网络安全搞平台化，可能吗？

网络安全平台的想法似乎并不合理，因为......它确实不合理。

这就是关键所在。

摩根·豪塞尔（Morgan Housel）在他的新书《一如既往》（Same as Ever）中这样评价人们的极限行为：

乐观主义和悲观主义总是要超越看似合理的范围，因为发现可能的极限的唯一方法，就是冒险超越这些极限。

就是这样。

看好网络安全的平台化，就是要测试我们行业的极限。

对单一的端到端网络安全平台持悲观态度是很容易做到的。在网络安全领域，平台化未能奏效的原因有很多。但这只是一个稻草人谬论。

为什么？客户从一家公司购买的网络安全平台永远不可能一统天下。真正要讨论的，其实是别的问题。

平台化是指网络安全产品走向平台的过程。这与光谱的极端两端无关。而是市场向平台的一端或另一端发展。

问题不在于：为什么平台化在网络安全领域行不通？

而是：平台化如何才能在网络安全领域发挥作用？

乐观地解读网络安全平台化所需的条件则更加困难，很劳心费神。我们需要超越自己的极限。

我们先来说说其他科技领域的平台化。

如果把视野放大到更广泛的科技行业，你会发现同样的模式一再上演：平台化是不可能的......直到它真的实现了。

科技公司最雄心勃勃的一个共同目标是，希望在没有平台的领域建立平台。

苹果和微软建立了个人计算平台。

SAP建立了一个企业资源规划平台。

Epic建立了一个医疗保健平台。

Salesforce建立了一个客户关系管理平台。

Facebook建立了一个社交网络平台。

亚马逊建立了一个基础设施平台。

ServiceNow构建了一个IT运营平台。

如果人们的生活、工作、健康、金钱和人际关系可以平台化，那么网络安全也可以。我们很重要，但很难说我们比目前已经存在平台的大多数领域更重要。

说回网络安全平台……

在关于平台化的争论中，一个重要的细节被忽略了：我们已经有网络安全平台了。

Okta是一个身份平台。

CrowdStrike是一个终端安全平台。

Zscaler是一个网络安全平台。

Splunk是一个安全运营平台。

Wiz是一个云安全平台。

它们都相当不错。它们并不完美，但足以推动安全领导者的购买行为，从数十种单点产品转向每个领域的平台公司。

我们还没有一个多领域平台：一个跨越安全运营、网络、身份等主要领域的平台。单一领域是目前网络安全领域的极限。

要超越我们目前的局限，就必须从相对而非绝对的角度思考问题。

将平台化视为“全有或全无”是一个陷阱。

安全领导者永远不会从一家公司购买所有产品和服务，他们也不会不同的公司各买一样。

这些情况都是极端情况。

现实介于两者之间：

思考这个问题的方式是相对的，我们在这个光谱上处于什么位置？更重要的是，如果某些事情发生，我们将处于什么位置？

分布式产品是默认状态。大多数公司不可能一觉醒来就决定成为一个平台。这需要大量的资金，而且需要分阶段逐步实现。平台化本身就是一条竞争护城河。

沿着光谱移动才是真正的神奇之处。

如果网络安全网状架构等技术得到推广，或者网络安全公司在合作和整合方面有了长足进步，那么分布式市场就会得到进一步巩固。

如果使用单个公司构建的网络安全平台的优势明显超过分布式平台，它们就会把市场推向平台一端。

网络安全公司能够推动中位数的程度，是一个数十亿美元的命题：

哪怕是向着平台化的微小移动，对市场的影响也是巨大的。

有了平台，就能让更少的公司控制更大比例的网络安全总支出。你甚至不需要成为万能的网络安全平台。只需推波助澜，你就赢了。

这种动态及其力量是一种非常多变的情况，但我们永远不会陷入任何一个极端。

很多因素都会推动网络安全平台化的发展。让我们来看看实现网络安全平台化需要哪些条件。

成功的平台化是如此罕见，认为存在一本策略手册是愚蠢的。网络安全有其自身的细微差别和特殊性，就像每个相对较大的行业一样。

