笔者的职业生涯中很多年都在甲方公司担任安全负责人或者信息化负责人,历经了公司从小到大,从大到更大的过程,也历经了从安全工程师到CIO,从安全工作的一无所有到上市审计(ITGC/ITAC)。最近的几年换到乙方安全公司,换了个视角看待体验乙方安全业务的开展和发展,从早前被乙方厂商围着转,到现在围着甲方公司转,经历了不少大大小小的安全项目,包括产品项目和安服项目。

因此,想结合自己的经历和观察,探讨下乙方安全业务为什么难做,乙方安全公司为什么难做。

网络安全(Cyber Security)作为一个领域包容着各类不同的方向,从物理到管理,从现实到虚拟,每个方面都可以找到和信息安全或网络安全相关的工作,这里的网络安全不包含内容安全和电信诈骗或反诈骗。因此不同的安全公司有着不同的安全业务、产品和服务方向,从受众层面又分为2C(面向消费者)、2B(面向企业)、2G(面向政府)。

分析安全公司的业务开展,就需要从这三类受众的视角看待网络安全,即:

  • 我为什么要关心网络安全问题,如果不关注网络安全会怎么样?
  • 对于网络安全问题,我为什么有必要花钱解决,如果不花钱有没有办法?
  • 如果花了钱,能够多大程度解决网络安全问题,是否还需要额外投入?
  • 对于花钱购买商品或服务,我该如何选择厂商,为什么要选择这家?
  • 对于已经选择了的厂商,后续凭什么继续选择这家,而不是换另外一家?

早期计算机病毒横行肆虐的时期,对于消费者而言最大的苦恼就是如何应对层出不穷的病毒,因此彼时耳熟能详的安全厂商往往都是反病毒公司,当时对于国内用户最大的兴趣就是找到破解版本的杀毒软件又或者是免费的序列号,国内的杀毒软件公司甚至有武当七侠之说,意指七家杀毒软件公司。直至00年代末期,随着Windows系统的更新换代,安全设计与安全功能的增加,以及国内360公司首开免费杀毒产品理念,计算机病毒不再是困扰普通用户最大的问题。

因而直到今天,当普通人在手机、电脑、平板等各类移动设备围绕之下,几乎不再有为病毒所困的烦恼,即便是Android系统刚刚问世之际,手机端出现了各类的恶意App或者病毒,对于防病毒和查杀病毒的需求,消费者也习惯性的和PC反病毒一样视为是应当免费的。对于个人用户而言,只需要能解决大多数的病毒问题,且不存在严重的疏漏,没有人会关心实际的杀毒引擎是来自安天还是来自腾讯。

到如今,面向普通用户的安全产品早已被国内用户习惯和接受,也接受了免费的安全防护,但不同的是,杀毒软件早已不是单纯的查、防功能,而是与诸如工具箱、软件库、垃圾清理、系统优化等一系列功能结合在一起,已然成为一个个人效率工具(虽然操作和使用对于普通用户使用依然是巨大的门槛)。

个人信息安全从攻防对抗方面不仅仅是病毒,还包括无线网络安全、个人隐私保护,期间不同的公司也纷纷尝试不同的方法,对于前者,移动端和PC端的杀毒软件早已具有相关的(主动)功能,对于后者,虽是每个人关心的问题,但却不可能通过某个方案来避免或解决,隐私保护对于个人主要是防止泄露和泄露后的销毁,隐私是否泄露以及如何泄露取决于个人接触的线下、线上各类公司、平台、人员,甚至多数隐私泄露是源于线下公司或机构的内鬼出售(比如售楼部出售住户信息、运营商员工出售用户信息),泄露之后的销毁更是难上加难,因此诸如账户泄露等功能一直是以免费的形式出现,比如HaveIBeenPwned(haveibeenpwned.com)。隐私泄露检测是一种需要,但并非根本需求,更不可能指望这种能力向用户收费,是不道德的。

此外,包括USB充电安全、NFC卡安全也曾经一度被厂商呼吁,并推出相关的安全产品,比如USB安全充电转接口、NFC卡套等等,但这些只能算是对于用户安全意识的普及,相关的产品并没有门槛,因此也很难规模化被用户所接受。究其原因,是这些安全威胁和威胁发生的概率对于用户的感知并不那么明显,相比于计算机病毒动辄影响用户的可用性,公共场合充电接口植入手机木马或植入手机App的影响和概率都小很多(大不了随身带个充电宝)。

