云计算业务承载平台
2022.12.02
建设合作生态,是让安全“破圈”的关键一步
一家安全厂商该如何找到增量市场空间?面对这一问题,或许大部分从业者的答案会是,跟着IT预算的流向,持续服务重点行业中的头部客户。
这当然无可厚非——业务属性使然,安全长期属于企业的一项"支出成本"。对比之下,金融、能源、互联网等头部企业由于业务对安全保障的需求更高,也更舍得在此投入成本。于是,这类安全预算充足、对高端产品使用较多的客户,在过去成为众多安全厂商共同追逐的对象。
但在2021年左右,这一行业"常识"开始发生变化。一个例子是,这一年不少厂商纷纷启动安全托管业务,希望为腰部客户提供更全面的安全能力。在这一语境中,"腰部客户"的特征一般有安全团队人员不多、预算相对有限、对行业新产品的了解程度不算太快以及产品的使用能力一般等。也就是说,这类在过去被认为投入产出比有限的客户,反而在这两年受到更多关注。
在36氪的观察中,导致目标客群变化的原因是综合的。
首先在微观层面,一些厂商出于拓展市场的考虑,希望在服务大客户之外找到增量。而站在更宏观的角度,随着近一年来国内法规要求的增多,更多企业的更多业务被纳入安全合规的盘子中。再加上疫情所致,头部客户的预算也产生不确定性。于是,找到更多蓝海中的腰部客户,"聚沙成塔"成为了不少安全厂商们探索的方向。
腾讯安全也是其中一员。作为腾讯对外服务的安全品牌——腾讯安全在历经三年商业化之后,也认识到了非头部客户的重要性。"要把过去像爱马仕一样的产品,以更高的性价比复制到更多行业中去。"在不久前的一次交流中,腾讯副总裁、腾讯安全总裁丁珂如此表示。
丁珂介绍,在2022年,腾讯安全花费了很大一部分精力在产品思路的调整上。"我们发现,本来给到行业KA客户的专业类产品,在其他行业也有巨大复制空间。"丁珂说。
拿腾讯安全近年对外的拳头产品「iOA零信任安全管理系统」举例,丁珂表示,大的互联网客户会有上百万终端设备,对iOA的需求量较高。但在其他行业中,有几百万终端设备的企业是极少数,上千设备才是常态。"所以,我们忽然发现产品应该服务多行业,而不是仅在特定行业里找典范。"丁珂认为,"这是今年,我们在很多产品里做得非常重要的一件事情。"
新的市场增量已然发现,随之而来的新问题是,该如何服务好这部分客户?
对此,腾讯安全的方案是找到合适的合作伙伴。原因是,当腾讯安全服务更多行业的更多客户时,需要和合作伙伴一起了解更多客户的Know-how。同时,腾讯安全也希望和伙伴一起,把产品的交付效率提升、使用门槛降低,整体满足用户体验。
在具体的合作伙伴类型上,腾讯安全生态总经理张彤介绍,目前腾讯安全对于合作伙伴的分类有三:首先是 ISV(独立软件开发商),帮助腾讯满足细分垂直客户的需求,同时也带来更多客户线索;第二类是 SI(系统集成商),同样帮助提升获客效率;第三类合作伙伴则主要帮助提供安全服务。
而针对这三类伙伴,张彤同样介绍,目前腾讯安全会提供针对性的培训、生态BD、架构师等资源帮助合作伙伴降低服务客户的门槛。而且,腾讯安全会把过去的产品+服务的方案拆开,并让服务质量和产品进一步标准化,产品也进一步自动化,从而和合作伙伴一起,达成高质量交付的目标。
丁珂坦言,"当前这个过程还在持续完善"。张彤也表示,未来腾讯安全也会持续调整,看生态需求提供更多合适的资源。
事实上,生态共建不是腾讯安全今年开始的新动作。
早在2017年的CSS安全领袖峰会上,腾讯就联合天融信、绿盟等国内安全上市公司,发起了领袖俱乐部组织。而到2019年,这一组织的规模已经扩大到了17家。之后,腾讯也与不少创业公司和高校进行了新产品、服务或者培训的合作。而如今腾讯安全选择是,和更多数字化领域中的ISV、SI和服务提供方站在一起。
从安全上市公司到各行业的数字化服务商,可以看出,腾讯安全的生态建设经历了一个逐步"破圈"的过程。而这背后蕴藏的,并不仅是腾讯安全的拓客需求,还有在数字化时代,企业安全建设也需要一起进步的现实要求。
以下是36氪等媒体采访丁珂、张彤及腾讯安全合作伙伴「物盾安全」、「广东功勋」、「上海共启」的访谈部分,供读者参考:
媒体:从当前的发展趋势来看,腾讯安全认为哪些领域的安全问题比较突出?对此,腾讯安全又做了怎样的投入?
