浅谈网络安全服务化转型的底层逻辑与挑战
日期:2022年06月16日 阅:70
目前,网络安全市场正在从产品驱动向服务驱动转变。在转型期,作为传统意义上的企业客户与安全厂商都会遇到一些迷惑之处,如何适应网络安全服务化的新模式,实现自身的安全需求与技术价值?现在,基于服务的安全能力构建还处于探索与磨合的阶段,普遍缺少成熟的模型供参考应用。如果试图通过单一架构与模式来诠释整个安全服务,往往会陷入以偏概全、刻舟求剑的窘况。鉴于此,在本文中我们提出一些探索性的思考,以期达到管中窥豹和抛砖引玉的效果。
营销界有一句名言,“用户需要的并不是一台钻孔机,他需要的只是墙上有几个孔”。这句话阐述了商业发展的底层逻辑,就是任何市场最终都是从产品向满足客户的服务需求转化。当前在网络安全领域,大多数安全厂商之所以还在卖产品,主要是因为目前的安全服务能力和商业模式都还不够成熟,还难以完全通过服务的方式满足客户的最终需求。
具体来说,从网络安全产业本身来看,产品化的解决方案面临以下挑战:
1、网络威胁形势不断进化,防御思路也在不断升级,单靠产品的堆砌已经不能解决网络安全面临的问题。纵观网络安全厂商发展路线,基本都从单一优势产品出发,通过技术复用,布局多条产品线,不断加强产品间关联度与联动性,逐渐形成贯通事前预警、事中防御与事后溯源分析的防御生态。
2、安全产品本身只提供基础安全的功能,真正发挥效用需要高水平的网络安全人员与相应完善的安全管理流程,而这点往往是许多安全厂商所不具备的。与此同时,安全厂商又因为对客户业务场景缺乏深入了解而无法满足用户的真正需求,最终导致用户购买安全产品后无法发挥其最大效能。
3、随着业务的不断发展及信息化技术的不断更新,用户也不断产生新的安全需求和潜在风险,一次性的产品部署,已经无法满足其日益增长的安全需求。
4、在安全投入方面,产品不断地迭代换新,安全人员成本不断增加,已形成重资产,对于大多数预算不足的企业而言,已经不堪重负。
安全服务是指适应整个安全管理的需要,为企业、政府提供全面或部分安全解决方案的服务。安全服务提供包含从高端的全面安全体系建设到细节的技术解决措施。通常情况下,安全服务由安全咨询、安全运营、安全集成三大部分构成。
从 Gartner和 IDC 两大机构的定义来看:IDC 认为安全服务包括安全咨询、安全运营(MSS)、安全集成、安全教育及培训四个部分;而 Gartner 认为安全服务主要由安全咨询、安全外包(含MSS 及驻场服务)、安全集成、硬件维护与支持四部分构成。虽然两家机构对安全服务的理解存在一定差异,但安全咨询、安全运营、安全集成都是其定义中最主要的服务组成,占据了目前安全服务市场 90%以上的份额。
而在安全咨询、安全运营、安全集成之外,安全教育和培训服务也是安全服务的重要组成部分,除此之外,网络安全即服务(SECaaS,Security as a Service)作为新兴的安全服务模式,正在成为全球网络安全市场的重要趋势。
作为安全产品的升级,安全服务摆脱了安全产品固有的局限,提供了更高品质的解决思路,其具体优势如下:
1、安全服务以满足客户的最终需求为导向,从根本上弥补了产品与客户需求之间的差异。
2、因为安全服务只考虑结果不考虑过程,从而规避了技术升级、业务变化带来的成本增加,这些将全部由服务提供商内部消化。
3、安全服务的采购,可以让用户变买为租,这就变成了轻资产,大大降低了企业的安全开销。
在国内安全市场中,安全服务作为新的解决方案,也存在一些困难和挑战,如果这些问题不解决,安全服务市场就可能会“发育不良”,导致自身造血能力不足。具体包含如下:
1、客户认知:目前大部分客户还是基于已有习惯,以买产品为主,对于购买安全服务没有形成习惯;另外,在企业的采购要求中,也没有对安全服务形成一个标准和评估的方法。
2、市场成熟度:大部分安全厂商现在都处于由产品提供商向服务提供商转型的过程中,新的安全服务提供商也处于成长期,缺少成熟的安全服务提供商。同时,市场中,也没有统一的计费标准和计量方式以及成熟的安全服务框架,大部分安全服务提供商还没有形成稳定有效的服务支撑体系。在监管层面,国家也未出台符合市场的安全服务评估标准。
3、品牌效应:从市场角度来看,大家购买安全服务主要是通过对品牌的认知和权威认证,如果缺少这方面的积累,就会使用户在选择购买服务时,对提供商的服务质量和交付能力产生怀疑,不敢轻易尝试购买非品牌或没有权威认证的服务产品。
目前,业内缺少成熟的模型来帮助安全厂商打造更完善的安全服务能力体系,而照搬国外的安全服务模式有可能水土不服。但是万变不离其宗,把握住主要环节的关键能力,就会离成功更进一步。从网络安全服务用户需求的角度来看,以下关键能力需要进一步完善和强化。
1、服务的支撑:要提供良好的安全服务,就需要强大的支撑能力,需要支撑平台化的开发,需要交付管理工具,以及对多客户的交付能力等。目前国内在这方面还存在一些问题,没有形成体系化的服务支撑能力。
2、服务的组织:服务的实施需要严格的组织流程管理,要求人员技能水平可控。安全服务从产品到服务交付的转化需要完整的管控方式,服务质量需要通过量化方式得到可靠保证。
3、服务的推广:需要从客户角度出发,而不是从产品自身出发,展示服务的收益,解决客户的实际问题,满足客户的预期需求。
总之,当前安全服务市场的发展虽然面临一些困境,也有很多能力需要提升和强化,但是,从总体来看,由安全产品向安全服务转变的趋势已逐渐明了,对安全厂商而言,谁先抢占了这个赛道,就意味着谁将在安全领域的市场竞争中抢占先机。
作者简介
沈飙,谷安(安全牛)研究院负责人,长期从事信息安全相关工作,有超过20年的网络安全项目集成与实施经验,曾经主导国内著名银行数据大集中项目的规划和建设,参与并主导国内大型企业网络安全建设规范的制定及实施。对当今主流网络安全技术,以及网络安全规划服务、风险评估服务、安全策略咨询服务有较深入研究。