安全产品杂谈—— 创新产品

近些年机缘巧合，连续在做几个方向创新的安全产品，有的有些成绩，也有的则表现平平。这个过程中，让自己对产品创新有了更多的体会，这篇文章就此方面通常的几个问题谈谈自己的想法。

创新产品之新

创新产品，首先要谈的就是新。从产品意义上，可以是新瓶装旧酒，更多的创新在产品概念营销和使用场景上，这方面的典型无疑是Palo Alto，其核心的一体化引擎和之前被McAfee收购的IntruVert IPS 引擎在技术思路上是一致的，但通过将硬件防火墙、一体化引擎等几个成熟技术整合在一起，解决了UTM性能、易用性方面的问题，使用户和场景得到了极大的拓展，进而塑造了网络安全行业一家顶尖公司。在国内的特殊环境下，一类产品如果进入合规市场，往往会陷入低价竞争，这时从营销中包装出一个品牌以突出产品的差异化价值，也是一种典型的新瓶装旧酒的做法。

第二种就是旧瓶装新酒了，就如WAF产品，随着这些年web安全需要应对的问题不断增加，WAF中需要完善的功能和技术也在持续演进，比如说应对自动化攻击、业务安全等，很多厂商在不停地向WAF这个旧瓶子加新的功能和技术。在这个背景下，如果一个曾经领先的WAF产品停止了脚步，那必然会慢慢被其它厂商超越。

最后一种是新瓶装新酒，为了解决新的问题，更多采用新的技术，并形成新的产品。UEBA、威胁情报、EDR、SOAR等等，就不一一列举了。

一个产品选择哪种包装形式，需要考虑多种的因素，用户的接受程度、营销的难度、产品的市场空间等。你可以选择PA提出新概念的方式，但就要承担营销的成本，以及一个新概念被市场接受所需要的时间；也可以选者使用一个旧瓶，就需要接受已有品牌认知的影响，包括在销售环节必须说清楚自己相对品牌领先厂商的优势等。

产品和技术

产品有别于技术，产品是要解决一类典型客户的典型问题，至少覆盖一个以上的典型场景。例如可视化交互分析是一种很好的新技术，但单纯的可视化技术不能构成产品，可能至少需要具备数据平台、数据引擎、分析模型等其它部分后才能形成产品。从当前网络安全产品看，一个产品需要复合的技术在逐步增加的，并且要识别出其真正的技术内涵，也是需要有一定的经验和深入分析的。笔者早年做第一个沙箱类产品规划时，就没有清楚意识到一个较完善的防护型沙箱产品（相应还有另一种分析型的沙箱产品，需求、功能上有较大差别，相对分析型沙箱更简单，但市场更小），至少包含了：

• 启发式引擎 （这是实际的检出引擎）
• 虚拟执行沙箱（报警验证并输出行为数据供分析、形成情报）
• 自动化IOC情报生成（保障自动化阻断攻击以及情报汇集）
• 传统AV引擎及网络在线检测/阻截
• 特定样本结果上传及云端分析运营 （持续发现零Day的关键）
  认为有了虚拟执行技术，就可以完成一个好的沙箱产品，无疑是一种误解，这可能是由于没有完整分析具体的使用场景，以及典型用户的技术能力和使用要求。

攻防类的安全产品还有一个特点，其效果强依赖于相关的工程化运营水平，而不是技术的先进性（除非是颠覆性的技术出现），如AV、IPS、威胁情报IOC等。这个话题不是这篇文章的重点，就不多谈了。

产品市场空间

开发一个新产品，其市场空间是必须考虑的问题，有一些方法可以使用，
如滑动标尺模型，一般而言架构安全、被动防御阶段对应的产品市场规模会比较大，相应的单位产品价格/毛利不会太高，而主动防御和情报阶段的产品市场客户数量应该相对较少（往往集中在关键行业、大企业），因为产品的技术复杂度高、往往需要配套的服务等因素，单位项目的价格/毛利往往会较高（当然，如果产品标准化程度不足，将产品部署做成了存粹的定制开发，毛利就是另一种表现）。

如果需要更简单的评估方法，可以参考笔者在Gartner 的一份PPT（To the Point:Doing the Simple Things Well Means the Hard Things Are Easier in Information Security ，这份PPT很值得看看 ）中看到的一页，如下图：

DraggedImage.png

如果不是看长期的市场规模，而是评估当前的市场，就还需要和技术采用生命周期模型放到一起去考虑，下面就分析这个问题。

技术采用生命周期

下图是从网络中搜到的“技术采用生命周期”模型的一种表达，模型由硅谷的策略营销大师杰弗里 .摩尔提出 ，用来讨论创新产品不同阶段的营销和产品策略。对相应书中的内容在这里就不再复述，核心想讲讲这个生命周期和市场空间的关系。

一个全新的概念，全新的产品要被客户接受，需要经过很长的时间。以威胁情报为例，国内从2015年开始发端到现在差不多4年时间。当前从阶段性上看，它可能还没有达到“早期大众”的阶段。从情报的使用场景、如何评估情报质量、当前实施的典型项目等情况分析，市场都还有待进一步的培育。如果相关厂商在市场营销时，更关注一些客户价值和关键场景的方面内容的探讨，应该能够让这个市场成熟得更快，但现实中因为各种原因，可能难以做到。无论如何，一个全新产品需要3-5年才能进入大众市场，是个正常不过的事，需要相关的人有足够的耐心和准备。
从另一方面看，技术采用生命周期和对应产品的成熟度也是密切相关的，如果市场上没有成熟的产品，我们就很难看到这个市场可以进入前期大众阶段，没有提供本应有的价值，产品就会跌下深渊。在笔者看来，网络防护型沙箱的市场就存在这个可能，简单以虚拟执行技术包装的产品，无法提供威胁类型、严重级别和优先级，需要大量的人工响应和专家的本地分析服务，这样的产品注定是难以推广的。而威胁情报领域，是否会因为市场产品对中、高端使用场景的覆盖不足，无法满足更重要的应用场景，而使整个市场的脚步停滞不前，这是一个需要观察的情况。

小结

理解产品的市场特点，选择正确的营销策略，基于技术采用生命周期保持合理的产品投入节奏及对应的市场策略，这并不是所有。创新不易，同时要做到市场成功更是不易。