安全产品终将成为服务

全文约6千字  2图

本文的重点是讨论产品与服务的关系。产品与服务一直在纠缠之中，既是一对恋人，又是一对冤家。为此，我们将会讲述一个故事和一个模型。

一个故事：产品与服务之间有可能产生恶性循环，一个知名案例就是FireEye（硬件大师）和Mandiant（服务大师）之间的网络安全婚姻。在经历了传奇般的结婚和离婚故事后，郎才女貌并没有形成珠联璧合，最终分道扬镳。这也许是因为基因的差异性根深蒂固。

一个模型：尽管FireEye和Mandiant的故事反映了产品与服务之间的不良关系，但这却并非常态。安全服务飞轮从理论上解释了产品与服务之间的良性循环，并且表明：每个产品终将成为服务，只要产品活得足够久。所以，当你发现EDR供应商成为MDR供应商、XDR供应商推出托管XDR、SaaS供应商管理自己的SaaS功能时，请不要奇怪。因为安全服务飞轮在发挥作用。安全服务飞轮是一种永动机，即使在技术范式发生变化时也能保持服务的价值，从而使产品供应商转变为服务供应商以求生存。

360集团创始人周鸿祎在《星空下的对话》中提到的“安全服务化**，服务托管化**”，与安全服务飞轮的价值主张不谋而合。周鸿祎还提到：360的全部安全服务都将通过云和SaaS化的方式（如360企业安全云）来落地，这既是一种创新模式，也是对安全行业的颠覆式挑战。

安全领导者及其团队需要适应这种转变，逐步消除其心智模型和实施路线图中的产品与服务孤岛。

目  录

1. 恋人还是冤家：FireEye(产品)与Mandiant(服务)的故事

1）Mandiant和FireEye的联姻寄托了美好希望

2）梦之队的艰难婚姻生活

3）STG：FireEye的收购者

4）Google：Mandiant的收购者

5）预言的兑现：Mandiant和FireEye的未来

**2. 安全服务飞轮
**

3. 安全服务飞轮的新变化

4. 从产品转向服务

1）对甲方（客户方）的好处

2）对乙方（供应商）的好处

3）结束语

01

恋人还是冤家：FireEye(产品)与Mandiant(服务)的故事

产品与服务一直在纠缠之中，既是一对恋人，又是一对冤家。一个经典案例是Mandiant和FireEye的网络安全婚姻。关键时间线如下：

• 2013年，FireEye在以10亿美元收购Mandiant；

• 2021年6月，FireEye将其安全产品业务以12亿美元出售给STG（Symphony Technology Group）。STG是一家私募股权巨头；

• 2022年1月，STG将McAfee企业安全与FireEye合并成立新公司，正式命名为Trellix，致力于提供XDR（扩展检测与响应）解决方案；

• 2022年3月，Google 宣布斥资54亿美元收购Mandiant，成为Google 史上第二大收购案。Mandiant将加入Google Cloud，并保留Mandiant品牌。

1）Mandiant和FireEye的联姻寄托了美好希望

在婚姻之前，两个团体都分别赢得了他们的声誉：

• FireEye：当FireEye在2013年以10亿美元收购Mandiant时，FireEye还是刚刚IPO成功的网络安全新宠，其股价较IPO首日暴涨80%，一跃成为网络安全领域的创新领军企业。当时，FireEye处于安全复兴的前沿，是一家“新型供应商”，采用新方法替代了过去十年的防病毒安全供应商。

• Mandiant：随着APT1报告的发布而声名鹊起，并成为少数几家首选的事件响应公司之一，对国家参与者的多次入侵做出了回应。

• 美好愿望：FireEye期望借助产品+服务的联姻，可以构筑无比强大的网络安全梦之队。

2）梦之队的艰难婚姻生活

从第一天就开始了文化冲突。FireEye和Mandiant的文化从未真正融合。FireEye人员是硬件销售大师，而Mandiant 培养了一种专业和精通的文化。文化冲突导致梦之队的设想从未实现。而伤害是由于收购后的人才流失造成的，导致Mandiant人才散居国外，创办初创公司、经营其他安全公司。FireEye人员以同样的速度退出，并做出同样的事情。

FireEye的敏锐嗅觉。FireEye最值得被记住的事情就是：FireEye总是能在竞争对手之前采取正确的行动。比如收购Invotas（现为Helix）进军SOAR领域，收购Verodin（现称为Mandiant安全验证）进军BAS（入侵攻击与模拟）领域，收购Mandiant进军事件响应领域。然而，仅仅因为在对手之前采取行动，并不能总是成功。正如在所有上述赛道中，FireEye产品从未成为必备品。但反过来看，不能总是成功，也并不意味着它们是错误的选择。事实上，FireEye的敏锐嗅觉起到了市场催化剂的作用，促使竞争对手竞相模仿和跟随。

