根据有关报告统计,近几年网络安全服务市场一直保持高速增长, 2021年安全服务占网络安全市场结构占比有望达到20%,随着安全攻防演练常态化和安全形势日益恶化,很多单位网络安全建设从传统等保合规驱动向安全能力构建驱动转变,用户也改变以往热衷与购买硬件安全设备的习惯,开始流行购买安全服务,各大安全厂商和安全集成商对安全服务人才需求呈现井喷之势,特别是在每年攻防演练和重大节假日期间,红蓝队安服工程师身价倍增,在北上广等城市甚至达到10k/天以上,安全服务已经成当下网络安全界最流行的话题。
狭义上安全服务本质上是围绕漏洞进行的,常见有评估扫描,渗透测试和系统加固的等,随着用户需求不断发展,安全服务范围也在不断延伸、从局域网安全到云安全,从互联网到工业控制网,现在广义上一般认为凡是安全产品无法解决都是安服的范畴,常见例如安全培训,安全咨询和安全运营等。
安全服务在近几年快速发展过程中呈现出两个明显方向,分别是“服务产品化”和“产品服务化”。
首先,安全服务从量身打造到标准化产品转变。最开始安全服务需求都是用户提出,安全服务商为满足用户需求,会为其量身定做服务方案,不同用户往往服务内容也不一样,服务质量主要是依赖服务实施人员的能力。服务提供商在服务实施过程逐渐把共性的需求和方案总结提炼,逐渐形成了一个个标准化服务包,采用标准流程定义,统一实施工具和一致服务内容,保证了服务质量,又有利于提高效率和加快知识分享。目前市场经常遇到安全服务产品包主要有安全咨询,代码审计,基线加固,风险评估,驻场运维,运维监测,应急响应,攻防演练等。
其次,基于合规和业务需求驱动安服产品包越来越丰富。近几年有安全厂商推出安全保险服务,类似车险,一旦用户发生安全事件造成损失,可以根据合约索赔。也有服务商提出安全运营概念,相对于传统安全运维,安全运营主要区别在于主观能动性和安全效益可视化。安全运维是保障业务或网络稳定运行,只有当发生安全事件或遭受攻击才会才被动去相应的措施,而安全运营基于才去主动方式去发现威胁,分析脆弱性,积极应对风险,持续将风险控制可以接受水平。
最后,安全服务收益可视化越来越受到重视。很多企业认为安全部门是花钱部门,不会产生效益,一旦it预算超了,网络安全部分预算经常被消减,不发生问题体现不出价值,发生问题就要背锅顶雷。采用安全运营以后,通过安全管理平台,将安全态势,安全告警,实时威胁,风险预判,防护措施和处置结果等清晰的展示出来,安全收益可以让高层一目了然。
二、产品服务化是产品发展的趋势
首先,安全产品使用比较复杂,需要专业安全工程师才能用好,很多用户索性就不买产品,直接购买服务形式,既节约了成本,有可以发挥了产品作用。在这几年云计算技术快速发展,业务上云的概念深入人心,安全产品云化只能以服务方式提供。其次,很多用户为了避免繁琐的固定资产管理制度束缚或者预算不足,喜欢采用以租代建模式,把原本需要一次性投入购买大量设备,变成了按年度支付租金轻资产方式。最后产品服务化不仅仅购买产品使用权,还包含了基于这个产品至上的服务和能力。最后,安全服务的价值经常需要通过安全产品体现,例如安全厂商安服工程师帮助用户应急响应解决了勒索问题,用户往往会购买该厂商杀毒软件,并不会直接购买安全服务,安全工程师提供服务价值是通过杀毒软件安全产品体系,所以很多安全公司,并不会安全服务项目有考虑利润要求,而是作为品牌宣传和产品推广的助推器。
END
服务产品化和产品服务化,安全产品和安全服务就像砖和水泥砂浆的关系,砖的堆砌形成坚固的墙壁,离不开水泥的牢固地胶结。安全产品好比是一块块砖瓦,安全服务就是水泥和砂浆,安全可靠的防护体系建设离不开安全服务和产品的有机的融合。