听说好?卖得好?用着好?网安产品怎样才算好?

资讯 作者:安在 2022-07-13 20:58:07 阅读:343



从2020年始至2022年,安在新媒体连续三年发布《中国网络安全产品用户调查报告》(下文简称“报告”),该报告最大特点为“基于用户,取之用户,利于用户”。有幸得益于网安业内人士的赏识与抬举,让报告在网安领域拥有“大众点评”的美誉。


今年6月,该报告第三版正式发布。问世之后,很快引发诸多争议。“横看成岭侧成峰,远近高低各不同”。每个人的视角与立场不同,所以看待报告也能得出不同的观点与结论。对此,我们完全可以理解,并对诸多争议观点进行了思考与总结。


为了阐释许多读者的疑惑,解答众多争议,我们特别邀请对众多安全产品有着深刻体验的某集团CSO陈建,中国网络安全第一代产品经理、前启明星辰创新业务群总经理吴海民,对安全产业有深刻见解的业界投资人繁星创投创始合伙人许俊,安在新媒体合作人及安在新榜出品人张威,齐聚线上直播分享。本次直播由安在创始人张耀疆主持。



(从左到右、自上而下分别为张威、张耀疆、吴海民、陈建、许俊)



2022版报告的主要特性与价值



直播之始,张威介绍了该报告的特点,今年报告总结前两年经验,进一步优化提升。当然,报告也可能依旧存在些许不足之处,众多读者的意见和建议,将会是安在不断改进和优化的参考。


张威指出,安全行业发展越来越复杂,而鉴于市场上为甲方发声较少,所以今年报告调研了1600多份甲方用户样本,覆盖全国30多个省,13个行业,希望能够全面性地报道现在安全行业的现状,愿给业界提供更具有针对性和指引性的参考。


此外,今年报告调查的样本涉及到102种安全产品及服务品类,希望能真实客观地反应甲方在一定时间段内的数据,这也是安在出品此报告的出发点。并且总结前两年经验形成“一览图”,即每个品类的产品和服务都涉及20家以上的厂商竞选,并对所有品类产品的前十强进行统计形成览图。


今年报告中的“百强榜”,主要是从两个维度来考量,一是部署量,二是在用户满意度基础上,再加上其产品的覆盖率。故而“百强榜”不代表安全厂商的真实实力,只代表厂商在用户心里的影响力。


鉴于该报告主要是甲方用户为主要调研对象,所以在调研及报告中也难免有一些不足之处。比如在调研过程中某些特殊行业,比如政府、军工等反馈较少。而从结论来看,对某些技术过硬但推广渠道不足以及对用户端感知较弱的厂商会有失偏颇,但整体还是表现出了大部分用户对厂商产品的一种倾向性,即对厂商影响力的判断。


此外,《2022中国网路安全产品用户调查报告》有两个版本:免费版和付费版。


免费版,即《2022中国网络安全产品用户调查报告》精简电子版:该版本除了包含本文前述所有核心内容外,有更多延展性的数据分析和重要结论,感兴趣的可以去诸子云知识星球下载取用(加入诸子星球的途径在文末)。


付费版,即《2022中国网络安全产品用户调查报告》完整纸质版:该版本除了本报告精简电子版全部内容外,更有所有网络安全产品、服务和信创产品在细分领域详细的指标打分和用户评价,以及多个重要行业的数据分析和重要结论。完整纸质版后续会上架安在微店对外销售,保持往年一致,定价1000元/册,目前提供5折优惠价预售,一个月有效。




企业用户安全能力成熟度何以显著提高


张耀疆指出,从今年报告中可以看出,相比去年,企业用户在安全能力的成熟度显著提高,主要表现在以下三个方面:一是组织架构的成熟,二是工作驱动是合规驱动,三在技术落地上有很多综合性的解决方案。


对此,陈建认为,近几年来,市场上大中小企业在安全投入或安全组织架构上,确实在不断成熟,主要原因是:


