我常探讨安全行业与其他行业的独特差异。今日文章延续这一主题:我将剖析网络安全采购的真正驱动力、安全领域如何成为服务优先的空间,以及安全行业的护城河与其他行业相比呈现何种不同形态。本周我将尝试新形式——搁置深度解析,转而就三个独立却紧密关联的议题发表简短见解。
网络安全需求的真正驱动因素只有两个
企业为何购买安全服务?传统观点认为是为了保护所谓的CIA三要素——数据的机密性、完整性和可用性。这种观点过于简单化,需要更深入的探讨。
无论哪个行业,企业都关注一件事:保护其提升股东价值的能力。具体而言,这意味着确保公司能够持续正常运营从而创造收入,并确保公司不会遭受意外的资金损失。
确保持续运营包含两个方面:
业务连续性,即确保创造价值的资产(人员、设备等)正常运转。这正是勒索软件危害如此之大的原因——当企业停止生产其产品时,便意味着收入中断。
强制性合规要求(如《萨班斯法案》等)已满足,建立买家信任所需的认证(如SOC2等)已获得。这两类合规的区别很简单:前者使公司得以存在,后者使公司得以销售。
避免金钱损失同样具有两个方面:
防止监管机构对企业实施重大处罚。
避免需要支付勒索软件赎金、品牌修复等费用。
安全漏洞对企业创造股东价值的影响越小,其在业务优先级列表中的排名就越低。例如,数据丢失本身并非重大问题,除非它导致监管机构采取行动,可能阻碍企业运营,或以具体方式影响收入生成。倘若可口可乐丢失其配方,那将引发重大危机。但若仅是员工个人信息泄露……遗憾的是影响微乎其微。多数数据丢失事件至多会对股价造成短期负面冲击,三个月后便无人记得此事。
某些安全采购由合规要求驱动,第三方风险管理和数据防泄漏便是典型例证。这类市场的规模虽可观,却仅限于需遵守特定监管制度的企业。受影响企业越多,市场规模越大。另一方面,部分安全采购源于企业保护营收、规避损失的业务需求,勒索软件防护与响应即属此类。安全领域的圣杯在于合规需求与业务需求双重驱动的市场。这类市场规模最为庞大——有人因实际需求采购工具,有人则为满足合规要求而购买相同工具。
安全领域价值交付的最后一公里是以服务为中心的
当你仔细观察那些以纯粹安全服务取得成功的公司时,很快就会发现它们往往是以服务为先的企业。不仅是Arctic Wolf和Expel这类服务提供商,就连那些通常被视为产品型企业也高度依赖服务来实现市场推广和成果交付。例如面向企业客户的CrowdStrike、专注运营技术市场的Dragos,以及服务中小企业的Huntress,其业务根基均建立在服务之上。尽管各公司服务收入占比不同,但亲力亲为、与客户紧密协作的模式无疑是它们成功的关键所在。
虽然并非所有安全公司都如此,但事实是,我们常常忽略交付/服务环节,因为它被巧妙地隐藏起来。即便产品公司本身选择不关注交付和/或持续服务环节,仍需有人协助客户实现所购产品的运营化。这类工作通常外包给渠道合作伙伴(如MSSP、经销商、集成商等),其合作模式会激励他们代理和/或转售特定供应商的产品,并在此基础上提供持续性服务。无论如何划分,这类工作通常都离不开人力参与。
这种现象很容易解释:大多数客户根本不知道如何保护自己。他们内部缺乏人才来理解自身的安全需求,更不用说解决这些需求了。若客户无法有效运用工具,单纯销售工具便毫无价值。实践支持(即服务与交付)是安全领域最关键的环节,且这类支持目前仍主要依靠人工操作(未来相当长一段时间内亦将如此)。
安全护城河具有相当独特的形态
纯粹的安全公司没有技术护城河,但它们用其他东西弥补了这一不足。
大多数网络安全公司缺乏技术护城河。原因很简单:安全只是底层基础设施之上的一层防护,因此很容易被替换。
