导言:揭穿神话
最近,关于「行业分析机构消亡」的观点在一些网络安全社区团体中颇受欢迎。
对于社区中的许多人来说,这种感觉是真实的,因为安全从业人员通过博客、视频、会议演讲、通讯和社交媒体等方式分享他们的见解和经验的现象正在兴起。作为在这一领域独立工作的人,这听起来很有道理。
但是,尽管我第一次听到这个论点时很兴奋,但这种兴奋很快就被疑问取代了。我觉得这个论点不完整,而且不止我一个人有这种感觉。
在社交媒体上有几篇关于这个话题的帖子,在这些帖子的评论区,你可以看到激烈的争论。对于分析师将先行离开的观点,人们的反应从强烈赞同到不相信、有点难以置信,甚至还有一些谩骂。
强烈的反应并不让我感到惊讶,让我感到惊讶的是,反应是如此的不同和对立。一些人认为分析机构已经过时,而另一些人则无法想象没有它们的工作环境。社交媒体可以很好地展现和突出任何特定话题的分歧,对网络安全行业分析机构未来的看法也不例外。
我怀疑事情的真相就在中间。我曾在大型老牌公司和初创企业的不同层级工作过,我知道这个故事还有更多内情。这促使我更多地思考行业分析机构、它们在网络安全领域扮演的角色,以及为什么对它们的看法会有如此大的差异。
是行业分析机构的影响力真的减弱了,还是我们只是看到了一直存在的鸿沟?接下来,我试图探讨分析机构的一些细微现实及其相关性。
网络安全:复杂的行业
网络安全是一个复杂的行业。正如我之前在《向网络安全行业人员销售的艺术》中所写的那样,我对网络安全从业人员经常面临的问题做了简要介绍。
网络安全领域面临着几个不同的挑战:
每天都有关于攻击、漏洞和失败的新闻:源源不断的安全事件让整个行业时刻保持警惕;
不堪重负的解决方案选择:在本已拥挤不堪的市场中,数以千计的潜在解决方案争相涌现;
心理营销策略:利用恐惧、不确定性和疑虑(FUD)的策略营造一种高风险的购买氛围;
高风险决策:市场营销与实际风险的结合导致了决策过程的压力;
从业人员持怀疑态度:市场营销的饱和导致受众不满意、持怀疑态度,有时甚至不情愿。
在网络安全行业,不同规模公司的从业人员都必须从众多噪音中筛选出信息。
从业人员要面对的对手和要解决的问题,与其他任何领域都不同。很难有一个领域能让你投入资金去解决一个问题,而这个问题只会随着时间的推移变得越来越严重,甚至需要更多的资金。以及这样一个事实:如果网络安全从业者工作得很好,那么没有人会察觉到。
因此,网络安全比其他领域的风险更高,并且有一种强烈的追求正确的需求。
这促使我进一步研究企业技术决策的动态,并想到了一个关键问题:
公司如何寻找、评估和购买网络安全技术?
多年来,公司获取技术和做出决策的方式发生了很大变化,这在很大程度上是受分析机构的影响。
这场对话的核心人物非Gartner等分析机构莫属。Gartner对这一购买动态的影响无论如何强调都不为过,让我们翻开书页,看看故事的起源。
分析师机构的黄金时代:回顾过去
Gartner的起源与崛起
Gideon Gartner于1979年创立了以自己名字命名的公司,在科技界掀起了一轮影响深远的涟漪。公司迅速成为IT研究和咨询服务的灯塔。
在过去40年中,Gartner的业务范围已扩展到100个国家,客户群包括73%的财富1000强企业和77%的全球500强企业。
它们的增长和行业影响力始终如一,从其报告的收入中就可见一斑:
2020: $4.1B
2021: $4.7B
2022: $5.5B
2023: $5.8B
Gartner商业模式解读
Gartner(以及所有分析机构)的业务模式核心是销售「confidence in decision-making决策信心」。这包括:
1.研究:关于各行业的报告,洞察趋势、挑战和机遇;
2.咨询:基于Gartner对与客户公司类似的企业的研究和专业知识,提供具体建议;
3.会议:新研究成果发布时,企业可以与同行和技术提供商建立联系;
4.客户之选:商业专业人士对软件和服务的评论与评级。
这种多管齐下的方法,使Gartner能够满足不同客户和行业的需求。