一、网安法颁布以后,企业机构或厂商举办的安全大会越来越多。从法律角度来说,国家对安全的高度重视,就直接会反映到企业的正常运营之中,因为合规是底线。


二、尤其在上游厂商或者相关厂商之间,有涉及到数据层面的业务合作,会从其上游或者下游传递过来的压力,这也是他体会到的一个促使组织架构成熟的非常重要的因素。


但是,陈建觉得其实国内企业里有CSO角色还是非常少,大部分是安全负责人,在管理层或者决策层很难发挥重要作用,更多的是技术领域的专家或者首席。这方面跟国外还是有差距的。但他希望,未来在中国企业的管理层,能有更多CSO的角色出现,这样才能让企业重视安全。



网安发展的驱动力正在发生改变


张耀疆分析称,前些年网安发展主要是事件驱动,现在随着网安法、数安法等安全法规的颁布,合规绝对是第一驱动力。但是每一家企业在进行技术落地的时候,又有自己的选择性,也有各自的一些特点。比如在用户端,企业选择产品,更多是一种综合性的分析,并且对可视化的要求比较高,而部署量增长最快的安全产品里面排名前三,分别是安全管理平台、IAM、资产管理平台。


对此,陈建认为,企业管理层迫于合规的压力,对安全的感知会比较直接,安全的现状则需要安全负责人或者CSO去回答,比如说通过可视化产品,直接展示给管理层相关的风险的信息,让管理层了解到安全的投入及回报。可视化大屏最大的好处就是,它能够直接通过图形直观地表达,让受众或用户获知信息的渠道更清晰更简单。


但是相对小微企业或创业企业来说,可视化不会作为他们的第一选择要务。大部分小微企业对安全的感知相对较弱,并且在安全投入上也较小,一般以解决实际问题为主。而中大型企业要去给解决管理层提出的问题,则更倾向于选择可视化。 



企业如何做安全预算?


张耀疆称,报告数据显示,2022年度企业用户安全预算占比IT预算的占比中位数约为4.79%;在具体预算数字上,预算在30万以下的企业占33.33%;预算在30万至100万之间的企业占24.74%;预算在100万至300万的企业占9.26%;预算在300万至500万的企业占14.14%;预算在500万至1000万的企业占比为10.61%;预算在1000万以上的企业占比为8.92%。


相较于2021年,企业预算调整分化明显,预算在10万以下企业占比激增,预算在10万至300万区间的企业占比下降明显。而超过300万至1000万预算投入的企业则明显增多。企业预算分布形成“两头大中间小”的新特点。


在预算方面,陈建也是感触颇深。他认为在企业做安全,财务成本投入非常关键。


陈建说,所谓的安全投入在it预算的占比参差不齐,主要表现两个方面:


第一、it预算维度不同。it成本的投入计算时包不包含人力成本,同样计算安全投入是否只是计算对外采购的费用预算。他认为在相对成熟的企业里面,安全预算综合占比在3%-5%之间,而此占比应该包含人员成本。


此外,陈建认为在企业里面,企业预算分布“两头大中间小”也比较正常,因为在小企业在安全上很难有大的投入,首先吸引人才就比较难,但是迫于合规或者解决一些安全问题,他们更多的是通过外购简单的方案。


第二、基础设施投入的扩大以及腾讯、阿里等互联网厂商在云上的推动。其实小企业在阿里云、腾讯云上去选择一些安全产品,投入也不是很高,而且计费灵活。而大企业相对来说,安全投入越来越大,主要是因为大企业普遍是会受到监管的要求,这是一个客观的现实。并且网安法的出台,以及近几年因为合规导致的案例,起到很大的警示作用,所以大企业在安全上的投入连续上涨。


业内有“内生安全”的说法,但在现实中有这种认知的企业还是相对很少,所以在企业里面做安全预算仍是比较艰难,因为其很难量化。


陈建表示,作为CSO其实都不太愿意发生重大安全事件。如果这种情况发生在CSO身上,CSO首先考虑的是自身还能不能生存下去,而损失的数据对于大部分企业来说,其实很难量化,它不是一个纯线上的一种价值变现的过程,它可能还有很复杂的逻辑。


