三年前,我进入网络安全行业。 今天来看,这一步既幸运又不幸。我想大多数网络安全行业的从业者都有类似的感受。 1。网络安全行业的幸与不幸 我说幸运是因为我们身处一个未来十年甚至几十年都将高速发展的行业,我们能抓住一两个这样的“窗口”行业是一生难得的幸运。网络安全行业在未来长期内会快速发展,相信大多数人都认同这个判断。背后的推导逻辑很简单。 首先,在这个不断数字化的世界里,网络安全变得越来越重要。政府、企业和个人肯定会越来越重视这件事,愿意花更多的钱来解决可能面临的日益严峻的问题。网络安全问题;其次,由于连续攻防对抗的特点,客户在网络安全方面的实际需求没有得到满足,未来十年甚至更长时间都会如此。试问,今天有哪个政企网络安全负责人敢说自己现有的信息基础设施在黑客攻击下可以高枕无忧? 是不幸的,因为我们身处一个混乱多年的行业,从业者怨声载道。我曾经参加过一个网络安全行业论坛的研讨会,几乎所有参会的圈内大佬不是抱怨就是求助。投诉者称,这个行业竞争太无序,小规模玩家太多,玩法不规范,根本赚不到钱。求助者希望政府能够站出来规范市场,做好产业分工合作的统筹管理。 如果这个行业是所谓的“风口”行业,那么风向不定。今天是东风,明天就变成西北风。这几年,网络安全的各种概念和概念层出不穷:零信任、态势感知、IPDRR、CARTA、软件定义边界、SOAR、城市安全大脑、城市安全运营中心……有的是进口的,有的是本土的。有些人总能用几天的新概念筹集到大量资金。但是今天你只是在很大程度上理解了一个概念,明天它可能已经过时了。然而,这些光鲜亮丽的概念不断涌现,并没有多少缓解社会对网络安全的担忧。当安全厂商为客户带来各种新概念并大谈心声时,他们的内心是忐忑的,知道光鲜亮丽的外表下的安全系统依然脆弱。 厂商抱怨客户不重视安全投入,抱怨竞争对手吹嘘低价,导致市场混乱,赚不到钱;有见识的客户不容易被新概念所迷惑,但安防厂商和服务商的交期往往不尽如人意,安防系统的建设往往成为摆设。平时,一个接一个的安全事件,人们还是要靠人来扛,被动地渡过难关;焦虑并没有减少,反而增加了。每个人似乎都对这个行业不满意。 这个行业好矛盾,长期痛并快乐着。 其次,网络安全行业蓬勃发展,迫切需要具有国际竞争力的优质产品 其他“风”行业不同。一个相对健康的生态已经形成,一批玩家从中获得了巨大的商业利益。比如过去的电商、移动互联网、智能手机、智能穿戴、社交媒体、短视频等等。 经济价值或社会价值不大,最终没有被普遍接受。比如曾经流行的O2O、共享经济等等。还有一部分是由于技术不成熟,还没有成为颠覆性的力量,比如VR/??AR,人工智能等等。 中国的网络安全产业还没有成长起来,但是从来没有幻灭过,让独自幻灭。我们可以离开O2O模式,也可以接受VR/AR技术不成熟无法普及的现状,但没有人敢说网络安全没有必要。 然而,这个行业如何才能逐渐成熟,让大多数与这个行业相关的人满意呢? 网络安全涉及面很广,不仅是技术、产品和服务,还包括法律制度、管理、流程、人员意识甚至道德规范。本文重点介绍与技术相关的产品、解决方案和服务,与您共同探讨。 即使仅限于技术相关领域,安全的范围也不小。根据具体的保护对象或保护对象所处场景的不同,安全产品和技术可以分为终端、云、网络、内容、应用、数据、物联网、工控、等等,结合起来,需要做的安全处置动作演化出很多类型的产品,如预防、管理、认证、分析、检测、处置、追溯、审核等。 这么多的产品品类,加上目前基本靠人和高度定制化的安防服务,安防市场似乎不小,规模在500亿元左右(不同机构给出的规模不同,从2019年400亿到600亿),但分到每个玩家(据统计有1000多家厂商提供安防产品)和每个产品品类,规模很差。 大多数安全厂商也倾向于不断扩充产品线,试图扩大市场规模。于是,数十家甚至上百家厂商参与到众多安防产品品类中,试图分一杯羹。例如防火墙产品,拥有公安部销售许可证的安全厂商有210家,WAF有81家,漏检有93家。作为一个新兴的产品类别,态势感知已经拥有64家厂商。 按理说,这么多学生,总有那么几个尖子生能拿到国际比赛的名额。实际情况不容乐观:迄今为止,除了华为防火墙产品获得Gartner网络防火墙魔力象限挑战者和NSS实验室推荐级别外,其他国产安全产品鲜有领先。 有人说,网络安全更注重服务而不是产品。这种观点经不起推敲,任何科技公司的产品都不重要。环顾世界500强企业,除了金融、零售、能源等服务型或资源型企业,还有哪家企业没有具有竞争力的全球领先产品?