写在前面

每一年都会记录一下自己创业过程的一些思考和总结，也分享给所有今天还在安全行业坚持创业、打拼和成长的大家，希望我的踩坑和迭代经验能给大家带来一些些帮助。

今年是创办墨菲安全的第四年，公司度过了早期的生死危机阶段，开始步入稳步发展阶段。

所以我主要的精力都花在思考如何在保持规模快速增长的过程中，同时保持整个组织效率的持续提升。

而组织效率的提升，最关键的还是在于决策效率。

而决策效率主要来自于我们对行业发展趋势、对客户需求的深入洞察，对企业经营管理的阶段性目标和使命的理解。

剩下的关于执行的效率，最核心的是保持组织在不同的业务规模场景下保持高效协作。

这个持续迭代的过程，踩了很多坑，踩坑之后的调整过程大家都很痛苦，都要去理解和适应新的逻辑，迭代自我，好在整个组织的持续成长让我们始终保持创业的初心，对目标的坚持。

所以一直在成长和进步，这也让我们对于未来始终充满信心。

引子

创业第一年时，带着无知者无畏的兴奋和对即将开启一番伟大事业的梦想一路狂奔，在当时我写下了白帽十年，再出发，愿归来仍是少年，以此也算是宣告了启程。

未曾想，创业第三年时，创业经历了最黑暗的危机时刻，安全行业面临剧变，市场急转直下，现金流差点断裂，融资艰难，每天压力大到不敢看公司账户上的余额。

幸运的是，最后咬牙坚持下来，公司实现盈利，同时也拿到了一笔新的融资。

那一年我想此生难忘，当时我写下了老白帽创业三年：向死而生，长舒一口气，宣告我们获得了新生。

再提笔时，我们创业已走过第四个年头，回想自己从2012年毕业入行安全，一直很难坚持在一家公司连续待超过三年，基本上都是快到第三年的时候选择离开，而创业这四年虽然经历了无数个艰难的瞬间，但是仿佛就在一瞬间。

所以，不知从何时起，突然也开始无比珍惜现在创业的每一天，希望若干年后再回首时，能够看到创业路上一起同行的伙伴和自己都收获各自当初加入时期望的成长。

我自己心里非常清楚，无论我们经历过多少困难、挫折、成功、喜悦，无论今天我们面对的安全行业市场环境有多么艰难和逆风，只要我们保持耐心，持续快速生长，大家就有源源不断的动力去克服所有挑战，并保持勇气和信心去面对创业路上未知的每一天。

所以，当去年我们实现盈利和现金流转正后，今年自己想的最多的三件事情就是：

1. 如何保持收入及利润的持续增长；

2. 如何让这个创业组织保持持续成长，以适应业务快速增长带来的挑战；

3. 安全行业以及我们的未来在哪里；

收入及利润增长的关键不是加班，而是决策效率提升

2022年到2024年这三年的时间，可以说我们全部的精力都放在验证公司PMF（Product Market Fit，验证公司产品和市场需求的匹配）上了，因为这几乎决定了我们的生死。

