解锁后的Mandiant业务前景分析

这篇文章最早写于今年6月，时值FireEye宣布出售产品业务给私募财团STG。笔者作为一个长期关注FireEye的前产品经理，比较感兴趣这次分拆出售的原因以及带给Mandiant未来发展的变化，对此做了进一步分析，现分享给大家。

一、原因分析

2021年6月2日，FireEye宣布1以12亿美元现金交易的方式，将其产品业务连同FireEye公司名称出售给私募财团Symphony Technology Group (STG)，原上市公司计划更名为Mandiant。分拆后，FireEye产品业务包括网络安全、邮件安全、终端安全、云安全以及安全管理和编排平台；而Mandiant依托SaaS平台Mandiant Advantage，提供威胁情报、安全验证和自动防御等订阅服务，以及MDR服务和专家服务。2021年10月8日，更名后的Mandiant宣布完成交易。

多次业务转型均未成功

FireEye此次业务举措，是公司转型的必然选择。我们先简单回顾FireEye的历次转型。FireEye最初获得成功的沙箱产品市场空间有限、无法支撑上市公司的成长，后续发展等同二次创业，经历坎坷。

1.  2014-2016年盲目扩张产品线，试图颠覆传统威胁防御市场的举措，没有利用既有优势进行叠加演进，该阶段转型并不成功。

2.  始于2016年下半年的二次转型，明确自身定位为“情报引领”的公司，并围绕Helix打造整个产品解决方案体系，往平台型公司转型，迎来一些转机。

3.  2019年7月，FireEye公开披露2，在其转型过程中内部出现了两个相关但方向不同的重点领域，也即产品业务与平台和解决方案业务。FireEye开始同步优化投资，调整组织架构并重组研发团队，同时创建了两个独立品牌——FireEye产品和Mandiant Solution3。但后续两个方向的业务发展并不均衡，产品业务在萎缩（2020年收入同比增长-3%4），而Mandiant业务快速增长（2018-2020 CAGR为24%）5。

产品类业务对SaaS类业务形成掣肘

近些年，FireEye虽然有业内领先的威胁情报和事件响应能力赋能和加持，但在网络安全、终端安全、SIEM等主流市场一直未构建出护城河产品。笔者认为最主要原因是，现今安全产品要获得市场成功需要复合型能力，依靠单一维度的能力不足以让产品赢得客户和市场。下面借用Gartner产品决策模型做进一步说明。以EPP产品为例，我们选取亚太区域客户作为目标市场，可以看到客户对产品的基础和关键需求就有十数种之多，这种情况下难以单纯依赖某一项能力胜出。



图——Gartner产品决策模型示例

再看Mandiant业务。它基于Mandiant Advantage平台，将FireEye优势的威胁情报能力和安全专家知识“产品化”，形成一套自动化解决方案，嵌入到客户的安全运营流程中，可被任意规模的客户用于任意厂商的安全产品。在原有情况下，这部分优势能力必然优先服务自有产品业务，自然也不太可能开放给竞争对手，从而限制了Mandiant业务不能服务于更多客户。在Forrester的一份报告中6，分析师指出，FireEye客户反馈其MDR服务高度分散，由五个不同平台提供五种不同服务。在 2020 年年中FireEye宣布扩大设备支持范围以包含非 FireEye 技术之前，MDR服务受限于FireEye 技术生态对业务发展是一个严重的掣肘。

情报和响应相关的业务解锁后会有更广阔的空间

FireEye此前在多个关键领域（威胁情报、SOAR、安全验证也即时下流行的BAS，以及XDR）的历次收购和业务布局，均证明了它对技术趋势的洞察力，屡屡先于竞争对手采取正确的行动，并最终带动竞争对手做同样的事情。这一次FireEye做出的业务决策，既是基于前期大量业务创新探索和试错经验，也同样是基于对安全技术和市场趋势的洞察：攻击者的创新继续快于防守方；基于事件响应经验判断，大多数安全产品缺乏对手情报以及安全分析能力，无法学习、思考、适应攻防对抗的不断升级；SolarWinds事件之后，客户前所未有地迫切需要威胁情报和专家知识，用于应对安全漏洞、评估自身对最新攻击的抵御能力，实现安全运营现代化并构建内部情报能力。