丁珂:今年的第一大痛点,在基于数据驱动的安全问题、合规类问题。我们看到,很多数字城市的建设,大行业项目资金的投入在这个方向增量很大。第二大方向是国产化,信创类。第三个领域是比较专业性的领域,是有关攻防、泄露方面的。
而在专业领域里,大家特别重视两个方面,第一是供应链安全。因为企业的合作伙伴多了,只要其中一个合作伙伴沦陷了,整个企业可能会损失上百亿美金。第二是开发安全。年初Java反射类的漏洞到现在影响也还没结束,影响了大概10个月左右,快一年的时间。
另外,腾讯安全今年非常大的一部分产品精力,是发现我们本来给到行业的KA客户的专业类产品,也有其他行业的巨大复制空间。
媒体:复制空间具体怎么理解?
丁珂:比如零信任产品,比较大的头部客户可能会有上百万点(“点”代表一个终端设备)。但可能其他行业的一个企业并不会有上百万点。而且,现在几十万点的客户也没有很多,反而都是一千点类的客户群。所以,我们忽然发现产品应该要服务好多个行业,而不是仅在特定行业里找典范。
所以,和合作伙伴共同在一起,会把这些产品的交付效率提升,使用门槛快速降低,用户体验也提升。这是在今年,我们在产品里面做得非常重要的一件事情。
而且,腾讯安全的气质是强攻防、国际化。我们之前也从这个思路出发去看一些产品走势。但到了2022年,行业里发生了不少事情,同时我们也参与一些重要会议的保障,再加上疫情周期里预算的节奏,反而让我们思考,腾讯安全可能需要为更多行业客户,而不仅仅是头部的几个客户服务。所以这时候,我们特别需要生态合作伙伴在一起。
做一个巨大的客户,讲起来很有光环,但现在更多是要做广。也就是在行业的方方面面,把安全的水位共同拉高。
媒体:说到提高安全的水位,今年各种系统崩掉的事件也很多,你觉得造成这种现象的原因是什么?
丁珂:今年的各种事件确实压力很大。有时候由于系统的参与方太多,可能出问题的都不是技术,而是一些像配置错误、某供应商设备网络断了等等问题。也就是一个环节断了,卡着所有的环节。我们碰到都是这类共性问题。
而且每次去解决问题的时候,我们很多时间都花在找人上,也就是找到到底是谁的系统,一个系统可以找到20个人以上。大甲方去搭一个平台,不是一期项目,可能是三期项目,三期里面又没有一个承接方是从一而终的。
但其实这些问题从产品的角度看,并不复杂。在大KA的项目里,腾讯安全出面做的项目都是保底的,负责到底。但现在碰到的情况是,行业越来越多、越来越细分,细到就算你是孙悟空,一堆汗毛一撒也撒不出那么多人来。尤其今年下半年,这个情况特别明显。
坦率地讲,这么多行业和企业,我们不可能有那么多人力。再加上市场的强需求,也让情况更加复杂。在这个过程中,我们的角色需要转变,也迫切需要了解各个行业的客户。在这些方面,可能以前服务数字化的ISV(独立软件供应商)或SI(系统集成商)会比一般客户专业很多。
在安全领域,一些特别头部的客户,比如金融科技公司,和我们长期是生态的关系。另外一些大的国企,我们也有联合实验室。但除了金融和大央企、政府,其他那么多行业我们可能没有这种模型,所以一定要靠行业合作伙伴。
安全成为强需求是好事,大家有购买的欲望。但有些项目太复杂,我们不是知根知底,对系统不了解,所以接的时候也需要勇气。安全特别结果导向,责任特别重。
媒体:我们需要合作,但客户要看效果。腾讯安全又如何去把控伙伴的交付质量?
