![]()
我从事了大概10年的互联网(网络)安全行业,背景同时横跨产品开发、产品设计和产品商业化等领域,感到了安全行业的蓬勃发展,但也感到我国安全行业存在以下问题:1.与安全行业具有较高技术含量的事实不相符的是,我国企业的网络安全意识普遍不高,网络安全服务产品对用户界面带来的价值长期模糊不清,使得安全长期以来在业务中处于边缘位置,95%以上的企业在IT投资、IT二次建设中,安全的投资比例在0%-1%之间,远低于全球平均的3.3%。2. 由于第一条,经二三十年的发展,虽然网络安全相关政策比如网络安全法、等级保护等不断推出和升级,虽然新基建、5G等红利不断释放,安全行业发展仍相对缓慢。近几年,行业年复合增长率都在20%以上,但这是由整体规模过小带来的,而并非跨越式的发展。直到2019年年末,整个中国安全行业年销售额仍未突破500亿元。3. 由于第一第二条,加上网络安全的防护面极多的特点,就出现了安全公司数量多而分散,同质化竞争严重的问题。中小公司人才获取困难,但比较专注;大公司实力雄厚,但往往要顾及的领域过多、精力分散。比如很多大公司,200多人的安全研发团队,做了20多款内外部安全产品,每个产品除掉一些管理、项目、市场人员,其实一个产品只有几个人投入;而一些小公司,则几十上百人集中某个产品。大公司有钱有才人,但投入比不足,小公司虽整体不那么雄厚,但专注。这就使得安全行业产品的竞争力都大致相当,你这里厉害一点,但那里是我的天下,其他产品则同质化程度严重,有的到了只能靠关系运作才能产生销售额的程度。4. 由于第三条,各公司对市场份额的争夺极激烈,“内卷化”严重,某些获得资本投资的安全企业试图打破均势,但只通过扩大销售队伍、低价竞争等低级手段进行,而没有承担更多的带领行业寻求突破的担当和能力,少有真正突破性的创新产品和技术,不仅没有给行业带来新的发展机遇,反而成为行业发展的负累。行业竞争虽大,但生意却不大,行业里长期能“卖钱”的都是集中在“DDoS高防”“主机入侵检测/防护系统”“防火墙/应用防火墙”等“老三样”里,单产品年销售额超过1亿元都要放鞭炮,但在大公司里与其他兄弟业务或与其他发展较好的行业比,显得十分渺小。5.由于第四条,蛋糕小,竞争大,使得行业普遍只注重“头部”大企业,而长期忽视中长尾企业的安全防护需求。中小企业并非没有安全防护需求,而是十分缺乏相应的技术和手段,只是需要一个价格适当的商业模式进行覆盖,而目前这个商业模式并没有探索出来。10年前到现在许多企业实践的通过“CDN+应用防火墙”提供的轻度网站防护模式解决了部分中小企业的网站防护问题,但也由于价值不明显,也是不瘟不火,这也是安全行业与广大企业、广大用户脱节的一个证明,而一个没有获得广大企业、广大用户普遍认可的行业,要高速发展是不可能的。6.虽也经常抛出各种新概念,但缺乏行业整体的团结运作,使得每抛出一个概念,都是圈子内的讲法,或者你说你的概念,我说我的理念,雷声不大,雨点更小,没有得到企业用户的普遍认可,与普通民众更是隔着千山万水,一般人根本不知道这个行业是在做什么的,更增加了行业发展的困难。到了近年,甚至许多安全概念的提出都是由没有实践经验的第三方分析机构提出的,而安全厂商只是“拿来主义”,放到自己的PPT里包装一下而已,这又是安全行业与广大企业、广大用户脱节的一个证明。“内斗内行,外斗外行”,安全行业的“向外”发展的道路还十分漫长。7.作为行业发展根本的“人才”这一因素,目前的现状、培养都存在问题。现状是行业里具有完整安全训练的人极少,懂安全研发的人可能根本不知道安全攻防是什么,懂安全攻防的人可能不知道安全产品的创建路径,懂产品懂商业的人又没有做过安全产品的研发或者攻防,懂市场运作的人又常常没有专业的安全知识,做管理的一般都为安全技术出身真正懂商业的极少。无论是学校里的课程还是各类安全培训,都是点到为止的给出一些基本的安全常识,比如加密、常见安全体系,而没有系统性的从开发到运营的实战训练,使得培养出来的人连“安全语言”都对不齐。8.严重缺乏对用户体验的完整理解和必要关注。对ToB产品而言,用户体验意味着简约的使用流程和及时的响应,而不只是几个按钮的配色跟上了潮流;对ToC产品而言,用户体验就是个人用户使用得是否舒适。而ToBToC的用户体验的界限也在模糊,无论ToB还是ToC,最终都是ToPeople,还想像十几年前一样,用“这是卖给企业的,不需要用户体验”来搪塞就难以过关了,毕竟越往后,用这些企业或个人产品的人都是天生触网的一代,他们很清楚什么是用户体验的好与坏。
