无论是一体化、还是以业务为中心专攻政企或金融客户,还是针对中小微企业市场推出免费产品,都可能成为未来安全SaaS规模化的发展路径。
作者|斗斗
编辑|皮爷
出品|产业家
5G、物联网、AI、云计算等技术的应用,让生产、服务过程加速数字化、云化。
但哪里有利益,哪里就有坏人盯着。一组数据是,国内大中型企业在过去一年内因信息安全事件平均每家损失达240万美元。而每年计算机及网络犯罪活动带来的损失超过4450亿美元。
产业数字化在创造巨大价值的同时,数据安全、网络安全、主机安全,就成为保护价值的堡垒。但值得注意的是,网络安全人才缺口正在越来越大。
相关数据显示,2021年,网络安全人才缺口达140万人,预计2027年缺口将进一步扩大到300万人。“网络安全人才十分稀缺,而每年网络安全相关专业的高校毕业生规模仅两万余人。”一位业内人士说道。
此外,大型企业安全解决方案都以本地化部署为主,但本地安装的传统安全解决方案既费时又费钱,维护费用也高,从几百万到几千万甚至更多。这笔费用对于大型企业而言或许并不吃力,但对于一些预算有限的中小型企业,即使有意向安装,却也是有心无力。
SaaS正在打破这种固有的本地化安全部署架构。
一个例子是,某企业在自己网络中安装了SECaaS(安全即服务)产品,首先其安全警报数量直线下降,只有之前的1/100。其次,随着业务的增长,该企业安全需求扩大,而订阅式的付费方式,让企业可以随时随地按需要购买安全配置。且SECaaS使得该企业不再需要安全部门,缩减了人力成本。
而这就是安全轻量化,即SaaS化最直接的体现。在企业客户的需求之下,安全的轻量化已经逐渐成为未来的一个发展趋势。
据中国信通院发布《中国网络安全产业白皮书》,安全即服务(SECaaS)被称为未来最有发展潜力的网络安全新技术/新理念之一。
一个预测是,当安全SaaS规模化发展之后,安全SaaS厂商也将重塑目前的竞争格局,带来一些新的商业模式。
因为安全解决方案,十分考验厂商的PaaS能力,每一次安全解决方案的本地化部署,都要重复造轮子,导致系统越来越沉重。管理起来也痛苦,但如果安全解决方案以SaaS的形式进行服务,厂商可以实现降本增效,解放更多的人力、物力、财力。
另外,随着安全解决方案市场参与者数量的增加,供应商越来越难以脱颖而出,而通过专注于SaaS安全解决方案,厂商可以利用其现有又是并从竞争对手中脱颖而出。
总体而言,无论是对企业客户、安全解决方案提供商,还是整个产业数字化而言,安全SaaS的价值正在被逐渐放大。
但目前来看,安全SaaS想要真正实现全面推广并不简单。
一、安全SaaS,叫好不叫座
安全SaaS本质上是将安全以SaaS的形式进行交付,并非是为SaaS产品提供安全服务。前者交付形式是订阅制,而后者还包括本地化交付形式;在产品形态上,前者是软件,后者则包括软、硬件。
在国内,很多厂商在这一方面都有所布局。目前,主要分为三大阵营。
一是以阿里云、腾讯云、华为云等为代表的这个云计算厂商。其优势在于基础设施——云,以及丰富的客户。
例如,阿里云上的客户,数量大,且基础设施托管在阿里云,本身就需要云清洗、云WAF、云扫描的服务,阿里叫做“云盾”系列就是主要指的这几个产品。从资源的成本角度,以及获客成本角度,云巨头做SaaS安全产品具备天然的优势。
但云厂商一般专于公有云等整体的云安全,打造解决方案,在更加具体、细分的安全领域并未深耕。
二是以联通云、移动云、天翼云为代表的运营商;优势是网。由于运营商国内就那么几家,本身带宽的基础设施就遍布全国,且传统政企客户上云后也往往上运营商的云机房,顺带在卖计算和带宽资源的同时,提供安全SaaS服务,获客成本低,能起量。
值得注意的是,运营商的这类服务的建设模式,往往通过采购安全厂商的设备和服务来实现安全云的建设。因为运营商采购量巨大,入围的厂商多,价格低,因此也能够迅速以低成本的方式建设“安全云”。比如国内电信“云堤”、联通“云盾”、以及移动公有云系列,都是这个模式。
