文│北京赛博英杰科技有限公司 谭晓生

一、当前网络安全服务存在本末倒置情况

网络安全服务，一直是让国内网络安全公司纠结的业务。自2016年国内开展网络安全实网攻防演习以来，每年演习期间安全服务人员的服务费一路走高，还在网络安全培训班学习的学生就可以达到每天几千元的水准，高水平安服人员的服务费甚至能达到每天数万元。但当演习结束后，网络安全服务依然是“不能没有，但不挣钱”的局面。网络安全公司深知安全服务的重要性，但面对安服人员薪酬日益升高、流动性越来越大、依然疲软的客户买单意愿等问题，依然难以下决心扩大安服团队规模。

中国网络安全产业的一大痛点是用户愿意为硬件出高价，而不愿意在软件上多花钱，对于服务更是要求免费。实际上随着半导体技术的进步，硬件在网络安全产品中的价值逐渐降低，即使防火墙这种需要进行大流量处理的设备，采用通用芯片后电路部分所完成的功能也是高度同质化的，运行在硬件电路之上的软件才是完成安全设备主要功能的功臣。而要把安全设备真正使用起来，实现有效的防御，则需要掌握网络安全知识、理解用户需求、懂得攻防技术的网络安全工程师。

这种价值观上的本末倒置，导致市场上劣币驱逐良币现象的发生：安全服务只是证明用户现有系统存在安全问题的“敲门砖”，成为网络安全公司软硬件产品销售的“添头”。因为安全服务本身难以为公司带来大的销售额和利润，在有的公司甚至被当作“成本中心”。在过去很长一段时间，即使是国内头部的网络安全公司，也只维持一百来人的安服团队规模，难以为众多的客户提供所需的安全服务。

网络安全服务的内容很广泛，但在国内的发展很不均衡。渗透测试服务因为能直接帮用户发现系统中的安全问题，从而促成销售，被广泛接受；测评类服务因为是ISO27000认证、等级保护测评等合规性要求的必选项，也有稳定的市场；但安全顾问咨询类服务在国内的发展较差，相关公司营收很低；MSSP、MDR等安全托管类业务目前还是边缘化业务。

二、网络安全服务的市场发展前景

上述问题的成因不管是商业文化、招投标制度，还是价值度量问题，之前已经有很多分析，在这里不再展开赘述，我们更需要关心的是如何改变现状。

首先看存量市场，谁在购买网络安全服务？在过去的20多年，网络安全服务的买单者主要是网络安全市场的头部客户：政府、金融、电信运营商、大型国企、大型商业企业。这些客户共同的特点是，所从事的业务重要性高，营收规模大，IT预算相对充裕，往往会有自己专门的网络安全团队，对供应商相对强势，采购网络安全服务是为了弥补自身网络安全团队能力的不足或解决人手不够的问题。

近两年由于安全事件频发以及实网演习的影响，部分头部客户开始意识到安全服务的重要性，增加在安全服务上的预算，用采购安全服务的方式代替网络安全软硬件产品的采购，将买来的网络安全设备真正用起来。但由于受管理体制的制约和预算模型、招投标制度的限制，以及领导对网络安全认知局限性等问题，网络安全服务市场想出现大的改变还需要时间。

远水难解近渴，我们还要看增量市场有哪些。我们正处在整个社会快速数字化转型的历史时期，在经历了消费互联网快速发展的20年之后，5G、物联网、大数据、人工智能驱动的产业互联网，正在更深刻地改变着社会的运行方式。所谓“数字经济”，是指人类通过对数字化的知识与信息的识别、选择、过滤、存储、使用，引导、实现资源的快速优化配置与再生，实现经济高质量发展的经济形态。对企业来说，是通过资源优化配置，提高生产效率，降低生产成本，为用户提供个性化的产品或服务，在商业竞争中获得竞争优势。在工人的人力成本逐渐走高以及更加难以管理的情况下，采用工业互联网技术的工厂能用更少的人力消耗、更低的综合生产成本，更快地为用户提供个性化的产品，这已经成为富士康等大型制造企业的选择。而便利蜂等新型便利店，通过信息化、网络化手段，实现一个店长就可以维持一个便利店的正常运行，也是通过技术手段来降低运营成本。

