网站地图 | RSS订阅 老铁博客 - 上海SEO优化|上海网站建设|蜘蛛池出租|站群代搭建
你的位置:首页 » 网站优化 » 正文

云安全行业思考 在线漏洞扫描的未来在哪里?

2019-6-20 23:26:7 | 作者:老铁SEO | 0个评论 | 人浏览

  入行云安全有快两年了,从最开始的不懂安全一脸懵懂,到现在略微能对行业“指点”一二,感触良多。本文重点讲一讲在线漏洞扫描服务以及对云安全的理解,漏洞扫描服务也是我产品职业生涯第一个负责的产生了些许感情的服务,伴随着我的成长。

  云、物联网、AI这些行业是我非常看好的,相互结合起来会产生巨大的价值,也认为是下一个十年内互联网的风口,会持续关注,也会持续保持学习。

  漏洞扫描服务,即针对网站和主机等资产,进行漏洞扫描,提前为客户的资产发现安全风险,就像一个体检医生,提前发现问题。

  漏洞扫描盒子这个东西,目标客户大致有二:一是网信办等权威机构强制要求需要部署,另一个是客户极其重视安全,需要对自己的资产安全做把控。

  所以当前在线漏洞扫描的市场,多半是从用了漏洞盒子的厂商转换过来的。所以漏扫的第一阶段,围绕漏洞为核心,做漏洞的生命周期管理,协助客户“安心”下来。对标漏洞盒子的扫描能力,给出线上扫描解决方案以及扫描体验,提升核心扫描能力,积累自己的扫描POC库、CVE库。

  漏洞扫描如果只是提供漏洞扫描,那么只会成为一个较低频的安全工具,就像抢票软件一样。如果想要增强用户粘性,可以开放API,允许用户自己写脚本做定制化,建立独立的扫描模板,嵌入业务流程,在每次业务上线前或是爆发紧急漏洞的时候,做快速的扫描,给客户带来“保障式”的体验和价值。

  细数市场上大部分的漏洞扫描,都已经不是专门做单纯的漏洞扫描了,因为那样的话,似乎和开源的扫描器没有区别。绝大部分的漏洞扫描器都在靠近一个概念,就是资产探测和资产管理,从一个探测的扫描技术工具走向一个管理工具,企业客户带来更高的价值。

  而笔者认为,如果漏扫做资产管理的话,那么以后漏洞扫描可以融合进态势感知中成为安全中心,再提供紧急漏洞监测能力,会使得管理的概念更清晰,价值更大化,成为云安全的基础和入口,给其他安全服务的销售做引导,还可以和相关服务做互补例如WAF补丁等,给企业和商家都带来更大的价值。

  很多已有的在线漏洞扫描器,在探索了一段时间的商业模式以后,都转战做安全平台了,典型的有“补天平台”、“漏洞盒子”这些。平台的建立对厂商可以快速丰富自我扫描能力,对外可以快速建立自己的权威品牌,也增强了安全客户覆盖率,增加了商业机会。

  当然,由态势感知或者漏洞扫描发展成平台是比较困难的,并且两者还是区分开比较好,漏洞扫描专心服务用户,平台为漏洞扫描以及整个安全输出能力和价值。

  安全是一个整体,尤其是大厂,要学会对外输出解决方案,做整体的补齐。在大厂的产品经理中,个人认为可以按照防护的域来分配产品经理,例如:web安全的专家负责漏洞扫描、WAF、风控等,这样会有针对性,也方便在某块域的拉通补齐。

  个人认为,大厂的优势是整体解决方案,以及和iaas的契合性。小厂的优势是做精品,一方面有自己独立的强需求的客户群,另一方面提供技术和数据给大厂变现。

  除了做专做精,随着互联网和云的发展,安全的受众面一定是越来越大,很多小企业会越来越有安全意识,云安全也可以适时的做到普遍性,和云产品横向打通,并且结合AI智能形成安全事件闭环,增加云厂商的竞争力。

  总之就是,安全的产品经理多多少少都是要懂技术的,不然会很痛苦,跟客户也无法交流,做安全的产品经理,除非想成为某域专家,否则不要局限于自己的某一领域,要多抬头看看整体,说不准自己负责的域,在其他层面也能被实现了呢。另外做B端产品经理,要有商业思维,懂得去思考和发展合作生态,为产品长期发展和壮大做铺垫。

  一路走过来,最傻但是最有收获的坑,就是明白了安全这个东西真的不适合To C业务(360安全卫士那些非专业性的“安全神器”不在此列),也不适合用太多的C端的思维去做产品优化和运营。

  但凡上云并且有安全意识的,一定为了背后的利益做支持的,所以必定是企业用户,比起前期把有限的时间几乎全花在用户体验上,不如抓紧提升扫描能力,给客户带来实实在在区分于开源扫描器的价值。

  产品经理的核心职责是,解决某些客户的某些需求。但是在B端产品中,需求不仅仅是共性需求,还会存在定制化需求,客户也很难用一个完全准确的用户画像去划分衡量。打个比方:某安全厂商做了十几年,总共服务了400多家企业客户,就已经达到商业上的成功实现盈利了。

  如果用传统的流量思维来做数据分析的线划分为百分之几找规律,毫无意义,并且,C端的产品中,可以去培养用户习惯,让用户跟着自己走,但是B端的产品中,大方向产品可以把控,在小细节上很多用户是明确有自己的想法和需求的,为了避免后期的手忙脚乱,前期的架构、可扩展性、可定制化性等要和技术leader设计好预想好。

  暂时更新以上,还有一些对于竞品的分析以及市场的分析想法,下次有时间再更了~

  • 本文来自: 老铁博客,转载请保留出处!欢迎发表您的评论
  • 相关标签:网站漏洞在线扫描  
  • 已有0位网友发表了一针见血的评论,你还等什么?

    必填

    选填

    记住我,下次回复时不用重新输入个人信息

    必填,不填不让过哦,嘻嘻。

    ◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。