所以陈建不希望看到“事件驱动导致的安全的投入”,他认为这是非正常的渠道,并且损失的评估也不是很准确。




企业采购安全产品发生明显变化


在安全产品相关问题层面,张耀疆说,调查报告显示,随着数字化转型和新冠的疫情影响,企业在采购安全产品上发生了许多明显的变化。比如拿2022年二十大网络安全产品来看,首次上榜有多款产品,比如终端检测与响应、Web应用安全扫描及监控、身份认证与权限管理IAM、安全管理平台等,这些产品皆是以软件为代表的综合性监控和管理的产品,这和以前防火墙、IDS等为代表的传统盒子类的硬件安全产品形成明显的对比,这显示出基于软件的安全产品形式开始得到用户的接受。


与此同时,在新冠疫情和数字化转型的趋势下,企业内网的边界正在模糊,导致企业对安全保障的态度从单纯的边界防御向“综合性持续检测+快速响应”方向发展。对此,作为第一代产品经理,吴海民如何看待这类问题?


吴海民认为,需要理性视之。产品经理要看市场,不仅仅是看报告看数据,更要看清报告数据后面的原因。这些产品能够出现在榜中,其实很简单,首先面对的客户对象大多数已经上云,上云以后企业内部需要采购终端管理,逻辑上合情合理。


此外,因为应用大量WEB化,所以要做WEB管控。WEB化以后入口可能要防,但只不过防的方式不一定是WAF,也不一定是过去的防篡改,可能是API或者其他安全管理平台,其实这都是产品形态的变化,本质上是产品的一种外包装,当然外包装也很重要,但站在安全角度,还是要看到它的本质,这种变化一定有它的内在的逻辑性。


所以吴海民认为,今年报告特别适合独立思考的产品经理以及销售的VP或者是销售的管理层,因为从这个报告中,能够知道自己产品覆盖的地区及行业。



各类安全产品的满意度出现分化


张耀疆指出,报告调查显示,2022年度企业用户对网络安全产品服务的整体满意度为81.59分,较2021年度略有提升。在用户对网络安全产品使用满意度的分析中,云基础架构、风控及反欺诈、移动应用安全、安全教育等类型的产品服务用户满意度最高。而灾备系统、威胁情报、渗透测试等类型的产品服务用户满意度较低;在对网络安全服务的满意度统计中,渗透测试与安全意识教育的满意度最高,而驻场安全托管服务的满意度相对较低。


对此,吴海民认为,满意度的提高,归结于做产品的年轻人,同时他们的服务也在进步,在专业知识、学习能力等方面有所加强,他作为第一代的产品人,对新一代的网安工作者充满着期望和期待,这也是他从报告中的很大感触。


此外,吴海民认为,经过以前云事故的反思,现在云市场已经基本成熟,所以大家对云基础架构认同提高。而风控层面的反击战,专业性比较高,产品上市前一定做了测试或一定时间的试用。


吴海民提醒大家,看报告不仅仅是看报告本身的内容及数据,关键是看报告背后关联的事件,也真诚希望安在在下一年能增加调研用户的样本,做成真正的“大众点评”。另外产品的好坏千人千面,希望大家不要过于苛刻,只要能从中学到自己需要的就是好产品。




信创产品逐渐得到企业用户接受


张耀疆认为,今年报告把信创单独作为一大部分来呈现,是一种“增量”。报告数据显示,信创产品的部署量较上一年度同比增长332.49%,但部署总量仍然较低。显示出随着国际局势的风云变化以及国内法律法规及监管政策的引导,信创产品替代逐渐得到了企业用户的接受,正在从观望状态向试用状态转变。


吴海民则认为,信创的安全产品到底是什么,都现在都没有一个定义。但是从其实践经历角度看,信创安全产品,比如说通过信创适配的防火墙叫信创FW,通过信创适配的IDS则叫信创IDS;等信创产业发展起来,比如基础设施应用等都在信创的大基础上,那时诞生出来的一种场景。


