发布信息
登陆/注册

行业企业 

当前位置: 首页 行业企业 正文

安全行业两大“灵魂拷问”:厂商是不是太多?用户有没有更安全?

作者:本站编辑      2026-03-02 11:24:20     1
安全行业两大“灵魂拷问”:厂商是不是太多?用户有没有更安全?
在过去五年里,我一直在公开写我们这个行业的各种问题——我看到的现象、哪些行得通、哪些行不通、哪些从没人谈、以及我们真正忽略了什么。我刻意避开了大量主导安全圈讨论的废话,但这并不意味着我说的每一句话都能让所有人产生共鸣。这很正常,也完全可以理解。
这些年里,我也分享过不少刺耳的观点,比如:安全行业需要更多风险投资和初创公司;网络安全里根本不存在所谓的把门人;大多数安全团队的工作与追逐高级对手毫无关系;以及在众多细分领域中,VC 真正关心的其实只有六个网络安全市场。
我始终非常乐意听到读者的反馈——无论是私信、社交媒体评论、直接回复,还是其他任何形式。这并不代表我回复得有多及时(创始人生活懂的都懂),但我真的很享受围绕安全展开的高质量争论。分歧是健康的,因为这说明大家在思考。
但与此同时,有两个问题我一次又一次被问到。坦白说,这么多年过去了,它们每次出现,仍然让我感到挫败。每当看到这两个问题,我都会忍不住想:我们怎么还在问这个?我们到底以为它们能给讨论带来什么?
在本期内容中,我想专门谈谈这两个问题,以及为什么我认为,提出这些问题的人,完全错过了更大的图景。
“……我们真的需要这么多单点解决方案吗?”
每当我谈到市场、为安全初创公司的增长喝彩,或者只是提到谷歌史上最大的一笔收购来自一家安全公司时,总会有人跳出来,用几乎一模一样的说法插一句:这真值得庆祝吗?为什么需要这么多单点解决方案?我们需要更少的产品,这样安全团队才能更容易看懂这个市场。
先说清楚,我完全理解这种挫败感从何而来。市场确实已经高度拥挤,安全团队不堪重负、人手紧张,还要不断承受铺天盖地的销售轰炸。这种疲惫是真实存在的。但我们是否需要更多单点解决方案这个问题,本身就完全跑偏了。
我们不需要这么多单点解决方案,其实是忽略了对市场经济最基本的理解。人们需要选择,市场就会提供选择。没有比美国更直观的例子了。走进一家 Walmart,问一句:我们真的需要这么多品牌的卫生纸、番茄酱、香肠或糖果吗?答案显然是否定的——不仅因为其中很多选择客观上并不健康,也因为光看包装,根本没人能分清三十多个卫生纸品牌的区别。但这个答案本身毫无意义:人们就是想要选择,每个人的偏好都略有不同,于是结果自然就是今天这样。
打个比方。想象有人走进一家巨大的超市(WalmartTargetCostco,随你选)。这种体验本就不适合胆小的人:无穷无尽的过道、几百种酱料、七十多种意面,大屏幕上还循环播放着各种广告。有些品牌看起来很眼熟,来自电视或网络广告,但更多的则完全陌生。这个人开始随手拿看起来不错的东西——一瓶高端鸡翅酱、因为打折就买了五磅冷冻虾、几根在 YouTube 上见过的蛋白棒、一袋包装很好看的奇异果,诸如此类。几个小时后回到家,把东西全摊在台面上,才发现:花了几百美元,买了一堆东西,却凑不出一顿完整的饭。
那么问题来了:是超市坏了吗?是不是应该少卖点商品?砍掉一半货架,让购物体验简单一点?或者干脆每样商品只留一个品牌?再极端一点,香料根本不用一个整条过道,盐和胡椒不就够了吗?我不知道你怎么想,反正我不这么认为。超市做得完全正确——它提供了选择。
真正的问题在于,这个人进店时既没有购物清单,也没有想清楚今晚要做什么菜,于是没有买该买的食材,而是买了一堆凑不成一顿饭的垃圾
我常常觉得,安全行业的现状与此非常相似。太多团队根本抽不出时间坐下来,认真思考自己真正需要什么(还有人依然坚信安全是个采购问题),结果只能被动地、反应式地买工具。厂商当然非常乐见其成,于是不断放大这种叙事——“只要买 X,我们就能解决你所有问题。噪音之大简直疯狂,安全团队被淹没也就不足为奇了。但现实是,无论你是在买一包卫生纸,还是在选一款 EDR,从市场和所有可选项开始,本身就一定会让人不堪重负。没人应该被期望了解每一款工具及其差异,就像我们谁也说不清每一个厨具品牌之间到底有什么不同。
真正的起点,应该是搞清楚公司到底要解决什么问题,以及哪些标准是真正在乎的。有了这个前提,选择合适合作伙伴的过程就会简单得多。当安全团队拥有足够的资源和空间,从战略层面思考自己要做什么,很多问题自然就消失了。这也让我越来越确信,行业真正的问题不在于单点解决方案太多,而在于大多数安全团队已经被压得连思考战略的时间都没有,更别说评估哪些工具最能支撑战略。
