目前,網絡安全市場正在從(cóng)産品驅動向服務驅動轉變。在轉型期,作(zuò)爲傳統意義上(shàng)的企業客戶與安全廠(chǎng)商都會(huì)遇到(dào)一些(xiē)迷惑之處,如何适應網絡安全服務化的新模式,實現(xiàn)自(zì)身的安全需求與技術價值?現(xiàn)在,基于服務的安全能(néng)力構建還處于探索與磨合的階段,普遍缺少成熟的模型供參考應用(yòng)。如果試圖通過單一架構與模式來(lái)诠釋整個安全服務,往往會(huì)陷入以偏概全、刻舟求劍的窘況。鑒于此,在本文(wén)中我們提出一些(xiē)探索性的思考,以期達到(dào)管中窺豹和(hé)抛磚引玉的效果。
01
服務化轉型的底層邏輯
營銷界有一句名言,“用(yòng)戶需要的并不是一台鑽孔機,他(tā)需要的隻是牆上(shàng)有幾個孔”。這(zhè)句話(huà)闡述了(le)商業發展的底層邏輯,就是任何市場最終都是從(cóng)産品向滿足客戶的服務需求轉化。當前在網絡安全領域,大(dà)多數安全廠(chǎng)商之所以還在賣産品,主要是因爲目前的安全服務能(néng)力和(hé)商業模式都還不夠成熟,還難以完全通過服務的方式滿足客戶的最終需求。
具體來(lái)說,從(cóng)網絡安全産業本身來(lái)看(kàn),産品化的解決方案面臨以下(xià)挑戰:
1
網絡威脅形勢不斷進化,防禦思路也(yě)在不斷升級,單靠産品的堆砌已經不能(néng)解決網絡安全面臨的問題。縱觀網絡安全廠(chǎng)商發展路線,基本都從(cóng)單一優勢産品出發,通過技術複用(yòng),布局多條産品線,不斷加強産品間關聯度與聯動性,逐漸形成貫通事(shì)前預警、事(shì)中防禦與事(shì)後溯源分析的防禦生态。
2
安全産品本身隻提供基礎安全的功能(néng),真正發揮效用(yòng)需要高(gāo)水(shuǐ)平的網絡安全人員與相應完善的安全管理(lǐ)流程,而這(zhè)點往往是許多安全廠(chǎng)商所不具備的。與此同時(shí),安全廠(chǎng)商又因爲對(duì)客戶業務場景缺乏深入了(le)解而無法滿足用(yòng)戶的真正需求,最終導緻用(yòng)戶購買安全産品後無法發揮其最大(dà)效能(néng)。
3
随着業務的不斷發展及信息化技術的不斷更新,用(yòng)戶也(yě)不斷産生新的安全需求和(hé)潛在風(fēng)險,一次性的産品部署,已經無法滿足其日益增長的安全需求。
4
在安全投入方面,産品不斷地叠代換新,安全人員成本不斷增加,已形成重資産,對(duì)于大(dà)多數預算(suàn)不足的企業而言,已經不堪重負。
02
安全服務的價值與優勢
安全服務是指适應整個安全管理(lǐ)的需要,爲企業、政府提供全面或部分安全解決方案的服務。安全服務提供包含從(cóng)高(gāo)端的全面安全體系建設到(dào)細節的技術解決措施。通常情況下(xià),安全服務由安全咨詢、安全運營、安全集成三大(dà)部分構成。
從(cóng) Gartner和(hé) IDC 兩大(dà)機構的定義來(lái)看(kàn):IDC 認爲安全服務包括安全咨詢、安全運營(MSS)、安全集成、安全教育及培訓四個部分;而 Gartner 認爲安全服務主要由安全咨詢、安全外(wài)包(含MSS 及駐場服務)、安全集成、硬件維護與支持四部分構成。雖然兩家機構對(duì)安全服務的理(lǐ)解存在一定差異,但(dàn)安全咨詢、安全運營、安全集成都是其定義中最主要的服務組成,占據了(le)目前安全服務市場 90%以上(shàng)的份額。
而在安全咨詢、安全運營、安全集成之外(wài),安全教育和(hé)培訓服務也(yě)是安全服務的重要組成部分,除此之外(wài),網絡安全即服務(SECaaS,Security as a Service)作(zuò)爲新興的安全服務模式,正在成爲全球網絡安全市場的重要趨勢。
