入行云安全有快两年了,从最开始的不懂安全一脸懵懂,到现在略微能对行业“指点”一二,感触良多。本文重点讲一讲在线漏洞扫描服务以及对云安全的理解,漏洞扫描服务也是我产品职业生涯第一个负责的产生了些许感情的服务,伴随着我的成长。
云、物联网、AI这些行业是我非常看好的,相互结合起来会产生巨大的价值,也认为是下一个十年内互联网的风口,会持续关注,也会持续保持学习。
在线漏洞扫描发展阶段预测
漏洞扫描服务,即针对网站和主机等资产,进行漏洞扫描,提前为客户的资产发现安全风险,就像一个体检医生,提前发现问题。
第一阶段:硬件盒子的上云衍生,做漏洞生命周期管理
漏洞扫描盒子这个东西,目标客户大致有二:一是网信办等权威机构强制要求需要部署,另一个是客户极其重视安全,需要对自己的资产安全做把控。
所以当前在线漏洞扫描的市场,多半是从用了漏洞盒子的厂商转换过来的。所以漏扫的第一阶段,围绕漏洞为核心,做漏洞的生命周期管理,协助客户“安心”下来。对标漏洞盒子的扫描能力,给出线上扫描解决方案以及扫描体验,提升核心扫描能力,积累自己的扫描POC库、CVE库。
另外漏洞扫描服务不能只做公有云的,私有云的以及内网系统市场更大。
第二阶段:关注用户业务,嵌入上线流程,成为安全标准
漏洞扫描如果只是提供漏洞扫描,那么只会成为一个较低频的安全工具,就像抢票软件一样。如果想要增强用户粘性,可以开放API,允许用户自己写脚本做定制化,建立独立的扫描模板,嵌入业务流程,在每次业务上线前或是爆发紧急漏洞的时候,做快速的扫描,给客户带来“保障式”的体验和价值。
第三阶段:关注用户资产,成为安全管理工具以及入口
细数市场上大部分的漏洞扫描,都已经不是专门做单纯的漏洞扫描了,因为那样的话,似乎和开源的扫描器没有区别。绝大部分的漏洞扫描器都在靠近一个概念,就是资产探测和资产管理,从一个探测的扫描技术工具走向一个管理工具,企业客户带来更高的价值。
而笔者认为,如果漏扫做资产管理的话,那么以后漏洞扫描可以融合进态势感知中成为安全中心,再提供紧急漏洞监测能力,会使得管理的概念更清晰,价值更大化,成为云安全的基础和入口,给其他安全服务的销售做引导,还可以和相关服务做互补例如WAF补丁等,给企业和商家都带来更大的价值。
很多已有的在线漏洞扫描器,在探索了一段时间的商业模式以后,都转战做安全平台了,典型的有“补天平台”、“漏洞盒子”这些。平台的建立对厂商可以快速丰富自我扫描能力,对外可以快速建立自己的权威品牌,也增强了安全客户覆盖率,增加了商业机会。
当然,由态势感知或者漏洞扫描发展成平台是比较困难的,并且两者还是区分开比较好,漏洞扫描专心服务用户,平台为漏洞扫描以及整个安全输出能力和价值。
云安全的思考以及发展预测
(1)安全是一个整体,不可分割
安全是一个整体,尤其是大厂,要学会对外输出解决方案,做整体的补齐。在大厂的产品经理中,个人认为可以按照防护的域来分配产品经理,例如:web安全的专家负责漏洞扫描、WAF、风控等,这样会有针对性,也方便在某块域的拉通补齐。
(2)云安全将来发展会以三个痛点作为切入点,形成产品生态圈
业务保障型:保障客户业务不出问题,防御黑客攻击对现网客户的用户产生的影响,例如:DDoS、WAF等;
数据保护型:保护核心资产——数据的安全;
资产管理型:协助企业对整个资产进行安全把控以及安全管理,如态势感知、主机安全、漏洞扫描等。
(3)大厂的优势,小厂的路子
个人认为,大厂的优势是整体解决方案,以及和iaas的契合性。小厂的优势是做精品,一方面有自己独立的强需求的客户群,另一方面提供技术和数据给大厂变现。
(4)安全的受众面变大
除了做专做精,随着互联网和云的发展,安全的受众面一定是越来越大,很多小企业会越来越有安全意识,云安全也可以适时的做到普遍性,和云产品横向打通,并且结合AI智能形成安全事件闭环,增加云厂商的竞争力。
可以参考我之前的一个知乎回答:
云安全产品经理必备技能以及发展思考
初级PM:懂入门技术,会竞品分析、原型设计、市场调研、客户接触、需求归类分析,懂国家政策/投标流程并用于运营转化以及销售引导;
中级PM:懂技术,关注安全动态,深入理解黑产作恶手段,挖掘客户以及行业潜在需求和痛点;
高级PM: 关注行业发展,带领产品做出超前创新功能。
总之就是,安全的产品经理多多少少都是要懂技术的,不然会很痛苦,跟客户也无法交流,做安全的产品经理,除非想成为某域专家,否则不要局限于自己的某一领域,要多抬头看看整体,说不准自己负责的域,在其他层面也能被实现了呢。另外做B端产品经理,要有商业思维,懂得去思考和发展合作生态,为产品长期发展和壮大做铺垫。
以上为个人思考,也许不全面,欢迎同行从业者一起交流。
最后谈谈云小白入门遇见的那些坑
最后谈谈我,一个最初的云小白入门遇见的那些“坑”。
(1)漏洞扫描是个To B的东西
一路走过来,最傻但是最有收获的坑,就是明白了安全这个东西真的不适合To C业务(360安全卫士那些非专业性的“安全神器”不在此列),也不适合用太多的C端的思维去做产品优化和运营。
但凡上云并且有安全意识的,一定为了背后的利益做支持的,所以必定是企业用户,比起前期把有限的时间几乎全花在用户体验上,不如抓紧提升扫描能力,给客户带来实实在在区分于开源扫描器的价值。
(2)对标的竞品要选好,但不要一头扎在竞品上了
说多了都是泪,站在巨人的肩膀上摘苹果之前,一定要搞清楚谁是巨人。
(3)C端的某些数据分析思维在B端也许并不适用
产品经理的核心职责是,解决某些客户的某些需求。但是在B端产品中,需求不仅仅是共性需求,还会存在定制化需求,客户也很难用一个完全准确的用户画像去划分衡量。打个比方:某安全厂商做了十几年,总共服务了400多家企业客户,就已经达到商业上的成功实现盈利了。
如果用传统的流量思维来做数据分析的话,将400划分为百分之几找规律,毫无意义,并且,C端的产品中,可以去培养用户习惯,让用户跟着自己走,但是B端的产品中,大方向产品可以把控,在小细节上很多用户是明确有自己的想法和需求的,为了避免后期的手忙脚乱,前期的架构、可扩展性、可定制化性等要和技术leader设计好预想好。
暂时更新以上,还有一些对于竞品的分析以及市场的分析想法,下次有时间再更了~