前言:
从6月23号到7月20号,差不多一个月的时间里,Bruce发挥他特有的温柔的微信催更方式,不断的念叨着 “记得写稿、记得完善”,但整个七月中我都沉迷于七月新番的网络小说《春秋我为王》,一边读,一边复习着书中不断引用的诗经、孙子兵法;复习着谭其骧教授编撰的《中国历史地图集》,看着春秋时代的地理,想象着大河、濮水、泗水、济水、巨野泽河水纵横的风貌,一时手不释卷,无法放下。6月23、6月30、7月4、7月8、7月15日,我都被念叨着,也都敷衍着Bruce Zhang的催更,直到7月20日,Bruce终于温柔的告知到截止日了,就差我和XX了。哎!最怕的就是这句话,一生就怕拖后腿,不幸的是我已经拖了Bruce主编的《安全村文集第二辑》之后腿,于是仓促上阵,挺着有点不太舒服的身体,匆忙写得这一篇,希望不伤大雅,各位看官多多包涵。
正文:
虽然是匆忙上阵,也想有感而发,不期望众人共鸣,只盼望引得大家思考,就先从我自华为退休后负责管理的云清联盟讲起。
从事安全行业多年了,企业安全领域的生态各位也都清楚,绝大部分是合规性建设驱动,是符合“等级保护”、是模板标配化的防火墙配套等拉动着网络安全产品的发展,“重建设轻运营运维”是行业现状的真实写照,大部分行业的网络安全就是如此。但随着云时代的到来,这个状况有所改变。云时代,特别是公有云,安全SRE变得至关重要,因为网络安全威胁的实战和对抗在云的环境上,将变得很密集;数据、情报、安全平台、人工智能真正可以用武的平台就在公有云上,只有基于纵向一体的云–网–端的立体化一体化的安全策略实施,才能真正实践好网络安全。从商业模式的角度分析,网络安全行业也会逐步发展成为结果买单的服务模式,仅仅提供单个产品或服务而不能提供整体策略和服务的中小公司将会被逐步淘汰,或者成为云安全服务龙头公司的生态合作伙伴,市场份额向龙头公司集中将是大势所趋。网络安全界会从宗周时代的诸侯割据向着春秋争霸,盟主聚合小诸侯的形式发展,直至在资本市场的推动下,春秋争霸会进一步过度到战国时代的兼并群小,数雄并起。
那么出现了一个问题,网络安全行业会发展成为结果买单的服务模式,按结果买单的这个结果该如何度量呢?这是困扰了安全界、困扰了客户很久的一个问题。非常重要!
网络安全界有一个共同的行业判断,就是网络安全行业即将迎来三重拐点:
一是客户对网络安全从一般的合规性需求走向更强的法律强制和业务需求,比如:中国的网络安全法(包括不断推出的实施细则和解读),欧盟的GDPR。
二是客户逐步趋向于从产品采购走向服务运维的采购(这是历史的必然,因为安全的专业性导致运维管理的专业、复杂和难度,对人才的需求非常刚性,将导致人才的长期性的短缺,因此迫切需要集中化的运维运营,发挥智能平台的优势来降低人才成本)。
三是客户希望从缺乏运维运营的被动状态到能主动获得安全态势感知和及时处置。
其实这三点归根到底有一个基本前提,就是客户希望能真正度量安全,依靠什么度量?如何建立起科学的度量体系呢?
如何有效度量,也是评价服务商是否真正履行了主动态势感知及处置的服务运维,对服务运维有清晰有效的评价,实践按结果付费买单。从我接触的大型公有云服务商、行业云基础设施的管理者都在提出这个需求,客户不希望自己再承担能力无法企及的集成和运维工作,而希望寻找龙头云安全服务商一站式搞定客户的问题。比如:ddos服务,行业云客户希望实践三重防护的方案,按照方案的设计,原来客户自己要集成本地数据中心On Premises的DDOS清洗防御设备、对接运营商提供的路由压制的流量管理方案、对接云清洗服务商提供的DDOS高防方案,将三者联动的参数、接口协议、交互规则进行统一管理软件来监控,以及商业结算都需要逐个去谈妥,复杂而繁琐,往往效果还不理想。客户希望龙头云安全服务商能提供一揽子的解决方案,这样商业界面也清晰了。客户的需求很现实、也很具体,给云安全服务商带去了能提高门槛的业务机会。
在传统的企业采购中,大到集团公司、小到部门,传统模式都是仅对单个产品进行单独的招标采购,其实即难以满足真正的安全需求,也给安全厂商带去了诸侯混战,跑马圈地的大量销售费用和人力消耗,并且由于分散招标,很难形成各个安全产品的立体联动防御效果和大数据智能分析,无法形成有效的安全服务,同时又是以一次性交付产品的方式为客户提供安全防护,难于满足随时应变调优以满足网络安全那时刻变化的特点。一次性交付产品不对防护效果做任何承诺,只对产品的质量和稳定性提出要求;不对实际的防护、应用、后续持续性运营负直接责任。这样的商业模式会逐步被客户所抛弃,网络安全业务模式一定会过度到以结果度量来付费买单的服务运维模式,这种模式越来越明显,有三大动力在助推着这个趋势的发展,第一是云化趋势明显,公有云业务的发展,以及混合云的建设,从内在IT系统的变迁就驱动了安全转向服务化;第二是企业对安全的认识不断深化,会从一般性的强调合规需求转向能协同整个公司安全能力建设的首席安全官制度的设立,网络安全成为公司运营的最重要任务,让客户的安全认知和需求升级,那么依赖有效度量帮助建立长期有效的主动感知型网络安全运营运维能力将是客户普遍的安全共性需求;第三是会助推龙头的网络安全云服务商出现,帮助整合集成一揽子的安全解决方案和服务,将网络安全向更集约化、更经济、更富有效果的按结果买单付费的商业模式。
又回到了如何有效度量这个问题。有效度量需要科学的认知网络安全,需要多年的专业知识来支撑度量,需要服务商聚合智能平台、安全产品、大数据、人工智能技术来获取和分析数据,在本文中我不想过多的去分析,因为这将是一个非常专业的视角。我提出一个按照互联网大众点评、好评与差评、通过客户的交互互动帮助客户选择合适的云安全服务商的思路,而且我也在云清联盟内部进行推动,建设了云清联盟微互动平台来帮助最终企业客户和云安全服务商的互动,云安全服务商可以通过平台来发布实时动态、邀请和吸引企业客户试用或交流其云安全服务产品,客户也可以点评其产品的效果,点评情况会被其他客户看到,形成互动交流,通过参照互联网的这个方式实现互动,实现度量,这是否也是一类度量的方式呢?
还需要不断通过实践来进行检验!
云清联盟微互动平台: 用户点评、服务试用、用户调研和能力指数评估。
总结:
希望通过客户评价度量的多种方式的实践,为网络安全向结果度量付费、买单的服务运维商业模式转型进行积极的探索,互联网上已经大量成功实践的点评、付费、打赏等评价度量方式也会是一种另类的结果度量实践,让各种可能性实践都来浇灌着产业转型之成功之花。