虽然这三年我们踩过很多坑，也经历过很多挑战，但是终究我们还是在互联网及商业、金融、运营商、智能制造、能源等几个主流行业市场充分验证了我们的商业模式及产品竞争力。

而2025年对于我们来说最重要的就是深耕行业市场，获得业务收入及利润的高速增长。

这对于我们来说是一个全新三年的一个非常重要的开端，为未来三年目标的达成打下坚实的基础。

虽然现在2025年度还没结束，但是从目前的收入进展情况来看，预期到年底我们今年相比去年，还是能够收获一个比较大幅度收入以及利润的增长。

其中尤其是我们的客户续费率几乎一直都是保持100%，这在当前整体安全行业市场下行的环境下，也算是一个还不错的成绩了。

这里要非常非常感谢我们所有企业客户的信任和认可，也要非常感谢我们所有团队小伙伴们过去一年付出的努力和坚持。

关于收入增长，我们想其实最简单的就是复制和深耕。

复制我们过去在五大行业的成功经验，并且围绕这五大行业的需求场景深耕我们的产品及服务能力，持续提升目标行业的用户体验。

这里面最重要的是几件事情：

1. 围绕这五大行业企业客户拆解关键需求，梳理客户痛点场景；

2. 围绕这些企业客户需求场景，明确我们的产品解决方案及产品差异化；

3. 基于目标客户场景的产品差异化定位，持续专注迭代产品核心能力；

4. 基于以上三点，建立以创造客户价值为导向的高效营销团队；

过去我也曾天真的认为，组织效率提升的关键就是激励大家多加加班，努努力。

但是最后慢慢才发现，能够带来组织效率提升的核心关键其实是决策效率，整个组织再怎么努力加班，所带来的效率提升，也不太可能超过50%甚至是30%。

而一次正确的关键决策和错误的关键决策之间带来的效率提升，可能是数倍之多。

这应该就是大家常说的，一个企业很难用战术上的勤奋来掩盖战略上的懒惰。

对于我们这样一个体量并不是很大的创业公司来说，可能1-2次错误的关键决策，如果不能及时发现并纠正，轻则当年的收入目标很难达成，重则直接导致公司倒闭。

尤其是在这两年，已经听说过不少安全行业的创业公司因为类似的原因干不下去了。

决策效率最关键的是选择做什么和不做什么。

其中选择做什么是容易的，最难的是选择不做什么。

对于一家toB的安全公司来说，最关键的几个决策点是：

1. 选择做或者不做什么行业和画像的客户；

2. 产品的差异化定位的选择，做与不做什么功能和产品；

3. 选择做或者不做什么客户项目；

过去一年我们开始主动放弃了一些客户项目。

这些项目我们有能力去拿下，但是从最终的交付角度来考虑，可能要做不少的定制开发，且我们不能够保证有足够的资源能够去投入，所以我们还是果断的选择了主动放弃。

这其实是一个非常艰难的选择，一些项目团队内部也会不一样的声音，但是为了公司长期的健康发展，最终团队内部还是能够达成共识，选择不做。

但是我们团队内部还是有一个基本的共识和底线，一个项目我们一旦决定去接了，哪怕最后实际交付下来可能会导致成本很高，我们还是会选择全力去按照合同的约定做好。

行业深耕，做自己擅长的事情

不管是从收入还是利润的快速增长的角度来看，其中受影响的最关键因素，就是选择聚焦自己所擅长的行业和客户。

行业和客户画像的选择，决定了你的产品定位以及差异化，同时也决定了你的营销策略和打法。

不同行业和画像的客户对产品的需求是不一样的，你如果做的是你预期画像范围内的客户：

1. 营销成本会大幅降低：比如我们的很多客户都是我们已成交客户转介绍的，也就是大家所说的口碑营销。这种方式来的客户不仅天然有很好的信任基础，同时成单周期会大大缩短，所以丢单的风险也会大大降低。所以过去大家都能看到我们其实很少去做广告投放或者市场推广，但是我们仍然能够保持持续高速的增长；

2. 交付成本会很低且产品竞争力持续提升：本身我们的产品定位和设计，就是围绕这些客户的核心痛点需求去做的，而且这些行业的客户我们做的越多，就越了解他们的需求场景。进而我们可以持续不断的围绕他们去迭代我们的产品及售前售后的服务，进而使得我们和客户业务需求之间的配合默契会越来越高，不仅增加了客户体验，同时极大控制住了交付成本，保证我们有持续的利润去投入研发；

相反，如果你做的是你预期画像之外的客户：

1. 产品体验持续下滑：需求不是那么适配的客户，一定会带来或多或少的产品定制开发，这些功能的实现，可能满足了5%甚至是1%客户的需求，但是对另外95%的客户来说都是无用的功能，也会造成用户体验上的“噪声”。长期以往，产品逻辑会变的非常混乱，最终变成对所有用户来说都非常不友好，看起来什么功能都有，实际上什么功能都很难用闭环。

