我的安全產品觀（一）

這是一篇雜想，也是一篇回憶，算是給我「偽產品經理」經歷的一次總結。

同其他互聯網產品一樣，一個完整的安全產品團隊至少會包括產品經理／技術／運營／銷售這四個角色，當然如果是免費產品請臨時忽略銷售這個角色。安全產品從規劃／設計／研發／上線／推廣／運營，就一直是這四股力量相輔相承相生相剋的過程。

技術人員的價值觀是安全技術鶴立雞群，獨霸一方，有時候不發個paper不申請個專利都不解恨；銷售的價值觀就是所謂的背數，賣的好，利潤高高於一切；運營的價值觀就是市場認知程度，可以路人皆知「送禮只送腦白金」基本就是最高境界，但是我要潑冷水的是，這和最終用戶關係都不大。

商業的本質就是利潤，用戶拋去IT基礎費用擠出的安全預算，最終要獲得是所謂的價值，說白了能夠幫助我解決問題，能夠幫助我解決問題我就願意買單，所以安全產品如果想最終可以從自嗨到掙錢，一定需要幫助用戶解決問題，其他都只是敲門磚。這時候產品經理的價值就體現了，他全程推動了安全技術到安全產品的過程，促進了安全產品為用戶產生價值，填補技術和市場需求之間的鴻溝，從這個角度講，每個安全產品經理都是上輩子折翼的天使。

談到用戶價值，我個人感受，尤其是互聯網公司，安全投入的原始動力，除了極少數是類似電商業務需求驅動，金融等的監管驅動，其他主要是事件驅動，所以也很無賴的事情發生了，未雨綢繆少，亡羊補牢多，剛需少，偽需求多，甲方自己說的出來的需求少，乙方想出的需求多。所以我們可以看到，可以臨時救火的賣的好，比如被DDoS時賣抗D，被薅羊毛時賣風控，數據泄露時賣資料庫審計和DLP等等，爆發蠕蟲時的專殺工具，這時候站在甲方面前的不是廠商，是親人。這些可以救火的產品，可以歸為剛需類的產品。

稱得上剛需的產品往往不多，而且競爭激烈，還有一類產品也可以幫助用戶，就是可以提高效率，解決高頻問題的產品。這裡的高頻有兩個方面，一個是經常用的，一個是可以經常發現問題的。這兩個方面說起來比較拗口，甚至可以說看起來差不多，其實差別很大。所謂經常使用，就是和日常運維結合緊密，比如防火牆 WAF這個就是經常用，甚至可以說是IT基礎設施了，這類產品很容易走量。所謂的經常發現問題，才是真正體現高頻，如果一個產品部署測試一年，也難得發現一個報警，它的價值就很難體現，如果部署測試一周，可以發現一些小問題，它的價值也會被放大，這個就是所謂高頻的價值，也可以理解為刷存在感的能力。個人感覺，主動發現類產品會比被動檢測類的產品高頻，漏洞發現類的比入侵檢測類的高頻。

還有一個重要的問題，就是所謂的創新。我理解安全產品上的創新可以分為兩種，一種是連續性創新，一種是非連續性的創新。所謂的連續性創新，就是在現有安全產品上加上新特性或者使用新技術，產品形態並沒有大變化，解決的問題範圍也沒有大的變化，比如電動汽車，首先還是車，不過用了新的動力，解決的還是代步問題。所謂的非連續性創新，主要是解決的問題範圍變了，用的技術是否是新其實反而無所謂了。以解決的問題範圍為橫軸，以使用的技術為縱軸，B和D可以解決新的問題，這通常容易被用戶關注，通俗的講願意和你聊，但是由於解決的是新問題，需要花大功夫做市場教育。A雖然沒有BD的博眼球，但是由於解決的問題容易被理解，不用走市場教育，同時使用了新技術，有差異化，用戶也願意聊。我個人比較喜歡A這種。創業公司比較喜歡BD，因為BD具有彎道超車的可能。