作(zuò)爲安全産品的升級,安全服務擺脫了(le)安全産品固有的局限,提供了(le)更高(gāo)品質的解決思路,其具體優勢如下(xià):
1
安全服務以滿足客戶的最終需求爲導向,從(cóng)根本上(shàng)彌補了(le)産品與客戶需求之間的差異。
2
因爲安全服務隻考慮結果不考慮過程,從(cóng)而規避了(le)技術升級、業務變化帶來(lái)的成本增加,這(zhè)些(xiē)将全部由服務提供商内部消化。
3
安全服務的采購,可以讓用(yòng)戶變買爲租,這(zhè)就變成了(le)輕資産,大(dà)大(dà)降低(dī)了(le)企業的安全開(kāi)銷。
03
安全服務化發展的挑戰
在國内安全市場中,安全服務作(zuò)爲新的解決方案,也(yě)存在一些(xiē)困難和(hé)挑戰,如果這(zhè)些(xiē)問題不解決,安全服務市場就可能(néng)會(huì)“發育不良”,導緻自(zì)身造血能(néng)力不足。具體包含如下(xià):
1
客戶認知(zhī):目前大(dà)部分客戶還是基于已有習慣,以買産品爲主,對(duì)于購買安全服務沒有形成習慣;另外(wài),在企業的采購要求中,也(yě)沒有對(duì)安全服務形成一個标準和(hé)評估的方法。
2
市場成熟度:大(dà)部分安全廠(chǎng)商現(xiàn)在都處于由産品提供商向服務提供商轉型的過程中,新的安全服務提供商也(yě)處于成長期,缺少成熟的安全服務提供商。同時(shí),市場中,也(yě)沒有統一的計(jì)費标準和(hé)計(jì)量方式以及成熟的安全服務框架,大(dà)部分安全服務提供商還沒有形成穩定有效的服務支撐體系。在監管層面,國家也(yě)未出台符合市場的安全服務評估标準。
3
品牌效應:從(cóng)市場角度來(lái)看(kàn),大(dà)家購買安全服務主要是通過對(duì)品牌的認知(zhī)和(hé)權威認證,如果缺少這(zhè)方面的積累,就會(huì)使用(yòng)戶在選擇購買服務時(shí),對(duì)提供商的服務質量和(hé)交付能(néng)力産生懷疑,不敢輕易嘗試購買非品牌或沒有權威認證的服務産品。
04
安全服務市場發展的關鍵因素
目前,業内缺少成熟的模型來(lái)幫助安全廠(chǎng)商打造更完善的安全服務能(néng)力體系,而照搬國外(wài)的安全服務模式有可能(néng)水(shuǐ)土不服。但(dàn)是萬變不離其宗,把握住主要環節的關鍵能(néng)力,就會(huì)離成功更進一步。從(cóng)網絡安全服務用(yòng)戶需求的角度來(lái)看(kàn),以下(xià)關鍵能(néng)力需要進一步完善和(hé)強化。
1
服務的支撐:要提供良好(hǎo)的安全服務,就需要強大(dà)的支撐能(néng)力,需要支撐平台化的開(kāi)發,需要交付管理(lǐ)工(gōng)具,以及對(duì)多客戶的交付能(néng)力等。目前國内在這(zhè)方面還存在一些(xiē)問題,沒有形成體系化的服務支撐能(néng)力。
2
服務的組織:服務的實施需要嚴格的組織流程管理(lǐ),要求人員技能(néng)水(shuǐ)平可控。安全服務從(cóng)産品到(dào)服務交付的轉化需要完整的管控方式,服務質量需要通過量化方式得到(dào)可靠保證。
3
服務的推廣:需要從(cóng)客戶角度出發,而不是從(cóng)産品自(zì)身出發,展示服務的收益,解決客戶的實際問題,滿足客戶的預期需求。
總之,當前安全服務市場的發展雖然面臨一些(xiē)困境,也(yě)有很(hěn)多能(néng)力需要提升和(hé)強化,但(dàn)是,從(cóng)總體來(lái)看(kàn),由安全産品向安全服務轉變的趨勢已逐漸明(míng)了(le),對(duì)安全廠(chǎng)商而言,誰先搶占了(le)這(zhè)個賽道(dào),就意味着誰将在安全領域的市場競争中搶占先機。