入行云安全有快兩年了，從最開始的不懂安全一臉懵懂，到現(xiàn)在略微能對(duì)行業(yè)“指點(diǎn)”一二，感觸良多。本文重點(diǎn)講一講在線漏洞掃描服務(wù)以及對(duì)云安全的理解，漏洞掃描服務(wù)也是我產(chǎn)品職業(yè)生涯第一個(gè)負(fù)責(zé)的產(chǎn)生了些許感情的服務(wù)，伴隨著我的成長(zhǎng)。

云、物聯(lián)網(wǎng)、AI這些行業(yè)是我非常看好的，相互結(jié)合起來(lái)會(huì)產(chǎn)生巨大的價(jià)值，也認(rèn)為是下一個(gè)十年內(nèi)互聯(lián)網(wǎng)的風(fēng)口，會(huì)持續(xù)關(guān)注，也會(huì)持續(xù)保持學(xué)習(xí)。

在線漏洞掃描發(fā)展階段預(yù)測(cè)

漏洞掃描服務(wù)，即針對(duì)網(wǎng)站和主機(jī)等資產(chǎn)，進(jìn)行漏洞掃描，提前為客戶的資產(chǎn)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，就像一個(gè)體檢醫(yī)生，提前發(fā)現(xiàn)問題。

第一階段：硬件盒子的上云衍生，做漏洞生命周期管理

漏洞掃描盒子這個(gè)東西，目標(biāo)客戶大致有二：一是網(wǎng)信辦等權(quán)威機(jī)構(gòu)強(qiáng)制要求需要部署，另一個(gè)是客戶極其重視安全，需要對(duì)自己的資產(chǎn)安全做把控。

所以當(dāng)前在線漏洞掃描的市場(chǎng)，多半是從用了漏洞盒子的廠商轉(zhuǎn)換過(guò)來(lái)的。所以漏掃的第一階段，圍繞漏洞為核心，做漏洞的生命周期管理，協(xié)助客戶“安心”下來(lái)。對(duì)標(biāo)漏洞盒子的掃描能力，給出線上掃描解決方案以及掃描體驗(yàn)，提升核心掃描能力，積累自己的掃描POC庫(kù)、CVE庫(kù)。

另外漏洞掃描服務(wù)不能只做公有云的，私有云的以及內(nèi)網(wǎng)系統(tǒng)市場(chǎng)更大。

第二階段：關(guān)注用戶業(yè)務(wù)，嵌入上線流程，成為安全標(biāo)準(zhǔn)

漏洞掃描如果只是提供漏洞掃描，那么只會(huì)成為一個(gè)較低頻的安全工具，就像搶票軟件一樣。如果想要增強(qiáng)用戶粘性，可以開放API，允許用戶自己寫腳本做定制化，建立獨(dú)立的掃描模板，嵌入業(yè)務(wù)流程，在每次業(yè)務(wù)上線前或是爆發(fā)緊急漏洞的時(shí)候，做快速的掃描，給客戶帶來(lái)“保障式”的體驗(yàn)和價(jià)值。

第三階段：關(guān)注用戶資產(chǎn)，成為安全管理工具以及入口

細(xì)數(shù)市場(chǎng)上大部分的漏洞掃描，都已經(jīng)不是專門做單純的漏洞掃描了，因?yàn)槟菢拥脑挘坪鹾烷_源的掃描器沒有區(qū)別。絕大部分的漏洞掃描器都在靠近一個(gè)概念，就是資產(chǎn)探測(cè)和資產(chǎn)管理，從一個(gè)探測(cè)的掃描技術(shù)工具走向一個(gè)管理工具，企業(yè)客戶帶來(lái)更高的價(jià)值。

而筆者認(rèn)為，如果漏掃做資產(chǎn)管理的話，那么以后漏洞掃描可以融合進(jìn)態(tài)勢(shì)感知中成為安全中心，再提供緊急漏洞監(jiān)測(cè)能力，會(huì)使得管理的概念更清晰，價(jià)值更大化，成為云安全的基礎(chǔ)和入口，給其他安全服務(wù)的銷售做引導(dǎo)，還可以和相關(guān)服務(wù)做互補(bǔ)例如WAF補(bǔ)丁等，給企業(yè)和商家都帶來(lái)更大的價(jià)值。

