当前国内网安行业被认为是严重内卷：投入巨大，但从增长和利润的角度却鲜有可被称道者。这是国内市场独有的现状吗？其背后的原因是什么？下面就谈一点个人对此的理解。

一、内卷的认知源于幸存者偏差

认为海外安全市场发展更好，是因为注意力集中在领导和创新厂商身上。通过CrowdStrike、PaloAlto这样的企业，我们看到了产品的快速演进、高速的市场成长，以及证券市场给予的乐观估值，同时通过Wiz、SynK、Expel等一大批明星创业企业，也让我们看到新观念、新技术被市场快速的接纳并形成实际的营收。

但从另一些企业的视角，可以看到完全不同的景象。Mcafee、Symantec、趋势等曾经的终端安全巨头，其市场份额在逐年滑落 ； 防火墙技术开创者CheckPoint 进入了增长停滞期，客户被Fortinet这种曾经的小弟拿走；IBM的Q1Lab产品，曾经的SIEM市场领导者，虽然早早就进行产品升级以图适应安全发展的趋势，但终究还是被Splunk、微软和Exabeam等后进入者赶超。这样是否我们就不能简单的说国内网安市场过于内卷，或许国际市场的竞争其实更加激烈。不同的是海外当前的领先企业更早的看到了未来，并且通过及早布局、持续投入形成了技术上的代际差距，并且在市场竞争中充分表现了出来。

国内这几年虽然不乏在研发上持续高投入的安全厂商，但因为当前安全技术发展的一些特殊挑战，并没有谁完成了实际意义上的技术升级换代，安全效果的差异并不足够大，这种情况下技术投入的产出无疑是较低的；同时对于客户而言持续的高投入不能带来更多的安全价值，也必然使其采购意愿趋于保守。

造成今天国内网络安全市场困境的，当然并不止技术代差这一个因素。比如国内安全市场已经完成了从增量市场到存量市场的转化，但为数不少的企业依然延续增量市场情况下的成功经验来经营，没有跟随市场变化完成经营思路的变化。不过这个问题的后果，最终还是可以从产品技术的现实情况体现出来。因此我们下面主要谈技术代差。

二、安全技术上的代际差

从通常意义上讲安全技术的代际差，主要表现在三个方面：SaaS化、AI赋能安全和平台网格化。这三者又同时是一体的，SaaS化是基石、 AI赋能安全是灵魂，而平台网格化是最终业务表现形式。 这三者中任何一个都足够复杂，其中既有高价值的瑰宝，也有深不可测的陷阱。如果对其内核没有深入的理解和踏实的实践，即使投入在正确方向上，也极有可能是竹篮打水一场空。

SaaS化

2014-2015年甚至更早的时候，SaaS化曾经在国内市场掀起过一股风潮，很多公司尝试基于SaaS化方式构建业务，但到如今已经很少见了。从价值层面，SaaS化可以在不同场景下提供巨大的客户价值，例如： 基于SaaS降低高端安全服务的成本，使更多企业可以使用狩猎、威胁验证等需要高端人才的安全服务；安全数据的集中可以更快的迭代AI模型，以使用更强大的检测和响应能力；为组织分布广泛的大型企业提供灵活的高性能接入和一致性的安全策略……

但SaaS化也有一些不利之处需要考虑，譬如：SaaS化带来的带宽成本和存储成本的增加、云原生开发人员（也包括规划角色）的稀缺和高成本、 ToB 的SaaS业务更高的销售成本以及大企业对信息泄露风险的担忧，等等。需要选择可以扬长避短的场景，并注意持续优化可能的问题，才能保障业务成功。如果选择的业务场景，最终获取的价值不能明显领先于这些问题带来的成本，那么SaaS化的失败就是一个必然。

AI赋能安全

AI在网络安全中的应用时间已经超过10年了，AI模型相较规则，有更强的泛化能力，可以有效的检测各种攻击变形；AI模型相较规则有更高的环境适应性，可以基于不同客户具体情况，给出匹配客户场景的检测报警； 维度较多、数据量较大的数据分析工作，在现实中也只有AI的分析作为基础才有可能实际进行。

但是AI技术的引入也带来了一些明显的挑战：可解释性、泛化可能产生的高误报问题、 模型如何演进以应对新的攻击技战术等。这些挑战难以依赖单纯的AI技术来解决，而是需要完整的产品架构和完善的运营流程，使多种技术手段和工程化运营协调一致。需要AI技术专家，与安全分析师、威胁情报专家等协同工作，这样一个团队的组建和运作，对很多公司都不是件容易的事。

平台网格化

随着企业安全产品种类的逐步增加，集中管理、统一&自动化运营的需求不可避免的成为重要的优先事项。曾经的希望集中在SIEM或者SOC类的产品上，但随着时间过去， 越来越多的人发现这种大一统的平台原来不过是一个不切实际的乌托邦，基于网格化思路的平台建设理念逐步成为趋势。

