《数据安全风险评估白皮书》
400-100-9516
news
技术分享

站内搜索

当下的大多数企业,并没有意识到网络安全的价值 | 企服进化论
2021-09-11 2490 技术分享

全知科技方总受邀参与9月3日盈动资本举办的《安全企业能给客户带来怎样的价值》闭门交流会议,期间安全领域的朋友们共同针对话题进行了热烈地讨论。

undefined

企业的安全能力,正在前所未有地凸显其业务层面上的重要性。
 
云原生、远程协同、数字化转型等新的技术形态和经营理念已经在稳步拓展,疫情的爆发将安全行业推上了高速发展的车道。
 
不同于过去传统的合规能力,新环境下,好的安全公司能给客户带来什么样的价值?安全企业的价值只能靠安全事件体现吗?对于非头部企业来说,安全预算怎么设置才合适?
 
上周的「企服进化论」活动,我们就围绕这些问题,邀请了我们的Portfolio 「全知科技」CEO 方兴「虎符网络」CEO 王伟,他们同时也是国内知名的安全专家,拥有近20年的网络攻防经验。
 

本次闭门交流经过了严格的报名筛选,确保到场的都是安全领域的创业者、从业者以及同行,进行高质量的行业交流。值得一提的是,这次活动的 Q&A 环节将近一个小时,提出了非常多的好问题。接下来的活动,我们也会努力保持这种真诚沟通的活动氛围,也欢迎安全赛道的优秀创业者和同行们与我们联系交流。

undefined

 

活动内容

 
徐也超:两位嘉宾先介绍一下自己的经历。
 
王伟:我之前的经历是一直在做安全攻防、漏洞分析,后来觉得漏洞分析对企业安全能力的帮助并不大,所以后来决定做产品或者协作服务,于是在2011年和方兴一起成立了「翰海源」,主要业务就是安全测试,五年后被阿里收购。
 
我们后来在阿里组建了一个阿里安全归零实验室,后来接手了一个叫「业务蓝军」的业务安全团队,一直做的是黑灰产对抗:一方面站在技术情报的角度看业务黑灰产,另一方面站在业务黑灰产的角度进行模拟攻击。
 
我在阿里五年,现在出来做的业务又回归到传统的攻防安全这个大底盘。因为云计算的普及以及远程办公成为常态,企业内网资源上云,防御难度增加。「虎符网络」做的「零信任」身份网络,解决的就是访问安全的问题。
 
从业20年,网络安全的业态不断发生变化,外延也在不断扩张。攻防的场景不一样,解决方案也会不同。从一开始的攻防安全到后来的业务安全,现如今马斯克都研发出脑机接口,我相信这也会成为一个重要的领域。
 
方兴:我在2007年就开始创业,做了中国第一家云安全的公司「知道创宇」,我在阿里云做的 云抗D 和 云WAF ,最早都是在「知道创宇」搭建起来的。当时我看到一个重要的变化,就是「云」的出现。我觉得未来「云」一定能改变 IT 架构,新的架构肯定也会产生新的安全问题。但是回看我发现自己选对了方向,但是选错了赛道。我们聚焦在 IT 架构,但是对未来的商业格局考虑较少。
 
后来和王伟做了「翰海源」,是国内第一家做  APT 方向的公司。国家一些重点工程商的核心引擎用的都是我们的产品。但是后来发现这个方向对于一家民营企业来说还是比较难,不过这次我觉得我选对了方向,技术上也做得不错。
 
我一直想的是,作为一个技术创业者,不仅要选对未来的趋势,还要努力去获取商业上的成功,所以我现在做「全知科技」,选择的是数据安全赛道,截至目前在业界做出了很多创新的东西。
 
徐也超:其实两位创业这么多年应该理解,一个成功的商业模式肯定是能给客户带来价值,所谓价值对于企业来说无非就是两点:一是解决了企业哪些痛点,二是企业为了解决问题需要投入多少钱,以及是否能让他们看到回报。那二位觉得,安全能给企业、能给客户带来怎样的价值?有没有可以分享的案例。
 
方兴:大多数公司会把安全看作一种成本。安全是解决风险的,但是在风险变成事实之前的损失很难评估。很多企业进行数字化转型,带来的问题就是数据高频、广泛、跨组织地流动,其中数据安全的很多风险其实是感受不到的。
 
感知不到的重要原因是企业根本都不知道数据是怎么流动的, 我们现在做的核心就是帮助企业对它实现可见、可知,再在此之上对数据暴露面进行管理和控制。
 
王伟:从前企业对安全的驱动力主要是合规驱动,现在是双轮驱动,除了合规之外还有实战效果驱动。如果只是为了合规,产品只要及格就可以,但现在大家开始重视实战的效果市场,真正做好一个产品就需要花很多精力,要懂攻防和整个安全体系。
 
美国市场是典型的合规驱动为主的市场,市场空间大是因为相关的法律法规更加严格。我们经常能听见比如Facebook泄露数据,直接罚款几亿美金,这就让企业更愿意用安全的投入去规避罚款的风险。美国企业在安全上的成本投入是10-15%,而在中国只有3%,这也说明在中国还有很大的市场空间。
 
徐也超:那你们怎么制定定价策略?如何才能和客户就安全价值和商业价值进行匹配?
 