2. 交付成本高且风险大：产品功能的不适配，就需要投入大量精力去定制开发，导致项目交付周期长，项目管理复杂，极易导致项目烂尾。一方面影响公司口碑，另外一方面这样的项目多了之后，整个售前、售后交付团队的能力也很难得到沉淀，进而会进一步降低企业经营的效率，陷入恶性循环。

选择不做什么总是艰难的

大家都知道，少就是多的道理，但是人性就是越多越好，什么都想做。

而拒绝是一个艰难的决定。

作为一个toB的安全企业来说，常常会有一些成单概率很高，但是需求和企业标准产品及服务能力不是那么适配的项目。

这个时候你选择不做其实是非常非常难的，首先是来自前场销售同学的压力。

他们会说这是自己好不容易运作来的项目，之前也给客户或者合作伙伴付出了极大的努力，现在到关键时候说不做，其实在客户这边是很难交代过去的。

另外一方面他们也有业绩压力，很多时候可能也会抱怨或者不理解公司的决策。

他们心里可能会想，外面市场环境都这么艰难了，咱们做个项目怎么还“挑三拣四”的，后场同学是不是不知道现在运作一个项目有多难。

再加上，可能还要经常被投资人问业绩，外部市场环境又不好，本事项目机会就很少，整个公司管理层做决策的时候就会愈发变得艰难。

在这种压力下，可能一些管理层成员就会说，不然先接了再说吧，至少今年的数字目标压力没那么大，交付的事情以后再说。

实际上越是这个时候，CEO越要保持脑子清醒，虽然有来自各方的压力，但是其实前面也讲过，这背后带来的负面影响其实是极大的。

组织成长：从“兄弟连”到“正规军”的转变

创业前三年，公司想的只有一件事情，那就是快速把产品做出来，去市场上验证它的价值，把商业模式跑通。

这个时候不需要考虑太多关于一个成熟的企业组织应该怎么建设的事。

因为早期我们也就小几十号人，只要保持有一个彼此之间高度信任的核心团队就行了，这个时候团队的效率一定是很高的。

早期产品孵化阶段，我们都扑上去一起研发产品，几乎所有人都参与产品研发、漏洞知识库建设，我自己早期也参与了产品研发和设计的具体工作。

再到后来，产品出来之后，我们所有人都会去深度参与产品销售和售前的过程。

包括到目前为止，我们几乎所有的客户合作群，我和我们联创团队都会在里面，只要客户有需求，我们所有人都会第一时间回应和处理。

产品交付之后，客户的所有需求我们都会认真去回应和实现，甚至很多时候我们都不会去考虑这个需求是不是在我们合作合同的范围内。

因为我们也知道，之前在公司创业早期，品牌不知名甚至产品不是特别成熟的情况下，愿意和我们合作的客户，一定是对我们团队非常信任的，我们无论如何不能辜负这一份信任。

组织协同模式转变的痛

随着产品越来越成熟，商业模式也被充分验证，公司业务发展越来越快，客户数量自然越来越多。

我们现在一年要支撑数百家客户的合作需求，这时就会开始发现，靠之前那种所有人都上的模式行不通了，因为每个创始团队成员的精力都是有限的，然后开始会出现有少量客户的需求没办法第一时间响应（我们内部基本要求所有客户需求5分钟之内应该响应）。

因为我基本上在我们公司的所有客户合作群里，同时很多客户也都认识我，如果一些需求跟进不及时，他们有时候就会直接过来找到我。

所以我对于客户体验上暴露出来的问题感知就会尤其深刻，而且我意识到，如果不做出改变，未来随着公司的快速发展，客户量越来越多之后，这个问题会越来越严重，甚至可能最后对公司品牌造成不可挽回的伤害。