与云厂商类似,虽然运营商有着基础设施带来的优势,但目前来看,其主要围绕DDoS攻击防护,打造SaaS解决方案。在其他细分领域发展的并不是特别成熟。
三则是以新华三、奇安信、360安全、微步在线、绿盟、青藤云安全等为代表的专业安全厂商。这其中有一部分是由原来传统的网络安全厂商转型而来。这类厂商专业性更强、行业经验积累更多,一部分厂商还可以为企业提供更加个性化的服务。
但由于没有现成的网络和计算基础设施资源,也没有现成的成批量的客户,获客成本较高。所以这类厂商的营收与云厂商、运营商相比,较低。目前比较能成规模的,主要是做监管单位,比如网监、通管局、政府等。这些监管单位本身下面的子单位就非常多,信息系统也很多,搞定监管部门,一次性就可以大量获客。
可以发现,其实各个布局安全SaaS的厂商,商业模式都类似于“主产品+安全SaaS”。在这种模式下,安全SaaS往往无法作为一个单独产品或者一种单独的服务进行交付,而是成为类似于“买一赠一”的绑定服务或产品。
“目前的安全SaaS的商业模式,更多是厂商围绕自身业务,叠加安全的SaaS化能力。”在与新华三安全产品线研发副总裁韩小平的谈话中,其表达了类似的观点。
除此之外,在客户体量方面,韩小平认为,单拿安全SaaS来看,客户群体并不大。
在与微步在线技术合伙人黄雅芳的对话中,也证实了这一点。“目前,不管是独立的安全厂商还是大型的综合型厂商,安全SaaS订阅业务真正能占据一定比例的很少。”
站在当下来看,虽然目前国内有诸多厂商都有能力打造安全SaaS,且都在布局安全SaaS,但似乎叫好不叫座。
二、本地化到SaaS化的困局
安全SaaS化,安全常常面临诸多挑战。首先,安全SaaS产品与用户群体之间似乎存在着需求“悖论”。
从安全SaaS的产品特点来看,中小微企业是其主要的“落脚点”。然而,国内大部分的中小微企业数字化水平并不高。部分数据显示,国内小微企业数字化渗透率仅为10%。小微企业更甚,这类规模的企业,员工可能仅有十几个人,或者更少。对企业安全需求并不高吗,或者企业安全根本不是刚需。
即使有些中型企业有一些网络安全的意识,但由于企业内部业务、数据并不涉及企业机密,表现的也比较佛系。这种心态的企业并不少见。
“很多中小微企业只有在遭受攻击时,才会象征性的买一些安全产品,做应急处理,但当产品部署成功,可能已经时过境迁了。”韩小平认为单以目前中小微企业的需求来看,很难触达。
所以,企业在“非刚需”和“佛系”的作用下,自然不会花钱去买一个安全产品。于是,需求无法满足用户,矛盾点也逐渐显现。
站在当下来看,在安全SaaS这个领域,中小企业的市场大门尚未敞开。
其次,SaaS安全解决方案通常被设计为具有灵活性和可扩展性,但在国内市场的商业环境中,企业定制化需求较高,其可能无法提供某些组织所需的定制级别。尤其是对于具有独特安全需求或特定合规性要求的组织来说,这可能是个问题。
加之SaaS安全化意味着需要将SaaS安全解决方案与现有IT系统集成。组织可能需要修改其IT架构以适应新的解决方案,这是一个巨大的工程,需要大量的资金和时间,对于大型企业而言都很难决断,更何况中小企业。
另外,安全SaaS模式还存在与厂商锁定的风险。例如,一旦企业部署了某厂商的安全SaaS,切换到不同的厂商可能会很困难且成本很高。这可能会限制组织利用新安全技术的能力,并可能使协商有利的定价或合同条款变得更加困难。
一个更为重要的点是,想要实现安全SaaS化的大规模应用,数据政策是决定性因素。
“其实我们看到的情况不是企业不接受安全SaaS化,技术人员能意识到SaaS化产品带来的技术优势,但往往受限于企业自身或者是行业有一些监管上的要求。”黄雅芳认为数据不能出网等,是决定企业能否接受安全云化的核心关键。
下层基础决定上层建筑,这道数据政策的阀门,挡住了大部分企业安全转型的路。
