每一次采购安全产品，都是一场与风险利弊的博弈

网络安全领域总在说，初创厂商有风险，企业应尽可能将安全需求整合到大型平台中。如果企业有能力，最好建立自己的安全解决方案。实际上，无论是否采用初创厂商的解决方案，企业都会迎来一系列的潜在风险，因此，如何衡量利弊，如何选择最佳工具和最佳套装成为安全团队购买和构建安全系统的关键。

在评估处于早期阶段的公司时，安全团队需要记住初创企业有两种类型：类别创建者和现有市场的破坏者。

类别创建者要满足新的需求，并构建现有公司尚未提供的解决方案。2024年，人工智能安全就是一个很好的例子，因为 Palo Alto、微软、Crowdstrike 和其他大型老牌厂商目前都没有提供这方面的产品。类别创建者在宣传自己时，往往会承诺他们将能够很好地解决一个新出现的问题，这样客户就不必在内部构建自己的解决方案。

而颠覆者则通过提供下一代解决方案，与多年前的产品竞争。颠覆者提倡价格低廉，能够根据客户的需求定制解决方案，并提供符合当前需求的更现代化的产品体验。

和初创企业合作的利弊

早期初创企业，无论是类别创建者还是颠覆者，都能为安全团队提供良好的体验。例如：

安全团队有更大的能力影响产品迭代路径，共同创建符合自身需求的解决方案，而不是被迫按原样采用产品。

初创公司在解决错误、修改产品、支持客户部署等方面反应更快，提供的支持更好。

初创安全公司灵活敏捷，这使它们有能力比大型现有公司更快地发展。

早期初创企业的产品都是新产品，因此它们往往会利用新的方法、架构和行业最佳实践，使其更容易使用并与公司现有的安全堆栈集成。

初创企业正在寻找能以新颖方式解决的新兴问题，这往往意味着他们更愿意放弃短期收入，以打造具有竞争力的产品。

为了提高竞争力和对潜在客户的吸引力，初创企业的成本往往比通常专注于高端市场的现有企业低得多。

然而，初创企业提供的创新和节约成本的机会有时会被与早期公司合作的风险所抵消，这些风险包括：

许多初创公司缺乏连贯性，也没有能力致力于某个方向，而是花时间增加一些看似杂乱无章的功能。

无法可预测地执行规划。早期创业公司往往对自己的交付能力过于乐观，他们的规划图每天都在变化，这可能会让客户难以理解他们的预期。

早期初创企业，尤其是那些仍在寻找产品与市场契合点（PMF）的企业，经常会以意想不到的方式改变产品和方法，以达到 PMF 或寻求更大的市场机会。随着供应商向新的方向发展，安全团队和初创企业的发展道路可能会出现分歧，从而使安全团队的能力被公司打算撤出或不打算支持。

由于初创公司有太多的优先事项，而资源有限，在可用性和可靠性方面往往会陷入困境。情况可能会有点混乱：初创公司可能会认为可以在客户租户身上测试新想法、交付不完整的功能，或者完全改变用户体验，迫使客户重新学习如何每天使用产品。

虽然产品的合同成本可能很低，但需要与客户的安全团队持续合作开发新功能、进行测试和迭代，这经常会增加成本。

尽管存在各种潜在的弊端，但在大多数情况下，与早期初创企业合作是非常值得的。初创公司的经营者都对自己的事业充满热情，他们会竭尽全力解决棘手的问题，并尽可能地为客户创造价值。早期公司通常是行业创新的发源地，安全领导者对初创公司的投资也有助于推动这一领域的发展。

与现有企业合作的利弊

当我们开始对采用特定工具的风险进行讨论时，我们会发现相关产品很少是由大型现有供应商提供的。我们经常会忘记，就像 20 世纪 70 年代人们常说的那样，“从来没有人因为购买 IBM 而被解雇”，但依赖现有供应商确实会带来一些弊端。

微软、Palo Alto、Okta、Zscaler 和 CrowdStrike 等大型安全提供商拥有大量可支配资源。更重要的是，它们拥有多年的成熟解决方案。这些因素意味着：