我深知客户因为你们的产品和服务体验好选择你，同样就也会因为你们的产品和服务体验变差，而快速放弃你。

显然，这样的结果是我们非常不能接受的，客户体验是我们生存之本。

这背后其实暴露出来的，是过去这个组织运作的模式遇到了瓶颈，太过于依赖个人能力了，这看起来是一个非常棘手的问题。

但是我们不得不做出来改变，必须开始建立一个有着明确职责分工，高效合作，并且每个组织都能够提供高质量的体验交付的团队，并且这个团队可以随着业务的增长、客户的增加，随时水平扩容但是又不影响质量的。

显而易见，这并不是一件容易的事情。

而这个过程最关键的就是三件事：

1. 梳理公司业务的核心流程，基于此拆解各团队的职责分工；

2. 基于每个团队的职责分工，梳理各自的工作目标，以及团队内部的工作流程；

3. 明确团队当前能力与预期目标之间的差距，通过团队迭代和培训来提升能力；

这三件事情说起来简单，但是实际调整起来其实有非常大的挑战。

首先是各个团队能否理解这个事情？毕竟过去大家都习惯了有事一起上，边界感没有那么强，很多时候大家会觉得这种文化和这种感觉很“温暖”，大家都是背靠背的兄弟，都没有边界，也不用担心边界感强了之后的甩锅。

然后就是，明确各个团队边界之后，一些建制相对没有那么成熟的团队，必然会面临更大的压力，因为突然少了来自外部团队的协同和支持，因为大家都在花更多时间专注于自己的团队适应和能力建设。

这就对于之前建制稍弱的团队，在招人和培养人方面带来了很大的挑战。

实际上，这个过程就是还是需要我调动一些资源协助他们，直到整个团队能力补齐。

而事实就是这个过程，很多团队虽然更多时间专注于自己团队的建设和能力提升，但是当兄弟部门忙不过来的时候，也会积极补位。

总之，这个过程其实并不简单，我们调整起来大概经历了半年多时间。

但好在，现在基本上各个团队的职责分工相对清晰，上下游之间的配合也有很好的衔接。

从结果上来看，整个组织在面临业务量的快速提升时，处理起来显得更加游刃有余。

同时各个团队也能够更加专注于自己擅长的工作，对于团队成员的能力提升和清晰的职业规划也有更大的帮助。

目标管理：合同、收入、现金流都意味着什么？

前面有聊到这两年我自己最深刻的认知转变之一，就是坚定的认为对于一个组织来说，决策效率是最关键的效率提升。

而公司这个组织真正想要做出高质量且正确的战略决策并执行，最终带来公司的高速成长。

从实践来看，我认为有两件非常难且关键的事情：

1. 搞清楚组织这个阶段的目标到底是什么？

2. 如何让组织的所有人真正围绕这个目标做事情？

企业的战略决策核心是服务于企业的关键目标达成的。

所以目标不一样，对应的战略决策一定不一样，因为不同目标的达成路径显然不一样。

组织长期目标是什么？短期目标又是什么？长期来说是成为一家伟大的企业，又或者是成为一家小而美的企业？短期来说要的是收入？用户数？合同额？还是利润？

这每一个不同目标背后，我们对于目标的拆解路径都天差地别，而一旦选错了，会让我们多走很多弯路，同时造成极大的资源浪费。

而几乎大多数企业最后倒闭都是因为目标没定对。

关于企业的长期目标，我放在下一节来聊。这一部分我还是想聊聊对于短期目标的认知。

简单聊聊合同、收入、净利润、现金流这四个不同目标指标背后，对于一家创业公司的管理决策所带来的巨大差异。

坦率讲，刚开始创业的时候，我并没有认知到这四个指标之间有什么巨大的差异，觉得随便拿一个指标来定目标都可以，实际上就是不懂就会踩很多坑，就会走很多弯路。

尤其是过去这两年，看到身边很多创业公司倒下，最后复盘来看，几乎都是对于阶段性目标的设定出了很大的问题。

通常最惨的那些只关注合同目标而忽略收入目标，其次就是只关注收入目标而忽略现金流的。

首先，如果一个企业只关注合同目标而忽略收入目标，就必然导致企业签回来一堆垃圾合同甚至是“假”合同，最后执行不了，带来不了任何的收入，最后等到公司倒闭都有很多合同没有履约和生效。

