网络安全市场大整合？别做梦了

安全市场大整合，无处不在！

这就是个梦。

每年，总有一些CISO、行业分析师或厂商建议，我们即将迎来网络安全市场的整合。厂商将合并，竞争将减少，客户最终将获得那种时尚的、全能的、灵丹妙药般的解决方案，从而使他们的安全烦恼消失。这是一个美好的未来愿景。但问题是，这并没有真正发生，至少没有人们想象的那么大规模，而且可能在短期内也不会发生。

我们来分析一下为什么安全市场拒绝像大家所说的那样进行整合。原因根植于复杂性、创新，甚至一些老式的企业惰性。

网络安全寒武纪大爆发与专业解决方案的崛起

要理解为什么安全市场没有整合，我们需要看看当前的格局。类似于网络安全中的“寒武纪大爆发”，正如寒武纪时期地球上的生命迅速多样化，我们正在目睹安全解决方案的爆炸式增长，所有这些解决方案旨在应对特定的威胁、合规要求和商业模式。

安全不是垂直领域。是横向领域

首先，安全并不是一个单一的市场。它是由数十个领域、领域和细分市场组成的，涵盖从漏洞管理到威胁检测、身份治理、终端保护、安全意识培训等多个方面。不同的安全功能需要不同的工具，尽管一些厂商可能会捆绑功能，但这些解决方案通常无法像单独的专业工具那样全面覆盖所有内容。

因此，专业化并不是一个会消失的趋势。根据最新的市场趋势，我们仍然看到新的初创公司以惊人的速度涌现，每个公司都专注于将一件事情做到极致（或者至少比竞争对手做得更好）。这些公司并不想融入一个大型套件。它们关注的是解决传统厂商无法或不愿解决的特定问题。

不可合并的客户

然后是客户方面。安全买家和他们使用的工具一样分散。不同的企业有不同的需求，而我们甚至还没有整合我们保护的技术——这是一个至关重要的第一步。没有这一点，统一的解决方案在网络安全中永远无法奏效。

安全市场将与客户基础一样多样化。大型企业拥有庞大的预算和专门的安全团队，想要集成平台和一流的工具。而较小的组织则需要经济实惠的解决方案，以解决特定问题，而不会给他们的 IT 团队带来过大压力。

大型国际银行与小型科技初创公司进行比较。银行面临复杂的法规、内部风险以及在广泛的 IT 网络中定制的威胁检测需求。他们可能需要 SIEM 和安全数据湖。然而，初创公司可能会选择一个更简单的基于云的 XDR，这样更容易部署和管理，同时仍能提供可靠的检测和响应。

即使在同一行业内，需求也差异很大。拥有数千个 POS 系统的零售商将优先考虑与仅在线零售商不同的安全工具，即使两者面临类似的法规。这导致了专业工具的激增，而不是单一平台。

当公司寻求集成解决方案时，过渡可能会很痛苦。替换根深蒂固的系统很困难，许多公司最终不得不同时使用两个工具——一个崭新闪亮，另一个仍然拼命坚持。

在安全运营中，这一模式非常明显。像安全数据湖、无 SOC 检测、自动化和高级分析等解决方案在大型企业中越来越受到重视。这些系统并不是取代旧工具，而是对其进行补充，进一步多样化市场，而不是整合市场。

对手决定市场的需求，而不是厂商

另一个整合的障碍是网络安全创新的不断加速。攻击者每天都在进化，往往比防御者跟得上得更快。这导致对新解决方案的持续需求，这些解决方案与新兴威胁一起发展。每一波新的攻击都有相应的解决方案出现。我们曾经认为终端保护就足够了，但现在我们有XDR和SASE，声称可以填补传统 EDR 的不足之处。

随着威胁变得越来越复杂，传统工具如 SIEM 和 EDR 无法满足全面的安全需求。这导致了 XDR、安全数据湖以及像无SOC 检测、安全自动化和威胁狩猎等细分解决方案的兴起。