当前平台化的成败有两个重要的决定因素：首先平台管理的组件是否能提供运营需要的能力并向平台开放；其次是平台产品的研发团队是否具备平台对应领域的专业运营知识和底层技术储备。网格化建设就是构建多个平台，每个平台对应着一个细分领域的安全运营工作，如：检测和响应、身份管理、访问权限管理、云原生安全、态势感知等。在现实中即使做了这进一步的聚焦和细分，相应的平台构建工作存在重重困难的，更不要说大一统的建设方式了。

总体看，海外当前领先的安全大厂已经跨过了三方面的挑战，同时更能够将其进一步融合，以产生更大的价值。在这种情况下需要考虑能否从海外厂商中学习点什么，让后面的路更容易一些。

三、海外厂商的启示

当下海外的安全厂商，最引人注目的无疑是CrowdStrike和PA，这两家公司在上面提到的3个方面均有显著的进展，PA的平台化战略、CrowdStrike基于AI的NGAV，在行业内耳熟能详。分析这两家公司，可以发现其成功有很多相似之处：

• 积极整合外部资源快速完善自身能力

三个方面都有着极强的复合技术特征，即任何一个方面的成功都需要有多种关键技术作为基础。大多数情况下，一家公司很难可以依赖自身去完成这所有的关键技术积累。因此投资并购、生态合作就成为一个时间、效益比最佳的选择。以SaaS业务 的数据底座为例，PA选择的是使用Google的相关平台服务，而CrowdStrike则选择收购了Humio 以获取日志型数据库技术。 这种通过资本、生态的方式快速获取底层技术，而自身聚焦在实现客户关注的核心价值的方法，对于它们业务的快速发展，起到了极大的促进作用，也使其在一众厂商中脱颖而出。

• 对任务的艰巨/长期性有充分认知，愈挫愈勇

在认清楚大方向的基础上，因为市场地位和自身的能力现状不同，每个厂商最适合的实现路径也不尽相同，也必然是一个探索的过程。PA和CrowdStrike 作为先行者，其困难程度更是可想而知。

以其中XDR平台实现路径为例，PA最早希望更多的依赖自身产品作为组件来构建平台，同时把自动化作为一个增值组件以解决方案的形成进行融合（其中部分原因可能是SOAR是后期收购的，整体融合到XDR平台有组织和技术上的挑战），但市场对这样的方式并不认可。PA最终以Cortex XSIAM的名义发布了新的XDR平台，将SOAR彻底融入平台中，同时可以更开放的接纳第三方产品的数据，这才使其获取到市场的高度认可。CorwdStrike在平台规划之初是充分考虑到了开放性，以及自动化是底层基础能力的问题， 但对于如何与第三方组件做深度集成上可能考虑不够，早期希望通过统一规划、统一数据和接口标准的方式，通过几个版本配合来完成融合，这种偏理想的运作方式从业务和技术上都碰到困难，使得CrowdStrike 转而考虑更现实的运作方法。

单从这个点上而言，可以看到突破过程中的艰难和风险，而两家公司都坚持对趋势和价值的判断，愈挫愈勇，才有了后续的业务进展。

• 代际技术变革是一把手工程

突破当前的技术困局，需要用多种技术能力的人才构建业务团队，很大程度上需要破除之前的部门边界；同时这些工作的统筹管理需要在组织内的巨大的影响力；另一方面这些工作又具有巨大风险，是绝大多数职业管理人不愿意触碰的。这一切都决定了其必然是一把手工程，并且很大程度上是具备卓越能力的创始人的一把手工程。

在CrowdStrike，George Kurtz作为CEO兼联合创始人无疑发挥了至关重要的作用，他是《黑客大曝光》的关键作者之一，同时曾经是Foundstone的创始人以及McAfee的CTO，他对安全趋势的理解，特别是其中“Know How”的理解在业界高管中应该非常突出。而Paloalto 的整个技术发展，创始人兼CTO Nir Zuk以及CEO Nikesh Arora 之间的组合堪称完美，Zuk 对安全趋势的观察和发现能力在行业内可以说有口皆碑，而Nikesh Arora 在加入PA之前是软银的总裁及首席运营官，相信软银的经验对PA的投资并购、业务整合有巨大帮助。

对于国内厂商而言，是在走别人已经走通的路，固然不需要那么黄金的阵容，但作为一把手工程，似乎也是必须的。

四、结语

总之，当前国内安全市场的困境，是市场的问题，更是技术的问题。后续的技术发展已经和早期IPS、AV、FW时代完全不同了，技术的复合性、系统性等高很多，对组织也提出了不一样的挑战，深入思考这种不同才能保障企业作出正确的技术投资决策，通过技术创新跨越红海开创一片新天地。

上面好像写了很多，但也可能像什么都没有写，叙事有些宏大，以至于没有经历过，就不容易理解。后续会更具体的分享一下自己对几个当前热点概念、技术的理解，如检测工程、AI赋能安全、安全SaaS、零信任和XDR等。也更多希望听到你的观点和经验。