技术的消费化趋势导致买家追求快速实现价值。如今,首席信息安全官(CISO)已不再愿意为部署安全产品而安装代理程序或设置网关;除非产品能在几次简单点击后立即展现价值,否则基本不会被采用。我目睹过无数案例,也听闻更多关于安全负责人为追求易用性和更低的总体拥有成本(TCO),而放弃更全面防护的实例。
追求短期价值对初创企业而言存在取舍。一方面,客户越快上手使用工具,产品就越有可能赢得概念验证(POC);另一方面,更快的上手时间通常也意味着当更成熟或更便宜的产品出现时,用户更容易在一年或两年内更换产品。
与构建技术护城河不同,纯粹的安全公司主要做两件事:
开发分销渠道
在市场上树立他们是买家安全选择的认知
这两项举措若能成功实施,将共同为企业构筑持久的竞争优势。安全领域始终渴求银弹解决方案,因此在Gartner魔力象限或Forrester Wave报告中保持领先地位,将形成飞轮效应——成功企业将愈发成功。
专注于连接性的公司将转换成本视为其主要护城河
首先必须明确指出,Okta和Zscaler等公司并非单纯的安全供应商。它们的核心价值主张并非提供安全防护,而是确保用户能够访问工作所需的资源。虽然实现这一目标需要安全保障,且可能整合各类安全功能,但这并不能使它们成为纯粹的安全供应商。若真如此,那么云服务商、API供应商等企业都将被归类为安全公司。实际上,对这些企业而言,安全只是其价值体系的一部分,而非其唯一能提供的价值。
这种区别至关重要,因为专注于连接性的公司与安全公司相比,面临着不同类型的风险,同时也享有不同类型的收益:
身份提供商(如Okta)对员工获取工作所需资源至关重要。Okta一旦中断服务,可能导致整个公司瘫痪。其风险极高,因此客户选择身份提供商时所需的信任门槛也相应提高。
网络代理和防火墙供应商(如Zscaler和Palo Alto)决定了谁能在何种条件下访问哪些资源。Zscaler的故障可能导致整个公司瘫痪,因此对其正常运行时间和可用性的期望值极高。
简而言之,如果数据防泄露(DLP)工具出现一小时的停机,可能会遗漏在此期间发生的某些不当行为(这些行为可能存在也可能不存在)。这固然不理想,但远比整个公司因系统瘫痪整整一小时而损失数百万美元要好得多。
这种更高的期望值为建立强大的护城河提供了契机。其核心在于极高的转换成本。企业或许会考虑更换数据防泄漏系统、员工安全意识培训平台或云安全态势管理工具,但任何理智的IT负责人都不可能对CEO说:"我认为我们应该撤掉连接全体员工与工作系统的基础设施,因为新供应商价格便宜20%,且具备Zscaler不具备的功能。"取代连接供应商的门槛远高于安全供应商。即便Okta多次遭遇入侵,也未必有企业敢于更换(即便存在可行替代方案——而我认为目前尚无)。
结语
我几乎每周都在纠结:我们的行业究竟独一无二,还是和其他行业大同小异,只是有些独特之处。
本周我再次审视了我们行业的独特性。不难发现,安全领域的发展逻辑与多数行业截然不同:客户采购决策源于对营收和合规风险的切实担忧;成功供应商高度依赖服务或合作伙伴来实现客户无法独立达成的目标;而护城河的构建不仅基于技术,更建立在信任、分销网络和不可替代性之上。综合考量这些因素,不难发现我们的市场之所以呈现当前形态,背后存在着诸多深层原因。要在网络安全领域取胜,必须制定与科技界其他领域截然不同的战略蓝图。在我看来,至今仍没有比那篇关于"银弹"市场的文章更能精准诠释这个市场的了。
原文链接:
https://ventureinsecurity.net/p/three-critical-but-rarely-discussed
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
