网络安全平台化反思

众所周知，我已成为网络安全行业中的历史学家。（见《安全年鉴 2024》）。

共享记忆丧失的原因有很多。其中之一是老一辈的退休或离开。John Thomson在赛门铁克大规模收购时期担任领导，仍然涉足安全领域，但不再领导最大的厂商。Gene Hodges曾在网络协会重组期间领导该公司，将其从一个拥有六七个产品线的控股公司转变为强大的迈克菲，已去世。

如今，许多网络安全巨头由对历史没有记忆的人领导。危险在于，缺乏这种理解将导致他们重蹈历史的覆辙。

直白的说吧，平台化是由营销团队编织的幻想，用以解释网络安全巨头多年来积累的产品组合。这没关系，因为这是营销人员的工作。不可接受的是，当CEO被自己的营销所迷惑，幻想变成了战略。

这里的术语确实有细微差别。Palo Alto Networks 本身是通过网络安全平台发展到今天的地位，这个平台被称为 UTM 或 NGFW。所有数据包处理和检查在单一设备中进行是完全合理的。这种向网络安全平台的转变定义了今天整个网络安全行业。如果一个新兴公司推出的网络安全功能开始获得关注，Fortinet 和 PAN 只会将该功能集成到他们的平台中。请注意 FireEye 的快速失败，它以单一功能：在线沙箱技术上市。

终端安全厂商也尝试了平台方法。McAfee 的 EPO 是最好的例子。当 Webroot Software 推出其企业级反间谍软件产品时，McAfee 只是切换了一个开关，开始为 PUP（潜在不需要程序）编写签名。Webroot 在终端上未能获得 traction，随后转向其他方向。

网络、端点、身份、加密和 GRC 的平台都是非常合理的。这些类别在企业内部都有独立的采购中心。想想看，管理 Archer（GRC）的团队永远不会是管理 Active Directory（IAM）或防火墙的团队。

我们本周对Palo Alto Networks公司CEONikesh Arora的想法有了更多的了解，这让人有点害怕。

在 LinkedIn 上，Arora在一篇长文中引用了他认为拥有平台的公司的例子。

“…员工和人力资源团队现在可以通过像 Workday 这样的平台实现流程优化，销售团队使用 Salesforce，IT 专业人员使用 Servicenow——为什么我们不看到 SOC 平台将他们的工具连接起来，安全从业者随着时间的推移获得一个管理他们网络安全的平台。这就是我们的北极星，Palo Alto Networks。- Nikesh Arora”

是的，如果我是按收入计算的最大网络安全公司的CEO，我会研究那些比我公司更大的公司。但我也会了解它们在根本上有何不同。所有这些，Salesforce（2740 亿美元市值）、Workday（640 亿美元）和 Servicenow（1970 亿美元），都被称为各自类别的“记录系统System of Record”。

“首先，实际上只有三种类型的 SaaS 业务：记录系统（CRM）、互动系统（例如 Outreach）和决策系统（例如任何 BI 工具）。” - TK Kader

这些都是 SaaS 业务。SaaS 是一种有吸引力的商业模式。商品销售的边际成本几乎为零。您可以在不增加成本的情况下显著增加收入。如果您保持客户流失率低，您对每个季度的收入有完美的可见性，因为您已经收到了确认的款项。如果您是像 PAN 这样的硬件设备制造商，您会羡慕所有 SaaS 公司。

在 SaaS 中，记录系统是整个行业类别的核心。Salesforce 主导 CRM，Oracle 和 SAP 主导 ERP，Workday 正在努力主导 HR。

安全的记录系统将是什么？显然，它将是一个 SIEM 产品。Arora甚至在上面的引用中提到 SOC 时透露了他正在考虑的内容。

即使是最大的 SIEM 厂商 Splunk，在被思科以 280 亿美元收购之前，也未能实现记录系统的地位。我们的数据库中有 164 家供应 SIEM 产品的厂商。一个现代化的 SOC 平台，设想为一个仪表板，将结合出色的分析与警报、日志、UEBA、XDR、SOAR、eBPF 以及现在的 AI 的数据湖。Palo Alto拥有其中的一些组件，但他们一直将其作为最佳产品进行销售。在他们能够销售一体化 SOC 运营之前，还有很多工作要做，尤其是当 AI 将彻底颠覆这个领域时。大型厂商从未创造出颠覆行业的创新。他们总是收购它。

另一个需要提及的术语是sell-through。这是适用于大型公司的实际商业模式。大型公司，如电信设备制造商，并不是作为记录系统，而是实际上建立了一个庞大的销售机器。思科就是这样的例子。当他们的客户开始对新产品类别表现出需求时，这家巨头公司会收购该领域的领导者，并立即将其添加到其产品目录中。它所建立的销售/交付引擎将新产品销售给现有客户群。曾有电信设备公司以 1 亿美元进行收购，并在交易完成后的第一年内产生了同样数量的收入。

Sell-through是可行的。这实际上是Palo Alto的运作方式。它运作得如此良好，以至于即使是CEO在今年早些时候宣布平台化战略时也误判了他们的季度指引。结果是市值缩水了 28%。

请注意自那时以来的恢复，因为 PANW 在销售方面表现良好，而不是在平台化方面。

历史的另一个教训。思科之后的第二大网络厂商 Juniper Networks 在 2004 年大胆收购了 Netscreen。他们为第一家将 IPS 纳入的防火墙厂商支付了超过 40 亿美元。在收购时，Netscreen 的销售额为 5 亿美元。Juniper 着手创建一个基于其路由平台的综合操作系统。这个过程拖延了多年，而防火墙销售额降至 200 亿美元以下。最终，一位不满的 Nir Zuk 带着核心团队创立了Palo Alto Networks。今年早些时候，Juniper 被 HPE 以 140 亿美元收购。阅读 HPE 的公告。新闻稿的正文中甚至没有提到安全性。Juniper 过于专注于平台化，以至于失去了销售的视野。

顺便提一下，既然我们在谈论历史。Nir Zuk 是通过收购 Netscreen 进入 Juniper 的。Netscreen 的创始 CTO 是 Ken Xie，他离开 Netscreen 创建了 Fortinet。Zuk 可能基于对 Netscreen 的重新构想来设计他的新的防火墙，字面上说是 Netscreen 的下一代 :-) （Juniper 因专利侵权起诉了他，但以 1.72 亿美元和解。）换句话说，今天两个最大的独立网络安全厂商 Fortinet 和 Palo Alto Networks 都源于 Netscreen。

当像Palo Alto这样的大公司在安全行业之外寻找可借鉴的模型时，这应该被视为一种警告。在网络安全领域，没有记录系统的机会。

我们的历史充满了曾经处于巅峰的巨大厂商的尸骸，如今他们已成为昔日辉煌的空壳，Juniper、Symantec、CA、McAfee 等。

原文链接：

https://stiennon.substack.com/p/is-there-a-system-of-record-in-cyber

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。