不过，我们可以从其他科技领域的平台化、以及网络安全领域迄今为止的成功（和失败）经验中，总结出一些主题。

真正的平台：根据技术定义，而非营销定义

建立实际的技术平台，是迄今为止影响网络安全平台化成功与否的最大因素。

没错，这意味着真正的平台所有的一切，从头到尾--集成的用户界面、数据层、生态系统，应有尽有。没有任何非技术性的捷径，即使你并购了平台的一部分。一切都必须正常运行。

把捆绑产品称为平台是不诚实的。这种策略可能会在一段时间内奏效，但技术是不会说谎的。一旦暴露，一切都完了。问问Symantec、McAfee和CA就知道了。

只有打造客户真正需要产品，我们在此讨论的产品创新、销售和营销、经济激励以及其他因素的循环才能奏效。

产品创新必须能够跟上我们讨论的其他想法。如果产品跟不上，其他一切都无从谈起。

执着：对网络安全的关注、专业知识和承诺

建立多领域网络安全平台需要集中精力。它需要我们的共同努力。用一个词来形容，就是"执着"。

我很难想象一家不完全专注于网络安全的公司能做到这一点。理论上，大型技术公司拥有建立网络安全平台的资源。他们缺乏的是将其变为现实的专注、专业知识和承诺。

专业知识，是我们迄今为止所看到的网络安全平台中的一个重要因素。乔治-库尔茨在创办CrowdStrike时就清楚地知道，要建立一个终端安全平台，需要采取哪些不同的方法。托德-麦金农在Salesforce工作时也对Okta有类似的见解。行业外人士有可能克服这个问题，但平台化已经够难了。

然后是承诺部分。向平台化转变可能需要十年甚至更长的努力。要么需要创始人领导的公司，要么需要一些真正有决心的高级管理人员来完成这项工作。

现在，我们正在进行一项价值数十亿美元的实验，看看大型科技公司是否有可能建立网络安全平台。博通、思科、Alphabet和微软都在大力投资网络安全业务部门。我预计会取得一定程度的成功，但这些公司中的任何一家最终都不可能拥有一个无所不能的网络安全平台。

技术变革：网络安全领域内外大大小小的技术变革

推动网络安全平台化的一些因素超出了我们行业的控制范围。技术变革就是其中之一。它们一直是其他技术领域平台化的一个关键因素。我们也不例外。

我不确定人工智能是否会成为实现网络安全平台化的技术变革。现在，人工智能被当作解决所有问题的灵丹妙药。它可能是网络安全平台化背后的部分原因，但不要指望它是唯一的原因。

推动网络安全平台化的突破可能更加迂腐。在任何领域构建集成技术平台都比以往任何时候都要容易，因为我们的工具和框架比以往任何时候都要好。随着这种杠杆作用的加强，构建和扩展大型软件也变得更加容易。

当技术变革结合在一起时，事情就变得非常有趣了。Wiz因此成为有史以来发展最快的网络安全公司。他们利用这一点，坚持不懈地抓住机遇，重新定义了云计算基础设施安全的方式。

策划：通过建设、购买和合作创建网络安全平台

"构建网络安全平台"这一说法过于简单。当我们谈论平台扩展时，仅仅构建是不够的。

马克-扎克伯格曾谈到，寻找和培养工程人才是阻碍Meta发展的头号障碍。如果马克-扎克伯格都找不到足够的人在Meta进行建设，我们就没有机会。

网络安全领域的平台化需要通过建设、购买和合作相结合的方式来实现。当然，不可能没有建设--但要解决平台化之谜，还需要进行一些古典的交易模式。

我们都知道并购，但这次必须以不同的方式执行并购。要想实现平台化，企业需要在正确的时间购买最好的产品，并且真正意义上，整合他们。

这意味着要有足够的资金用于收购，及早发现新兴类别中的公司，然后在竞争对手收购之前成功执行交易。这些都不是容易做到的。

我还预计，在未来的发展中，我们将看到平台中组件的贴牌拼装变得越来越多。推动平台化的动力太大。公司会不惜一切代价采购和集成最好的产品，即使这意味着要从别人那里OEM。