因为合同的各方是需要履行交付义务，并最终完成验收才能真正带来收入的。

这看起来是一个非常简单且显而易见的逻辑，为什么会有人犯错呢？而事实上就是会有很多人犯错。

少数是主观去干的（可能创业初期想忽悠投资人？合作伙伴？），多数是因为技术背景出身创业，不懂“商业和算帐”。

所以在定目标的时候过于专注于合同目标，导致一线团队为了达成数字目标，搞了一堆垃圾合同。

而最致命的是这个过程又缺乏判断和对风险识别，长期被虚假的合同额快速增长蒙蔽，等到最后发现大量合同履约不了，现金流告紧的时候已经晚了。

其次，就是今天还活着的很多安全行业企业正在经历的痛苦。过度关注收入目标的增长，而对于现金流的管理缺失。

合同签了，也履约了，公司也确认了收入，最后就是迟迟回不了款，甚至还需要前置投入大量成本，财报上全是应收账款，面临现金流断裂的风险。

这里面的原因主要在于：

1. 一些企业因为收入目标压力，把产品都卖给渠道和代理商了，实际上渠道和代理商很多货并没有真正卖出去；

2. 产品&服务交付周期很长，定制开发很多，但是客户质量一般，付款周期长甚至甲方经营出现问题导致无法及时付款。这里面本质主要有两个原因，一个是产品&服务缺乏核心竞争力，只能去做大量低质量的客户项目。另外一个是经营决策出了问题，对自己公司目标行业客户画像的定义不清晰，什么客户都做。

我一直在思考，今天很多很多企业都在经历这些因为阶段性战略目标没定好而导致的巨大经营困难，甚至面临倒闭的风险的。

那么这背后是他们傻吗？我想一定不是，其实大家都很聪明。

而我想很多创业者，尤其是创始人&CEO经历过定目标就知道，大家都想要高质量合同，高质量收入，高质量现金流。

实际上这些“高质量”背后意味着企业既要、又要、还要。

而想要实现这些，是反人性的，是要面对巨大挑战的。

你要思考如何选对客户，产品差异化是什么？核心竞争力是什么？产品及服务交付质量如何保障？如何管理一线团队不要作弊？

而这些都做了之后，在还没有拿到最终结果的那些艰苦奋斗的日子里，如何面对团队成员的不理解、抱怨甚至是离开。

在写下这行文字时，我突然又想起来张一鸣说过的“延迟满足”。

所以，我想创业企业注定在招人的时候，能够真正接受并理解延迟满足，必须是一项关键的品质和评估项。

而创业企业的管理者也必须接受在无数个坚持自己原则和高标准的日子里来自各方的不理解、质疑甚至是离开。

因为只有这样，你才能真正让那些相信并坚持一起走到最后的人有所收获，才能当自己回望自己当初为什么选择出发时，不后悔。

目标清晰之后，最重要的是如何让组织的所有人真正围绕这个目标做事情？

我想有两件非常关键的事情：

一个是与大家共创公司的目标，让大家深度参与目标制定和拆解的过程。

另外一个就是关于目标和关键路径，在组织里要通过各种方式尽量透明。

很多管理者可能对于在组织里去公开和透明企业的关键战略决策及路径是有担忧的。我觉得这种担忧主要是来源于两方面：

一方面是因为自己其实没有真正想清楚目标及战略路径的拆解，担心公开透明之后反而大家都觉得公司在瞎搞。

另外一方面就是对组织是否能够高效的执行缺乏信心，导致自己的战略暴露之后，被竞争对手摁着打。

所以，其实问题还是回到了自身。所以，我其实也在不断的提醒自己，最后可能真正企业的关键问题都是出在自己身上，赖不得别人，自己的认知和执行力非常非常关键，对组织带来的正向和负向影响可能都非常大。