但是，数字经济在让企业获得竞争优势的同时，也让企业有更多的攻击面暴露在互联网上，网络攻击可能带来的生产停顿、与客户失联、用户数据泄露等后果，会让企业面临经济损失或遭到主管机构处罚乃至吊销经营许可的风险，迫使企业不得不在网络安全方面加大投入，尽可能保证业务的正常开展，这时企业会遇到安全能力供应与成本两个问题。

作为企业，一定要计算ROI（投资回报率），网络攻击的发生以及造成的后果都具有一定的发生概率。而网络安全方面的投资，不管是雇佣网络安全专家、购买网络安全产品、购买网络安全服务，都要计入经营成本，如果在网络安全上的投入抵消了数字化转型带来的好处，那么企业进行数字化转型的动力就不会很强。

大型企业因为其营业规模大，盈利能力强，雇佣几十人甚至数百人的网络安全团队，购买或自研大量的网络安全系统，针对自己的业务特点来组织网络安全防线，从投资回报率上是合算的。

但对广大的中小企业，这种自备安全团队的模式完全不适用。有数据显示，中国的中小企业数量超过3000万家，这些企业也在数字化转型中，用自备网络安全团队的方式进行防御，企业既无法承担网络安全防御的成本，我们也培养不出那么多的网络安全工程师。解决广大中小企业网络安全问题的出路，就在于网络安全即服务这种商业模式。

三、网络安全即服务是未来产业发展方向

网络安全即服务是在SaaS（软件即服务）的启发下提出的一种商业模型，CSA列出了一个网络安全即服务的目录：业务连续性与灾难恢复、持续监测、数据防泄露、电子邮件安全、加密、身份与访问管理、入侵管理、网络安全、安全评估、SIEM、漏洞扫描、网站安全，基本覆盖了企业日常安全运营的内容。

2018年初，谷歌的母公司Alphabet宣布成立一家名叫Chronicle的网络安全公司，利用谷歌庞大的基础设施和数据分析能力，Chronicle在2019年发布了一个名为Backstory的信息安全数据平台。我在RSAC 2019上，向Chronicle的工作人员询问了其Backstory的工作模式以及服务价格：服务费按企业员工数收取，每个员工每年45美金；不管企业有多少设备；不管企业产生了多少日志/告警；不限量分析/查询；现在还不支持的日志格式，承诺三周内就能支持。

Chronicle用了“Telemetry（遥感勘测）”这个词来描述Backstory提供的服务，其工作模式是企业把各种日志上传给Chronicle，Chronicle帮助企业进行分析，企业的安全运维人员在Backstory的平台上进行查询。

显然，这是《创新者的窘境》中克里斯坦森教授所讲述的“低端逆袭”的打法，对拥有成规模的安全团队、安全预算也不是大问题的“高端客户”来讲，Chronicle的服务吸引力并不大，但对无法负担专业的安全团队、安全预算有限的中小企业来讲，Backstory是很有吸引力的服务。并且如果Backstory确实好用，那么它会逐步向上蚕食中高端用户市场。

此外，作为Alphabet旗下公司，如果能充分整合利用谷歌的资源，Backstory就能做到既便宜又好用：谷歌拥有Virus Total，这是全球最大的恶意样本库，解决了样本与URL威胁情报的来源问题；谷歌拥有8.8.8.8的DNS，全球约有13%的域名解析是由谷歌提供，DNS解析信息是一个非常宝贵的威胁情报来源，并且可以通过DNS解析进行部分防护服务工作；谷歌拥有搜索引擎，对通过网页进行传播的恶意代码有很强的追溯能力；谷歌拥有Chrome浏览器，能从浏览器的行为日志/异常告警发现网络攻击；谷歌拥有先进的分布式存储、分布式计算平台，可以用极低的成本实现海量数据的存储与检索；谷歌拥有先进的人工智能技术与自然语言处理技术，对日志文件的分析很大程度上可以通过自动化手段进行；谷歌Project Zero （GP0）团队的漏洞挖掘能力全球领先。