总体而言,从产品本身的用户群体选定、到客户的转型意识,再到整个宏观的网络安全大环境来看,用SaaS的模式做安全,仍有许多发展瓶颈。
但在一些头部安全厂商的具体布局中,已经可以看到一些安全SaaS未来发展的趋势。
三、寻找安全SaaS化路径
新华三的立体化、微步在线锚定央企、360企业安全云面向中小微企业免费开放......安全厂商似乎都在以自身的优势,走出了不一样的发展路径。
对于客户而言,购买单一的安全SaaS产品,价值不大。”韩小平对产业家说,企业需要一个立体的防护方案。
所谓“立体化”,就是安全SaaS能力与本地化产品或解决方案进行搭配、整合。例如,新华三与运营商合作推出的安全大脑的解决方案,通过在本地部署安全网关,把这些安全网关的数据上传到云端的这个安全大脑,实现海量设备的安全管理。同时,区别于传统的SaaS能力仅能防护外网暴露面,新华三安全大脑方案,通过云端和本地网关建立加密隧道实现云端的各类SaaS能力对用户内网资产进行扫描、检测、防护,结合本地防护设备打造立体化防御体系。
目前,新华三针对这项业务与三大运营商都推进了合作,专线的用户数已经达到了10万加的规模,安全运营服务的平均在线用户数有7万家。
可以发现,而这种安全SaaS能力与本地化产品的整合,将会把安全SaaS在具体场景应用中优势放大,达到1+1>2的效果。
事实上,安全SaaS化的终极目标是帮助企业解决业务问题。
正如黄雅芳所言:“是不是实际解决了业务问题,是不是让客户更多精力聚焦在业务上。”她认为这就是客户评定安全SaaS好坏的标准。
从安全SaaS这个模式在国内兴起开始,微步就是国内较早推行安全SaaS的安全厂商,属于安全SaaS领域的佼佼者。也正是因为这种特性,其更专注于打造安全SaaS的产品应用。
“我们当时推出互联网安全接入服务产品OneDNS做了一些预判,OneDNS这种SaaS轻量化的产品应该是中小企业更喜欢,但最后发现,实际上不管是接入网后面的人数还是付的钱数,最终金融、央企用户变成大多数。”黄雅芳对产业家说,“第一家签约客户也是央企,跟我们的想象有点不太一样。”
一个数据是,过去7年,微步在线的大客户续约率一直维持在98%以上。
通过微步在线的产品实践来看,SaaS化意识正在不断渗透大型企业,大型企业对安全SaaS的认可度逐渐提升。
比起数字化程度较高大型企业,对于数字化程度较低的小型企业来说,安全SaaS的渗透速度较为艰难。
因此,也有一些企业想改变以往的SaaS的销售模式。
2022年3月7日,周鸿祎宣布推出“360企业安全云”,面向中小微企业免费开放。对外宣称将发放“数字大红包”,让中小微企业免费逛360SaaS商店,帮扶中小微企业数字化转型。
此消息一出,安全SaaS领域一片哗然。众所周知,SaaS是以订阅付费模式,帮助客户成功,寻求长期主义下的持续盈利。而周鸿祎这一做法,在当时看来显然有一种要“革TOB厂商的命”的感觉,很可能伤及友商。
但就目前来看,该产品以交付门槛低、配置要求低、技术难度低、操作难度低、使用成本低的优势,触达了中小微企业的需求,服务的终端规模已经超2000万,中小微数字安全领域服务规模第一。而通过这一打法,360安全或将打开中小微企业市场安全SaaS的大门。
总体来看,各个厂商的切入角度不同,无论是一体化、还是以业务为中心专攻政企或金融客户,还是针对中小微企业市场推出免费产品,都可能成为未来安全SaaS规模化的发展路径。格局未定,一切皆有可能。
根据《2022中国SaaS市场研究及选型评估报告》显示,2022年中国信息安全类SaaS市场规模达42.5亿元,近五年复合增长率达33.9%。
虽然安全SaaS市场规模在高速增长,但整体来看,市场规模明显较低。国内安全SaaS市场虽有,但不多。
但在TOB这个注重长期主义的领域,更需要看见未来,随着“全民上云”的浪潮愈发汹涌,安全SaaS也许会成为新的“明星赛道”。