Gartner的意义
Gartner的影响力在于其研究方法、框架和可视化展示。Gartner拥有“Cool Vendors”名单、“魔力象限”和越来越多的缩写词。
在许多企业技术采购决策中,仅凭这类图表就足以启动和终止。在我曾经工作过的许多组织中,如果你所评估的技术不在Gartner的图表或报告中,那么你将无法通过审批并获得资金。
尽管大多数安全从业人员都知道,魔力象限或任何来自Gartner的新缩写研究报告都是“花钱买来的”,但企业仍然认为它们对了解行业有帮助。这是一个“已知的已知;我们知道的我们知道的事情”,无论如何,行业都要与之打交道。
Gartner还将自己定位为技术提供商与消费者之间的桥梁。
全球数以万计的人参加了他们的会议,这些会议提供了一个交流、学习和技术展示的平台,进一步巩固了他们作为行业领导者的地位。
Gartner大悖论
大公司喜欢Gartner
规模较大的公司面临着不同的挑战和要求,需要另外一整套技能。
许多大公司都依赖网络安全厂商为其网络安全计划战略提供信息并推动其发展。较大型的网络安全项目会根据网络安全框架(如NIST CSF)、监管要求(如PCI DSS)以及广泛均衡的深度防御安全能力来考虑其战略。
规模较大的公司非常重视同行比较。
XYZ银行的网络安全计划在成熟度、人数和支出方面与ABC银行的网络安全计划相比如何?同行公司在哪些方面的支出是我所没有的?我们的网络安全计划需要做些什么来缩小差距?
为了找到这些问题的答案,市场调研公司和行业组织花费了无数的时间和金钱。有时这是由CISO推动的,但更多时候是由管理层和董事会推动的。在跟上潮流的能力方面,为网络安全项目分配的预算比许多人意识到的要多。
一方面,这让大型公司增加了网络安全预算、工具和团队,使他们能够更深入地进入该行业,创建利基学科,如检测工程、紫队和恶意软件逆向工程等。
另一方面,正是这种覆盖面和范围使大公司能够如此深入,也使他们需要外部帮助。大公司的安全决策者没有多少时间来整理各种研究、白皮书和网络研讨会,在没有帮助的情况下辨别哪些是"好的"。就像"专家网络"在投资界的兴起一样,分析机构弥补了这一空白,为投资界提炼出了他们无法找到的真知灼见。
对于《财富》2000强企业来说,Gartner等分析机构的价值是巨大的。这些公司是复杂的机器,有很多人在做决策。选择技术厂商或采用新技术不是简单的数学计算,而是多变量微积分。
大公司充满了政治、运营和财务官僚主义的复杂性。在大公司的世界里,有关技术的决策可能涉及复杂的计算和风险评估。
分析师公司可以帮助一些公司建立联系,否则这些公司就会陷入困境。Gartner的客户只需提出请求,他们的代表就会立即着手寻找符合客户需求的其他客户或分析师。经分析师认可和支持的答案提供了一种认可印章,可帮助大型企业的安全领导者避开公司内部的繁文缛节,赢得青睐。
然而,尽管Gartner在业内取得了不可否认的成功,但人们对它们的看法却大相径庭。
有些人可能会认为这是一种年龄或代沟。一个人在职业生涯中的资历越深、地位越高,就越能发现Gartner等公司的价值,也就越依赖这些公司。
这就像我在职业生涯中听过100遍的一句老话:
从来没有人因为购买IBM而被解雇。
虽然它从未成为IBM的官方标语,但它却概括了在大公司从事技术工作的意义。几十年来,它创造了一种技术对冲和根深蒂固的思维模式。
Hacker News的这篇文章对此进行了很好的总结:
"从来没有人因为购买IBM而被解雇"这句话的意思是,选择一个未知的替代品对你个人来说是一种风险,而大部分收益都归公司所有。当你在一个知名品牌上花费过多时,公司会承受这些成本,他们甚至几乎不会注意到。只有出了问题,他们才会关心,然后他们就会想知道你为什么要选择一个不知名的品牌。
来源:https://news.ycombinator.com/item?id=16478301
IBM和类似的公司成了企业界的“安全之选”。安全的选择对于那些希望避免在一些后起之秀的未经验证的软件上冒风险的人来说是显而易见的。
