关于安全产品“杀”低价

最近看到朋友圈里对安全产品“杀”低价这个事情讨论的很多，对这个事情我最早的感知大概是三年前，然后越来越多，甚至我们还碰到低价都抢不过，直接送的，最后导致客户自己都心里发怵，还是花点钱心里比较踏实。内部对这个事情有过较多的讨论，其实逐渐已经习以为常了，简单输出一下观点，也一样因为身在其中，讲不了太多

一、“杀”低价行不行？可以

这个行为说到底，是没办法杜绝的，不然去把各个公司采购“最低价中标”的基本政策改一改？这是要求、是基础，况且如果真的不是这种基本政策，那可能两极分化更严重，大的永远大、小的永远小，会发现多了一百种不选你的理由。

在创业公司起步阶段，产品有竞争力，但没案例、没资质，低价几乎是唯一的办法，没有那么多的“单一来源”，虽然会影响到用户的预算，但是后续服务跟上，效果交付的好，一般也能够理解，也可以产生后续进一步的合作。

抛开厂家来说，说到底用户讨厌的是什么？是投了个低价，丢过来个产品或者工具，因为本身亏本着嘛，后续服务和运营也跟不上，没人投入，导致这个事情做得一地鸡毛，既影响第二年的预算，又影响今年的绩效。

换个视角，抛开用户来说，厂商讨厌的是什么？一种情况是你产品水平一坨shi，投个低价把友商辛辛苦苦运作“多久多久”的项目抢走了。另一种情况是你一个成熟公司，不缺案例了，还不断投低价恶心人，服务运营效果又跟不上，最后就是三方都输了，用户想做的做不好，你没赚到钱，友商项目被抢了，说实话我觉得一个事情能做到各方都输也挺不容易的。

总结一下，可以投低价，对用户来说，你服务得跟上；对友商和自己来说，适可而止。但是另外说，如果你个个项目低价，个个交付效果好，自己还能挣钱，那不是你的问题，是你已经找到方法甩开市面上友商一大截了，不用在乎他们的看法。

二、可以“杀”，但是为什么这么多？

其实我们想讨论的不是能不能“杀”的问题，而是为什么就最近一两年这么频繁的问题，去讲这中间的思考过程可能就太繁杂了，直接讲结论，其实很简单，就是“钱多得慌，可以烧”。

当然不是说现在市场上钱多，目前能投出低价的厂家，基本上是17-20年那一波创业起来的安全厂家，并且持续能融到资的，那个时候为什么安全行业的钱突然多起来了？两个事儿，网络安全法是17年6月出来的，“没有网络安全就没有国家安全”是2018年4月说的，国家对安全的政策倾斜是从17年开始，并持续进行的，那个时候市面上还是有钱的，资本无限看好安全行业未来的发展，如果不是疫情，这种情况可能到现在依然还会继续，安全行业依然是投资的重点对象。

既然是对行业看好，那投的肯定是有不准的地方，这个没办法的，你指望投资人火眼金睛去分辨出真正好的公司，有点难说实话。吹牛逼谁不会，再加上拿出通过低价得到的案例，一个个都是名头响亮的客户，确实谁看谁迷糊。有几个人会去真正用一下产品？有几个能分辨同一个功能做得好和做得坏是什么区别？有几个能区分出案例落地情况的？但是资方对营收和利润是敏感和专业的呀，越到后期越看中，压力就来创业公司这边了，到这个时候其实就形成了一个负面的循环：

A公司产品一般、手里有钱，产品不好卖营收难做，老板心里急压力大，市场动作变形投出几个低价，低价又挣不到钱，手里的钱也是有限的，那么低价冲下来的项目服务就跟不上，营收不好下一轮融资怎么办呢？只能继续投低价再搞几个名头响亮的客户

回过来我们看其中的原因，还是产品能力的差异化竞争力没做出来，导致客户没有一定选择这家公司的理由，销售网又比不过大厂，最终落入到低价陷阱里。

三、关于安全行业发展的思考

最后，我想讨论当下的行业状态，今年三季度各个安全公司的财报，上市前10的安全公司营收很丰满，利润全部为负，同时21年整个行业上市的安全公司，利润加在一起是-5亿，跟做慈善一样，并且这些年都是持续做慈善。

这一方面说明安全行业钱确实多，能烧；另一方面说明当下的环境，做安全不赚钱；其中的原因，我个人的观点是：目前安全行业确实得到很大的发展，但不是高质量发展

其实这个问题跟前面我们讨论的“杀”低价有一定的关系，同时跟很多其他现象都有关系，并且很可能是其根本原因（不确定，没思考完整），我列举几个现象

1. 我们上面提到创业公司喜欢投低价，但是其实大厂更卷，传统安全产品已经做到10w，甚至5w以下，都是非常常见的情况，并且即使是这样依然经常被抢

2. 我们在国内很难看到某些专一方向的安全厂商，基本都是发展起来后变成综合性安全厂商，几十上百个产品，某些单一方向做的很好，产品有竞争力的安全厂商，前期很顺畅，后期大厂小厂进来后，卷起来导致单价降低，利润降低，估值会非常成问题，但是在国外我们可以看到单一方向的厂家能活的很好，最后还经常被大厂收购

3. 我们经常能看到躺在机房吃灰，或者一年用一次的安全设备

我们再回过头来看，小公司杀低价，大公司传统产品本来就便宜，那自然安全行业就不挣钱了，并且单一产品即使做出竞争力，也会陷入到劣币驱逐良币的情况中，单价利润变低，逼得不得不转型依靠更多的产品线来制造更多的营收，这是现象。

我屁股坐在安全厂商，所以以下观点可能会有偏颇，其实这个问题在22年初我思考的蛮久，最终我认为是：大部分企业对安全的质量不够重视。强调一点我不是指全部企业，我也经常见对安全非常专业的和有深度思想的用户。对安全质量不够重视的原因，我认为有三个

1. 高质量的安全难以快速见效被证明，安全本身难以正向证明，一句行业俗话：出事儿了要安全干嘛，没出事儿要安全干嘛？这是安全的特性决定的，难以改变

2. 低质量的安全也难以快速被证明，抛开合规纯从攻防的角度来说，低质量的安全造成的后果是被APT，搞APT的这帮人谁不是闷声发大财，恨不得你永远发现不了，无法快速证明你被APT了，但是有意思的是这些年出了一个加快低质量安全被证明的东西，就是勒索病毒，蠕虫式传播，加密影响业务，经济损失极大，可能还会被监管通报，其实勒索病毒从某种程度上很大的促进了安全行业发展，我认识一个客户就关心三件事：第一合规，第二红蓝，第二别被勒索。

3. 企业对“深度”安全能力不敏感，对安全产品的筛选能力有限，这个比较敏感，我说明两个点，第一是企业关心的更多是安全产品的功能，所谓“深度”，我指的是误报漏报、更新速度等安全能力的指标，评测的较少。第二是这个情况在加速好转，越来越多的乙方、互联网厂家去大甲方做安全，再加上行业发展，企业对安全的认知是飞速增强

最后，其实从我的角度来说，多思考是不希望在这条路上走着走着某天脚步不坚定了，身子歪了，看清真像但依然热爱这个行业，非高质量发展也只是一时只是当下，最终也一定是有竞争力的产品和厂商跑出来，更何况当下的这种情况，可能厂商责任还更大，那些一坨shi的产品也是当下情况的原罪，任重而道远，共勉

声明：本文来自安全产品人的赛博空间，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。