企业文化建设：选择和谁同行最重要

有些人一辈子就想多赚点钱。

有些人一辈子就想纵情于山水。

有些人一辈子都在执着于挑战自己的极限。

也有些人一辈子都在努力奔波于生计，为了活着。

每个人都有自己不一样的追求，所以他们都有他们自己活法，都有一群跟他们三观一样的朋友。

所以，巴菲特在2025年伯克希尔·哈撒韦股东大会及谢幕演讲中说道：人生最重要的决定，是你选择和谁同行。

而对于一个企业来说，何尝不是如此？

只不过从一个人变成了一群人，这一群人构成了这个组织。

所以，我想企业的文化就是说清楚这个组织，这一群人在一起的目标是什么？我们要去哪里？我们要成为什么？

以此，我们要想清楚我们为人处事的原则是什么？而这些其实就是我们的使命、愿景和价值观。

创业前两年我自己其实对企业文化的理解是非常粗浅的，我想着公司几十个人的时候，是不是不需要搞太重的文化建设。

而我现在想一个组织，除了专注于业务之外，最重要的事情就是组织文化。

清晰的组织文化，才能真正让我们找到适合和我们一路同行可靠的创业伙伴，而这群人会自驱的为了达成共同的目标一起努力。可想而知，大家才能在一起愉快的合作。

而如果不是的话，组织内部的矛盾、冲突会很大，而大家表面上看起来是组织缺乏管理，所以一系列的管理动作，最终导致组织效率极其低下，大家都很难受，实际也并没有达成目标。

所以，根本的问题其实还是回到组织文化，而组织文化建设，我想着最重要的其实就是两件事情：

1. 清晰定义组织的文化是什么？

2. 选择真正认可组织文化的人一起同行。

这两件事就是我们应该去坚持的原则，很多时候很多企业在招人的时候经常首先看的是这个人很牛，能力很强。

但是实际上，最后并没有长待，没有给组织带来很大的业绩。

反而，组织可能对他的期待很高，委以重任，最终导致组织内部混乱，文化被稀释，甚至偏离初心，最后一地鸡毛。

所以我现在非常警惕这个事情，公司现在几十人的规模，几乎所有员工的面试我都会参与，而我往往关注的最多也就是对于公司文化价值观的匹配。

关于组织的使命和愿景，其实就是组织的长期目标。

我们的所有短期目标都是服务于企业的长期目标的，都是从长期目标中拆解出来的。

可想而知，如果公司没有清晰的长期目标，就一定会导致我们在讨论短期目标时失去焦点，失去参考的标准，可能每个人都会根据自己当下的情况从自身出发去考虑短期的目标。

这也是很多企业为什么战略一直在摇摆，最终导致效率低下而失败的真正原因。

所以，自从创业三周年前夕，我们把公司使命、愿景及价值观确定下来之后，之后每次我们在思考公司短期的目标时都会对照一下，防止我们的短期目标是不是偏离了长期目标。

墨菲安全的使命是：构建全球安全的软件供应链生态，让每一个用户更安全的使用和开发软件。

愿景是：成为全球最值得信赖的数字安全企业。

而我们的核心价值观是：用户为本、正直守信、向内归因、互助共赢、拼搏进取。

这些正是我们一直坚守的长期目标和行为准则。

安全行业和我们未来在哪里？

最近两年因为安全行业剧变，所以大家见面谈论的最多的就是安全行业未来何去何从？

既包括企业安全的发展未来何去何从，也包括安全创业的未来何去何从？

当然，在我们公司内部也会经常讨论这个问题。

这首先还是得先聊聊企业安全未来的发展趋势，我大概总结一下我自己的三个核心观点：

企业安全加速回归价值本身

过去十年，企业安全随着互联网的快速发展，经历了一个快速野蛮生长的阶段，大家都在说安全很重要，也确实都在越来越关注的重要性。

但似乎这个年轻的行业并没有真正找到如何帮助企业创造价值的方法。

时至今日，整个市场开始回归理性时，企业安全也需要认真去思考，如何服务于企业的战略目标，如何服务于业务的高速发展，并且构建一个真正围绕帮助企业创造业务价值的企业安全组织。

