文/王月辉

一、国内网络安全产业规模(简述)

1、国内市场规模小:5月28日,工业和信息化部运行监测协调局发布了《2024年1-4月份软件业经济运行情况》监测报告。报告数据显示,1-4月份,我国软件和信息技术服务业(以下简称“软件业”)运行态势平稳,软件业务收入保持较快增长,业务总收入3.8万亿元,同比增长11.6%;其中,信息安全收入稳步增长,信息安全产品和服务收入520亿元,同比增长9.3%。

2、国内从业公司规模小:国内30家网络安全上市企业2023年总营收达到455.64亿元,其中12家企业营收突破10亿元。国内排名前十的厂商,2023年营收总和约350亿元。

与国内企业相比,国外从业公司要大很多。如Palo Alto Networks 是目前全球营收和市值最高的网络安全企业。2023年营收68.93亿美元,市值在2024年初突破1000亿美元,成为首个市值过千亿美元的网络安全企业。另一家安全企业Crowdstirke Holdings,市值也在千亿美元上下。

二、国内网络安全行业面临的挑战

1、国内近年网络安全事件的形势越来越严峻,这已经是一个不争的事实。除了外部形势越来越复杂,网络安全工作/项目自身的实效性也是一个重要因素。

2、国内用户的满意度和国内项目的成功度,要打一个大大的问号。

3、来自其他行业的挤压。

3.1、来自云厂商的挤压。随着用户公有云、专有云的使用增长,云厂商利用其先天原生优势,在云内集成部署其各类网络安全产品,正在不断挤压传统网络安全厂商的空间。

3.2、来自传统IT应用系统集成服务商的潜在挤压。这部分主要是针对网络安全行业中最重要的战略方向--数据安全。传统IT应用系统集成服务商利用其多年来为行业客户建设、运维业务系统的经验,对于行业客户的业务流程、业务数据非常熟悉(至少比网络安全厂商的熟悉程度要高一个量级以上),因此可以相对容易的转型开展数据安全业务。同时,传统IT应用系统集成服务商可以相对容易的将很多数据安全能力嵌入其开发的业务系统中,而这些都是传统网络安全厂商所不具备或者难以具备的。

总之,未来可见,传统IT应用系统集成服务商转(觉)型(醒)后,将在数据安全咨询、数据安全能力集成建设、部分数据安全能力与业务系统整合、数据安全能力持续运行这几个方面,对传统网络安全厂商形成挤压。

PS:传统IT应用系统集成服务商转型数据安全,相对容易,因为他们是数据(业务)+安全的模式。而传统网络安全厂商去做数据安全,则要困难的多,因为他们是安全+数据(业务)的模式。

3.3、来自传统数通厂商的挤压。例如FW等传统网络安全产品,情况类似“来自云厂商的挤压”。

三、国内网络安全行业商业困局的分析

导致行业出现商业困局的原因很多,但是最重要的一点,可能是我们这个行业的商业逻辑/模式出了问题……

下图是我所理解的网络安全行业正常的商业逻辑,如下:

这个逻辑描述如下:

(1)首先行业中先出现甲方,这是行业的起始。

(2)由于甲方的资产有价值,所以被内外部攻击者攻击(这就是一切网络安全行业的商业价值源动力)。

(3)监管机构为了帮助甲方尽量不被攻击成功,出台了一系列监管要求。

(4)甲方的客户为了防止业务受损,也希望甲方能够提升防护能力,这就有了对甲方提升竞争力的需求/要求。

(5)由于攻击者通常技术领先、无孔不入;监管要求众多,处罚严重。甲方无法只靠自己而从容的应对内外部攻击者、监管等。所以甲方想了一个办法,找来乙方和自己共同应对。

(6)甲乙双方共同应对的过程,就形成了一个事实上的商业关系。而商业的本质是“价值”交换。

(7)根据价值=能力+转换过程,推导出甲乙双方交换的是“能力+转换过程”。

(8)根据价值的载体为商品(价值不能虚无缥缈,必须有一个承载的载体),推导出商品=能力+转换过程。

(9)根据能力的载体为产品,推导出商品=产品+转换过程。

(10)产品,承载了价值的内容主体(价值是什么),确保价值的“有用性”。

(11)转换过程,承载了价值的获取/交付全过程,确保价值的“实现性”。

(12)最终,通过商品(产品+转换过程)满足甲方的价值诉求。

从上述逻辑中,我们可以看到几个核心要点:

(1)网络安全商品是这个行业的核心纽带,链接了甲乙双方。

(2)甲方应该为价值(商品)而付费,不应该单纯为能力(产品)付费,除非自身完全满足转换过程的要求。乙方应该打造商品,而不应该单纯打造产品,除非甲方自身完全满足转换过程的要求。

(3)如果甲方最终没有获得真正的价值,那么一定是网络安全商品出问题了,要么是商品定义出问题了,没有真正的响应甲方价值诉求(即没有搞清楚甲方的真正价值诉求是什么);要么是商品的转换过程出问题了,转换过程不对或者不全。

例1(服务交付类):甲方想要知道自己的信息系统是否存在漏洞?但是因为没有明确的商品清单(类似于体检机构的体检清单,但是甲方自己提不出来,乙方也没提供),所以最终通常都是甲方购买了/乙方提供了渗透测试人天服务。由于渗透测试人天服务和甲方的价值诉求没有直接的逻辑关系,所以很难确保甲方的价值诉求得到实质性响应(满足)。

例2(产品交付类):甲方想要知道自己的信息系统是否存在漏洞?但是因为商品的转换过程不全,所以最终通常都是甲方购买了/乙方提供了漏洞扫描设备,但是通常由于其中关键的漏洞解读过程缺失(或不能长期持续),所以甲方很难获取到真正的价值(或不能长期持续获取价值)。

(4)那么导致“没有真正的响应甲方价值诉求”或“转换过程不对或者不全”的最主要原因是什么?我们认为是标准化的缺失。即产品(价值)内容未标准化,商品转换过程未标准化。

四、国内网络安全行业商业困局的破局之路

总结前述现状、挑战与商业逻辑,我们认为网络安全行业商业困局主要体现在两个方面,一是甲方价值诉求不能被实质性响应(表现为大多数用户不认可/不认为获得了网络安全价值),二是乙方不够规模化。

导致这两个困局的最主要原因是什么?我们认为依然是标准化的缺失。即产品(价值)内容未标准化,商品转换过程未标准化。产品(价值)内容未标准化,意味着对甲方的价值诉求理解不明确(到底什么是甲方的真实的、核心价值诉求?);商品转换过程标准化程度不够,则意味着商品价值转换途径(甲方获取过程/乙方交付过程)也不明确(甲方如何才能真正获取到价值?乙方如何才能真正交付价值?)。同时标准化是规模化的前提,没有标准化就没有规模化。

因此,我们认为破局之路在于“网络安全商品标准化”,即商品内容(产品)标准化,商品转换过程标准化。

PS:诚然,标准化也不是万能灵药,但是标准化之后,应该可以解决行业困局中的80%问题。剩下的20%问题,是要靠定制化解决的。

这里,我们再次引入并扩展前述商业逻辑图:

同时按照生命周期,将网络安全商品分为下述阶段:

按照上述网络安全商业逻辑+网络安全商品全生命周期内容,结合标准化原则,商业困局破局之路大致分为如下内容(简述要点):

(1)从源动力视角出发,沟通监管机构(可以从关基先着手),完善监管机构的评价/评估方法,从评估/评价措施是否具备(符合性),到增加评估/评价效果是否到位(有效性);测评机构引入质量终身责任制。

前提:评估/评价内容与方法的标准化。

意义:提升监管的价值、提升全国/全行业的水平;用权威的方法和结果,让甲方知道现状,知道如何改进;变相评价了各乙方;HVV的有力补充。

例,关基保护、银保监会。。。

(2)定义商品。从源动力视角出发,梳理内外部攻击类型,根据价值定义与之相对应的网络安全商品(集)。选取其中价值高、适用性广泛的,按行业逐步对其进行标准化。

(3)设计商品。首先设计并标准化安服渗透类/评估类商品(结果导向的设计),一方面服务于监管,一方面又符合安全运营的最佳实践(此处可引入网络安全天平图,后续有机会另文再讲)。其次以安服渗透类/评估类商品为基准,更换为防守视角(一体两面),即可设计防护类商品。

例,防止XX被勒索、防止XX被窃取。。。

下图以“防止终端被勒索”为例,简述商品的设计思路。

①根据甲方的源动力,明确价值诉求--“防止终端被勒索”;

②梳理终端的分类、分区;

③针对某一类(某一区域)终端,梳理其可能导致被勒索的路径(例如通过钓鱼邮件勒索、通过文件共享勒索、通过IM投毒勒索等等。。。);

