安全公司的半年报出来后,大面积亏损的事实,带来了很多分析和讨论,咱也凑个热闹,从甲方乙方资方看一下问题所在。
说甲方弱,打击面过大。因为有一些甲方做得很好,比如金融,运营商等,但总体占比还是比较小。当然做得最好的是大型互联网公司,但他们基本上是自研,不采购,所以不列入甲方范围。
很多甲方的安全能力不足,且不认真。
要保证一个网络及系统的安全,完整的安全设计,持续的安全运营都非常重要,这就需要专业的安全团队。
但很多地方没有这个团队和能力,怎么办?理论上应该找专业的机构来解决,但实际上,他们直接找到了乙方。乙方出的方案无不夹杂私货,结果就是看到很多标书有浓浓的乙方味道,简称被控标,Design for Money,结果可以想象。
合规等保是很重要的安全工作,其实相关的标准和要求也很到位,好不容易有了安全预算,但经过这么一番骚操作,就搞成了现在这个鬼样子。
低价中标是另一个问题。好货不便宜,是最朴素的道理。为什么这些甲方,评标人自己买房买车,不会挑最便宜的买,给单位采购却要最低价中标?这明明就是在牺牲质量。
这样的甲方,被坑也不冤。
说乙方菜,这个冤枉的比较少。咱们就看几个最简单,最基础的问题:
产品能力弱,大量使用开源做产品。很多开源软件做得很好,用在产品上没问题。但如果仅投入几个人,在开源上简单改改就推产品,还要很高的毛利,凭什么?这也是互联网公司基本不采购安全产品的原因,用开源,他们比安全公司用得好。看看安全公司研发人员和产品数量对比,算一下每个产品的研发投入,产品能做好才是怪事。
自身产品不安全。所有安全设备基本都用通用操作系统,都用开源。操作系统,开源及开源依赖,都会经常发现漏洞,都要定期发布补丁。咱们安全公司的设备,有几家定期发布安全补丁了?互联网公司很多都有漏洞奖励计划,哪家安全公司搞了?是咱们的安全设备没漏洞吗?还是不会有漏洞发生?
很多甲方都规模投入做供应链安全了,有多少安全公司自己把这个事干好了?我看到的安全公司,很多都连开发流水线都没有,还在软件作坊时代,漏洞处理?那是客户的事,跟我自己无关。自身网络不安全。安全公司天天教客户怎么做安全,规划,设计,等保,运营。但这么多安全公司,有几家有CIO,有几家把自己的设备用起来了?把网络防护好了?有几家自己过等保了?天天听安全公司讲客户案例,没听到过哪家公司讲自己的安全怎么做的。
如果针对安全公司搞个HVV,有几家扛得住?
是不是安全公司从内心觉得,安全没啥用,拿来骗骗钱就行,以至于出现这些现象。自己的狗粮自己不吃,还要指望客户大价钱买单?
都在说大环境不好,安全行业太卷了。安全行业卷吗?大家可以看看,交换机、路由器,存储,服务器这些行业,全球还剩多少家?按这个比例,国内几千家安全公司,应该剩多少家?
适度的资本投入,对推动产业的发展很有好处,但安全产业好象有例外。前几年,借助国家政策的东风,很多资本涌入安全行业。面对上百个分类的安全产业,资本哪整得明白里边的道道,找不到好公司也得投。于是,很多公司平白得到资本青睐,销售做不好也能活得滋润,以至于有些公司就是在靠资本续命,优胜劣汰被人为延缓。这个结果,估计很多资本都没想到,现在欲哭无泪。
甲方乙方资方,一坑连着一坑,到处是坑,什么时候能爬出来?
答案很难说,但有一个很好的观察点,看看什么时候能有产品打出国门,规模进入世界500强这种舍得掏钱的公司,什么时候是出头之日。
END
