ISC历史上不乏对网络安全产业的关注,当然今年也不例外,主论坛的互联网安全大会产业峰会,分论坛的网络安全产业资本高峰论坛、产业担当与发展高峰论坛等等,都在围绕产业变革进行讨论,给我们一个更高的视角观察网络安全产业规模和结构的变化。这里有些人可能会问,为什么有必要观察产业变化,在我看来不单单是资本投资的诉求,厂商市场定位的需求,更重要的是,产业的变化也在从另一个角度说明用户业务需求的变化,市场业务重心的变化、企业安全管理成熟度的变化。从更大范围了解市场的成长过程。
我们先来看看产业规模,目前市场机构给出的中国网络安全市场规模大约在450亿,这个数字在第二天上午产业峰会时也有专家提到,当然这个不包含其衍生产业,相比10年前的产业发展已经有很的大变化,但由于网路安全事件造成的损失可能远远超过这个数值,粗略统计的永恒之蓝勒索蠕虫在国内导致的损失可能过1000亿RMB;那全球市场呢,Rain Capital的首席分析师,拿出的数据是130 Billion,换算成RMB大致在9000亿左右的规模,2014-2017年的CAGR(复合年均增长率)在33%左右。并根据这几年数据泄漏趋势判断,预估2021年网络犯罪造成的损失可能超过6万亿美金,意味着产业发展还是有极大空间,无论考虑需求现状和国内外差异。
但为什么我们在今天数字化转型和网络安全快速发展的情况下还是有如此大的差距。产业规模到底由什么决定,360的吴总在产业峰会上抛出很好的观点,这里一方面由政府和企业的规划导向决定,一方面由产业的同质化、产品服务真正意义解决问题的能力决定。在企业业务规划中将网络安全置于什么位置,是否真正意义上融入到规划、建设、运维的过程中决定了业务中安全的价值与投入;另一方面,目前很多厂商抱怨行业内恶意竞争,成交价格低。但背后的实际原因是产品的同质化、业务关联性不高、解决问题能力不强所导致。当然还有的重要原因市场的准入门槛过低。用户在进行产品服务选择时无法依赖可信的第三方机构,我们在产业结构里面也缺少这样中立、可信且由市场化形成的组织。
说到产业的结构特点,这里想讲的更多是网络安全的初创公司,因为他们代表了这个行业活力,我们都知道安全产业本身就是个分散市场,由于市场覆盖面很大,行业虽然会有巨头,但不太可能形成真正意义的寡头,所以给很多初创公司带来机遇,但这些公司的发展境遇在国内外却不太一样,美国市场每年会有相对稳定数量的网络安全初创公司IPO,之前是Qualys、Imperva、Cyberark等,近期及未来有Okta、Zscaler、Tenable等,这些公司在二级市场都有不错的表现,虽然他们只在单一领域发力,但在资本市场的助力下都可以取得不错的发展。反观中国的情况有些不同,很多初创公司的业务的发展常常会面临瓶颈,虽然目前开放了新三板市场(目前有38家安全公司在新三板,估值最高的在12亿RMB左右),如果不尝试在多个业务领域扩张,想继续壮大却变得十分困难。
这类公司的特点是规模较小、单一领域创新能力较强,业务特点非常聚焦,需求处在大公司忽视的夹缝市场,在国外市场分析机构TBR的报告中被称为Niche(来源于法语,后来被引来形容大市场中的缝隙市场)企业。安全行业的固有特点就是存在大量夹缝空间,国外资本市场这几年IPO的公司都属于这个性质,但国内这些公司虽可能找到目标细分市场,但做大不易,国内资本也很容易看到这些公司的市场瓶颈,以至于发展到某一阶段很难继续上升。
总结原因一部分是这些企业的创新尝试高估了市场实际、为了追寻新技术方向、热点而忽视了真正意义上的客户需求,创新没有真正意义上解决问题,因新技术而创新,另一个部分原因是,很多企业安全成熟度尚未产生更细分业务需求,由于大量基础安全工作还没有做,或是没做好。对企业自身的安全需求理解并不充分,或无法用管理层的语言描述网络安全与业务直接的联系。所以这里一方面有Niche安全企业的创新发展原因、一方面有国内资本市场的原因,但还有更多的是市场成熟度的限制。