第四階段：成為安全平臺(tái)，圍繞漏洞集成更強(qiáng)安全能力

很多已有的在線漏洞掃描器，在探索了一段時(shí)間的商業(yè)模式以后，都轉(zhuǎn)戰(zhàn)做安全平臺(tái)了，典型的有“補(bǔ)天平臺(tái)”、“漏洞盒子”這些。平臺(tái)的建立對(duì)廠商可以快速豐富自我掃描能力，對(duì)外可以快速建立自己的權(quán)威品牌，也增強(qiáng)了安全客戶覆蓋率，增加了商業(yè)機(jī)會(huì)。

當(dāng)然，由態(tài)勢(shì)感知或者漏洞掃描發(fā)展成平臺(tái)是比較困難的，并且兩者還是區(qū)分開比較好，漏洞掃描專心服務(wù)用戶，平臺(tái)為漏洞掃描以及整個(gè)安全輸出能力和價(jià)值。

云安全的思考以及發(fā)展預(yù)測(cè)

（1）安全是一個(gè)整體，不可分割

安全是一個(gè)整體，尤其是大廠，要學(xué)會(huì)對(duì)外輸出解決方案，做整體的補(bǔ)齊。在大廠的產(chǎn)品經(jīng)理中，個(gè)人認(rèn)為可以按照防護(hù)的域來(lái)分配產(chǎn)品經(jīng)理，例如：web安全的專家負(fù)責(zé)漏洞掃描、WAF、風(fēng)控等，這樣會(huì)有針對(duì)性，也方便在某塊域的拉通補(bǔ)齊。

（2）云安全將來(lái)發(fā)展會(huì)以三個(gè)痛點(diǎn)作為切入點(diǎn)，形成產(chǎn)品生態(tài)圈

1. 業(yè)務(wù)保障型：保障客戶業(yè)務(wù)不出問題，防御黑客攻擊對(duì)現(xiàn)網(wǎng)客戶的用戶產(chǎn)生的影響，例如：DDoS、WAF等；
2. 數(shù)據(jù)保護(hù)型：保護(hù)核心資產(chǎn)——數(shù)據(jù)的安全；
3. 資產(chǎn)管理型：協(xié)助企業(yè)對(duì)整個(gè)資產(chǎn)進(jìn)行安全把控以及安全管理，如態(tài)勢(shì)感知、主機(jī)安全、漏洞掃描等。

（3）大廠的優(yōu)勢(shì)，小廠的路子

個(gè)人認(rèn)為，大廠的優(yōu)勢(shì)是整體解決方案，以及和iaas的契合性。小廠的優(yōu)勢(shì)是做精品，一方面有自己獨(dú)立的強(qiáng)需求的客戶群，另一方面提供技術(shù)和數(shù)據(jù)給大廠變現(xiàn)。

（4）安全的受眾面變大

除了做專做精，隨著互聯(lián)網(wǎng)和云的發(fā)展，安全的受眾面一定是越來(lái)越大，很多小企業(yè)會(huì)越來(lái)越有安全意識(shí)，云安全也可以適時(shí)的做到普遍性，和云產(chǎn)品橫向打通，并且結(jié)合AI智能形成安全事件閉環(huán)，增加云廠商的競(jìng)爭(zhēng)力。

可以參考我之前的一個(gè)知乎回答：

云安全產(chǎn)品經(jīng)理必備技能以及發(fā)展思考

• 初級(jí)PM：懂入門技術(shù)，會(huì)競(jìng)品分析、原型設(shè)計(jì)、市場(chǎng)調(diào)研、客戶接觸、需求歸類分析，懂國(guó)家政策/投標(biāo)流程并用于運(yùn)營(yíng)轉(zhuǎn)化以及銷售引導(dǎo)；
• 中級(jí)PM：懂技術(shù)，關(guān)注安全動(dòng)態(tài)，深入理解黑產(chǎn)作惡手段，挖掘客戶以及行業(yè)潛在需求和痛點(diǎn)；
• 高級(jí)PM： 關(guān)注行業(yè)發(fā)展，帶領(lǐng)產(chǎn)品做出超前創(chuàng)新功能。

