常人不从长期而持续的累积过程来看待生命因积蓄而有的成果,老爱在表面上以断裂而孤立的事件夸大议论,因此每每在平淡无奇的事件上强作悲喜。
彭明辉
也许是在 20 年前,确切时间已不可考,读了彭明辉教授的文章,看到了上面的这段话,瞬间被击中,于是“不在孤立的事件上夸大议论,不在平淡无奇的事件上强作悲喜”就成了一直指导自己工作、生活和思考的戒尺。词藻看似华丽,其实是对“实事求是”四个字最确切和朴素的解读。
实事求是的代价,是缺乏人情味。因此作者的很多观念时常容易被同行们认定为负面和有针对性,这里要特此说明的是请大家勿要对号入座,如有得罪多多见谅,实乃无心之失。
另外需要说明的是,作者过往经验混杂,一半甲方,一半乙方,还兼着一个创业者的商业化身份。因此在文章中不自觉地就会有身份转换,有时是站在甲方角度评价乙方产品技术,有时是站在乙方角度叙述甲方的特色,有时又是站在创业者的角度分析市场未来。角度变化,情感色彩随之而变,读者如果思绪还来不及转弯,也容易产生情感上的偏差感受,还是抱歉抱歉了。
以下是正文,只是作者肤浅的认识,请读者多加判断。
作为一家创业阶段的数据安全公司,我们也在艰苦奋斗阶段。但如果有人告诉我,未来我们侥幸做大的结局,就是如今这些网安龙头企业的局面,那我真得考虑卷铺盖走人,开始漫漫偿还投资人的打工之路了。
同样的网安企业,同样经历了三年抗疫,国内外对比可真是极致的冰火两重天。
图来自“数说安全”
导致如此局面的原因,这里我们只站在安全乙方的角度来看,除了国内厂商难以迈出国门,去服务全球化更大的安全市场外,最主要的一个原因是国内头部安全厂商市场过于狭窄在体制内,铆足劲了吃皇粮,就盯着党、政、军、运营商、医疗、金融、高校,贪一时之欢了。
企业结构:为了吃皇粮,安全企业通常的结构是这样的:一个产品经理,三个程序员,100 个渠道,1000 个销售,盯着数目确定的体制机构客户。
收入结构:1 个亿的项目,分 2000 万给渠道,3000 万给销售,1000 万客情(出差、会议啊总得花钱嘛),500 万给产研,剩下的留存。
收费模式:民营企业客户还能接受按年订阅,体制内机构往往都是一次性项目,这意味着厂商第二年又是从 0 开始搞项目。搞不到项目,或者体制预算不足,那还得拿余粮补贴销售、渠道和客情。
对比国外的友商们,他们服务于全球的客户,因为安全的特殊性,往往无法进入他国的体制内客户采购名单,那也只能去做民营企业客户,这就打脸了国内很多安全厂商一直在强调国内企业不重视安全和没有安全付费意愿的说辞。靠着庞大的民营企业群体,放弃一个项目赚他一个亿的痴心妄想,老老实实按价值定价,一年收个几万到几十万的费用,每年都收。这样保障每年都有相对确定的收入进账,即使遇到经济危机,顶多也是企业增长放缓而不会致命亏损。
期望国内的网安龙头大哥们,能够迈一条腿出来,要么迈向国际化,要么迈向民营企业,踏实攻坚产品技术,少点行业标准的投入,为我们这些后来者做榜样,带领中国的网安行业超越国外的对手们。
这是一个社会现状,至少是在作者本人接触过的几百家企业的现实情况。最喜欢信息安全专业毕业生的,往往是乙方安全厂商而不是甲方企业。并且进入乙方的这些毕业生,也很大比例变成了程序员或者售前,象牙塔里的习得的各种安全专业知识并未被用于保护现实的数据世界。在甲方企业,从事安全岗位的管理者,甚至几乎大部分不预先具备安全行业经验和专业知识,一般由跟随企业发展起来的研发人员或者运维人员担任。他们在企业成长过程中积累了很多实战经验,不需要事先具备系统的、专业的安全理论知识,就能胜任企业安全管理、规划和治理的责任。
但同时也因为安全人员自身也在从头开始成长,那就至少在某些方面一定会导致企业在自身安全建设上的弯路,他们在面对纷繁复杂的安全技术、天花乱坠的产品和层出不穷的安全新名词时,如何做出正确的决策,就显得特别困难。因此过时的安全之路,还是会不停地有人重新走一遍,跟着行业宣传大搞数据分类分级,做完才发现派不上多大用处、大力推广 DLP 后才发现误报太高只能当日志系统、上了零信任才发现也就比 VPN 多了几个配置规则的纬度。
