本文观点脱胎于笔者近一年从业的所见所得具有较为强烈的主观色彩,无法保证客观亦无法保证准确。可能会很片面请各位见谅,毕竟我也只是ToB安全业务的一个新人,仅代表个人观点与笔者所在公司及业务无关。
抛开安全这个属性B2B行业由来自古,以我肤浅的阅历实在无法窥视全貌,但在信息安全这个垂直领域内笔者以一个新人的身份来谈谈看法。在笔者所经历的差不多一年的短暂时间内,从需求方的角度来看客户类型可以分为三大类:计划花光预算型客户、实际需求型客户、战略投入型客户,每种客户的特点有不尽相同。
计划花光预算型客户的特点是偏重销售渠道以合规为导向,少有真正关心安全的客户,多聚集于政府部门、大型国有企业等;实际需求型客户的特点是自身业务有安全或合规需求,侧重并关心服务质量,多聚集于互联网行业、强监管行业(金融、证券)等;战略投入型客户的特点是出于对网络安全的重视进行对应的前瞻投入,也可以说并不关注你当下是否有可用的交付能力,侧重于研究型、战略型产品,多聚集于·特种(军/警/航天/等)行业。
但供给方也就是安全公司一方很有趣,或许因需求方的原因大家陷入一种混乱的狂热自嗨不断通过,安全厂商在新技术领域不断研究推出新型产品,但此类产品对于实际使用人员的要求未降反升,产品距离用户需求没有拉近,相反更远。而需求方呢?在安全建设的过程中采购了大量安全产品,但是缺乏专业使用人员导致无法确认产品是否在正常发挥作用;产品的无效部署带来的虚假安全感可能会因为问题处理不及时,造成更大的损失。无论是需求方还是供给方都需要认清一个因为认知偏差造成的供需不对等:用户的自有水平是有限的,不然不会需要向你付出金钱解决问题,安服专家是平衡产品和客户的纽带,如果只买产品再好的产品、再多的钱也解决不了用户的实际痛点。
在目前我所看到的国内安全公司单以安全服务的业务来看各家厂商间其实不分伯仲,或许也正因为这种状态大家彼此之间并没有造成太强的刺激来优化自己,如果不是未来市场发生某种不可预知的变化,或许只有当一条“鲶鱼”出现时才会发生改变。初入这样的业务让笔者发现了一些显而易见的问题,将其总结为工具链支撑不足、服务意识欠缺、协同能力弱、可替代性强、更迭成本低。首先,不同技术工种间的工作经验未沉淀成为方法论、工具链,人员能力上存在技术壁垒,往往交付服务质量取决于实施工程师的个人能力水平的高低;其次,行业缺乏对标甲方安全运营服务标准、一线实施人员缺乏对业务可用性的敬畏之心,往往敢于“线上解决问题”;再者,安全情报获取缺乏体系化建设、一线人员缺乏全局评估能力、修复方案缺乏统一性、及时性,往往同部门间的工程师都做不到信息共享,内部尚且如此如何取信于客户;最后,传统ToB重度依赖销售体系服务品质不可量化、可替代性强、缺乏服务意识,安全服务未深入甲方业务,客户更迭成本低。
在笔者视角下以为配套基础工具链赋能一线工程师可以显著的提高人效,同样价位的服务可以解决更多类型的问题也从客户视角下提升了服务的性价比;建立行业服务标准、应急响应SLA提高客户满意度,降低安服事故发生概率获取更多的信任感;安全服务知识库建设、评估SaaS化提高服务质量、应急工单自动化提升响应速度,以专业度、体系化的安服提高用户粘性、预防因质量问题带来的客户变更风险。如果安服可以深入了解企业痛点也将为后期销售产品埋点,方便后续用产品化、信息化的方式将安全与客户深度耦合绑定。
我始终无法相信安全公司的从业人员没有发现这些弊端,没有改变的原因大概率是因为业务历史包袱过重吧。比如不得不说的绿盟这位安全公司的老大哥,其内部服务流程的标准化文档之详尽确实值得学习,或许曾经的绿盟安全在执行这套建立不易的标准化,但最近这一年我看到的是仅剩文档的可悲。
政企客户最关心的莫过于机密资料不外泄、系统可以正常的运转、符合监管部门的需求以及不被通报安全事件,在政企客户眼中“网络安全=尽职免责”,网络安全工作首先要维稳。客户存在客户特色需求(以网站监控为例),主任/部长/司局长/CIO:告诉我整体情况,我的要求,数据上的来下的去;处长/主科/CSO:你告诉我那个时间、他们的情况,我要求有话柄,我要求不出事;科员/工程师:你告诉我什么时候、什么事情、怎么办?这代表客户对“技术”、“手段”并不关心,“结果”才是客户的关注点。