现有厂商提供的产品更加成熟、稳定和可靠。它们在重要的工作流程中崩溃的可能性要小得多。

大公司的产品规划路径更可预测，执行能力也更强。这既是因为它们能够获得实现目标所需的资源，也是因为人们期望它们向客户和市场展示始终如一的业绩。

大型现有供应商的产品不会经常变化，变化也不会太大。对于没有足够时间不断重新学习产品工作原理的安全团队来说，这可能是一个重要的优势。

成熟的安全厂商更不可能在一夜之间破产或从市场上消失。另一方面，处于早期阶段的初创企业更有可能迅速倒闭，而当它们倒闭时，客户可能根本不知道他们需要寻找替代解决方案。

与此同时，与现有企业合作也有一些明显的弊端：

大型安全公司创新缓慢。虽然它们往往能吸引业内最优秀的人才，但人们的创新动力和能力会被大公司的官僚作风和复杂性所扼杀。由于安全领域的创新速度对有效防御至关重要，难怪许多组织都在寻找初创企业。

除非你是供应商最大的客户之一，否则你很可能无法获得高质量的支持。供应商可能需要几周的时间才能回复一个简单的问题，甚至需要几个月的时间才能修复漏洞或解决产品配置中影响客户工作流程的问题。

由于产品已经存在多年，它们通常都有技术债务。要进行最简单的更改或构建扩展现有功能的新功能，公司可能需要花费数周或数月的时间进行规划，并在软件工程师开始编写代码之前解开复杂的问题。

为满足成千上万客户的独特需求而建立的传统平台往往过于复杂，难以驾驭，而且可能需要外部顾问来实施、增强或定制解决方案。

现有企业有很大的动力成为平台参与者，并扩大其提供的产品种类。对于客户来说，这往往意味着他们不得不为自己不使用的功能和性能支付高昂的费用，并不断与销售团队打交道，希望他们能推销越来越多的附加产品和高级产品。

初创企业有动力在短期内提供较低的价格，并在日后将其产品货币化，而在位企业则专注于盈利和提高利润率。这意味着，初创企业提供的解决方案往往比行业领导者提供的解决方案更实惠。此外，大型企业有动力将客户及其数据锁定在自己的生态系统中。

依赖第三方安全解决方案的风险

在依赖第三方安全解决方案时，无论是早期创业公司还是大型成熟供应商，有些风险是自然存在的。

其中一个例子就是合作伙伴发生重大变化的风险，这种变化可能会影响其继续专注和致力于完成最初使命的能力。虽然人们通常认为，只有独立的、处于早期阶段的初创企业才有可能被大公司收购，但我们已经看到很多例子表明，情况并非如此。

以下是其中几个例子：

思科正在收购网络安全公司 Splunk。

Thales从Thoma Bravo手中收购了 Imperva。

前上市公司 KnowBe4 被 Vista Equity Partners 私有化。

ForgeRock 曾是一家上市公司，现已被 Thoma Bravo 私有化。

前上市公司 ZeroFox 同意被 Haveli Investments 收购。

Alphabet 的网络安全公司 Chronicle 并入了谷歌的云计算业务。

当一家公司的所有权发生变化时，客户是否会受到影响在很大程度上取决于收购的类型。

在某些情况下，初创公司的创始团队会在更大的组织内继续执行他们最初的愿景，而在另一些情况下，创始人会将缰绳交给新的领导层，然后离开。

无论公司规模大小或所处阶段如何，都有可能失败。不同的是，失败的表现形式。当现有企业无法创新时，它们通常会退化，不再具有相关性，要么被收购，要么再徘徊十年，试图从市场中榨取尽可能多的利益。

不过，从历史上看，大型安全厂商需要关闭的例子并不多。这与处于早期阶段的初创企业不同，后者如果不能成功获得牵引力，就只能选择转型或解散。无论公司处于哪个阶段，从投资者那里吸引了多少资金，或者创始人是谁，都有可能失败。美国前国家安全局局长Keith Alexander创办的公共安全公司 IronNet 就是一个例子。

值得一提的是，每一种安全解决方案，无论其母公司规模有多大，都存在一些安全风险。安全工具可能无法检测到威胁，导致错误的阴性结果；也可能将良性行为误认为威胁，导致大量错误的阳性结果；甚至被攻击者用作木马，进入客户环境。虽然处于早期阶段的安全初创企业的安全态势往往要弱得多，但由于使用它们的客户数量众多，大型供应商才是最吸引攻击者的地方。2021年的Kaseya勒索软件攻击就是一个例子，最终影响了约 1500 家企业。（美国IT软件服务公司Kaseya于2021年7月2日遭受勒索软件攻击，攻击源头指向黑客组织Revil）