丁珂:其实是一个过程。整个腾讯安全正式面向企业发布产品,也就3年多一点的时间。前3年,我们更多耕耘在一些大头部领域,角色确实是一个总集方。但走到现在,也发现以后这种模式很难复制,因为我们人毕竟有限,每个行业的特征也都不一样。大的互联网行业,大家体系比较像,每个细分领域还可以做两三个头部。但其他行业,归根到底,我们更多要靠生态合作伙伴共建。
怎样去做的话,首先要有偏公正的第三方规划,第二是关键数据的审计,第三是技术服务和响应体系的建设,第四就是产品和服务。这里还涉及到一个项目里面的报价部分,每个产品服务的分润,要清清楚楚。
以前腾讯做总集成,还可以帮大家来分。未来如果任何一个人冲在前面,在客户那里,大家需要有一个共识的标准。现在还并不是那么成熟。
媒体:现在腾讯安全在生态建设方面投入哪些资源?有没有形成一种比较定型的机制?
张彤:资源的投入,还是要回到服务合作伙伴的类型来看。我们现在会通过两种方式,和合作伙伴共同面对客户。
第一种,我们会将之前提供给大客户的、强绑定在一起的产品和服务,拆成产品+服务的形式。拆成这种形式的目的,就是通过不断优化、完善产品,降低合作伙伴的服务、交付门槛。在这个方案里,重人力,甚至要到代理级的服务,都尽可能的集成到产品里。而且,我们也会在产品里提升功能,让产品通过自动化的方式来满足客户需求。这些都能降低合作伙伴服务的门槛,同时也满足我们对质量和标准化服务的要求。
而针对服务类型的合作伙伴,我们也有ASP——认证的合作伙伴,CSP——服务能力被准入的合作伙伴。我们也在定一些标准,对合作伙伴的技术能力、服务能力、商务持续性能力、市场商誉进行一系列评价,希望大家能够达到相应标准。腾讯这边定出完整的、标准化的服务,给客户提供媲美原厂的交付体验。
媒体:在服务类型的合作伙伴之外,我们又提供了哪些资源?
张彤:ISV的合作伙伴是为了打通最后一公里。我们不会对所有行业都那么熟悉,可能在一些特定行业或者头部行业里,确实腾讯做得非常好,攻防也是全国甚至世界级的。而针对一些更广泛的行业客户,其实我们迫切需要一些ISV帮助我们降低获客的成本,透过合作伙伴触达客户,成本对于双方来说都更经济。
而SI的合作伙伴,我们会通过产品组合合作。举个简单例子,云原生方面WAF、DDoS、主机安全往往是共同产生的,当客户遇到防火墙的问题,大概率也会遇到DDoS、主机加固甚至威胁情报的问题,所以我们会通过这类合作伙伴,为客户提供标准化打包的解决方案。
服务好ISV、SI和服务类型合作伙伴,我们的生态资源里已经非常明确会有几类人员的支持。比如生态BD可以帮助找到新的合作伙伴,架构师资源可以帮大家在技术能力上做前瞻性提升,也帮助大家承接我们在头部客户处积累的经验。另外还会有一些运营资源,帮助合作伙伴找到市场的机会,熟悉政策。而且,我们也会通过合作伙伴得到的一线反馈,及时传递给后台的研发部门。
这些资源是我们已经配备的,未来也会根据合作伙伴的数量和类型变化,看需要在哪些方面调整。
媒体:也想请问几位合作伙伴,和腾讯安全的合作中,大家期待中理想的收益方式是什么样的?
