在错误的时间想做正确的事是最大的错误
窃钩者诛,窃国者诸侯。而如今最大的问题在于,紫禁城里偷古玩的太监太多,而真正想成为一方诸侯的人太少,就算有,也会成为紫禁城里太监粉饰太平的工具。
想象中的网络安全公司是如何服务的
在2020年网络安全高潮中,网络安全服务通常描绘了以下的场景:
一家传统行业的公司,因为其自身信息化转型要求,进行了一系列信息化建设。在此过程中,发现了许多信息安全问题和信息安全合规要求。在自身安全诉求和合规诉求下,企业雇佣了一个有经验的信息安全总管,对企业信息化的信息安全需求进行满足,这就是想象中的甲方。
这位信息安全总管,负责梳理自身业务需求,与各大网络安全厂商(即乙方)讨论、采购、实施对应的网络安全方案。乙方通过售卖设备、派驻人手、提供整体网络安全防护方案赚取利润。同时,将赚取到的收益投入到下一代网络安全产品建设、雇佣更好的研究人员进行漏洞挖掘工作、建设更完善的网络安全预警和方案中。在资本看来,其目标市场是所有信息化的企业,而所有企业都将信息化,也就是说,所有企业都已经是或者在信息化的进程中终将成为网络安全行业的客户。
现实国内的网络安全公司在做什么
现实中,国内的网络安全公司并没有如想象中一样,与业务紧密结合,为用户提供价值。表面上,有这么几个问题:
- 不存在的经验丰富的甲方主管:很多时候,甲方主管并不懂安全,或者甲方安全主管是业务出身,其诉求是“目前的业务系统不能断,最好不改,合规即可”,于是就不算在根据业务+安全互相成就的配置,而是安全全方面适配业务的情况,造成安全产品极大的定制化开发成本和需求。
- 从业者水平参差不齐:国内网安从业者水平参差不齐,没有动力、没有动机、没有能力为客户提供想象中的网络安全服务。售前人员通常是普通院校出身,没有接受过系统的网络安全教育,甚至没有接受过系统的计算机相关教育,仅通过企业的售前课程培养。销售的销售能力主要体现在喝酒上,最后是靠刷脸、人情拿下订单。售后和驻场服务人员亦是如此,在没有技术、没有方案支撑的情况下,他们能做的就是在每年“护网”演习的时候锻炼自己拔网线的手速。
现实是,国内网络安全公司在卖盒子的路上越走越远,产品越简单越好,一句话就能让客户懂;产品价格越低越好,因为安全完全脱离了业务,完全不带来价值,完全是成本支出。人员越便宜越好,最好都是实习生,对客户的服务越糊弄越好,因为产品和方案都只是盒子,不需要也不可能让专家有发挥的空间。
本质上,是国内甲方和乙方达成了一种粉饰太平的默契,人人处于一种不现实的、但是合规的、让领导满意的应付检查的状态之中。暖风熏得游人醉,形成了一个个臃肿的利益集团,他们在过去数年瓜分了“护网”、“等保”建设的主要经费,为自己上市招揽了一批又一批的员工,将他们的血肉投入自己的获利机器中,然后在寒冬到来时将他们吃干抹尽,留下了一百台盒子到一万台盒子的属于网络安全的“蓬勃发展”。
何以至此,未来何在?
我曾经以为,数据流通等新兴方向,由于其内生的安全需求,作为安全公司将是更有能力将这些事情做好的。因为一家数据治理的公司,并不能打消人们在数据交换过程中对数据泄露、数据安全的担忧,但一家拥有整体设计能力的网络安全公司,却可以在数据治理的场景下提供具有安全属性的相关产品,这是传统数据治理公司所难以学习的。但在我的从业过程中看到,网络安全公司更难向前一步,他们已经沉溺于销售驱动的卖盒子中,他们不愿意在关注安全的新兴领域进行投入。我们看到的是密码学学术组织的创业(华控清交),看到的是金融科技的安全创新(微众联邦学习),看到的是数据治理公司提供数据交换和数据安全服务(Snowflake VW),却唯独看不到网络安全企业在这些新兴方向所作出的耀眼创新。
如此沉沦的网络安全公司是没有未来的,有些公司想通过新型的技术(如LLM)缩减定制化开发成本,妄图在原有的一亩三分地上创造竞争优势,但实际上他们没有看见,或者看见了、但是没有可能迈开腿追逐水草丰美之地,如果你说这是因为中国软件行业的付费习惯差,不如说是国内网络安全公司落后版本十几二十年的后果、不如说仍然想遵循卖盒子路线的网络安全行业是没有未来的。
凛冬将至,危机危机,危中有机,或许在这次网络安全寒冬中,在那些巨物轰然倒下,渐渐沉没时,会有新的、改变业态的创新者出现,让我们能够以想象中正确的方式(或许有人喜欢叫它第一性原理),构建一个健康向上的网络安全业态。
为什么不是现在?不是已经出了很多国家政策了吗?
国家政策已经发挥了应用的效果:保证最低的网络安全要求。而实际上网络安全行业的发展,就像是游戏行业发展一样,需要经过一个野蛮生长,先破后立的过程,再进行规范。依我看,目前还没有到成熟->规范的时期,而是刚刚进入行业低谷,需要经过一两轮洗牌之后,才会再有针对成熟产业的更好的规范和政策诞生。