2012年北京的一场特大暴雨夺走了很多人的性命,当时不少人是开着车在市区桥洞下因雨水灌入车内而身亡。汽车之于消费者是消费品,多年的安全意识科普和教育让大家从小就知道防火、防水、防电,但当真正的危险降临时,多少人会在自己的车里备着破窗锤、照明手电、急救药品,恐怕是微乎其微。可见,即便是威胁生命的消费品,消费者也很难将安全意识落实到安全行动,哪怕只需花费不到100元,更何况虚拟的网络安全威胁。

纯粹的面向消费者的安全业务是行不通的(360公司是通过免费的终端安全产品形成用户规模,再通过广告和游戏获得营收,是介于互联网公司和安全公司的一种特例),所以安全厂商真正的收入来源全部都是2B或2G。

企业安全建设是成本效益工作,需要通过运营的思维平衡业务和技术,根本上是需要安全工作支撑业务的发展,或至少不能阻碍业务的开展。在笔者接触过的许多企业中,无论是企业规模或行业影响多大,几乎每个安全负责人都长时间处于焦虑和苦恼之中,他们面临的问题诸如:

  • 安全工作不受上级重视,安全工作开展处处受限;
  • 安全技术落地要谨小慎微,担心影响其他部门的工作;
  • 对于公司存在的安全风险,没有合适的解决办法;
  • 监管层或管理层传达的安全要求,没有适当的应对手段;
  • 真正专业的安全人员不多,人少责任大,对上对下事情多;
  • 既要应对安全合规,也要落地安全技术,难以体现安全工作价值;
  • 不知道如何向上汇报安全工作的成果,争取更多的预算或支持;

当安全厂商在面向企业推广和开展业务时,企业对于网络安全的态度会有不同,一种是采取积极态度,防患于未然,重视安全工作建设,比如安全部门会是企业的一级部门;一种是亡羊补牢的心态,遭遇安全事件之后开始构建安全部门,比如至少会有独立的安全部门;一种是迫不得已的思路,只是想有个做安全的人能够日常应对安全工作,且不论此人是否是专业的安全人员,比如可能只是在研发或运维部门的角落里有个安全工程师的工位;一种是完全放任不管,只关注公司已有的业务,等到监管到来想个办法应对以下,比如公司里根本不存在专职的安全人员。

但凡企业内部没有真正懂行的决策人或管理者,企业对外的安全咨询、产品、服务需求便是很难立项的工作,或许会通过等级保护的需要采购安全产品(事实上,这也是国内目前安全产品交易的主要原因),但最终对于企业安全工作的推动和影响是微乎其微的,没有人会做饭的家庭即便买了高级厨具,也会沦为厨房的摆设。

而当企业内部有部门或团队真正开始构建安全体系,同样也会面临企业的安全需求和厂商的安全供应不匹配,比如当企业的安全建设中开始考虑如何避免或规避开发人员刻意编写恶意代码或后门在产品中,厂商能够提供的竟然只是白色、黑色或其他颜色的设备(或叫盒子),而至于这些盒子能否解决企业的问题,甚至厂商自己都说不大清楚。而这恰恰是企业诉求和厂商供应之间的错位,企业真正愿意付费或投入的问题得不到安全厂商合理、合适的解决方案,而厂商提供的内容要么是某给软件或硬件,要么是渗透测试等驻场或非驻场服务,要么是安全风险评估或等级保护咨询,相当于一家人想个地方舒舒服服放松紧绷的神经、缓解家庭的关系时,酒店说他们有床,饭店说他们有菜,按摩店说他们有最一流的上门(或不上门)技师。

企业的安全需求的广度和深度时随着企业规模的扩大和业务的扩大而递增的,也就是安全工作的广度和深度是不可能超越企业自身的发展需要和自身管理、技术的成熟度的,当开发、运维、测试部门还在敲敲打打的捣鼓公司的产品时,安全工作要做规范的安全开发流程或安全研发一体化是不现实的。因而,当有一定规模的企业根据自己的需要和设计,向安全厂商提出具体的外采内容时,会根据企业自身的业务和管理特点额外提出各种不同的要求,结果是安全厂商不得不做定制化的设计或开发以满足客户的需求。从一开始的客户需求对接,到商务洽谈和沟通,到招标和应标,再到产品定制开发和确认(前期往往还有产品试用阶段),最后到产品的交付和验收,整个的流程往往超过一年以上,而这个过程中需要安全厂商至少投入销售、售前、开发、交付、安全等不同部门不同数量的人员,平均的成单周期和项目成本可想而知是非常长且高的(主要是人员成本),当这些人投入一个项目时,还存在巨大的机会成本。