企业安全这个组织需要有更强的能力，去深入理解企业经营战略，理解核心业务场景，并最终结合安全团队的能力，去帮助企业管理者以及核心业务的经营者识别风险，并根据阶段性的业务发展控制风险。

而当下大多数企业的安全组织并不具备这样的能力，所以我想首先企业安全组织架构需要变革，在组织架构不变革的情况下，思考如何提升安全团队理解业务，并服务于业务创造价值的目标是很难落地的。

AI应该融合并推进变革企业安全治理体系

今天我们看到很多企业，在将AI融合进安全的日志分析、代码安全检测、告警优化等等场景。

这些在我看来都是企业末端安全技术的优化，它能够帮助企业安全在能力和体验上带来一些提升。但是似乎并没有给企业安全治理体系带来颠覆性的变化。

比如过去我们说企业管理者和业务部门很难理解和认可安全的价值，安全体系化建设很难落地，这些关键问题在有了AI之后，我们有什么创新的方法去解决？

是不是是时候重构企业安全治理体系了？

而从实操的层面来说，想要通过AI技术推进变革企业安全治理体系，首先需要重构企业安全治理的一些关键流程。

比如在安全需求来源这一侧，如何让更多的安全需求来自于业务及管理层，同时在安全能力建设上又如何紧扣让业务及企业管理者轻松理解安全能力能够解决的需求痛点。

剩下的安全产品如何实现需求并优化体验的部分反而不一定那么关键。

来自人和供应链安全威胁始终是最大挑战

随着企业过去十多年的安全治理实践积累和技术快速迭代，企业安全对于自身技术非常可控的部分的安全治理，是非常行之有效且简单的。

而人以及供应链给企业带来的安全风险，是过去企业安全并不擅长治理的领域。

首先，从结果上来看，现在每年国家攻防演练打到最后就是钓鱼和软件供应链攻击，一个是面向人，一个是面向供应链，因为攻击者也知道这两个是企业安全当前最薄弱也最难防的环节。

其次，随着企业的业务发展，资产价值越来越高的同时，对人和外部供应链的依赖也一定会越来越多，而且这些几乎都是不可替代的。

最后，人和外部供应链在企业发展过程中，因为出于效率的考量，会被赋予越来越多的信任，同时也会导致对于攻击者来说，攻击企业内部的人员和供应链能够拿到越来越多高价值的资产控制权限，这对于攻击者来说，性价比是非常高的。

这些点叠加在一起，必然导致人和供应链安全威胁一定会成为企业安全未来核心的潜在威胁。

企业安全的未来，肯定是属于那些能够清晰判断未来行业发展趋势，并提前布局和储备自身能力去适应未来行业发展和变化的人，而固步自封的所有人终将被淘汰。

关于安全创业未来何去何从，我觉得首先这和企业安全正在面临的困境和变革有很大关系，我想安全创业公司必须要要抓住企业在变革过程的遇到的痛点，再结合自身的优势，从而形成差异化产品及服务能力。

包括回归帮助企业安全创造价值本身，结合AI思考产品如何帮助企业安全体系的变革和创新带来助力，创造不可替代的价值？这些我想是必须坚持的原则。

在此基础上，安全创业公司只需要持续提升公司经营的效率，保持收入和利润的持续增长。这样的话我想未来不管市场环境是越来越好，还是越来越差，你可能都会掌握主动权，因为你或者你们公司的底牌和底气就是你这家公司所能够真正为这个社会创造的价值，你的不可替代性。

