我对安全服务的看法(2/2)
本文探讨了网络安全服务在行业发展中的重要性。尽管网络安全行业已有近30年历史,仍处于早期阶段,标准化产品无法完全满足快速变化的需求。通过提供高质量的安全服务,网络安全公司可以弥补技术、客户需求和合规要求带来的空白,并与客户建立深度关系。服务不仅仅是交付工作,更是营销的关键策略,为公司拓展新业务、增强市场竞争力提供了宝贵机会。
在第一部分中,我们探讨了什么是服务。这一篇文章将聚焦网络安全行业,深入谈论网络安全服务的特点和价值。
在服务行业,最初并没有“产品”的概念。然而,当某些服务通过一批用户的长期使用和验证,展现出普遍需求时,便开始了产品化的过程。产品实际上是服务标准化和自动化后的产物,其发展程度与行业的成熟度密切相关。因此,在讨论网络安全服务之前,我们需要先了解网络安全行业的发展阶段。
网络安全行业的发展阶段
正如在这篇文章中所论述的,尽管网络安全行业已经有近30年的历史,但整体上仍处于发展的早期阶段,并且在相当长的一段时间内仍将如此。这种发展阶段带来了两个关键问题:
标准化的产品无法单独应对复杂多变的环境
在网络安全领域,技术更新迅速,如容器、FaaS(无服务器计算)等新技术不断涌现,同时客户的数字化转型路径各异,业务需求难以明确,此外监管部门也在持续发布新的法规要求,这些变化给企业的安全建设带来了诸多挑战。标准化的安全产品在这种动态环境中往往难以完全满足需求,因此需要通过服务来黏合和填补空白,以适应新的技术和业务变化。新的服务难以形成标准化和自动化的产品
由于网络安全行业还在探索阶段,许多服务项尚未形成一致需求和最佳实践,因此难以实现标准化和自动化。例如渗透测试这类服务,虽然在某些场景下已被广泛接受,但仍然停留在手工操作或工具辅助阶段,无法形成类似防火墙或杀毒软件那样的产品化服务。
在早期阶段,客户更关心“做什么”
在一个尚处于早期阶段的行业,客户最关心的问题往往不是“怎么做”,而是“做什么”。例如,一家电商平台想要保护用户数据,数据分布在多个系统中,如电商系统、CRM、ERP、数据仓库和数据湖等。此外,数据还涉及产业链的上下游,客户在这样庞杂的系统和方法论面前,常常难以确定从何入手。各种控制措施也非常多,具体的实施方法与需求的对应关系较弱。这种情况下,“定义问题”比“解决问题”更重要,咨询服务往往是帮助客户理清思路、明确需求的唯一选择。
甲方是否能靠自建安全团队解决问题?
单独的产品不行,必须要人,那客户自己招人能解决吗?
很难,专业服务公司提供的是专业知识、经验和效率,后两者甲方自己处理不了。例如安全运营与应急,即使甲方从乙方挖几个专家过去,也会因为行业的快速变化和甲方环境的单一很快丧失经验和效率。
在大多数情况下,甲方的安全团队更多地负责监管合规、项目管理、制度建设、事件协调和安全业务伙伴等工作。客户始终需要技术服务来解决问题,需要咨询服务来定义问题。
服务对乙方的价值
在很多大型网络安全公司中,服务业务通常不被重视,因为与产品相比,服务的毛利低、交付复杂,且难以实现规模效应。从单个项目的角度看,服务的确难以带来显著的利润。然而,在网络安全行业,客户主要是政府、金融机构、大型企业等,产品项目中甲乙双方的分工界面较为简单,很难通过单纯的产品销售建立长期的客户关系。而服务是构建与客户间组织型关系的最好办法。
服务具有即时性,可以确保客户的积极参与,并能促进与IT部门(如网络、开发团队)以及业务部门的广泛互动。通过提供高质量的服务,可以从“赢单”阶段逐步发展到“客户绑定”,这不仅能转化为客户覆盖度、掌控度和深挖度的螺旋式提升,还可以将客户的拓展从传统的“销售漏斗”更新为更具持续性的“飞轮模型”。
服务是交付,也是营销
对于乙方来说,服务不仅仅是交付工作,更是持续的营销手段。虽然服务本身的利润可能不高,但通过高质量的服务,可以源源不断地带来新的商业机会和更高利润的业务。因此,服务对于网络安全公司来说,是长期战略中不可或缺的一部分,是在激烈的市场竞争中建立差异化优势的关键。
总结
网络安全行业处于早期发展阶段,面临技术变化迅速、客户需求多样、合规要求不断更新的挑战。标准化产品难以完全满足这些需求,而服务在填补这些空白、构建客户深度关系方面扮演着重要角色。对于网络安全公司来说,服务不仅是项目交付的工具,更是拓展客户、增强市场竞争力的重要策略。服务的即时性和灵活性使其成为应对行业复杂性和客户多样性的重要手段,同时也为公司未来的业务增长提供了新的机会。