依赖单点安全产品方案的利弊

尽管业内人士认为单点安全产品已经太多了，企业更希望获得平台类、套装类的安全产品来囊括更多的安全需求。但在很多时候，单点安全产品却发挥着极其重要的作用。

一方面，当出现新的攻击载体或问题领域时，通常是由单点安全产品的构建者来满足新的需求。平台类、套装类产品往往由大公司构建的，因此它们通常要等到新出现的问题被成功消除风险并证明是一个有意义的机会时，才会将这些单点解决方案纳入其中。

与此同时，单点安全产品专注于解决单一问题，这意味着它们能够分配所有资源来真正做好这个问题。这通常会为客户带来更好的体验、更大的安全覆盖范围以及潜在的更好安全结果。此外，单点安全产品旨在与企业现有的安全堆栈集成，这意味着它们通常是开放的、可互操作的，并且对其他供应商友好。

另一方面，单点安全产品能准确满足客户的需求，而不会不断寻找机会推销其他相邻的工具和功能。由于单点安全产品都围绕一个明确定义的结果，因此模块化程度更高，也更容易更换。另一方面，更换安全平台是一项难度更大、成本更高、风险更大的举措。

然而，这种灵活性和质量是有代价的。采用单点安全产品也面临着一些挑战。例如：

由于每个单点安全产品都是由不同的供应商提供，以不同的方式构建，并根据不同的假设进行构思，因此管理大量的单点安全产品会带来很高的额外开销。安全团队需要就不同的合同进行谈判，将所有工具集成到一起工作，并解决这些集成不可避免地带来的限制。这最终可能会变得相当昂贵，无论是在合同成本方面，还是在运行所需的资源方面。

单点安全产品增加了组织的攻击面。企业需要组合的解决方案越多，就越有可能在边缘出现漏洞。

安全团队根本没有时间管理 50-70 个或更多独立的安全解决方案。一个组织拥有的工具越多，有些工具就越有可能配置错误，从而无法检测或预防它们设计用来检测或预防的问题。

大多数安全漏洞本可以通过企业已经支付的工具来预防。增加更多的解决方案并不一定会带来更好的安全性。

企业拥有的安全工具越多，就越有可能错误地购买工具来运行安全计划。

依赖平台类解决方案的利弊

与单点安全产品不同，平台类解决方案使企业能够减少工具的数量。企业通过平台类解决产品，能够实现：

降低堆叠最佳解决方案所带来的复杂性和攻击面。

整合支出，与更少的供应商谈判批量折扣。

通过减少安全团队需要合作的公司数量，简化合同和供应商关系。

然而，平台化的好处也是有代价的。任何单体平台都会随着规模的扩大而变得不那么安全。有机会使用过SAP、Salesforce 或 Workday 等大型传统平台的人都知道，平台越大，效率就越低。此外，

大型平台沉溺于技术债务。

大型平台的支持渠道不畅。

大型平台难以实施，尤其是在需要定制的领域。

大型平台之所以昂贵，是因为大多数客户要为他们永远用不上的众多功能付费。是因为它们嵌入客户工作流程的程度越深，覆盖的领域越多，就越难更换，平台供应商对买方的控制力就越强。

最后一点是，平台越大，其表面积就越大，最终引入的漏洞也就越多。更重要的是，攻击者更容易集中精力在一个工具上打洞，而这个工具可以打开所有的门，从而导致最大的安全产品也可能成为最不安全的单一故障点。

避免“无差别重复工作”

在围绕构建与购买安全解决方案的讨论时，讨论这个问题的人都处于业内最成熟的组织。绝大多数安全团队根本没有能力参与这些争论，因为他们根本没有资源或能力去构建一些东西。

在讨论购买与构建的决策之前，有必要解释一下“无差别重复工作”（undifferentiated heavy lifting）这一概念。Jeff Barr于 2006 年发表了一篇题为《We Build Muck, So You Don’t Have To》的文章，首次提出了这一术语。

