我的安全产品观

我的安全产品观

这是一篇杂想，也是一篇回忆，算是给我“伪产品经理”经历的一次总结。

同其他互联网产品一样，一个完整的安全产品团队至少会包括产品经理／技术／运营／销售这四个角色，当然如果是免费产品请临时忽略销售这个角色。安全产品从规划／设计／研发／上线／推广／运营，就一直是这四股力量相辅相承相生相克的过程。

技术人员的价值观是安全技术鹤立鸡群，独霸一方，有时候不发个paper不申请个专利都不解恨；销售的价值观就是所谓的背数，卖的好，利润高高于一切；运营的价值观就是市场认知程度，可以路人皆知“送礼只送脑白金”基本就是最高境界，但是我要泼冷水的是，这和最终用户关系都不大。

商业的本质就是利润，用户抛去IT基础费用挤出的安全预算，最终要获得是所谓的价值，说白了能够帮助我解决问题，能够帮助我解决问题我就愿意买单，所以安全产品如果想最终可以从自嗨到挣钱，一定需要帮助用户解决问题，其他都只是敲门砖。这时候产品经理的价值就体现了，他全程推动了安全技术到安全产品的过程，促进了安全产品为用户产生价值，填补技术和市场需求之间的鸿沟，从这个角度讲，每个安全产品经理都是上辈子折翼的天使。

谈到用户价值，我个人感受，尤其是互联网公司，安全投入的原始动力，除了极少数是类似电商业务需求驱动，金融等的监管驱动，其他主要是事件驱动，所以也很无赖的事情发生了，未雨绸缪少，亡羊补牢多，刚需少，伪需求多，甲方自己说的出来的需求少，乙方想出的需求多。所以我们可以看到，可以临时救火的卖的好，比如被DDoS时卖抗D，被薅羊毛时卖风控，数据泄露时卖数据库审计和DLP等等，爆发蠕虫时的专杀工具，这时候站在甲方面前的不是厂商，是亲人。这些可以救火的产品，可以归为刚需类的产品。

称得上刚需的产品往往不多，而且竞争激烈，还有一类产品也可以帮助用户，就是可以提高效率，解决高频问题的产品。这里的高频有两个方面，一个是经常用的，一个是可以经常发现问题的。这两个方面说起来比较拗口，甚至可以说看起来差不多，其实差别很大。所谓经常使用，就是和日常运维结合紧密，比如防火墙 WAF这个就是经常用，甚至可以说是IT基础设施了，这类产品很容易走量。所谓的经常发现问题，才是真正体现高频，如果一个产品部署测试一年，也难得发现一个报警，它的价值就很难体现，如果部署测试一周，可以发现一些小问题，它的价值也会被放大，这个就是所谓高频的价值，也可以理解为刷存在感的能力。个人感觉，主动发现类产品会比被动检测类的产品高频，漏洞发现类的比入侵检测类的高频。

还有一个重要的问题，就是所谓的创新。我理解安全产品上的创新可以分为两种，一种是连续性创新，一种是非连续性的创新。

所谓的连续性创新，就是在现有安全产品上加上新特性或者使用新技术，产品形态并没有大变化，解决的问题范围也没有大的变化，比如电动汽车，首先还是车，不过用了新的动力，解决的还是代步问题。所谓的非连续性创新，主要是解决的问题范围变了，用的技术是否是新其实反而无所谓了。以解决的问题范围为横轴，以使用的技术为纵轴，B和D可以解决新的问题，这通常容易被用户关注，通俗的讲愿意和你聊，但是由于解决的是新问题，需要花大功夫做市场教育。A虽然没有BD的博眼球，但是由于解决的问题容易被理解，不用走市场教育，同时使用了新技术，有差异化，用户也愿意聊。我个人比较喜欢A这种。创业公司比较喜欢BD，因为BD具有弯道超车的可能。