隔壁的各大权威咨询机构又准时发布了 2024 年的网安预测,一定又少不了创造一些新名词,我没看,但按照惯例一定如此。我曾经一度很抗拒接受网安行业的造词运动和浮夸之风,但回过头来想想哪个行业不是这样呢?网安行业真可不用背这个锅。
不知道还有多少人记得要炸掉喜马拉雅的牟其中、宣传克林顿都吃的脑白金、中国女排靠喝健力宝夺冠的宣传,再到各式各样的排名榜,哪个不浮夸,哪个不虚无。想想也就逐渐释然了。
同时也好在浮夸了这么些年,又遇到如今经济低迷的局面,无论甲方也好,乙方也罢,也都逐渐恢复理智,直面现实了。务实,将成为中国经济未来的主旋律,来不得半点虚假,这是好事。
2024 年国内也还不会出现大额的,因为数据泄露或者侵犯个人隐私的处罚案例。中国的安全立法已越来越完善,但执法落地的过程依然还需要一段时间,国内企业近些年面对的不确定性实在太多,政策上作者判断不会选择在今年大砍企业一刀,数据安全的处罚依然会集中在金融行业(银行、保险、基金),针对民营企业大概率还是会体现在类似 2023 年的足浴店、网吧、小区物业之间。
零信任替代 VPN 是必然的,但是甲方需要调整对零信任的预期,零信任真正落地的好处在于内网系统隐身,次之才是“永不信任,持续验证”的理论好处。因为持续验证是需要付出巨大成本和较强的业务容忍度,这两者都不是甲方的 IT 和安全团队能接受的。
持续验证需要大量的用户行为和上下文计算,需要实时地对用户真实身份和行为合理性做出决断,这是一般企业依靠乙方的安全产品难以做到的,也缺乏足够的数据用于建模。大型企业有技术,有数据的前提,也要付出很大的数据计算成本。因此往往现实中的零信任产品,在功能性上只是相比以往的 VPN 多了些针对用户身份和域名的安全规则配置能力。在动态校验上,也只能是预置针对新设备登录、IP 变更、Wifi 名变更等场景下的动态二次认证能力。
另外,引用周智博士的分析如下,推荐大家关注公众号“冷眼安全观”:
毫无疑问,从降低非法攻击入口、对正常用户进行持续检测以规避滥权的角度来说,零信任技术理念当然是正确的。但从其技术要点来说,SPA、PD、CE、PE 等逻辑组件的发展并不是处于相同的成熟度,因此,甲方需要对市场上的过度营销保持高度警觉。
隐身技术、简单且高度准确的验证技术、加密技术能够立刻体现零信任理念的好处,但是所谓通过UEBA、态势感知、SIEM等检测类平台实现持续检测和授权控制的技术,则因为国内太多公司在UEBA、态感、SIEM这些概念上的持续炒作而并没有在每个时代彻底解决其根本问题的现象广泛存在,高误报率是不可能被实时访问的用户所接受的,高漏报率、误报率决策也不可能为零信任技术提供宣称的价值。
将零信任技术和身份管理技术对立化甚至孤立并存的现象也是广泛存在,而忘记了在零信任架构下以身份为核心建立持续验证的核心内涵。
在大量的用户为解决南北向访问、引入网络隐身及部分精细策略实施控制的能力之后,由于不成熟的多维度验证能力陷入停滞、应用发布、用户访问易用性等问题凸显,零信任从最初的狂热进入冷静期。
对企业内网的保护,并不是 SASE,我已经在这里详细阐述过。作者狭隘的判断是,很遗憾国内只有零信任(ZTNA),没有 SASE 存在的现实基础。
2023 年对于终端沙箱产品来讲,一定是非常难熬的一年。这里的沙箱是指被创新的用于数据安全保护场景的企业办公沙箱,而非用于恶意文件分析的病毒沙箱。我把这叫做传统沙箱的反向用法,非常巧妙和有新意,但坏消息是 2024 年沙箱阵营会分化得更厉害。一半是头部厂商掌控的,售卖给体制内机构的沙箱,能卖出去,甚至机构会排队购买,即使是买而不用,因为“沙箱”已经正式进入了某些行业的合规标准里。但是对于那些沙箱小厂商,如同我们这般的创业团队的产品来说,将继续在沙箱产品层面继续陷入应用和终端适配的困境,更在市场拓展上遭遇更大的阻碍。