最后你可以选择上市、或者被收购、又或者靠着自己的利润保持公司的持续发展。

关于个人成长

最后简单聊聊过去一年自己的个人成长吧，总结来说我想主要有四个方面：

首先是对于企业这个组织有了更深刻的认知：主要是关于组织目标和文化的思考，上面其实都已经讲了很多了，这里我就不再赘述了。

其次，对于一个组织如何管理目标及目标的达成有更多的思考：其实核心是来源于我一直在想那些规模极大的上市公司，比如apple、google、小米、贝壳等，他们是如何能够做到对未来公司一年的核心目标的准确预测和执行的。

之前在我看来，这是一个极其复杂的问题，现在我想这其实都是来源于如何将企业目标围绕核心业务逻辑进行拆解，然后通过企业的各级组织去执行整个业务逻辑中的一些关键环节，每个环节都通过对于目标的理解，目标及关键举措的管控来最终达成预期的目标。

但是一切的前提都是你要搞清楚目标的逻辑以及首先对于目标达成的关键举措和指标形成可观测。

再次，学会从一家企业的管理视角去看企业安全工作：过去在百度、贝壳负责安全工作的时候，实际上是非常难于去理解公司及公司管理者到底是如何看待安全的，为什么很多时候企业及企业的管理者根本无法理解企业安全的工作。

如果你从企业管理者的视角去看问题就会发现：

一方面企业管理者是极度关注目标的，对所有的事情关注的出发点，都是基于这件事情到底和公司的核心战略目标有什么关联？关联逻辑是什么？做的好或者是不好对于核心战略目标达成到底有啥影响？

另外一方面，企业管理者也是人，那么几乎所有人天然对于自己不懂的领域，就有很高的学习和理解成本，而企业管理者几乎没办法花很多时间主动去学习和理解一个看起来对组织目标达成没有太多直接关联的工作。

所以这个时候，企业安全核心应该是学会如何去理解企业的战略并且尝试寻找在企业战略达成过程中能够解决的关键问题及场景，最后用大家都能够理解的场景化语言表达安全工作的价值和必要性。

最后是关于短视频和直播的学习和成长：很多人都知道我过去一年，一直都在做短视频和直播，到目前为止我大概拍了100多期视频。

然后过去一年一直坚持每周天晚上直播，然后最高的时候直播在线5000多人，单场直播观看人数也超过了10万，这说实话是我自己一开始做直播的时候万万没有想到的。

一开始只是想着，过去我每年既然都需要见小几百个企业安全负责人或者专家，跟大家交流，这个过程我觉得是对于我个人以及公司的迭代是非常重要的信息输入和输出的方式的。

但是最后我会发现我再怎么努力，可能一年最多也就见300-400个人，这个过程已经非常饱和了，那为什么不尝试通过视频号和直播的方式去跟大家交流自己的一些想法和思考呢？

所以，就开始尝试做短视频和直播，这个过程从最开始不知道第一条视频应该怎么拍，到后来不知道第一场直播应该聊什么，然后这个过程就先硬着头皮上，然后每一次视频发出去之后复盘和改进，每一场直播完之后去看数据，去复盘直播过程中存在的一些问题和改进点，然后再慢慢的调整和迭代。

到今天，这个过程让我收获了很多朋友的认可和关注，所以这也使得我愿意不断的坚持下去，持续的输出更多，更有价值的内容，这个过程其实也是在倒逼着我自己不断的总结和积累。这个过程其实我也能感受到我自己的收获其实是非常非常多的。

写在最后

当我写到这里的时候，这篇文章我已经大概准备了一个多月的时间了，但是总感觉还有很多想要跟大家分享的一些心得，和创业过程中踩的坑，以及一些思考并没有充分的通过文字表达出来。

所以，今年我想尝试一次通过直播的方式，再跟大家深入聊聊我在过去一年创业过程中的思考和心得，包括对安全行业未来发展趋势的洞察、创业公司业务增长、组织建设、个人成长等方面。

时间就定在12月3日（本周三）晚19:00，希望届时能够在视频号【白帽子章华鹏】直播间 和大家有更多的互动和交流。