FireEye的产品从未成为必需品。FireEye的产品组合几乎涵盖整个技术栈的安全硬件，FireEye产品虽然不错但从未真正取代现有产品，也始终未能在市场上占据主导地位。比如防火墙仍然存在，而沙箱功能成为它们的一个特性；FireEye的其他产品如TAP和Helix，也从未能替换安全分析或SOAR(安全编排、自动化和响应 ) 领域。在同一时期内，Mandiant的业务表现非常出色（在多项Forrester Wave评估中被列为领导者），但FireEye安全产品在Forrester的评估中表现不佳。

Mandiant遭受的损失：Mandiant在其MDR（托管检测和响应）产品和其他安全服务方面，花了很长时间与**“全FireEye生态”（all-FireEye ecosystem）绑定在一起（即排斥其它供应商产品）。正是因为如此，Mandiant不得不放弃其事件响应的声誉，并眼睁睁地看着其竞争对手（主要是针对CrowdStrike**）在市场估值、股价、客户渗透率方面遥遥领先。最终Mandiant认识到传统FireEye解决方案阻碍了其业务发展。

Mandiant的行动：Mandiant开始慢慢通过传统服务和软件即服务 (SaaS)来 重塑自己。通过MDR（托管检测和响应）、攻击面管理、Advantage威胁情报、安全验证（即BAS）及其传统事件响应业务等SaaS产品找到新动力。

**3）**STG：FireEye的收购者

STG（Symphony Technology Group）是一家私募股权巨头。到目前为止，私募股权对网络安全公司的收购，虽然为安全投资带来了大量活力，但为最终用户带来的创新很少。

无论STG收购RSA、McAfee、FireEye的原因是什么，这些供应商中的每一个都代表了一个曾经引以为豪的安全品牌，当这些品牌发现自己未能迁移到云并且转向SaaS时为时已晚，然后眼睁睁地看着自己的市场份额被竞争对手夺走。

STG收购的资本优势一定是巨大的，否则也没有信心将这些破碎的公司重新组合起来。也许STG计划创建某种网络安全超级团队，要么整合新公司，要么发布新品牌。无论如何，我们都不大可能会记得它是McAfee、RSA、FireEye。

最新进展是：2022年1月，STG将McAfee企业安全与FireEye合并成立新公司，正式命名为Trellix，致力于提供XDR（扩展检测与响应）解决方案。Trellix的名称取自trellis（格架），意为支持植物生长的安全框架。

所以，我们真地看不到FireEye了。

**4）**Google：Mandiant的收购者

安全实践始于内部零信任项目。Google的网络安全工作始于2011年发起的BeyondCorp（零信任项目）、2014年发起的Project Zero（旨在应对“零日漏洞”威胁）等内部安全项目。

网络安全商业****化较晚。2012年Google对VirusTotal的收购可能表明谷歌对网络安全商业****化的兴趣。但GCP（谷歌云）转向以企业为中心的商业能力的确有些晚，Google的X计划于2018年推出Chronicle，GCP于2019年收购它。

起步较晚只能买买买。谷歌和微软在企业业务上展开了广泛的竞争，两者都表示，将在未来五年内花费超过100亿美元发展网络安全。起步较晚需要溢价才能赶上。谷歌在2022年1月就收购了Siemplify（SOAR提供商）。2022年3月耗资54亿美元对Mandiant的收购，成为Google 史上第二大收购案。收购Mandiant，不仅能够补充Google Cloud在安全方面的现有优势，还将增强谷歌的安全运营套件和咨询服务，为其带去由包括600多名安全顾问和300多名情报分析师组成的网络安全精英。

开启网络安全发现新时代。GCP希望成为一流的网络安全公司。借助Mandiant的事件响应专业知识，再加上VirusTotal****数据和Project Zero项目的人才，随着两个团队的合作，可能会开启一个网络安全发现新时代。

5）预言的兑现：Mandiant和**FireEye的未来**

2021年6月，Forrester副总裁兼首席分析师Jeff Pollard（正是提出“安全服务飞轮”概念之人）在其博客中预测了Mandiant和FireEye的未来：

• Mandiant ：将受益于其收购方的剥离。Mandiant似乎能够通过精简自身来继续其前进势头。从FireEye中的拆分，还将使Mandiant能够继续利用其情报驱动的服务并发展MDR业务。通过更多地监控和管理任意供应商的安全产品，网络威胁情报团队将受益于对全球威胁形势的更高可见性。这一次性消除了Mandiant的所有偏见。

• FireEye：当然也会受益于STG的财大气粗。但风险在于，它会与STG的另外两大网络安全“过时品牌”（McAfee 、RSA）进行合并。尽管FireEye确实大放异彩。然而，在一支糟糕的球队中成为最好的球员，仍然意味着你会输掉大部分比赛。而且到目前为止，PE（私募股权）对网络安全公司的收购，虽然为投资者带来了大量活力，但为最终用户带来的创新很少。