大企业的采购金额是不是应当很高,能够让项目本身的收益也很客观呢?遗憾的是并非如此,当A厂商说自己可以1000万搞定的时候,B厂商会跳出来说自己只要500万,C厂商也会不服气说自己只需50万,D厂商最后可能告诉客户:除了产品,我的服务全白送。大型企业的招标通常都需要3家以上的竞标企业,在客户对于企业信誉、实力、产品、服务无法评估的情况下,决策者(通常并非安全行业出身)自然会选择价格最低的D厂商,更何况这家厂商可能还是业内赫赫有名的企业。除非是完全不同方向的产品或服务,同类型产品或服务的竞争是不存在技术门槛的,无论客户的招标内容是什么,只要商务部分没有问题,技术部分可以通通满足,大不了回头和开发团队说辛苦一点加个班。这样的价格战和行业内卷,使得争夺客户变得非常不理性,而最终客户得到的可能是一堆蹩脚的软件或插了电的设备,于是后续还会有一堆没完没了的产品修订、更新、升级以及人员服务。对于客户而言,真实的价值并非是解决了其原本最初的问题,而是通过某个厂商将问题的解决和解决的成本做了转移,如果厂商不持续投入,客户大可以合同到期再换一家。

另外,大型互联网企业通常会选择自己全包,很少对外采购安全产品或服务,毕竟有足够的重视、足够的资金、足够的待遇和足够的名气可以招揽足够的人员再造几次轮子。以笔者之前在2C的互联网金融公司为例,公司整体的意识里很少会想到外采,哪怕是项目管理、人员管理也要自己做一遍系统,也是因为业务和管理风格、理念的不同,使得很难有外部的产品或平台能够满足自身需要,于是不得不自己做。

如果企业中有个专业的安全负责人构建企业的安全体系,他能够将原本复杂的企业安全需求分解为具体的安全实施动作,平衡市场成本和管理成本,并选择外部的采购,那么厂商的压力会大大降低,就像有住家保姆的家庭,家里人不用考虑外采的问题,保姆会根据家庭所需选择合适的食材,菜市场摊主也不用考虑这家人的口味。如上文所说,企业的安全负责人或安全架构师需要平衡业务和技术。

但如果没有这样的人负责安全工作,那么企业安全问题的解决(无论是合规还是技术)就会通过各类厂商接触,各类产品试用等一系列高昂的试错成本,最终“选择”被哪家厂商洗脑,或者是选择与哪家厂商合作最有利。切实的问题不一定能够得到彻底的解决,而这样的企业并不在少数。

另外,安全厂商所提供的产品或服务往往也并非专业、可靠的,尤其是安全产品,就像从来没进过厨房的装修工人堆砌的灶台,几乎只考虑如何火力旺、放大锅,要对比航空推进器的推进力,但几乎很少考虑客户的想法,所以笔者认为没有甲方安全工作经验的产品经理是不适合做安全产品设计的。企业的安全问题是综合性的,当年笔者的安全团队要构建全球化的办公网络系统,想参考其他公司的做法,但苦苦找不到同类的解决方案,最终内部设计和构建了一套该系统。而安全厂商的产品依然停留在给客户提供某个单点问题的解决,充其量是某一部分工作的效率提升工具,但谈不上某个整体方案践行。甚至会闹出一些笑话,比如有客户问产品的部署是否支持高可用,厂商回答说是支持的,但客户实际部署后发现这个作为支持只是数据库的备份功能。

当业务理解、技术实践无法达到甚至超越客户的现状和预期,安全产品的更新迭代不过只是被客户牵着鼻子走,这种状况下是不可能让客户为产品买单,以及持续买单的。换个角度说,如果厂商所提供的产品或服务的价格,不如客户自己构建团队来做的管理和人工成本低,那么客户会选择自己来做。企业客户所关心的是,要么安全厂商更专业,要么安全厂商成本更低,而服务则是厂商人员随叫随到的应急支撑能力。

在当前的经济环境下,企业或政府对于网络安全的态度更是比以往要谨慎,既要维持安全工作的开展,又要谨慎对待外部采购,避免一切可以规避的投入和开销。这样对于安全厂商而言无异于是雪上加霜。