④将每一条路径再次细化,梳理出每一条路径可能的步骤(尽量全);

⑤梳理出每一个步骤需要的PPT(组织与人员、制度与流程、技术与工具),即原子安全能力(设计编号);

⑥找出全部的原子安全能力,补足不全。

(4)制造商品。可以简单理解为传统解决方案的实战化、常态化、体系化、细化(步骤级、PPT(人、流程、技术)级)过程;对于厂商来说,需要找到原子安全能力,并完成内部各产线的融合、拉通。再后续,实现业财一体化。

(5)交付商品。重点为第三方安全服务商的招募(渠道管理)、赋能(保持持续的能力输出)。

PS:从网络安全源动力视角出发,推导可知,甲方的网络安全价值诉求遍布IT的各个元素/各个阶段,不可能有一家网络安全厂商全都满足(厂商不可能全;即便全也不可能都好;甲方原有的投资在可用的情况下也要保护)。未来最有可能的趋势就是,网络安全行业出现专业的第三方安全服务商。第三方安全服务商最有可能的来源,一是传统的IT集成服务商,他们利用多年的成熟的集成服务能力与经验,依靠各大网络安全厂商的赋能(类似于20+年前,IBM或Cisco对服务商的赋能),可以较为容易的转型为第三方安全服务商。二是个人/小微团队,甚至是初创团队,他们虽然规模小,但是往往更专业。三是公有云厂商。

但是我们很不看好网络安全厂商自己做集成/交付服务,毕竟是两种基因,且很难解决采购友商产品、获取友商支持、甲方难以认可其公正性等等问题。

前提:网络安全商品标准化、赋能过程标准化、赋能形式SAAS化、赋能内容(知识)订阅化。

意义:第三方安全服务商现有客户多、关系好,更熟悉更懂甲方,与甲方建立长期有粘性合作的需求也很迫切,甚至部分安全服务商对于利润要求不高(他们更看重后续的集成建设服务,这类模式类似于腾讯,微信免费,衍生服务收费)。。。

例,浪潮、东软、中软、太极、同方、神州数码、东华软件、航天信息、天翼云、MSS。。。

(6)使用商品。只有安全运营(含部分场景下的MSS),才能满足实战化、常态化、体系化的要求(后续有机会另文再讲)。

(7)保障商品(商品保险)。除了传统的维保服务,还要引入质量责任终身制;引入网络安全保险(因为传统行业商品都有此阶段,所以理论上网络安全商品也应该有,但仅是初步设想,还没想清楚。)。

五、一些补充与要点总结

1、重新定义网络安全商品(价值的准确性),并且标准化网络安全商品(价值的完整性、价值的标准性),可能是目前能想到的可行的破局之路。

PS:当然不是万能灵药,如果能将80%甲方的安全基线提升到80分以上,那么就已经很成功了。

2、如果能推动监管的评估/评价优化,那就更好了。

3、对于乙方来说,定义商品(需要有真正懂甲方的人)、设计商品(远远细过以往所谓的“解决方案”,是可操作级的)、制造商品(融合、拉通内部各产线),交付商品(服务商渠道的能力,渠道管理、渠道赋能等等)这些会成为核心竞争力。

4、对于甲方来说,以后会获得更明确、更优质、更便宜、可度量。。。的网络安全“商品”。

5、如何确保标准化网络安全商品的合理性、开放性?开源。。。

6、如果未来都标准化了,厂商的竞争力在哪里?会不会同质化之后开始价格战?参照传统标准化程度很高的行业来看,未来厂商的竞争力主要在两个方面。一是对标准化之后的“工艺品”,不降效前提下的降本(这也是与现有模式最核心的差异,现有模式是降本又降效);二是对不标准化的“艺术品”,继续加大研发力度,走高端定制路线,时机成熟后,转为标准化的“工艺品”,如此不断迭代。

同质前提下的价格战,对甲方、乙方都是好事儿。

结语,2024年,是习近平总书记提出网络强国战略目标10周年,是我国全功能接入国际互联网30周年,是《中华人民共和国计算机信息系统安全保护条例》发布30周年。行业应该有所质变了。。。我们还有不变的可能吗?

值此行业大变之际,未来已来,对于从业公司,洞悉未来,可以抢占先机,收割第一波红利;对于从业人员,洞悉未来,可以抢占先机,做好未来职业发展的规划和落实。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。