但现在,吴海民看到是信创的大潮,安全产品被迫去适配所引发的市场;未来应用场景成熟以后,挖掘出一些独特的问题,然后衍生出来一些产品,可能才真正叫信创安全参与。至于未来的宣传安全产品是不是就一定是通过适配的安全产品,其载体是不是信创平台,可以拭目以待。




国外安全厂商依旧占据部分市场


张耀疆谈到,本年度所有部署产品涉及的安全厂商品牌总计为363家,该数量较上一年度增长了80.59%。新增厂商主要来自于数据安全、云安全、物联网安全、工控安全和信创产品等相关领域。在厂商品牌总数量增长的情况下,国外安全厂商品牌的绝对数量较上一年度进一步下降,从37家下跌到30家,仅占所有品牌数量的8.37%,该占比,较上一年度下降54.56%。


对此,许俊表示,从斯诺登世界开始,很多外商特别是网安领域的基础软件开始撤退,但是从另外一个角度去看,300多家里面依然含有30家国外厂商品牌,而百强中则占比为15%。这说明很多甲方愿意考虑国内的产品,所以国内的网安公司还有非常多的机会。


但是现在甲方愿意考虑国产的情况下,依然还有很多国外的产品,说明甲方找不到更好的国内产品,或者足够来替代海外品牌的产品,某种程度来说,乙方还是可以继续努力把产品做得更好。


许俊认为,百强榜中,国外品牌依然占据15%的比例,当然人家做的时间久是一个原因,另外一个优势是它面向全球市场,也就是它客户类型、应用场景都很多,产品打磨比较优质。其实在国内现有的环境中,只要我们少内卷多合作,还是有机会把产品打磨得更突出,也是能跟海外多年沉淀下来的产品比试一番的。


另外,中国网安公司有没有机会往海外走?许俊认为还是可以考虑的。比如基础技术的领域,伴随着我们的一带一路,在国内产品打磨好之后,还是有机会往海外走一走,拓宽应用场景。



网安领域新面孔越来越多


张耀疆提出,报告统计显示,2022年度在各领域中,有123家新上榜的企业,这些新面孔代表着网络安全市场的新力量。主要集中在数据安全、应用安全、身份和访问控制、云安全、物联网安全、工控安全、信创常用软件、信创平台软件、信创基础设施等领域。


对此,许俊认为在创业公司里面又出来再创业的案例非常多。并且今年网安创业也确实比较热,主要原因有以下五点:


一、网安市场在逐年增长,以前有三四百亿,今年至少有800亿;


二、随着网安法的颁布,甲方用户对网络安全投入逐年增长,今年的数据大概在5%,而之前看到的数据在2%,大家对安全重视程度越来越高,市场就会越来越热;


三、从投资角度来看,创业投资要看有比较确定性的成长机会,而网安依然是有确定性的成长趋势的行业,投资的竞争对手也多,也确实促使了网安团队出来创业;


四、近几年网安市场的发展,也培养了一批优秀的人才;


五、作为一个投资人来说,网安细分领域非常多,即使上百强榜的大公司,也不可能覆盖所有行业场景。这是一个成长机会。


此外,在许俊看来,其实攻防对抗的本质始终存在,所以才会有网安的不断更新发展,比如最近几年很火的零信任,随之会涌现出一批零信任产品,零信任公司。网安本质上还是一个伴生的技术,随着新的技术的广泛使用,那么新技术带来的新的安全问题也要去解决。


所以新的领域又会带动很细领域,而这些新的领域对于一家比较成熟的公司来讲,其不一定会去关注。但是对于一些想要创业的人而言,其可能觉得发现了一个新的肥沃土壤,就开始先专注去做。


许俊还看到一个现象,以前乙方出来的创业比较多,现在甲方出来的也越来越多,其实就是他们自己在工作中看到很多需求,这些需求没有办法得到满足;然后整个市场热度又很高,再加上投资机构也愿意去做,所以吸引了很多的甲方创业者。


另外还有学校的老师以及刚毕业的学生或者海归做专项研究后,选择创业,作为投资来讲,我们有比较多的选择的空间,这是一件非常好的事情。


这个报告不仅仅是关于用户产品的“大众点评”,其实对甲方用户来讲,如果真的有些有心,其实也是一个非常好的参考。对用户来讲,也是另外一个维度的视角,对厂商而言更是如此。



观众互动问答环节问题精选


问题一:既然100多个分类,本次榜单是用厂商名称来排列的,是否将来可以以产品的品类维度来排Top10的厂商?


