解决安全问题或许并不需要成立安全公司
网络安全领域撰写者Ross表示,这个在自己脑海中盘桓了许久的想法,终于在最近变得清晰可触——他不仅厘清了其运作机制,更决意将其付诸实践。想法如下:
在安全领域摸爬滚打的创业者们,若被问及“如何最有效提升企业安全性”,十有八九会把答案指向说服CISO采购新型安全工具。这思路本身算不上错:CISO 手握安全预算的生杀大权,主导着战略方针的制定,更是企业整体安全态势的第一责任人。
但Ross敏锐地察觉到,这种路径存在着不容忽视的局限。而破解这一局限的关键,或许就藏在那些从未被贴上“安全产品”标签的创新成果里——安全领域的诸多重大突破,恰恰诞生于此。基于此,本文将深入剖析“安全即产品”与“安全即副产品”两大理念,拆解它们为创业者带来的深层启示。
安全即产品vs 安全即副产品
安全赋能存在两种根本路径:安全即产品与安全即副产品。当安全即产品时,企业兜售的核心便是安全本身。所有被归为安全供应商的企业皆属此列——从端点检测响应、云防护到漏洞扫描器与防火墙,营销话术如出一辙:“亲爱的CISO,若不采购本产品,贵司必将遭遇数据泄露或合规审计失败”。
而安全即副产品,则意味着客户购买产品的主因在于提升生产力、优化体验、节约成本或加速流程等,安全仅是使用过程中自然衍生的附加效益。采购者或许从未将其视为“安全工具”,但实际安全效益却可量化,某些场景下甚至远超传统安全产品。事实上,若干重大安全升级正源自那些从不以安全厂商自居的企业。
五大安全副产品案例研究
体验简化衍生的安全(Chromebooks)
Chromebooks堪称用户体验简化催生安全防护的典范。其核心卖点从来不是“购买防勒索软件设备”,而是“这台低价、易用、免维护的笔记本,用Gmail账号即可畅享所有功能”。通过取消本地存储、限制软件安装、将一切隔离在浏览器中,谷歌消除了传统PC庞大的受攻击面。对Chromebooks而言,恶意软件防护并非产品功能,而是设计逻辑的必然结果。
尽管Chromebooks存在诸多体验缺陷,且商务人士常需原生支持全套Microsoft Office的高级笔记本,但除实施多因素认证外,推动员工使用Chromebooks可能是企业提升安全最有效的变革举措。
沟通升级衍生的安全(Slack)
当Sublime、Material、Abnormal等优秀邮件安全厂商全力守护企业通信时,Slack在反钓鱼领域的贡献却超越了所有专业邮件安全厂商的总和。其秘诀并非研发更复杂的AI邮件过滤器,而是彻底废除内部邮件作为主要沟通渠道。此举大幅压缩了钓鱼攻击的最大入口。
员工无需安全培训就能感知Slack优于Outlook:实时协作、可检索对话、减少全员回复链才是核心诉求。隐形的安全效益却异常强大:抵达员工的恶意链接锐减,绕过垃圾过滤器的欺诈消息骤降,敏感内部讨论更是脱离了重灾区邮件系统。纵然安全从业者能指出Slack并非无懈可击,但相较邮件安全的千疮百孔,Slack的安全问题几乎可忽略不计。
销售赋能衍生的安全(Vanta, Drata等)
Ross表示,纵有“合规≠安全”或“专注真实安全自会合规”等争论,现实却是:安全从未跻身初创公司前20优先级,获客才是首要任务。因此任何能促成交易的工具都会获得青睐——当初创企业想向需持有SOC2、ISO27001等认证的大公司销售时,合规便成为敲门砖。
Vanta、Drata、Secureframe、Scrut等公司本质上通过合规工具提供销售赋能(“获取SOC2认证即可对接大客户”)。其副产品是:为满足合规要求,初创公司不得不实施访问审查、加密、监控等真实安全措施——若无销售激励,这些措施可能永不被提上日程。合规虽非完美的安全替代指标,但SOC2认证往往能推动企业实施超纲控制措施,切实提升安全态势。
便捷访问衍生的安全(Okta)
尽管Okta如今已被划归“安全公司”阵营,其诞生初衷却纯粹出于便利性而非网络安全。早期宣传极为直白:一站式登录、免记多重密码、告别凭证管理困扰——核心诉求是提升生产力并减少密码重置工单,与传统“身份安全”概念毫无瓜葛。
Ross说,然而支撑此便利的架构(集中认证、单点登录、细粒度访问控制)却消除了传统凭证体系的安全隐患:密码复用现象锐减,员工离职权限撤销提速,多因素认证推行更顺畅。用户与IT团队为图省事部署Okta时,却在无意间大幅提升企业安全水平,整个过程甚至未被视作“安全项目”。如今Okta的安全属性已不逊于CrowdStrike等专业厂商。
生产力提升衍生的安全(Chainguard)
Chainguard则是通过提升生产力实现安全效益的典范。尽管CISO有充分理由青睐此类产品,它却非传统意义的“安全工具”——其并未直接解决安全团队对安全容器镜像的需求,而是聚焦开发者被迫耗费时间修补维护容器镜像的痛点。面向开发者的宣传语并非“增强安全性”,而是“安全团队总要求你修补容器?想象下可以永别此困扰的未来吧”。通过提供持续更新、可验证的容器镜像,既消除重复性劳动又能重新构建流水线信任。安全在此并非首要特性,而是解决工程师真实工作流痛点的自然产物。