服务对于网络安全来说确实非常重要,但是如果不是以优质的产品为基础,其效果如何完全取决于个人的技术水平,这样的服务效果是不可预测的,不可复制的。试想,如果今天的医疗水平还依赖于扁鹊、华佗等神医,缺少现代精密仪器、医疗设备和药品,普通民众肯定无法享受到今天的医疗服务。 因此,对于网络安全行业来说,产品竞争力也是产业竞争力的基础。不能说有了具有领先竞争力的产品就万事俱备,但没有它,就不可能实现行业的成熟和健康,不可能让客户满意,安防企业不可能在国际上开疆拓土。 3。非凡之路没有捷径,精品必须用心打磨。 那么作为网络安全公司,如何才能做出优质的产品呢? 愿意投入主要是指愿意在研发上投入人力和金钱。是否投入行业顶尖人才进行关键技术攻关,是否有足够的资金支持长期的研发投入。 光有投入是不够的,还需要用工匠精神精心打磨。只有基于客户场景和需求不断改进,循序渐进,才有可能打造出高品质的产品。 如上文所述,国内网络安全公司倾向于扩充产品线以实现规模化。在这种情况下,单一产品的研发投入往往不够。目前,一些规模较大的厂商倾向于开发全产品线,用有限的研发投入支撑数十种甚至上百种安防产品的研发。花椒投资很难做出有竞争力的产品。 不同于撒胡椒粉的研发投入方式,它专注于一个或某个产品品类,华为就是这样。我们秉承华为在安全产品研发上的一贯作风。首先,研发投入的人员和资金规模在国内可以说首屈一指。同时开发的产品种类有限,主要集中在两类产品:HiSecEngine系列防火墙、IPS等安全网关设备;HiSecInsight安全态势感知系统等安全分析管理平台。华为致力于让自己的产品在竞争力上处于世界领先地位,并获得客户的认可。 每个企业都希望做大做强。这两类企业选择了两条不同的发展道路。前者希望先扩大规模,待规模大、资金充足后,再有选择地增加产品竞争力。后者试图首先加强产品的竞争力,希望通过具有竞争优势的产品获得更大的市场份额,从而扩大公司规模。 比较这两条路,我觉得后一条路基础更稳固,后劲更大,对整个网络安全行业的帮助更大。如果大家选择做全产品线,每个产品的每个厂商都会投入少量,会带来很多低水平的重复投入,也会导致厂商之间的恶性竞争。 然而,走专注之路的企业面临着额外的挑战,华为也不例外。以前我面对客户时,经常面临两个问题:1、你们的产品虽然不错,但是产品线不完整,无法提供完整的安全解决方案;2、客户更关心服务而不是产品。你专注于产品却不重视综合安全服务的大量投入,无法满足客户的期望。 这两年,我和几家走类似路线的安防公司的领导进行了探讨,发现这些公司也面临着同样的困境。虽然他们的单品竞争力更强,但很多行业的客户往往没有机会参与竞争。比如深圳的一家公司,多年来一直专注于终端安全,他们在金融行业做得很好。为了确认合作伙伴的产品竞争力和技术实力,我们还特地调查了这些客户是如何评价他们的产品的,发现客户总体评价很高。然而,这样的公司在政府行业几乎没有存在感。为什么?因为政府客户一般不会因为单个产品优秀而选择这个厂家。 四、精诚合作真生态,促进网络安全行业健康发展 那么,如何破局呢?让单品竞争力更强的厂商更好地生存,实现良币驱逐劣币?如果这款游戏能够违法,对于整个中国网络安全行业来说都是一件大好事,也必将让这个行业更加成熟健康。 要打破这种局面,我认为有必要建立一个真正的安全厂商和服务商真诚合作的生态。这种生态不能靠政府行政命令或社会责任来驱动,而必须通过市场经济的手段和生态伙伴之间利益共享的驱动力来实现。 理想情况下,会有人带头汇集在细分品类上具有较强竞争力的产品厂商。这些具有竞争力的产品系统地、有机地组合在一起,形成了完整的安全解决方案。因为这个联合解决方案的每个组件产品都具有竞争力,所以整个解决方案的竞争力也可以得到优化。同时,将一些有能力、了解客户业务的安全服务商引入这个生态系统,让他们基于这个有竞争力的最优联合解决方案为终端客户提供服务。那么这个服务的效果和效率一定是最优的。 基于这样的想法,我们在2018年成立了华为安全商业联盟,强调“商业”就是希望通过商业手段解决利益问题,让这个生态有长久的生命力。经过近两年的探索,这个联盟积累了一些成功的经验,也积累了一些失败的教训。在这个过程中,它也挑选了一批志同道合,真正适合这种合作模式的生态伙伴。基于这两年的探索,华为今年将把这个联盟从1.0版本升级到2.0版本。 华为安全商业联盟2.0版计划于今年8月8日正式发布,敬请关注。