张威:我们现在是以产品的分类来排 Top10,我们有一张大众点评的一览图,可以关注安在公众号,找到相关发文,即可在百度网盘下载这张图。现在这100多个品类的产品并不代表说现在市面上所有的安全产品,我们只是把一大类型的安全产品进行分类,就有100多类。在每一个分类当中都对Top10的厂商进行了分类排名。在我们的详细报告当中,每一个子类中,每个厂商的市场占有率以及它的产品的满意度都会有更详细的说明。


问题二:如何在高层面前体现更多的安全价值,而不是不出事如何破解“出事先下岗,平安无价值”的两难困境?


陈建:首先跟高层的沟通,主要体现在日常、月度、季度、年度分不同的阶段去跟高层去讲一些事情。


你重大项目的进展, KPI的达成,肯定要跟老板们报告。达成不是只是说装了多少机器,覆盖了多少的终端,这些是基础的指标,更重要的指标是体现在业务价值上,比如终端层面上拦截了多少次数据外泄的事件,老板可能对这个感兴趣,如果再把这些事件能转化成业务价值当然更好。


另外,要定期跟老板沟通,加强其危机意识。比如新的法律出台以后,我们一般在当天最晚或一天后出最新的法律解读:结合集团的现状、新的法规在我们产品合规层面面临的风险,然后基于一些特定的法规,比如数安法出来后,我们会在整个集团去做全面的解释,以及专项的检视行动,然后出具报告,提交领导层。


在工作中不是说一定不出事,但是对风险要有把控,除了制度外,还要在日常的工作体现,花费多少钱提供了什么价值。另外,不要讲太多的安全的术语,你要把它变成更让业务听得懂的话去讲。


例如我们年底的白皮书,主要讲集团的现状安全,不光是体现的成绩,还有面临的挑战及出现的问题。我刚才说了最好不是自己出事,当别人出事的时候,你可以借机去跟老板去说一下自己工作的状况及防御的体系等等。这还是体现在日常工作中。 


“出事先下岗,平安无价值”,其实你日常做了很多工作,老板是能看得到的,当出现一个安全问题时,他也会对其做出风险判断,老板其实也是通情达理的,毕竟他还需要你来解决这个问题。


任何一个企业里面CSO你要保证没有出问题,这是不可能的。所以还是需要在日常工作中去把形象或者老板对你的感知建立起来,可以在跟高层的对话中占据相对有利的位置。


问题三:如何将安在的报告变得对网络安全市场有推动作用? 


吴海民:我希望安在持续做下去,要形成一个积累的库,然后咨询机构可能就不再找厂商的市场部了,也不再找厂商的市场部后面的产品线了。


如果真能做成一个第三方的大众点评机构,这里面的价值就很大了,它确确实实能推动网络安全市场。安在在此基础上提炼加工,也会成为中国网络安全市场统计,这是双赢的局面。


许俊:甲方的声音肯定是非常重要的,但是唯一一点,就是说我们希望反馈的是甲方的真实的声音,但是真实的甲方声音,怎样把真实客户的声音筛选出来,是一个很大的挑战,希望安在能做得越来越好!



本次直播完整版视频回看,敬请移步 安在视频号 




推荐阅读




发布 | 安在新榜 · 2022中国网络安全产品用户调查报告

“凭啥我没上榜?”关于安在新榜最新报告,请看Q&A






齐心抗疫 与你同在 



点【在看】的人最好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接