最近,各大安全厂家的前三季度财务数据出来了,具体可以看云头条的这篇文章
跟去年一样,一眼望去几乎全是亏损,好像安全厂家的老板都是慈善家,年年亏,年年做,越扩大规模亏的越多,市值还高的飞起,去年我就想说这事儿,这篇文章很难写,写的太激烈容易伤及无辜,写的太保守没多大意义,但是毕竟我一年才发一篇文章,总得写点有价值的东西。
以下所有仅代表个人观点,屁股决定脑袋,个人观点又受自己所在的位置会有所偏颇,因此,看得舒服就看,不舒服就划出去即可
以下也只讨论“问题”、“不好的地方”,中国的网络安全行业随着国家越来越重视,用户越来越专业,甚至有些用户比安全厂商的人专业多了,整个行业是肉眼可见向好发展,就像教员所说:前途是光明的,道路是曲折的
一、从做产品说起
================
我本身就是既做过安全研究、也做过产品经理,因此我非常清楚做一款安全产品的过程,但是在这里我不打算讨论做产品的流程和艰辛,讲一些无奈
首先,安全产品的核心是在这款产品领域定义下的安全能力,在这个能力上再去架构产品功能,应用层的人机交互设计与可用性设计是为了让用户低成本的、充分的发挥底下的安全能力,这个大家应该都认可吧?
这也是做安全产品,最耗费时间的地方,一条条规则写、一个个漏洞复现、一种种手法对比,把自己知道的安全知识都覆盖后,还会去想办法搞国内的、国外的竞品,看看他们的检测类型、规则数量,回来往自己产品里加,数量和类型一定要卷过别人!数量到了后,还得看质量啊,搞一些真实环境,天天盯着告警,优化误报,新漏洞、新手法出来应急响应,然后再进一步,再从当前的能力延伸出去,看看有没有更新的技术、更落地、更适合用户场景的安全能力可做,作为产品的安全能力亮点。
但是我想说的是,这些为实际效果服务的工作,在招投标、在POC测试、甚至在竞测上,都很难体现出来!以下的几个发问可能会引起大家不适:
招投标写具体的规则、类型、测试用例吗?
技术参数里写误报率、漏报率的很少吧?写了后测试方案设计的对吗?
竞测的时候是不是都对比谁检测的多?很少做质量对比
这个标被控了、那个标被空了,啥功能?写的什么报表功能、什么大屏、甚至字段!
不是说功能的丰富性不重要,而是功能与安全能力同等重要,但是另一半确经常被忽略
当然,以上问题有一些客观原因,比如误报可能需要长期观察统计,短时间的竞测可能看不出来。但是实际上做过项目的都知道,更多的情况是,关注应用功能太多,关注实际安全能力的太少,在关注安全能力的时候,看检出的更多,看误报的更少,看是否满足合规的更多,看是否能产出实际效果的太少。就像我们看一个人的时候,先看样貌与身材,而后内在,甚至不看内在。
但是现在已经好太多太多了,要感谢国家对安全行业的扶持,特别是每年的攻防演练,那真的是只能看效果了,最终以效果论英雄,给了很多做实事的厂商机会
这一节的最后点一下题,为什么关注功能丰富性,不关注安全能力,不关注实际效果,就影响挣钱呢?
因为劣币就有了驱逐良币的机会,功能好做,能力难沉淀,再加上中国特色的项目过程,测试的时候可能根本就看不出好坏,成本低就可以冲低价的呀!!!项目要么就没了,要么就用更低价,这不就亏本了吗?
还想讨论下,问题是最低价中标的策略吗?是不是调高技术分占比就好了呢?我思考过这个问题,如果非最低价中标,可能新型厂商会更惨,连冲进去的机会都没有,为啥?自己想。那么调高技术分占比行吗?也不够,还要保证测试过程绝对公平、测试方法设计的足够合理,难、很难。
二、中国特色的项目过程
===================
中国特色的做项目的过程,是阻碍良币赶出劣币很重要的因素,这部分不好讲,但是也绕不开
我们知道中国最大的安全市场是合规市场,合规市场的产品都已经很成熟,资质大家也大差不差,价格也压的很低了,这个最大的市场说白了就是谁商务好谁做,利润也不如以前高,一个销售的原话“我以前卖防火墙的时候一台能卖30W,现在tmd 5W就不错了”,用户买合规产品的目标很明确,帮我过合规,那么我认为发展到这个阶段也是正常的,因此不过多讨论。
那么非合规市场,按道理应该拼产品能力了吧,也对,也不完全对,还是跟我们上面讨论的息息相关,导致好产品卖不动,卖不出高价,总结几个原因
商务和技术,大家觉得在做项目的时候几几开?
技术方面,看功能丰富性居多,而不是看安全能力
看安全能力的时候,也是看丰富性居多,而不是能力质量
最低价中标策略,这个策略本身没问题,但是给了冲低价的机会,能力好的产品研发成本大,能力不好的产品或者已经不迭代的产品,研发投入小或者无,冲个低价也有利润,只是低一点,但研发投入大的产品不敢冲,或者冲下来也是亏的
那么怎么解决这个问题呢?其实国家已经做得很好了,通过实战对抗,引导各行各业关注实际效果,选用能力更好的产品,在实战中,光有检出率也是不够的,我们做产品经常说的一句话是“报1w条,跟1条不报,从单品上来说是一样的”,如果无法帮用户筛选出实际的威胁,需要用户投入大量的人去看,或者根本看不过来,那么实际上也没有意义。其他的,只能靠时间了,随着持续的高要求、实战对抗,安全行业最终会回归到我们所期望的样子,所以前途光明!
**三、产品不行?**服务来补!
========================
上面其实已经讨论了大部分的不挣钱原因,但是实际上在以上逻辑下,大厂成熟产品,好像在项目里还是可以挣钱的,只是挣得少一点,为啥也都亏呢?我只能从服务的角度来讨论一下,其他的我也不懂
实际上我们发现,也是随着实战演练的重视,用户是需要产品出实际效果的,真正发挥作用的,那么有些产品本来就不是给实战用的呀,或者产品能力本来就不足以达到这个水平,咋办呢?产品不行,那就服务来补?
安服我们大家也知道,本来就不挣钱,出差成本+人员成本就很高,真正好的技术手薪资也很高,那我就是真不知道了,600/800一人天的价格你是怎么投出来的?加上社保公积金厂商你到底给这个人发了多少钱一个月?用的学生?代理商的人?非原厂?那能做好?真正为了实际效果服务的安服,价格做不到这么低,但是别人确实投出这么低了,只能去卷。更何况还有很多情况,例如,马上XXX演练了,你们过来做产品POC测试,测试的时候你得派两个人过来盯着设备吧?去年买了你们的产品,你不派人过来盯设备?我买了你的东西,你得保证我出效果吧,一周至少来一次,给我出份报告?
产品不行服务来补,我认为是行业关注实际效果的好现象,但是确实也加大了厂家的投入,而且服务的投入是无法规模化的,虽然确实有一些服务标准化可以降低成本,但是降不到哪里去。
最后,我们能做的,只有坚持自己认为正确的安全理念,做正确的安全产品,并传递出去而已,借用教员在飞渡金沙江后说的一句话来总结下
为了进攻而防御,为了前进而后退,为了向正面而向侧面,为了走直路而走弯路。天下的事,并不以你的意志为转移。你想这样,偏一下子办不到,等转一圈回来,事情恰又办成了
前途是光明的,道路是曲折的