有效整合了谷歌以上各威胁情报和网络安全能力，Chronicle就能通过资源复用而大幅降低安全服务的边际成本。果不其然，2019年6月，即传出Chronicle被整合进谷歌Cloud业务的消息。

虽然在2019年11月份时，Chronicle曾被媒体报道一系列负面消息，例如人员流失/转岗等，但我觉得断言Chronicle的失败还为时过早，企业级的网络安全业务演进速度慢，云化的、低成本、高服务带宽的网络安全服务，是解决网络空间安全问题的出路之一，是未来的大方向。

四、我国网络安全即服务的发展分析

国内的网络安全即服务业务还处于发展的初级阶段，未来可能会有三种类型的公司开展这项业务。

大型云服务商 ：阿里云、腾讯云等已经为使用其云服务的企业提供了与云服务相关的网络安全防御服务，阿里云2019年的云安全服务收入已经相当于一家大型综合网络安全公司的全年营收。安全是云服务客户的刚性需求，云服务商为了自身云服务的安全会配备实力很强的网络安全团队。网络安全即服务未来会是云平台提供的服务之一。

电信运营商 ：在Gartner的MSSP（网络安全托管服务提供商）魔力象限中，AT&T、Century Link、Verizon、NTT都是头部厂商。中国电信与中国联通分别推出了云堤与云盾抗DDos服务。此外，中国电信与中国联通在MSS（安全托管服务）业务上也都做过一些尝试，中国电信推出的“安全管家”服务，部分省份与安全公司合作提供MSS/MDR服务给线路租用客户，合作的安全公司一个月能拿到数百万人民币的收入分成，虽然业务规模尚不大，但也是很有意义的探索。电信运营商依靠其在网络链路、威胁情报、触达客户的能力上的优势，具备更低成本提供网络安全服务的条件，其短板是网络安全能力，与网络安全公司合作提供安全服务是一个达成双赢的方法。并且电信运营商在国家的网络安全防线中肩负着无可替代的责任，发展网络安全能力是必然选择。

网络安全公司 ：优势是具备专业安全服务人员，有服务经验。但业务模式的变化意味着公司要走出之前的舒适区，面临的挑战也不小。与云服务商以及电信运营商相比，传统网络安全公司在网络安全即服务业务上批量获客能力以及规模经营上会有劣势。

网络安全即服务业务在中国的健康发展还需要两个突破：

首先，是对远程服务的政策许可 。用户习惯了“物理隔离”“逻辑隔离”的网络管理方法，首先会怀疑远程服务的安全性。这个问题可以通过技术与法律双重手段解决，技术的进步已经使得我们有能力对远程安全运维人员做多维度的监控和审计，新冠疫情期间很多工作如考试都可以远程进行。远程运维令牌、生物识别、操作审计、网络审计、行为审计、摄像头监控都是可以采用的技术手段。

其次，要解决网络安全产品的接口标准化与SIEM、SOC、SOAR系统的工作效率与有效性 。生产效率的提高需要自动化、半自动化工具与网络安全产品、网络安全服务人员的高效协同，目前国内网络安全产品的接口标准化程度要差一些，对SIEM、SOC、SOAR系统的技术挑战会更大。

一个服务对客户的价值决定企业的价值，网络安全即服务用相对较低的成本就能保障生产、生活的相对安全，这个领域未来将会产生很高商业价值的企业。

（本文刊登于《中国信息安全》杂志2020年第10期）