图中是所有已经在内部安全上投入重兵的企业的痛处,也是安全从头开始建设的企业极力要避免重蹈覆辙的问题,是行业通识。
现在是站在创业者的角度,终端一体化的市场竞争极其激烈,留给小创业团队的机会窗口,十分狭窄。
因为站在甲方企业的角度来看,那些买了深信服或者奇安信 VPN 或 DLP 或杀毒的企业,如果需要合并安全终端,最佳的选择一定是在已有的 VPN 上升级,而不是重新买个第三方的三合一客户端,去把老的几件套挨个摘掉;腾讯系的企业,会选择 iOA;字节系的用飞连;(这里没有阿里什么事,阿里也有这样的产品,但是依公司现状只能在阿里不同部门之间内部消化)。那么留给新兴乙方的机会,也就剩那些在过去发展还不错,终于要开始建设企业安全的企业了,产品能力拼过其它创业公司和飞连就能胜出,毕竟对方价格都能打听到,不会吃报价的亏。
云桌面并不是一个纯粹的安全产品,但是基于它被广泛地用在安全的场景里的事实,这里也提一下。
Citrix 退出中国,国内云桌面会迎来巨大发展吗?不会。
Google 当年退出中国到底是什么原因呢?是因为中国的搜索引擎市场太小不值得投入?还是 Google 的搜索引擎产品弱于国内产品?还是 Google 的市场开拓能力太差?知道的人都知道,都不是这些原因,但结果显而易见,Google 走了就百度起来了。
但是 Citrix 退出中国的原因,和 Google 并不等同,云桌面市场的萎缩反而是一个不可忽视的原因。
基于公有云的通用型云桌面也许就是一种错误的存在,云桌面前身是本地化的 VDI,出于终端统一管理和数据安全的诉求,已经有很多应用场景。主流的厂家是国外的 Citrix 和 VMware,前者在企业应用较多,后者在国内金融银行业比较多。国内主流玩家是深信服,锐捷的虚拟桌面产品,主要客户群体是政企,医疗和教育行业。
虚拟桌面有天然的数据安全好处,数据不落地,但是其缺点也极其明显,主要体现在两个方面。其一,就是使用体验极差(响应速度,体验,图像失真,网络连接不稳定等等),任何注重办公效率企业都不会普及其应用场景。其二,成本巨高。一个普通的虚拟桌面项目,资金预算没个几百万打底根本别想落地。主要涉及虚拟产品的授权以及服务器资源采购,还有就是实施对接成本。一般企业用不起。因此传统虚拟桌面,都集中在银行、政企,这些安全导向,效率体验要求不高,且资金实力雄厚的客户群体去采买使用。从技术角度上来讲,现在的云桌面的核心依然是虚拟化传输协议,服务端资源的灵活调度与管理并不是关键要素。核心的虚拟化协议,国内并无突破,离Citrix和VMware的私有协议差距还在20年以上。即便达到了国外产品的技术水平,成本和体验依然无法解决。要达到可用和好用的标准,订阅云电脑一年的费用就够买一台实际的电脑了(不要相信各大云平台各种优惠的广告宣传,什么几百块钱就能买一台云电脑之类的鬼话),这样高昂的成本,谁脑子被驴踢了才会去买。
事实就是党、政、军一直被深信服等占据着,民营企业本来也买得少,甚至于一些公有云平台上宣称的云桌面其实内核就是 Citrix 套壳,根本摆脱不了。
Citrix 走不走,又有什么区别!
大家都是浏览器,但并未站在同一起跑线上。正如在以前多篇文章中强调过的一样。Talon 管控的企业应用,正是国外企业非常常用的一些三方 SaaS 应用。如何将这些主流的企业 SaaS 无缝地管理起来,至关重要。在国内,没有这个条件。
以色列企业浏览器 Talon,成立 2 年卖了 45 亿,国内安全浏览器看到曙光了?
全文均为作者个人的狭隘理解,并不针对任何人和企业,请读者不要对号入座,谨慎参考。