一直在纠结要不要写这篇稿子,这也许会在信息安全行业掀起一片波澜和争议,但是不说,却始终无法摆脱对这个阳光行业的迷惑并心生退意。本文不针对任何一家具体的机构和个人,如有雷同纯属巧合,切勿对号入座。
从05年至今,总有甲方、代理商、集成商要求我推荐安全产品,但是这个要求对于我而言总是难以启齿,刚开始属于无知者的时候还敢推荐一二,但是时间越久发现自己越没有推荐的勇气,很多出道比我晚很多的朋友开着属于自己的车子,住着比我大的房子劝我,“你开开尊口,或许能够获得更多的收益,何苦自命清高?”
说实话,时至今日,越来越感觉国内信息安全产品从需求到实现总是有种莫名的悲哀。
首先,我们对信息安全产品的需求在哪里?
信息安全产品的需求在我国形成的模式通常有以下几种,第一、符合国家等级保护或其他政策与规定的要求;第二、基于业务的驱动;第三、基于安全状态的变化导致的需求;第四、建立在商业利益驱动下。按照常规而言,前三类应该是信息安全行业的主要诱因,但是,恰恰第四类却成为市场的主导,大量的产品买而无用,需而无供,导致市场上各类产品参差不齐,低价低质产品挤压市场,使得技术型行业向商务型行业转化,而信息安全本身的技术含量大打折扣。安全公司中技术不如销售,能做的不如能说的。嘴巴决定技术了,最终形成了一个恶性循环。
其次,安全产品走向何方
传统的安全产品中防火墙、IDS、防病毒产品被很多人认为没有了市场价值,取而代之的是UTM、下一代防火墙、WAF、AVW、IPS及大量的概念型产品,各个厂商都在努力的去追求概念最为打入市场的契机,这种思想本身可以刺激市场的发展并且为信息安全领域带来新的血液,然而我们看到的却是另外一种景象。以SOC为例,SOC可以看成是SIEM(SecurityInformationandEventManagement,安全信息与事件管理)与MSSP(ManagedSecurityServiceProvider,可管理安全服务提供商)的变种,国内的厂商往往把SOC当成一个纯粹的产品来销售,但是SOC真正的价值却被抛弃。SOC真正的价值在于服务而不是去通过一个无情的机器去发送告警,用户不一定是专业的安全人员,他需要自动化的收集和专业的分析来应对各类事件,当SOC失去了专业的分析团队时,他已经失去的意义。
对于安全产品而言,做好自己,如同武侠一样,把一门最基础的功夫练到纯属,一样可以行走江湖扬名立万,但是这一点在急功近利的信息安全行业中荡然无存。如果连最基础的边界保护都做不好,最传统的检测机制都不能完善,你还能做出什么样的好产品出来?
概念型产品的路到底能走多远,建议我们的厂商能够好好思考一下,当市场不在以商务为主导的时候,我们的厂家的抗打击能力何在?
第三,如何看待专业?
什么是专业?记得国内最早的几家安全厂家天融信专注于防火墙,绿盟的IDS和漏洞扫描横扫天下,启明靠IDS起家,每家公司都用自己最擅长的一个产品作为打入市场的楔子,牢牢的把持市场,即使到了今天,他们都没有放弃对自己擅长的产品放弃研发,并且在此基础上发展与之相关的产品,这是一种专业。反过来,现在更多的厂家却是努力拉长生产线,利用产品的种类去冲击市场,在不具备成熟的研发的情况下只能去不断的OEM,甚至不断的更换OEM,导致产品的售后和维护缺乏后劲,在齐备的产品线中很难找到一款能够作为主打的产品。
第四,到底什么样的产品才是优秀的?
通常而言,市场占有率最高的应该是优秀的产品,但是这个就和中国的房市一样,卖的最好的楼盘不一定就是入住率最高的。在中国选择产品,销量很难作为衡量的基准,而产品的参数大多水分十足,因此,如果能够在公平的环境下挑选,最好的方法就是通过一个可信的第三方进行实际环境的测试,这个才是检验真理的最好标准。
此文之后,建议大家不要在问我谁的产品好这个问题,更不要问我哪家公司优秀。最好的答案是找用过这些产品的甲方和接受过这些公司服务的甲方去了解,至少,我能置身于漩涡之外,若干年后退出这个行业也能得到一个安身立命的地方。