简而言之，无差别重复工作是指应用程序运行所需的一切工作，但这些工作在客户眼中并不能增加其竞争优势。

这篇文章列举了许多无差别重复工作的例子——“服务器托管、带宽管理、合同谈判、扩展和管理物理增长、处理异构硬件累积的复杂性，以及协调负责这些领域的大型团队”。

虽然所有这些工作都很重要，但客户并不真正关心应用程序的基础设施是什么样子，只要它能快速、安全地运行即可。

无差别重复工作的概念在软件工程中得到了广泛应用，但它同样适用于安全等其他业务功能。安全团队也应寻找避免无差异重型任务的方法，并将重点放在他们能增加最大价值的领域。换句话说，如果企业希望解决的问题不是公司独有的，而且已经由现有供应商解决了，那么购买已有的产品而不是在内部构建是合理的。

可能会有一些例外情况，比如公司所需的规模大大超出了第三方工具所能支持的范围。尽管如此，当安全团队评估内部构建解决方案的成本时，他们往往低估了持续维护和支持的长期成本。工程师喜欢构建，因此他们经常会找到令人信服的理由，说明为什么市场上现有的产品不能完全解决他们的问题，为什么他们应该构建自己的解决方案。

因此，在做出内部构建产品的决定时，应制定明确的计划，一旦市场上出现可行的替代方案，就重新对情况进行评估。这是因为安全团队通常不愿意放弃自己开发的工具，即使从初创公司购买同样的功能可以长期节省大量资源，并让他们腾出手来解决更重要的问题。

此外，鉴于每个安全团队都必须在资源有限的情况下开展工作，因此与那些完全专注于解决单一问题的厂商竞争，并不是明智之举，因为这些厂商可以分配大量资源，雇佣大批威胁研究人员、检测工程师和其他专注于工程的安全从业人员。

与其利用一切机会从零开始在内部构建工具，安全团队不如将重点转移到以下方面，从而从中获益：

深入了解公司的运营、核心业务以及可能面临的风险。

根据环境配置商业工具。正如我之前所讨论的，大多数攻击都可以通过公司已经支付的工具来预防。

建立完全为企业量身定制的检测和响应范围，超越通用现成解决方案所能提供的范围。

结束语：在不确定中，做出决策

就网络安全工具做出决定是很困难的，因为每个决定都要付出代价。虽然没有放之四海而皆准的建议，但在安全团队评估选项和利弊时，需要考虑到以下情况：

当出现新的攻击载体时，通常别无选择，只能购买初创公司的最佳解决方案。随着问题领域日趋成熟并被更好地理解，平台企业可能会推出自己的产品，或收购同类最佳初创企业并将其整合到自己的最佳平台中。

随着市场领域的商品化，不同方案之间已经没有明显差别（想想现在的杀毒解决方案），选择平台企业提供的最具成本效益的方案就变得合情合理。

如果某种攻击载体对公司至关重要，那么即使有更便宜但更通用的选择，也应该保留最好的解决方案。

如果市场上没有解决公司问题的方案，或者现有方案无法满足必要的规模，那么在内部构建定制工具可能是明智之举。不过，从第一天起，就应将构建工具的决定视为临时性的：一旦市场上出现了替代方案，而且一旦它足够优秀（即使它还不如内部解决方案），就值得考虑转而采用市场上现有的方案。一家致力于解决单一问题的公司很可能会超越内部的小型工程师团队，并迅速建立起一个卓越的解决方案。此外，通过成为这种解决方案的早期采用者，安全团队有机会帮助确定其发展方向，从而比任何替代方案都更好地解决自身的问题。

现阶段，安全行业需要的不是更少而是更多的初创企业。在网络安全领域，初创企业一直是新方法、新理念和新类型解决方案的创新实验室，并将继续发挥这种作用。只要新的攻击载体和新的威胁不断涌现，就会不断有安全从业人员愿意为构建防御系统而献身。

安全团队需要明智地做出购买决策，并认识到，虽然越多不一定越好，但将所有安全工具完全整合到一个供应商那里也不一定。“我们应该做什么？”这个问题的答案完全取决于特定公司的独特需求，在某种情况下非常合理的决定，在另一种情况下可能是灾难性的决定。

原文链接：

https://ventureinsecurity.net/p/there-are-no-magic-bullets-and-every

原文作者：

Ross Haleliuk

Ross Haleliuk 最初是一家 B2B 教育科技公司的联合创始人，之后在多个行业担任产品负责人，职业生涯长达十年，最后进入网络安全行业。他的专长领域包括市场推广和产品战略、战略定位、产品与市场契合度拓展、增长、运营和筹资。