解决安全问题,未必需要创立安全公司
这些案例的核心启示在于安全从业者需转变思维。多数创业者惯性地认为解决安全问题必须打造安全产品、面向CISO营销、争夺安全预算。实则若以安全成效为目标,这可能是最艰难缓慢且收效甚微的路径。更优的选择是将安全能力嵌入因其他需求而存在的产品中,凭借明确的非安全价值推动用户采用。多数情况下,将安全视为副产品而非产品,往往能实现更快的普及速度、更广的覆盖范围,最终对现实安全成效产生远超独立工具的影响。试想:
1、Chromebooks在降低勒索软件风险上的成效超越多数EDR产品。人们因其低价易用而采用,可零成本获得更优安全。
2、Slack在反钓鱼领域的贡献碾压多数邮件安全工具。企业因其协作体验远超邮件而部署,可零成本获得安全加固。
3、Vanta对科技初创企业安全态势的改善超越多数咨询机构。初创公司为进军企业市场而采购,可零成本获得安全副产品。
4、Okta在身份安全领域的建树胜过许多专业厂商。IT团队为简化权限配置而引入,可零成本获得安全保障。
5、Chainguard对容器镜像安全的提升超越所有漏洞扫描器。
开发者为摆脱无休止的补丁任务而选用,可零成本获得安全效益。
毋庸置疑,这些案例共同印证了一点:实现安全目标,创业者并非必须创立安全公司。
将这一思维应用于新兴安全挑战
Ross认为,“安全成效可由非CISO导向型企业实现”这一观点,同样适用于前瞻性新兴领域。让我们聚焦两个与AI密切相关的议题:安全代码与招聘安全。
当前普遍讨论AI生成代码存在固有安全隐患。探索解决方案时,Ross发现了两种可能路径:其一是沿袭传统模式——打造“下一代”代码扫描工具向安全团队兜售;其二是由开发平台直接将AI辅助漏洞检测嵌入编程流程。后者使开发者因效率提升而采用,安全加固则成为“零成本副产品”。
同样的逻辑适用于深度伪造技术引发的信任危机,尤以雇佣朝鲜开发者问题最为紧迫(相关深度分析已汗牛充栋,恕不赘述)。应对之策同样存在双轨:一是开发聚合多系统信号检测深度伪造的安全方案(如下方模拟对话所示),二是重构招聘体系本身:比如某招聘平台技术讨论区表示:“我们正整合生物特征活体检测与工作历史区块链验证。”“但难点在于跨国远程面试的实时声纹比对...”,等等。
尽管招聘安全通常归属HR而非CISO职责范畴,但技术层面确有破解之道。问题在于:这是最优解吗?
倘若有人能重塑招聘体验,使其更简洁、高效、自动化,并天然具备防伪造特性呢?采购方将不再是CISO,而是招聘流程负责人。Ross确信,已有探索者投身于此,但真正从根源解决此问题者,大概率不会是打造“招聘安全工具”的创业者,而是构建现代招聘体验时“顺带”实现安全防护的创新者。这一逻辑同样适用于Zoom会议深度伪造等场景。
失败模式:误判激励机制的致命陷阱
Ross表示,若不剖析清楚“导致企业践行这一理念失败的特定误区”,本文的论述便不算完整。这些误区的核心,在于激励机制的缺失或误判,以及向错误的采购对象兜售解决方案。
以Chainguard为例,其成功话术为:“减少漏洞修补时间,专注创新性软件开发。提供无CVE隐患的开源方案,助团队构建未来而非修补过往。”成功关键在于直击开发者痛点——节省修补工时。试想若Chainguard向开发者推销“提升容器镜像安全性”的产品,结局可想而知:因激励错位而溃败。开发者不关心安全,面向他们的产品绝不能主打安全牌,必须聚焦其核心诉求。
反之若向CISO营销,Chainguard同样举步维艰,这是因为安全团队并不承受修补容器镜像的痛苦,开发者才是直接责任人。CISO固然能成为产品倡导者,但实际采购权在CTO/工程部门手中。
精准把握激励至关重要:当向IT、HR、运维、工程等部门推销时,价值主张绝不能围绕安全,必须契合其本职诉求。我们虽期待全员优先考虑安全,现实却是开发者追求开发效率,IT人员渴望减少故障,HR部门关注员工满意度。向这些部门推销安全而非提升其绩效的工具,注定遭遇冷眼,而安全只能是解决其他主要痛点时衍生的必然副产品。值得一提的是,“安全左移”正是激励错位的典型——强迫以速度为考核指标的开发者执行安全扫描,注定收效甚微。
简而言之:要么向安全采购方兜售“安全即产品”,要么向非安全采购方推销“安全即副产品”。切忌向无安全激励的群体推销安全,或向安全职责部门兜售非安全产品。
原文地址:
https://ventureinsecurity.net/p/20-years-of-cybersecurity-consolidation
作者:
Ross Haleliuk 网络安全领域撰写者
文章来源:安在
官方 