XDR，例如，建立在 EDR 的基础上，但通过整合来自端点、网络和云环境的安全遥测来扩展其覆盖范围。它提供比传统SIEM 更深入的威胁检测。然而，XDR 并不是在取代 SIEM；它是通过填补 SIEM 未设计来解决的空白来补充 SIEM。

同样，安全数据湖在需要存储和分析大量安全数据的大型企业中变得越来越受欢迎。这些数据湖允许对大数据集进行高级分析和机器学习，但它们并不取代现有工具——而是增强了它们。

攻击者的创新不断推动对新解决方案的需求，如 XDR 和 SASE，这些解决方案填补了传统 SIEM 和 EDR 留下的空白。这种持续的创新导致了碎片化，而非整合。

这就是为什么大多数安全运营解决方案经历我所称的“SIEM 化”，在这种情况下，任何此类技术最终都不可避免地会类似于伪 SIEM。

解决方案太多，时间太少

除了警报疲劳，安全团队还面临工具疲劳。这是我们听到的最大痛点之一，许多组织使用的安全工具数量从 50 到 100 不等。过多的仪表板、警报和登录造成了混乱而非清晰。这也是工具整合听起来像个好主意的原因之一。

工具泛滥可能是一个真实的问题，但整合只有在每个公司都有相同的安全需求时才有效，而事实并非如此。拥有 10,000 个终端的企业所需的安全措施与一个小型初创公司在 GitHub 上保护其代码库的需求截然不同。整合意味着统一，但安全环境远非统一。

厂商也无法跟上。到他们收购当月热门的初创公司时，威胁环境已经发生了变化。但即使有单一厂商设法拼凑出一个“通用”解决方案，你认为它会合适吗？问问任何CISO关于那个承诺能做一切却惨败的“一站式”厂商。这些尝试通常看起来像弗兰肯斯坦的怪物：一堆不匹配的部件拼凑在一起，造成的问题比解决的问题还要多。

收购传说

“但你可能会问，难道大公司不是一直在收购初创公司吗？”当然，但这一直是这样，并没有导致全面整合，除了在传统市场中。大多数安全收购整合得也不好。像 IBM、微软或思科这样的知名公司会迅速收购较小的公司，但这些初创公司有多少次就这样消失了？这些收购通常是为了获得市场份额、人才或知识产权，而不是为了合并或整合产品线。

一个大型厂商可能会收购一家初创公司，但这并不意味着他们在整合市场。他们只是将另一个部分添加到他们已经臃肿的解决方案套件中，这使得他们的产品目录更加复杂。结果不是选项减少，而是出现了更多重叠和令人困惑的产品。因此，即使有高调的收购，网络安全领域并没有缩小——反而在扩大。厂商可能会合并，但他们试图解决的问题正在以比他们能跟上的速度更快地分裂。

如果你认为这仅仅发生在新兴市场，请考虑这一点：在 Gartner 的魔力象限中，SIEM 厂商的数量从 2016 年的 14 个增加到2024 年的 22 个。这还不包括那些未能入选的厂商。这一爆炸性增长不仅仅发生在 SIEM 领域——它遍及所有细分市场，从身份和访问管理到安全运营。

为何整合将仍然是一个神话

最终，安全市场过于多样化、过于分散、过于动态，无法实现整合。在不断演变的威胁、专业化的客户需求和不断加快的创新步伐之间，期待整合就像追逐海市蜃楼。总是在地平线上，却从未更近。

这里有个尖刻的真相：CISO 们永远处于想要更少工具和需要更多专业解决方案之间。这种矛盾确保了行业的碎片化。那些承诺“简化”你的技术栈的厂商，很可能只是在卖给你另一层复杂性。

所以下次有人告诉你安全市场即将整合时，尽管微笑、点头，然后去购买那款下一代人工智能驱动的防火墙。

毕竟，我们只需再经历一次数据泄露，就会需要它。

CISO们在更酷和更少的工具之间左右为难

原文链接：

https://www.linkedin.com/pulse/copy-myth-security-market-consolidation-counter-drivers-rochford-wr7be/