王伟:这个真的很难衡量。现在的策略一部分是合规市场,等保2.0(网络安全等级保护制度2.0)催生了很大一块的市场,很多小公司做标准化的等保一体机;另外一部分是面对大客户,就会依据软件收费体系和用户规模去定价,当然其中不得不去考虑竞争对手和行业整体的定价策略和体系。
 
方兴:定价很难说,要跟随整个市场的变化。第一,数据安全这个市场有多大?第二,我们定位了哪些客户群体?数据安全的市场规模有个参考,国外有研究说当前个人隐私安全市场的规模等同于五年前的网络安全市场,去年网络安全市场是5400亿美金,这也就是不久的未来个人安全隐私市场的体量。
 
中国的客户群体可以分为两拨:一个是大企业客户,一个是中小企业。目标是中小客户群体的安全企业,卖给客户的不是真正的安全产品,是一个泛安全的服务,保证企业员工上网行为的安全。
 
所以从市场起步阶段来看,我们还是更关注头部客户,主要是数据量够大、IT数字化程度比较高的企业,比如金融运营商、政务数据上云服务商、物联网企业以及电力系统等等。他们对价格不敏感,关注的是能不能解决问题。通过这些头部客户将自己产品进行标准化打磨后,再逐步去拓展中下游。
 
创业公司的核心,就是从小项目切入,展现技术的价值,获得客户认可,继续深耕拓展,保证企业未来的营收可持续发展。从公司战略的角度来看,可以从单产品到多产品持续迭代,最后组合成大的体系方案。
 
徐也超:安全市场未来五年会是怎样的趋势?你们又会怎样去调整你们的战略?
 
王伟:无论是数据安全还是传统攻防安全,都处在一个非常重要的变革期。零信任安全的解决方案,在国外已经发展了十年,但国内的安全公司更多地还是谈论零信任的理念,这是对我们传统防御体系的一种净化和变革,国内将面临一次洗牌。
 
零信任这条赛道在未来五年至少能走出三五家公司。现在就看谁能抓住机会,满足用户需求,快速占领市场。
 

方兴:网络安全有很多领域,每个领域的趋势也都不一样。传统的网络安全点特别多,每个点也不断有创新的东西冒出来。从客户的角度来看,看到它越来越偏向于平台化和集成化,很多都是多个项目打包在一起的集成项目。这是因为传统的安全和IT建设都已经完成,客户希望把已有的资源全部投入进去有效运营起来,就需要一个平台,同时能提供更多的运营服务。

 
数据安全的话, 是处在一个大家都觉得要做,但是不知道怎么做的状态。机会在于所有甲方需要数据安全的解决方案,但是传统的解决方案没办法满足他们的需求,业界也没有新的共识。所以未来的趋势就是谁跑在前面,谁就更有可能打造出业内共识的方案。
 
业务安全,我是认为它是有潜力,能解决客户的很多痛点,商业价值比网络安全、数据安全更明确。但是怎么做才能在法律和监管中保持平衡,目前还没看到特别好的解决方案。
 
泛安全领域,目前没看到非常明确可以变成商业模式的东西,还处在尝试期。
 

现场提问

 
 
 
 
 
本次「企服进化论」现场观众提出了很多的好问题,因与各自企业的业务关联性较强,于是我们选择了其中三个普适性较强的问题及回答与大家分享,希望能有所启发:
 
观众:很多传统企业进行数字化转型的需求很急切,但是他们又极其注重数据安全,抗拒上云,只愿意把数据部署在本地,所以对于这部分客户应该如何教育?有什么样的方法和产品可以提供?
 
王伟:我认为对于这部分中国传统企业,你就别指望他们上云。我们来去适应客户,而不是让客户适应我们。他们不愿意将重要资料上传到公有云,那就部署到私有化版的云。其中一些成本是无法避免的。
 
方兴:这首先不是一个安全问题,而是信任问题。要想清楚客户是不信任云厂商,还是不信任你。不信任云厂商你还有解,不信任你那就没办法了。我们的原则在这个阶段是不碰客户数据,没有能力保护好数据之前,碰了你也承不起责任。
  
观众:我接触过一些潜在客户,都是各自行业的龙头企业,后面基本上是两种反应:一种是坚持认为我这儿根本没有安全问题,另一种是知道有问题,但是测试出结果之后对方认为这些问题他们都了解,也就没有后续。不知道对于这两种情况,有没有什么解决方案?
 
方兴:第一种,你是没有任何办法的,第二种还可以努力一下。第二个问题实际上体现的是客户并不在意你发现的安全漏洞。不同的客户,关注点不一样。开放的企业重视业务数据在外部网络的暴露程度,而相对保守的企业重视内网的安全行为。所以要提前了解客户和它的业务场景,还有行业属性和部门属性,你需要站在它们的职责角度去理解。
 
 
观众:对于我们这种细分领域的小厂商来说,如何与大厂进行竞争?
 

方兴:你跟大厂抢盘子,一定是你有特殊优势,能发现别人发现不了问题。而且小厂商的优势在于,你可以结合客户的业务需求和需求场景,让企业意识到安全这件事情的价值,把这个盘子放大。

 

全知科技2017年5月成立于浙江杭州未来科技城,创始人方兴/闪空,网络ID FlashSky。历任启明星辰、eEYE、微软MSRC、阿里巴巴资深安全专家。全知科技围绕数据安全持续治理,提供以数据为中心的安全产品与服务。包括数据资产安全管理平台对数据资产、数据暴露面、数据安全策略进行管理,并配有资产分类分级梳理服务;数据安全风险测评工具及数据安全风险测评服务对数据资产的安全风险进行评估;数据安全风险感知产品对数据流动风险进行感知、调查和溯源;数据安全风险与威胁运营服务对威胁进行分析,对事件进行响应。

在线客服