根本的解决方案,一是必须在安全行业寻找新的商业模式,让行业有较大的突破,才能吸引更多优秀的人才加入;二是必须创建出一套系统性培养人才的方案,使得经这一方案培养出来的人,具有“共同语言”,才能协同创新。这些都非一日之功。鉴于本人对人才培养并无过多的实践经验,没有发言权,下面主要谈些安全行业的商业模式和商业化方法。目前国内的安全厂商主要分4类,但这4类厂商的边界也在慢慢模糊:1. 传统的网络设备供应商,进入安全领域。由于安全设备可随着网络设备搭售,且可作为上游卖给其他安全厂商、互联网厂商,所以这类公司一般在行业里销售业绩是最好的。但他们的弱点也很明显,即因为产品涉及软硬件全栈,因此产品贵重,研发销售组织笨重,不依靠着本身已经搭建起来的销售网络就很难变现,在其他网络设备里搭售使得其在企业里的位置相对边缘,投入产出比不一定好看,时时面临着内部的挑战。2.综合网络安全设备提供商。专注安全行业,提供品类丰富的安全设备和解决方案,但一般深耕的某个领域或者某个产品才会在行业里有标杆作用,其他产品则少为人知,比如或者VPN设备很出名,或者堡垒机做得不错,或者防火墙业内认可,很难全面开花全面覆盖。这类企业由于比较垂直,无IT整体解决方案能力,而只能绑定其他的IT厂商,很难扩大企业规模,有可见的行业天花板。即使是行业的头部企业,也并不“巨大”,这也给安全的创业者提供了长期的良好的“群雄割据”的环境。但随着资本对网络安全行业的关注加深,资本的流入会在3-5年内改变自由竞争的面貌,市场份额会向头部厂商比如奇安信等集中。3.互联网大厂安全能力外溢,主要是云计算模式。把内部打磨得比较好的安全能力包装为云安全服务产品对外提供服务,典型的如BAT。他们越来越成为安全行业的主要力量。因为他们一则自身是海量IT设备资源的消费者,二则也可以在某些领域提供竞争力不亚于专业安全厂商的安全服务产品,三则本身具有碾压性的品牌等综合实力。未来安全行业最大的玩家反而可能是这些互联网厂商。但安全在整个IT产品里仍属附属的位置,其独立发展的可能性为零,比如在云计算厂商中,云安全服务产品是搭售在整体的云解决方案中的,如果脱离了云,销售额的得来几乎不可能。4.垂直安全创业公司。一般只专注于某个技术点、产品点,比如或者做AI安全或者做威胁情报或者做一些国内外新兴的概念的落地,以差异化的与巨头展开竞争,最后要嘛被收购,要嘛专门给巨头提供服务,年销售额几个亿已是非常好的成绩,但要再实现大的突破就非常困难了。而且由于品牌和议价能力普遍弱,这类厂商的回款较困难,有的年回款只有30%,对企业的资金和日常运营造成非常大的压力,这类公司是国家应该重点保障的,否则他们一面面临着巨头的垄断,一面承受着甲方的压迫,不利于整个网络安全行业的健康发展。随着国内网络安全需求的不断增长,上述4类厂商的边界已经越来越模糊:网络设备商也可以做云,安全厂商也可以做云安全产品,云厂商也可以做安全设备或者投资收购安全厂商……相互交错、逐渐模糊,这种趋势短期是不会改变的。国内安全厂商的商业模式是什么?在我看来,目前国内安全厂商还没有走出一个称得上成功的商业模式。什么?一个一年好歹也有500亿产值的行业,怎么会没有成功的商业模式呢?按照埃森哲的理解,一个成功的商业模式需要同时具备3个特点:一是能提供独特价值;二是商业模式难以模仿;三是能给企业带来稳健的发展。目前国内安全厂商主要靠什么来获得销售额呢?不外乎直销、渠道和OEM,这只能说是卖东西的基本方法,而很难说得上是“商业模式”。直销,对应的是厂商中的大客户部,主要获取和维护少数大客户,这是大部分厂商的主要销售额来源。渠道,则主要帮助厂商覆盖海量的中小客户,以节省开支和人力的同时又能本地化服务用户。OEM,则是以白牌的形式为其他厂商提供某些技术产品或者模块,获得整体销售额的分成。那如果非要套用商业模式这个词,国内网络安全行业的主要商业模式是什么呢?主要有以下几类。
文章来源: https://mp.weixin.qq.com/s?__biz=MzAxMjIyNDE4Mg==&mid=2651759048&idx=1&sn=b8bd548ebe6c7e81cae4ba361d44706c&chksm=804f1211b7389b077eb27dafb00007a6e6add7089e661f9766c0f0478cb594edbea7b435b42c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh