職審查，或許會挖到寶。

3. 查找現(xiàn)實用例

僅僅產(chǎn)品不錯還不夠。與初創(chuàng)公司合作最大的隱患在于，他們可能無法擴展自己的產(chǎn)品以適應(yīng)客戶需求。在一臺PC上完美阻止惡意軟件且零誤報的機器學(xué)習(xí)創(chuàng)新產(chǎn)品，可能對1萬臺250種型號的PC網(wǎng)絡(luò)束手無策。

決定合作前讓意向初創(chuàng)公司拿出現(xiàn)實世界中與你公司類似的用例。你肯定不想在部署之后才發(fā)現(xiàn)該初創(chuàng)公司的產(chǎn)品沒辦法適應(yīng)你的需求或無法與現(xiàn)有其他系統(tǒng)集成。

4. 查閱主創(chuàng)人員的技術(shù)和業(yè)務(wù)背景

主要開發(fā)人員和業(yè)務(wù)管理人員是否具備網(wǎng)絡(luò)安全市場從業(yè)經(jīng)歷?他們之前工作過的網(wǎng)絡(luò)安全公司聲譽如何?

初具前景的初創(chuàng)公司可能無法應(yīng)付與其他產(chǎn)品協(xié)同所需的集成及功能增強需求。有必要核查一下其工程副總裁是否具有網(wǎng)絡(luò)安全背景，找找他們之前供職的公司提供的是什么產(chǎn)品。

5. 購買前先試試產(chǎn)品和技術(shù)支持

看演示的時候可以直接略過準備好的說辭，詢問還沒實現(xiàn)的功能。如果他們盡用技術(shù)潮詞忽悠，那基本可以開始找下一家了。

公司企業(yè)可以索取試用版軟件，嘗試各項功能，且在試用時不吝尋求技術(shù)支持。這么做不僅可以確定產(chǎn)品是否符合自身需求，也可以考察該公司的響應(yīng)性。

一般情況下，初創(chuàng)公司和小型公司對客戶問題的響應(yīng)會更快一些。你可以接觸到主要人員、開發(fā)主管或其他直接參與產(chǎn)品的人士，能更直接地解決問題。

但不利的一面是，初創(chuàng)公司可能沒有足夠的資源進行大規(guī)模更改或響應(yīng)大量請求，請求太多時可能得等上許久。

評估初創(chuàng)公司交付能力的時候，可以尋求同行的意見，詢問其他也在跟這家供應(yīng)商合作或正在考慮合作的公司，從他們的經(jīng)驗和觀點中得出對自己有用的東西。最大的陷阱是供應(yīng)商宣稱的技術(shù)壓根兒不存在。

摸清該技術(shù)產(chǎn)品的真實本質(zhì)非常重要。IT和IT安全發(fā)展很快，公司企業(yè)總在考慮如何創(chuàng)造性地改善自己的風(fēng)險態(tài)勢，如何用新興解決方案優(yōu)化自己的資源。

但同時，這種優(yōu)化動作又得與最小化公司風(fēng)險的需求相平衡。優(yōu)化失敗的可能性是存在的，如果將要失敗，不如在前期試用的時候就暴露出來。

6. 評估初創(chuàng)公司自身的安全操作

初創(chuàng)公司常能提供聞所未聞的全新解決方案。很多時候，這種創(chuàng)新超越了與老牌大公司合作的需求。

但盡職審查還包括評估意向供應(yīng)商自身的網(wǎng)絡(luò)安全操作，將客戶對公司的要求放到供應(yīng)商身上。

如果該初創(chuàng)公司無法滿足這些要求，那就只有請他收拾東西走人了。有些技術(shù)上可以入選的產(chǎn)品最終卻因為其公司無法呈現(xiàn)可接受的安全控制與策略而無奈放棄。創(chuàng)新與否先放一邊，一家連自己的網(wǎng)絡(luò)安全都不愿投資的初創(chuàng)公司，實在不值得押寶。

7. 如果做不好審查，還是換成老牌供應(yīng)商吧

覺得審查初創(chuàng)公司和維持與初創(chuàng)公司的關(guān)系很麻煩?沒錯，很多人都有這種感受。很多大企業(yè)只愿意與大公司維持業(yè)務(wù)關(guān)系。這種情況下，經(jīng)銷商、系統(tǒng)集成商、托管安全服務(wù)提供商之類的中間人或許會有所幫助。

不是每家公司都能做好必要的初創(chuàng)公司盡職審查。如果你做不到，或者你的公司不愿意做，那還是繼續(xù)跟著老牌供應(yīng)商吧。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文