目前,网络安全市场正从产品驱动向服务驱动转变。在转型期,无论是企业客户还是传统意义上的安全厂商都会遇到一些困惑。他们如何适应新的网络安全服务模式,实现自身的安全需求和技术价值?目前,基于服务的安全能力建设仍处于探索和磨合阶段,普遍缺乏成熟的模式可供借鉴和应用。如果试图通过单一的结构和模式来解读整个安全服务,往往会陷入以偏概全、刻舟求剑的困境。鉴于此,本文提出了一些探索性的思路,以期达到窥一斑而见一斑而得一玉的效果。
01
服务化转型的底层逻辑
营销界有句名言,“用户需要的不是钻,他需要的只是墙上的几个洞”。这句话解释了商业发展的底层逻辑,即任何市场最终都会从产品向满足客户的服务需求转型。目前在网络安全领域,大部分安全厂商还在销售产品,主要是目前的安全服务能力和商业模式还不够成熟,还难以通过服务完全满足客户的最终需求。
具体来说,从网络安全行业本身来看,产品化的解决方案面临以下挑战:
一个
网络的威胁态势在不断演变,防御思路也在不断升级。网络安全所面临的问题已经不能单靠产品的堆叠来解决。纵观网络安全厂商的发展路线,基本都是从单一优势产品出发,通过技术复用布局多条产品线,不断加强产品间的关联和联动,逐步形成贯穿事前预警、事中防御、事后溯源分析的防御生态。
2
安全产品本身只提供基本的安全功能,真正的有效性需要高水平的网络安全人员和相应完善的安全管理流程,而这些往往是很多安全厂商所不具备的。同时,安全厂商由于缺乏对客户业务场景的深入了解,无法满足用户的真实需求,最终导致用户购买安全产品后无法发挥最大效能。
三
随着业务的不断发展和信息技术的不断更新,用户不断产生新的安全需求和潜在风险。一次性产品部署不再能满足他们日益增长的安全需求。
四
在安全投入上,产品不断迭代更新,安全人员成本不断增加,已经成为一项沉重的资产,这对于大部分预算不足的企业来说已经不堪重负。
02
安全服务的价值与优势
安全是指满足整个安全管理需求,为企业和政府提供全部或部分安全解决方案的服务。安防服务提供从高端综合安防系统建设到细节的技术解决方案。通常,安全服务由三部分组成:安全咨询、安全运营和安全集成。
根据Gartner和IDC的定义,IDC认为安全服务包括安全咨询、安全运营(MSS)、安全集成、安全教育和培训。Gartner认为,安全服务主要由安全咨询、安全外包(包括MSS和常驻服务)、安全集成、硬件维护和支持四部分组成。虽然两个机构对安全服务的理解存在一定差异,但安全咨询、安全运营、安全集成是其定义中最重要的服务组成部分,占当前安全服务市场的90%以上。
除了安全咨询、安全运营和安全整合,安全教育和培训服务也是安全服务的重要组成部分。此外,安全即服务(SECaaS)作为一种新的安全服务模式,正在成为全球网络安全市场的重要趋势。
安全服务作为安全产品的升级,摆脱了安全产品固有的局限性,提供了更高质量的解决方案。其具体优点如下:
一个
安全服务以满足客户的最终需求为导向,从根本上
上弥补了产品与客户需求之间的差异。2
因为安全服务只考虑结果不考虑过程,从而规避了技术升级、业务变化带来的成本增加,这些将全部由服务提供商内部消化。
3
安全服务的采购,可以让用户变买为租,这就变成了轻资产,大大降低了企业的安全开销。
03
安全服务化发展的挑战
在国内安全市场中,安全服务作为新的解决方案,也存在一些困难和挑战,如果这些问题不解决,安全服务市场就可能会“发育不良”,导致自身造血能力不足。具体包含如下:
1
客户认知:目前大部分客户还是基于已有习惯,以买产品为主,对于购买安全服务没有形成习惯;另外,在企业的采购要求中,也没有对安全服务形成一个标准和评估的方法。
2
市场成熟度:大部分安全厂商现在都处于由产品提供商向服务提供商转型的过程中,新的安全服务提供商也处于成长期,缺少成熟的安全服务提供商。同时,市场中,也没有统一的计费标准和计量方式以及成熟的安全服务框架,大部分安全服务提供商还没有形成稳定有效的服务支撑体系。在监管层面,国家也未出台符合市场的安全服务评估标准。
3
品牌效应:从市场角度来看,大家购买安全服务主要是通过对品牌的认知和权威认证,如果缺少这方面的积累,就会使用户在选择购买服务时,对提供商的服务质量和交付能力产生怀疑,不敢轻易尝试购买非品牌或没有权威认证的服务产品。
04
安全服务市场发展的关键因素
目前,业内缺少成熟的模型来帮助安全厂商打造更完善的安全服务能力体系,而照搬国外的安全服务模式有可能水土不服。但是万变不离其宗,把握住主要环节的关键能力,就会离成功更进一步。从网络安全服务用户需求的角度来看,以下关键能力需要进一步完善和强化。
1
服务的支撑:要提供良好的安全服务,就需要强大的支撑能力,需要支撑平台化的开发,需要交付管理工具,以及对多客户的交付能力等。目前国内在这方面还存在一些问题,没有形成体系化的服务支撑能力。
2
服务的组织:服务的实施需要严格的组织流程管理,要求人员技能水平可控。安全服务从产品到服务交付的转化需要完整的管控方式,服务质量需要通过量化方式得到可靠保证。
3
服务的推广:需要从客户角度出发,而不是从产品自身出发,展示服务的收益,解决客户的实际问题,满足客户的预期需求。
总之,当前安全服务市场的发展虽然面临一些困境,也有很多能力需要提升和强化,但是,从总体来看,由安全产品向安全服务转变的趋势已逐渐明了,对安全厂商而言,谁先抢占了这个赛道,就意味着谁将在安全领域的市场竞争中抢占先机。
作者简介
沈飙,谷安(安全牛)研究院负责人,长期从事信息安全相关工作,有超过20年的网络安全项目集成与实施经验,曾经主导国内著名银行数据大集中项目的规划和建设,参与并主导国内大型企业网络安全建设规范的制定及实施。对当今主流网络安全技术,以及网络安全规划服务、风险评估服务、安全策略咨询服务有较深入研究。
评论留言