• 预言：Jeff Pollard在2021年6月的博客中预测，五年后，Mandiant将成为一个知名度很高的安全品牌；而FireEye可能会被淹没历史的车轮中。这毫无疑问反映出他对安全服务的看好。

• 预言的兑现：自2021年6月至今（2023年2月），还没到两年的时间，却已经出现了新的结果：FireEye确实已经融入到一家新公司Trellix中开启XDR之路，但已然失去了独立品牌；而Mandiant则融入到GCP中，准备大放MDR异彩，并且保留了独立品牌。他们的选择或许都是恰当的，也为我们留下了宝贵的启示。

02

安全服务飞轮

在前面FireEye(产品)与Mandiant(服务)的故事中，反映了盒子大师与服务大师之间的较量。而Forrester副总裁兼首席分析师Jeff Pollard的偏好无疑是站在Mandiant安全服务这一边的。

另外，FireEye(产品)与Mandiant(服务)的故事似乎反映了产品与服务之间的恶性循环（或许是缘于基因/文化的原因）。但Forrester副总裁兼首席分析师Jeff Pollard提出的安全服务飞轮概念，却完美地诠释了产品与服务之间的良性循环。

“安全服务飞轮”（Security Services Flywheel）是Forrester副总裁兼首席分析师Jeff Pollard在第一次加入Forrester时创造的概念。

• 机械飞轮：在机械工程中，飞轮实际上是一个储存动能的轮子，是拖拉机、蒸汽机、脚踏缝纫机运转的关键。

• 业务飞轮：当将飞轮概念应用于业务时，它通常表示公司不同的组成部分建立起不可阻挡的动力。关键点在于：飞轮的步骤不能只是企业不同部分的单独行动。它们必须在因果关系中相互引导。

• 安全服务飞轮：解释了为什么安全服务能持续保持价值，无论产品变得多么复杂。

• 安全服务飞轮的要点很简单：产品供应商承诺过多而交付不足。当用户发现交付问题时，通常为时已晚。他们购买的每件产品都会发生这种情况，只好求助于服务来解决未达到的期望。

图1-安全服务飞轮

安全服务飞轮的循环：

1. 新产品出现：由于存在产品市场的匹配，新产品获得市场份额。

2. 专业服务出现：产品售卖给客户后，客户的采用问题出现了，因为客户发现：部署和实施新产品给他们带来了挑战。这些采用难题导致了部署和集成专业服务的出现，这些专业服务通过产品供应商的服务合作伙伴来提供。

3. MSS出现：当客户的采用问题被解决之后，产品的日常运营****问题又变得令人头疼，于是**第三方****MSS（托管安全服务）**被引入进来。

4. SaaS出现：接下来，“产品”逐渐变成了一种服务：软件即服务(SaaS)！这时，客户不再需要维护它了，是吗？不。SaaS只是由其他人在其他地方托管的产品，它仍然需要悉心照料。

5. 托管型SaaS出现：这才是SaaS产品功能和效果真正得到妥善管理的地方。

这个飞轮循环虽然特定于网络安全领域，但也适用于其他领域的产品和服务。飞轮循环可以一路验证回到防火墙和SIEM（安全信息与事件管理）。

先以防火墙为例：

• 首批防火墙在20世纪90年代初期和中期获得了认可和市场份额。

• 增值经销商和集成商前来安装它们。

• 1990年代中后期出现了第一批托管安全服务(MSS)提供商。

再以SIEM（安全信息与事件管理）为例：

• 早期的SIEM出现于2000年代中期；

• 实施SIEM的专业服务出现；

• 新一轮的托管安全服务(MSS)提供商出现，其他人将其添加到服务组合中。

安全服务飞轮在历史上持续发挥作用：每一个出现的产品都需要专业服务来实施，需要托管安全服务来运行，最终采取托管SaaS的方式（如果产品能够存在足够长的时间）。

但是，安全服务飞轮也并非一成不变，我们接下来看看它的新变化。

03

安全服务飞轮的新变化

现在，安全服务飞轮的主要变化在于供应商不再依赖这些服务的合作伙伴关系，而是几乎立即推出了自己的托管安全SaaS服务。这种情况最近在EDR（端点检测和响应）领域中显现，并在XDR（扩展检测和响应）领域中实时发生。

从历史上看，产品供应商会与服务提供商合作来提供服务，并且在推出自己的服务之前会等待很长时间，或者根本不会推出服务。而在最近的历史中，这种差距从几年缩短到几个月，而到2022年几乎消失了。供应商在发布新产品的同时，就会将其产品的完全托管版本推向市场。

下面，以EDR和XDR领域为例，我们来看看安全服务飞轮的新变化：