安全服务其内包含多个细分的服务,服务之间通过相互依赖最终提供一系列可交付的服务,各服务间以独立的形式存在但又互相依赖。如果把安全服务看成一个大型产品,借鉴架构设计的方法论SOA(面向服务的架构,Service Oriented Architecture)进行业务梳理更便于理解。在做好服务解耦的基础上进一步将SOA体系推动升级到微服务化概念,将常规服务彻底组件化提供自动/半自动的能力集成以此提高用户视角下的安全服务性价比,通过标准化的服务规避传统安服业务模式的弊端。
这样做的明显好处是通过战术经验的标准化新兵可以快速经验累积,以专业的安全精英团队,对各类安全服务进行深层次的实施。将安全服务标准化、全面化,提高用户粘性。整体服务内容可管、可控、可查。使不同层面客户得到其真正想要的服务。以自动化工具和安全专家的技术沉淀,对前场实施人员进行安全赋能,达到人机共智的安全服务效果,一定程度上实现7x24小时的持续安全运营服务,提高整体安全服务的质量与观感。使客户在购买相同的工具情况下,得到更极致的服务。
就像上文所阐述的观点,客户对安全服务的品牌忠诚度并不高,主要因为购买安全服务的决策者一般级别较低但专业性较强,因此很有机会替换。各地方区域市场应以安全运营落地为抓手与传统安全市场进行差异化竞争,避开拼产品价格的红海,逐渐成为地方政企客户的“安全管家”。面向小型的央企、国企客户也可尝试与大的国资背景合作,输出安全运营。鉴于目前国家对网络安全的日渐重视,绝大多数小白客户都在寻求类似保安外包的合作方式,无自我安全运营能力的客户对此服务的期待和接受程度都比较高。一方面利用安全运营差异化竞争获取市场空间,另一方面通过良好的安全运营服务布局未来的网络安全市场。
未来3-5年服务即安全产品,可分为三个层次:安全研究、安全服务、安全运营。安全研究主要从攻击者角度研究问题,发现安全防御的薄弱点,构建合理的安全服务;安全服务从防御者角度研究问题,构建不同客户场景的防御体系,为客户提供安全咨询、应急响应、渗透测试、护网支撑、重保等服务;安全运营从客户角度研究问题,为客户的日常安全运维提供支撑服务,帮助客户合理化事件的执行流程。各安全公司将基于知识库和人才体系指导培训体系,通过校企合作源源不断的输出初级安全运营人才解决安服人力缺口问题。同时可以构建面向不同行业、不同场景的安全运营知识库,用以支撑标准化的安全运营服务。辅以分层级的安全运营人才体系,各司其职形成标准化、流程化的服务机制和管理流程,满足不同业务模式的需要。
安全公司最终会从传统的“设备提供方”角色转型成为“安全服务运营商”,由原来的“事件触发驱动”转为“陪伴式响应”,从而化“响应式服务”为“周期性服务”,从“安全实施角色”逐步转变成为“企业安全顾问”最终实现强依赖我方的企业自主运营安全。安全服务的业务形式将替代CISO/CSO介入企业组织层,实施企业整体安全计划,全面提高客户公司的整体安全性。在此基础上安全公司作为企业的安全合作伙伴,通过“分行分层” 构筑多维安全生态联盟可能有希望重新定义安全服务市场。
就像上次说的一样,想记录下的东西很多但时间不够,而笔者是个懒鬼也是个事实。当懒鬼很忙的时候,断更一段时间也就是必然的结果。最近疫情期间在家终于空了一些时间,将一些自己的之前的思考记录下来呈现此文。
最后打一个广告,我目前在360企业安全集团安服事业群体验生活。疫情期间对于大多数本就不富裕的安全公司来讲是个难关,如果工作并不如意或遇到困难欢迎来聊支持线上入职,目前我们北京、上海、广州、深圳、重庆、成都、武汉、沈阳、郑州、石家庄、新疆......太多了我就不写了(正在陆续覆盖全国),如果你是从事安全服务、安全研发、攻防相关的同学请联系 zhouqun1#360.cn。