汤晓冬(物盾安全):其实客户买安全产品时有三个驱动力,一个是最基础的合规。第二,避免安全事件,比如勒索。第三是降低业务风险,比如羊毛党。
一般来说合规的要求太基础,合规情况下,小公司很难脱颖而出,所以我们跟腾讯的合作看重几点:
第一,腾讯品牌。我们合作是会露出的,产品有一个部件是腾讯提供的,这应该是我的加分项,卖手机大家还会说摄像头是蔡司的,所以我们得说这个事情。
第二,遵守生态合作。也就是说清楚你赚什么钱,我赚什么钱。如果我跟一个小公司合作,在强大的营收、数字压力下,契约精神可能就不遵守了。腾讯至少家大业大,不仅仅是安全,其他行业形象树立也非常好,和这样的大项目一起去合作,对于我们品牌也是增值。
第三,腾讯需要我们在特定领域,特定行业,甚至特定场景下有独特之处,我们也需要腾讯广义安全的能力,或者整个大的平台能力,合在一起去做市场宣传。
金洲(广东功勋):我们为什么选择跟腾讯安全合作?因为腾讯安全有二十多年的沉淀,技术输出、实验室其实在业内的影响力是非常高的。我们在全球服务将近两千家中大型企业,结合这些能力,和腾讯安全合作,也提升了我们自己在客户端的信任度。
媒体:在具体的场景上我们是怎样合作的,有没有例子?
何红波(上海共启):比如,零信任我们是第一批CSP服务商,大概二三十人团队全部在学习这个产品。包括最基础,安装、实施、服务交付,整套流程都跟腾讯安全进行了考试认证。后期对于这块服务,我们只需向腾讯安全购买一些license。跟中、大型客户交流,会用到售前或者基础产品人员,其他的交付、实施、服务,我们服务商完全可以做到(自主完成)。
丁珂:我补充一下,零信任的门槛非常高,重交付。比如之前的一个项目,三万个端整整做了一年。像这类项目,我们会把像共启这类伙伴,未来发展成区域的技术支撑和应急响应中心。比如一万个端里有十个端有问题,这个时候客户找谁?应该是一个应急响应中心,可能运营主体就是共启,这才是未来针对客户视角的发展趋势。
媒体:整体来看,腾讯安全怎样平衡安全解决方案的可复制性与个性化的定制?以及腾讯安全未来的业务布局重点有哪些?
丁珂:坦率讲,腾讯安全做到这个阶段,有点像我们小时候的古文《卖油翁》,惟手熟尔。我们经过特别大的标杆客户的磨砺,把里面共性化的东西提炼出来。这不是太神秘的事情,没有什么难度。
对大客户定制化的需求,其实市面上每年也找不出那么多大客户来,投资的流向决定了未来不可能凭空长出那么多大客户。腾讯安全大客户的市占率让大家有足够信任,所以我们比较有把握,自己的产品需求是代表未来的。服务大客户会有个性化开发,但通过比较有效的版本管理也可以落地。
当然,我个人判断,明年我们的客户群两极分化会比较严重。像很多金融客户,坦率讲他用过的产品、安全技术可能比我们的产品经理都多。那些都是他们拿钱买来的,代表整个行业里非常高的水平。但可能2023年的趋势,是怎样让这些爱马仕级的东西,以很高的性价比,让更多行业客户都用到。
在重点投入方面,从云管端的角度拆分,管这一侧,其实主要看溯源,也就是数据流强相关部分。但坦率讲,这部分我们的客户买单能力并不强,反而偏静态的产品是客户能认知的。
端(这里特指iOA类的终端安全的产品)这个领域是最活跃的,也是最适合生态发展的。因为这类产品,几乎覆盖所有人的需求,尤其在疫情、远程办公、未来效率框架上,这类产品没有那么尖端,但大家一定会往这个方向上走,变成标配的基础。
一个企业只要在数字化的路上,迟早都要面对这个路径,这是兵家必争之地,是实数融合里面所有企业必经的一个过程,市场很广阔。有点像一个厨师,需要被考验最家常的鱼香肉丝是否能做好。
所以,这个标配上谁做得更稳定、服务更好、性价比更优,是未来客户选择的关键