一、富人买很多,普通人买不起也用不上的奢侈品

女人的包,男人的表,普通人拥有一款奢侈品,能够给自己带来的心理满足感是强烈的,作为奖励自己辛勤工作的礼物或者庆祝特殊时刻的方式,它承载着个人的情感寄托和美好记忆。奢侈品的诱惑在于它们提供的不仅仅是实物产品本身,还包括了背后的品牌故事、情感连接、生活方式的体现以及身份地位的确认等多种附加价值。

Wait..., hold on,咱们可不是来推销奢侈品的,我们说说奢侈品的缺点吧,总结起来,奢侈品有几个标准的缺陷:

1、面向少数群体小圈子文化,通过品牌故事和其它虚构的 IP 形象来彰显顾客至少某一方面的独特品位。

2、售价昂贵:锚定的客户就是有钱,很有钱的那种。通常一个名牌包的女主人,一定不止一个包;名表,豪车的主人,也不止一支表,一辆车。

3、养护成本高:漂亮的衣服不能水洗,靓颜的包不能晒太阳,豪车不能掉块漆。

4、实用性弱:一件衣服一个兜都没有,一个包小到连钥匙串都装不进去,跑车都怕减速带。

奢侈产品的现实情况就是,富人买很多,普通人买不起也用不上。

二、数据安全也是一个奢侈品

纵使数据安全产品已经琳琅满目,诸如防火墙(Firewall)、入侵检测系统/入侵防御系统(IDS/IPS)、单点登录(Single Sign-On, SSO)、多因素认证(Multi-Factor Authentication, MFA)、全磁盘加密(Full Disk Encryption, FDE)、密钥管理、数据库审计、数据脱敏、DLP、数字水印、上网行为管理、数据分类分级、用户行为识别(UEBA)、沙箱等等,但就真实的市场采用现状来看,这些安全产品只向大企业集中,如下图所揭示的那样。

这里的企业大小,以人员规模进行简单划分,纵坐标代表的是安全产品的采购成本和实施运维成本,第一象限代表的是民营企业市场,第四象限代表的是政企金融市场。每个象限还有条代表企业在不同规模阶段的安全需求线路。这张图融合了很多维度信息在里面,总结性很强。

政府金融市场,安全驱动力图中揭示得很清晰,就两个字,合规,法律法规要求。合规驱动的市场逻辑也很简单,管理条例写了什么就做什么,最后的局面通常是市面上有多少安全产品,就用多少。

民营企业市场,对安全产品的采用,也非常清晰,即使是在有 1,000 员工规模的阶段,企业用上的也就一个 VPN,或者现在换了个名字叫零信任也罢。在这之前,几乎不采购任何数据安全类工具。

三、1000 人规模的企业,没有数据安全诉求吗?

月薪 5,000 的人,不喜欢用 iPhone 吗?

刚毕业的小姑娘,不喜欢 8,000 块一个,性价比极高的 Gucci 包包吗?

真实的情况是,我们经常会接到这样的企业诉求:

1、一个电商小团队,总共 10 个人,在各个电商网站上,运营几十个店铺,想把电商平台账号都管理起来,能够自动登录,也要防止被员工滥用和泄露。

2、一个打印店老板,雇佣了 2 个员工,想要在电脑屏幕上加上水印,显得也正规一点。

3、一个销售团队,不希望待离职人员,批量把客户信息从 CRM 系统里导出带走。

当我们带着这些无比具象的诉求,去各大“网络安全行业全景图”里去挑方案和产品的时候,才发现,一个能用的都没有。小规模企业有数据安全诉求,但是并没有任何安全厂商去满足,为什么?

四、没有开箱即用的产品,安全厂商做不了小企业的生意

以这个客户为例:一个打印店老板,雇佣了 2 个员工,想要在电脑屏幕上加上水印,显得也正规一点。

仅仅在功能上,有没有产品具备这样的能力呢?当然有,一般的桌面管家、DLP 都有这个基础功能。假设我是一家传统终端安全厂商,要做这样的客户,那么双方的成本分布如何:

事项安全厂商成本客户成本
获客线索

500

0

差旅费用

1,000

0
技术支持

500

0

服务器

0

4,000

产品收费

1,000

由于传统安全产品的技术和产品形态局限,客户服务非常依赖售前方案介绍和技术支持人员的部署和调试,这部分消耗的人力和差旅成本是刚性的。再加上这些产品统统需要私有化部署,需要客户提供部署环境,相应的服务器和数据库成本也是刚性的成本。简单一算,安全厂商花了 2,000 块的固定成本,客户花了 5,000 块钱买了个在电脑屏幕上打水印的安全产品。

然而,客户最多能接受的预算是1,000 块钱。

这就是最简单的商务模型,一个重方案、重交付、重地推的产品,是不具有服务中小企业的前提,客户有实际的需求,但其愿意支付和能够支付的费用,连企业商务沟通的成本都无法覆盖。

这也是安全产品向具有一定规模的企业集中的原因,不是企业大了才有需求,而是当企业成长到 1,000 人规模的时候,企业的预算由 1,000 涨到了 30万,才能撑得起传统安全产品厂商的最基本的商业逻辑。

五、什么样的安全产品,才可能做到开箱即用

第一个原则:轻终端。

无论是 PC 端,移动端还是主机端,对端的依赖越少的才能摆脱传统安全的弊端和宿命。

是做身份和账号管理的 Okta(国内没有),是做 DNS 和流量安全的 CloudFlare(国内没有),是基于浏览器做企业数据安全的 Talon(数影星球)。

第二个原则:轻 SDK。

在一个缺乏应用开放生态的环境里,SDK 的模式,仅仅是一个比人力外包好听一些的说法而已。

第三个原则:轻合规。

合规的生意是非常具有诱惑力的,需求明确,都不需要经过 PMF 的论证。客户明确,每个客户住在哪都能拉个表出来。可持续,政策天天有,明年还得变。

但是这里面公开透明的信息都不是最有价值的,不在里面撞得头破血流,无法摸出门道。即使侥幸存活,也难以阻挡经济周期的考验,合规的预算深深地被经济周期左右,要么在波峰要么在谷底。

声明:本文来自连续创业的Janky,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。