如果从企业构建护城河视角来看，为客户提供服务的企业将可能拥有更宽的护城河，因为它们可以将自己的业务紧密结合到客户的业务中，形成非常高的转换成本，从而可能带来定价权和超乎寻常的资本回报率7。按照Kevin Mandia自己的说法8：“我们已经学会了让组织利用我们的威胁情报和专家知识，使他们更安全。因此，我们继续扩大解决方案以满足这一需求。”这也是FireEye坚定发展Mandiant业务方向的可能原因。

二、Mandiant业务前景分析

针对当前普遍的安全运营人员缺口和效率低下问题，规模化满足客户需求，较优路径无疑是SaaS化交付以及借助机器学习和人工智能提高效率。CrowdStrike是一个典型的成功案例。它作为威胁情报领导者厂商之一，将其威胁情报能力优势转化为产品和业务，与其终端产品实现优势组合和能力叠加，并被市场认可。单独分析其威胁情报订阅服务Falcon X，应用场景也不单纯是威胁检测，而是围绕提高整体安全运营效率进行业务设计，如增强上下文、缩短调查时间、提升事件响应和威胁狩猎效率等。但业内多数传统安全厂商，缺乏CrowdStrike这样的能力，在解决客户的问题上存在局限性。因此解锁后的Mandiant，将其威胁情报能力和事件响应经验以SaaS订阅模式赋能给更多安全厂商，帮助他们提升能力、解决更多客户的问题。这种模式下，Mandiant还将获取到业内安全厂商数据，其威胁情报能力不仅不会被削弱，反而会得到进一步增强，最终通过网络效应形成更为强大的护城河。

而发展这种模式，需要具备市场环境条件。目前美国市场在此已具备较好的基础，使得Mandiant业务发展具备可行性。

1.  良好的厂商间生态环境：美国市场对专业技术的要求决定了厂商必须发展有竞争力的特色技术或产品，逐渐形成了相对完善的生态和协同机制。业内案例包括，Splunk构建数据平台生态满足多源数据综合分析的需求，在不增加任何一方成本的同时提升各方价值；Palo Alto通过生态的方式搭建数据湖和安全分析能力；CrowdStrike建设Falcon平台的生态系统，与身份提供商、NDR厂商构建生态合作等；SASE领域中厂商的生态共建和能力互补。

2.  客户安全数据上云的意愿：结合FireEye自身来看，从初期情报数据订阅往云端SaaS订阅演进，其收入结构2016年开始就从本地设备更多转向云端订阅服务。再结合CrowdStrike云原生SaaS业务近几年的高速发展，2020财年9、2021财年以及2022财年前3季度订阅服务的营收占比分别为90%、92%和93%10。这说明欧美客户已经逐步接受必要的安全数据上云，希望据此获得更完备的安全能力和更低的安全运营成本。

1. https://www.fireeye.com/company/press-releases/2021/fireeye-announces-sale-of-fireeye-products-business-to-symphony-technology-group.html  ↩︎

2. https://www.fool.com/earnings/call-transcripts/2019/07/31/fireeye-inc-feye-q2-2019-earnings-call-transcript.aspx ↩︎

3. https://www.fool.com/earnings/call-transcripts/2020/07/29/fireeye-feye-q2-2020-earnings-call-transcript.aspx ↩︎

4. 参见6月宣布分拆时的ppt，之前链接失效。 ↩︎

5. https://s28.q4cdn.com/487210440/files/doc\_presentation/2021/2Q21-Slides.pdf ↩︎

6. Jeff Pollard和Claire O’Malley，“The Forrester WaveTM: Managed Detection And 

   Response, Q1 2021”，Forrester，2021年3月24日 ↩

7. 《巴菲特的护城河》  ↩︎

8. https://www.fool.com/earnings/call-transcripts/2021/04/27/fireeye-feye-q1-2021-earnings-call-transcript/ ↩︎

9. CrowdStrike每年财年对应上一自然年2月至下一自然年1月。 ↩︎

10. https://ir.crowdstrike.com/static-files/b1731403-3e5d-45b7-982b-aed6adbe5ec9 ↩︎