在Gartner和类似公司的黄金时代,他们的话就是科技决策的福音,指引着CEO和CISO的双手。
Gartner为自己开辟了一片天地,但其中充斥着大公司、大公司员工以及迎合大公司的厂商。这些组织的领导层往往优先考虑维持现状,而不是拥抱创新。
分析机构成为安全选择的代理人
我不认为这是一个代际问题。我认为公司的规模和业务模式,决定了不同的世界。
说到分析机构及其认知价值,似乎有两种观点:
1.您在灵活的初创企业或小型公司工作,认为分析机构毫无用处;
2.您在一家规模更大、更成熟的公司工作,离不开分析机构。
如果您在一家灵活的初创公司或一家规模较小、更注重技术的公司工作,那么Gartner可能不适合您。规模较小、处于早期阶段的公司与规模较大、历史较悠久的公司相比,员工的工作方式必须有所不同。
在规模较小的公司,每一个部门都专注于销售和支持产品团队,而产品团队就是你所销售的产品的制造者。他们的目标是实现更多的销售额,达到收入和客户里程碑,向投资者筹集更多资金,并不断重复这一过程,直至上市或被收购。
小型公司的每个业务职能部门都会考虑到这一点,每个人都必须以更少的人、更少的工具和更少的预算资金开展业务。无论是购买一项技术、解决一个安全问题,还是申请一个合规认证,都是受客户和合作伙伴需求的驱动。
我认为这有几个原因:
1.成本过高,不符合我们的要求;
2.产品过于以厂商为中心。
Gartner的价值主张是为潜在的技术买家提供信息、联系和信心。Gartner和其他分析机构对成熟的网络安全项目有着深入的了解,这些项目拥有足够的人员和预算来利用技术解决久经考验的网络安全问题。
网络安全决策的未来会怎样?
网络安全领域不断变化,需要解决的新老问题层出不穷。网络安全市场的复杂性要求我们具备专业知识,而在过去的几年里,只有分析机构才能为广大技术人员提供专业知识。
具有讽刺意味的是,分析机构和网络安全厂商有时会相互提供复杂性,这让安全从业人员非常懊恼。但是,安全从业人员多年来一直在梳理这种复杂性,而且往往是在孤立无援的情况下进行的。他们要么不得不进行自己的第一手实验(从时间和资源的角度来看,这可能是昂贵和具有挑战性的),要么不得不依赖市场营销的说法(其中一些并不靠谱)。
在过去的三到五年里,通过有组织的和精心策划的努力,一种新的信息渠道变得更加容易获得。这种途径来自于同行网络的力量。
通道效应—圈内网络的兴起
有一个日益增长的信息渠道值得单独列出。安全领导者和从业人员都参与其中如今,越来越多的安全领导者依赖于私人网络、WhatsApp群组、Slack或Discord社区,通常都没有厂商。
在这里,越来越多的安全领导者喜欢获得有关市场的真实反馈,畅所欲言地谈论厂商,并就问题进行讨论。安全领导者通常需要的是解决问题的方法,而不仅仅是要购买的厂商或产品清单。他们希望了解解决问题的“方法”和“原因”,而不仅仅是所选厂商的“内容”。这些圈内网络日益强大和普遍。
引领未来:结论与建议
网络安全分析机构的真正价值不在于它们的排他性,而在于它们综合各种见解的能力。今天的网络安全从业人员拥有的选择、资源和意见远比10多年前的我们要多得多。这些资源中越来越多的是由从业人员驱动的,但分析师公司依然强大。
为了将所有这些结合起来,请对照分析机构提供的信息,仔细研究您的组织需求。这并不意味着Gartner和其他公司所提供的信息没有帮助;对于合适的公司,在合适的时间,针对合适的技术领域,这些信息确实很有价值。
方法不是非此即彼的。大多数安全专业人员都会利用上述列出的所有选项,你也应该如此。要有鉴别力,并根据你的个性化需求和架构来定制你的情报和分析方法。
因需而行。擦亮眼睛,量体裁衣,明智选择。实践出真知。
原文链接:
https://www.returnonsecurity.com/p/the-death-of-the-analyst-firm
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。