三年前,我踏入了网络安全产业。
今天来看,这一步很幸运,同时也很不幸。我想大部分网络安全产业从业者都有类似的感受。
一、网络安全产业的幸与不幸
说幸运,是因为我们身处一个接下来十年甚至数十年内会长期快速发展的产业,能抓住一两个这类“风口”产业,是一生难得的运气。网络安全产业未来会长期快速发展,相信大部分人是认同这个判断的。其背后的推导逻辑很简单。
首先,在这个不断数字化的世界,网络安全越来越重要,政府、企业和个人在这件事上一定会越来越重视,愿意花更多的钱去解决可能面临的日趋严峻的网络安全问题;其次,由于存在攻防不断对抗的特点,客户在网络安全方面的实际需求一直未能得到满足,在未来十年甚至更长时间都是如此。试问,今天哪个政府或企业网络安全的负责人敢说自己现在的信息基础设施能够在黑客攻击之下高枕无忧?
说不幸,是因为我们处于一个过去多年一片混战、从业者怨声载道的产业。我曾经参加过一个网络安全产业论坛的研讨,几乎所有与会的圈内大佬都或诉苦,或求助。诉苦者说这个产业竞争太无序,规模不大玩家太多,玩法不规范,赚不到钱。求助者希望政府能够站出来规范这个市场,做好产业分工和合作的协调管理。
如果说这个产业是所谓的“风口”产业,那这个风向就是不确定的,今天是东风,明天变成了西北风。过去这些年来,网络安全各种概念、理念层出不穷:零信任、态势感知、IPDRR、CARTA、软件定义边界、SOAR、城市安全大脑、城市安全运营中心……有些是舶来品,有些是土生土长的。有人拿新概念总能融来不少资金风光几天。可今天你刚把一个概念理解得七七八八,明天可能就过时了。然而,这些光鲜概念的不断涌现对缓解整个社会对网络安全的担心帮助并不大。安全厂商在拿着各种新概念到客户面前侃侃而谈大拍胸脯时,内心是忐忑的,深知光鲜外表下的安全体系仍然脆弱不堪。
厂商抱怨客户不重视安全投资,抱怨竞争对手都在夸海口、出低价,导致市场混乱赚不到钱;有见识的客户不容易被新概念忽悠,但对安全厂商、服务商的交付经常不满意,安全体系建设经常成为摆设,平时还是要靠人拉肩扛被动地度过一个又一个安全事件的坎;国家和政府不断出台相关政策法规,但在不断加大的网络安全风险面前,焦虑不减反增。好像所有人都对这个产业并不满意。
这个产业就是这么矛盾,长期痛并快乐着。
二、网络安全产业繁荣,亟需具备国际竞争力的高品质产品
而其他的“风口”产业不同,有些“风口”产业成长起来了,逐渐成熟,推动社会进步的同时,形成了相对健康的生态,一批玩家从中获得了巨大的商业利益。比如,曾经的电子商务、移动互联网、智能手机、智能穿戴、社交媒体、短视频等等。
也有些“风口”产业幻灭了,或蛰伏了,一部分是因为经济价值或社会价值不大,最终没有被普遍接受。比如,曾经火爆的O2O、共享经济等。还有一部分因为技术不成熟,目前还没有成为颠覆性的力量,比如,VR/AR、人工智能等。
中国网络安全产业到今天还不算已经成长起来了,但也一直没有幻灭,更不会幻灭。我们能够离开O2O模式,也可以接受VR/AR技术不成熟无法普及的现状,但谁也不敢说网络安全可以不要。
但是,这个产业如何才能逐步成熟起来,让大部分和这个产业相关的人满意?
网络安全涉及的范围很广,不仅仅是技术、产品和服务,还包括了法律、制度、管理、流程、人员意识甚至是道德观等。本文聚焦到和技术相关的产品、解决方案和服务,跟各位探讨。
即使限制在技术相关的范畴上,安全的范围也不小。针对具体保护对象的不同或保护对象所在场景的不同,安全产品和技术可以分为很多不同的大类,比如,终端、云、网络、内容、应用、数据、物联网、工控等,再结合为了所要做的安全处置动作,如预防、管理、认证、分析、检测、处置、追溯、审计等,所演化出的产品品类就很多了。
这么多产品品类,加上到目前为止基本依赖于人的、客户定制化很强的安全服务,安全市场看似规模不算小,已有500亿人民币左右(不同机构给出的规模不同,2019年从400亿~600亿不等),但分到每个玩家(提供安全产品的厂家据统计超过1000家)和每个产品品类上,规模就很可怜了。
而安全厂商们,大多也倾向于不断扩大自己的产品线,试图借此扩大自己的市场规模。于是,很多的安全产品品类,都有数十家甚至数百家厂商参与,试图分一杯羹。比如,防火墙产品,拥有公安部销售许可证的安全厂商多达210家,WAF有81家,漏扫有93家,态势感知作为一个新兴产品品类,也已经有64家厂商。
按理说,这么多的学生,总有几个尖子生,能够在国际比赛中拿得到名次。实际情况并不乐观:到目前为止,除了华为的防火墙产品,获得Gartner网络防火墙魔力象限挑战者、NSS Labs推荐级外,其他国内安全产品少有领先。
有人说,网络安全更看重服务,产品并不重要。这个观点是经不起推敲的,没有一个科技类企业的产品是不重要的。环顾全球500强企业,除了金融、零售、能源等服务类或资源型企业,哪个企业不具备竞争力全球领先的产品?服务诚然对网络安全很重要,但若不能基于高品质的产品,其效果如何完全依赖于个人的技能水平,这样的服务效果不可预测,也不具备可复制性。试想,如果今天的医疗水平仍依赖于扁鹊、华佗这些不世出的神医,而缺少现代的精密仪器、医疗装备和药品,普罗大众一定无法享受到今日的医疗服务。
因此,对网络安全产业来说,产品竞争力同样是产业竞争力的基础。不能说有了领先竞争力的产品就万事俱备,但如果没有就不可能实现产业的成熟和健康,不可能让客户满意,更不可能让安全企业在国际上开疆拓土。
三、不凡之路无捷径,用心打磨高品质产品
那么作为网络安全企业,如何才能做出高品质的产品?
答案是没有捷径,必须舍得投入,用心打磨。
舍得投入主要指舍得在研发上投入人和钱。是否将业界的牛人投入在关键技术突破上,是否有足够的资金支撑长期研发投入。
有了投入还不够,还需要用工匠精神用心打磨。只有基于客户场景和需求不断改进,一步一个脚印地进步,才有可能打造出高品质的产品来。
前文提到国内网络安全企业倾向于不断扩大产品线来做大规模。在这种情况下,对于单产品的研发投入经常是不够的。目前一些规模较大的厂商倾向于做全产品线,用有限的研发投入支撑数十种甚至上百种安全产品的研发。撒胡椒面儿式的投入,很难做出有竞争力的产品。