總之就是，安全的產(chǎn)品經(jīng)理多多少少都是要懂技術(shù)的，不然會(huì)很痛苦，跟客戶也無(wú)法交流，做安全的產(chǎn)品經(jīng)理，除非想成為某域?qū)＜?，否則不要局限于自己的某一領(lǐng)域，要多抬頭看看整體，說(shuō)不準(zhǔn)自己負(fù)責(zé)的域，在其他層面也能被實(shí)現(xiàn)了呢。另外做B端產(chǎn)品經(jīng)理，要有商業(yè)思維，懂得去思考和發(fā)展合作生態(tài)，為產(chǎn)品長(zhǎng)期發(fā)展和壯大做鋪墊。

以上為個(gè)人思考，也許不全面，歡迎同行從業(yè)者一起交流。

最后談?wù)勗菩“兹腴T遇見的那些坑

最后談?wù)勎?，一個(gè)最初的云小白入門遇見的那些“坑”。

（1）漏洞掃描是個(gè)To B的東西

一路走過(guò)來(lái)，最傻但是最有收獲的坑，就是明白了安全這個(gè)東西真的不適合To C業(yè)務(wù)（360安全衛(wèi)士那些非專業(yè)性的“安全神器”不在此列），也不適合用太多的C端的思維去做產(chǎn)品優(yōu)化和運(yùn)營(yíng)。

但凡上云并且有安全意識(shí)的，一定為了背后的利益做支持的，所以必定是企業(yè)用戶，比起前期把有限的時(shí)間幾乎全花在用戶體驗(yàn)上，不如抓緊提升掃描能力，給客戶帶來(lái)實(shí)實(shí)在在區(qū)分于開源掃描器的價(jià)值。

（2）對(duì)標(biāo)的競(jìng)品要選好，但不要一頭扎在競(jìng)品上了

說(shuō)多了都是淚，站在巨人的肩膀上摘蘋果之前，一定要搞清楚誰(shuí)是巨人。

（3）C端的某些數(shù)據(jù)分析思維在B端也許并不適用

產(chǎn)品經(jīng)理的核心職責(zé)是，解決某些客戶的某些需求。但是在B端產(chǎn)品中，需求不僅僅是共性需求，還會(huì)存在定制化需求，客戶也很難用一個(gè)完全準(zhǔn)確的用戶畫像去劃分衡量。打個(gè)比方：某安全廠商做了十幾年，總共服務(wù)了400多家企業(yè)客戶，就已經(jīng)達(dá)到商業(yè)上的成功實(shí)現(xiàn)盈利了。

如果用傳統(tǒng)的流量思維來(lái)做數(shù)據(jù)分析的話，將400劃分為百分之幾找規(guī)律，毫無(wú)意義，并且，C端的產(chǎn)品中，可以去培養(yǎng)用戶習(xí)慣，讓用戶跟著自己走，但是B端的產(chǎn)品中，大方向產(chǎn)品可以把控，在小細(xì)節(jié)上很多用戶是明確有自己的想法和需求的，為了避免后期的手忙腳亂，前期的架構(gòu)、可擴(kuò)展性、可定制化性等要和技術(shù)leader設(shè)計(jì)好預(yù)想好。

暫時(shí)更新以上，還有一些對(duì)于競(jìng)品的分析以及市場(chǎng)的分析想法，下次有時(shí)間再更了~

#專欄作家#

歪歪，人人都是產(chǎn)品經(jīng)理專欄作家。關(guān)注B端領(lǐng)域，努力隨國(guó)內(nèi)B端市場(chǎng)的開闊而一起成長(zhǎng)，關(guān)注云、物聯(lián)網(wǎng)、企業(yè)IT等行業(yè)。

本文原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來(lái)自 Unsplash，基于CC0協(xié)議。