品牌地位：首个“奢侈”网络安全品牌

至少在早期，平台似乎具有奢华和排他性的诱惑力。这在网络安全领域并非必要，但更广泛的趋势值得肯定。

苹果公司是技术平台案例研究的黄金标准（没有双关语）。它是一个奢侈品牌，他们聘请奢侈品牌高管来管理自己的业务。

如果没有苹果公司存在，人们会为类似的产品支付更高的价格。为什么呢？部分原因是因为他们生产了出色的产品。另一部分原因是人们想要拥有苹果产品的身份地位。

我们已经开始看到一些领先的网络安全平台复制这种模式。如果网络安全平台真的能比分布式平台更好，那么在大公司高管中，拥有一个网络安全平台将被视为一种奢侈。

客户细分：大公司购买大网络安全平台

建立多领域网络安全平台可能需要严格的客户细分。起初，这似乎有悖常理--难道平台不应该尝试接触尽可能多的客户吗？

为各种规模的企业和消费者提供广泛的网络安全平台尚未奏效。Symantec和McAfee曾在终端安全方面尝试过这一策略，结果是毫不客气地将其B2B业务和消费者业务分开。

企业客户群显然是平台化的目标，但这并不是一个简单的答案。与消费者相比，企业面临的问题更复杂，需要的工具也更多。这很有诱惑力，但也增加了平台化挑战的难度。

面向消费者或中小企业的网络安全平台可能范围较小。对产品方面的专注可能会成为平台化的优势，但时间会证明一切。

激励措施：惰性是强大的，但正确的激励措施也同样强大

最后，网络安全的平台化需要适当的激励措施。

如果网络安全公司建立了一个客户真正需要的平台，那么激励的力量就会变得更加现实。一个好的平台会让人们愿意购买他们买不起的东西，或者至少比以前花更多的钱，因为他们现在就需要拥有它。

客户不会停止购买单点产品，除非（a）平台确实更好，（b）他们的CFO或采购部迫使他们这样做，或（c）两者兼而有之。

精明的安全领导者不会为了给公司省钱而购买糟糕的安全产品。但他们也不会从多个供应商那里购买商品化的产品。他们有足够的智慧来识别一个平台何时有利，何时不利。

激励措施的门槛确实很高。要想实现平台化，就必须明确平台能提供最好的防御和优势，远远超过分布式产品所能提供的一切。

执行这一切听起来是否不可能？好像是的，这也是教训的一部分。

平台化可能是技术领域最难实现的成果。困难并不意味着不可能。唯一的办法就是不断测试极限。

摩根·豪塞尔是这样描述的：

要知道我们已经从市场中挖掘出所有潜在的机会，要确定顶点，唯一的方法不仅是推向它们超出数字不再有意义的高度，而且要超越人们对这些数字的信念故事。

在我们的行业中，有关平台化的数字和故事已经不再有意义了吗？也许吧。我们会找到顶点的。

我不知道哪家网络安全公司会成为平台化的领头羊。数字和故事都告诉我们，这条道路充满风险。许多前途无量的公司都毁在了这一过程中。

任何一家能够实现网络安全平台化的公司都将价值5000亿美元。而那些没有成功的公司，则会和那些先行一步的公司一起，被送进私募股权投资的坟墓。

然后，下一个无畏的网络安全公司，会继续尝试。

说明：本文不代表喵站观点

原文链接：

https://strategyofsecurity.com/how-could-platformization-work-in-cybersecurity/