最后来谈谈我个人对产业发展方向的看法,大家都知道目前国内市场更多是由G端(政府)牵引B端的(商业)市场,与国外相对独立的G端与B端市场有较大的区别,国内政府推动产业在发展布局中起到很多作用,包括政府部门、监管机构、大量央企国企占据着市场主要需求来源,他们另一方面还影响推动着安全厂商的业务变化。例如这两年大数据、AI等名词的频频出现,导致多数公司都会讲自己通过AI解决安全问题,但实际上多数场景都是传统的数据计算,并不是人工智能。产业快速发展时产生一定的泡沫或追捧新技术也是正常的。但如果有更多的务实、问题导向的市场引导可以让产业发展更健康,改变行业中的一些具体行为,将一个多由合规主导的市场引导向风险问题解决主导的市场。
另一方面安全厂商也在发生着变化,从单一的概念包装到问题场景导向,从几家同质化安全公司竞争到市场上初创公司遍地开花,虽然很多新的业务模式不断翻炒,但也在产生积极变化。例如,这几年网络攻防竞赛发展同质化明显,代人参加比赛的情况也越来越多,今年在ISC组织的网鼎杯网络安全攻防竞赛,采用攻防同时对抗的方式,组织了目前规模最大竞赛队伍,从初赛7000多个队伍到复赛200个队伍,复赛也开始了严格身份审查确认,也为类似的活动做出了表率。
从资本市场来看,虽然资本市场成熟度相比美国市场还有差距,但还有一些专门以网络安全市场为投资目标的资本不断活跃,例如国内的苹果资本,投资了一批优秀的网络安全创业企业,如长亭科技、指掌易、翰思、全知等等,资本的介入会让企业成长速度加快,也会促进产业对创新的鼓励。
而更加重要的是用户在安全管理运营上的不断成熟,对于大部分企业安全工作目前还在运营管理的初期阶段,目标是实现安全控制措施的覆盖度、更新率、及时率、安装率等等。这些工作不一定是新技术,可能是已有技术解决新问题,也算创新。引用这次大会一个嘉宾的发言首先要“Do the basic well”,基本的东西也有创新的解决思路,例如在资产管理和动态跟踪上,这两年出现了很多新的手段。这些工作是安全事件管理、威胁调查追溯、合规风险管理的前提。对于那些安全运营管理成熟度已经比较高的用户,借用Gartner风险与安全管理项目研究主管在ISC会议上的建议,实现这几点可以在已有的安全体系下极大的解决新威胁。包括1.风险驱动的漏洞管理(CARTA);2.特权账号管理(PAM);3.反钓鱼项目;4.服务器负载的应用控制(CWPP);5.开发过程中的自动化安全测试(DevSecOps),当然还本次大会核心议题之一,建立零信任的身份与访问自适应安全体系。
当下传统产业升级转型声音不绝于耳,网络安全行业在规模扩大的同时也需自身的调整优化,多方的参与与努力是产业变化的核心,包括监管机构、政府、资本方、厂商和用户。规模不完全是衡量产业健康的唯一标准,结构、活力、更多单一业务场景细分市场的创新与发展也是重要的因素,换句话说安全产业发展的过程也是安全业务不断聚焦的过程。企业安全需求越来愈成熟,厂商安全产品技术服务更加专注问题解决。行业巨头更多担当,更加开放,抱团对抗网络犯罪。今天的ISC大会创造了这样一个多方共同对话的平台,这样的平台在分散的安全市场承担着重要的作用,也寄希望ISC能更好的发展下去,带动产业在规模扩大的同时不断聚焦。
(本文作者:360企业安全技术专家 林晓明)
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。