在这个问题被解决之前,我认为有一个捷径多少能帮上忙。安全团队在决定是否要和某个厂商聊之前,不妨先问自己两个问题:这个厂商能不能帮我们把基础做好?能不能帮我们把基本功提升上去?残酷的事实是,大多数公司被攻破,并不是因为零日漏洞、国家级对手、区块链或 AI 攻击,而是败在最基础的地方:一个没打补丁、却没进资产清单的服务器;一个早就该注销却还活着的孤儿账号;一段硬编码的凭证;一个本该移除却一直存在的网络访问例外;以及其他极其日常、毫不起眼的问题。只盯住真正重要的事情,就足以筛掉 80% 以上的厂商,并显著提升组织的整体安全水平。
“……但我们真的变得更安全了吗?”
我太熟悉这个问题了。场景通常是这样:我说类似过去十年,企业在安全上的投入明显增加,或者越来越多公司开始用 AI 去解决过去根本无解的安全问题,然后总会有人跳出来问一句:“……但我们真的变得更安全了吗?
先把答案一次性说清楚:是的,我们确实更安全了。
这是我第一次在博客里用全大写,你应该能看出我对这个问题的态度。
每一年,企业都在持续提升自身的安全防御。你爱信不信,事实就是如此。今天部署 EDR 的公司,比一年前更多;使用 MFA 的公司,比一年前更多;按时修补漏洞的公司,也比一年前更多。总体来看,相比 10 年、20 年甚至 30 年前,更多组织拥有更好的工具、更成熟的框架、更有经验的工程师,以及多得多的组织级安全知识。这份清单可以一直列下去。
那你接下来可能会问:既然如此,为什么我们看到的安全事件反而越来越多?
答案其实很简单:因为我们需要防守的攻击面,扩张速度快过了这个星球上任何人、任何组织的应对能力。
在过去几十年里,攻击面几乎每一年都在成倍增长:
  • 每一年,我们交付的代码都在变多(AI 出现之前就是如此,现在更是如此)
  • 每一年,IT 环境都在变得更加分散、碎片化、复杂(无论你看的是身份、云网络,还是其他任何维度)
  • 每一年,各类联网设备的数量都在持续增长
归根结底,过去那种少量本地系统的时代,已经变成了一个持续变化的混合体:云基础设施、SaaSAPI、身份体系、远程用户、供应商、容器、短生命周期的工作负载……每增加一层,带来的都是更高的灵活性和速度,同时也引入了更多复杂性和暴露面。
我不妨画个图来说明最终会发生什么。有一个直观的画面在眼前,解释起来会容易得多。下面这张图,正好展示了安全成熟度在上升、而攻击面同时不断扩张的现实。
那些足够敏锐的人,看到这张图时一定会说:如果这个差距还在不断拉大,我们怎么可能变得更安全?
你说得没错——安全能力与攻击面之间的鸿沟,已经达到了历史最大值
正是这个差距,造成了安全团队如今承受的巨大痛苦:为什么他们会长期处于压垮边缘,为什么会感到不堪重负,也为什么再买一个产品几乎从来解决不了根本问题。同样,也是因为这个差距,我们才会一再看到越来越多的安全事件发生。
话说回来,尽管有人曾预言安全事件会把整个世界拖垮,但现实并没有发生这种崩塌。这当然要归功于无数不知疲倦、努力守护安全的人,但我们也不能回避一个简单事实:防御能力本身已经发生了显著提升。安全成熟度在持续提高,安全控制在不断改进,默认配置越来越安全,检测速度越来越快,即便仍然会有失误,其影响范围也比过去可控得多。
不妨继续这个思想实验,假设防御并没有真正变好。攻击面仍然会一刻不停地扩张,那么安全状态与攻击能力之间的差距将会大到难以想象。
归根结底,如果我们真的没有变得更安全,现实早就会像某些人想象的那样糟糕透顶。但事实并非如此。
每一年,我们的防御体系都在持续成熟。同时也不能忽视一个事实:安全厂商在教育市场、推动问题解决路径、并为客户提供可落地方案方面,扮演着至关重要的角色。假如 2011 年没有早期用户押注一家叫 CrowdStrike 的初创公司,我们今天可能仍然在用 McAfee 来保护终端;如果 2007 年没人愿意和一家名为SafeChannel的初创公司合作(它在 2008 年更名为 Zscaler),今天也不会有 Zscaler。这样的例子可以一直列下去。说 CrowdStrikeZscalerDuo 以及其他众多初创公司并没有让我们变得更安全,是一种误判——因为它们确实做到了。
问题的本质在于:攻击者始终在持续创新,而99.999999% 的安全和 IT 团队,连维持系统正常运转都已力不从心,更别说自行开发工具了。这正是为什么安全行业需要更多初创公司、也需要更多风险资本持续投入。
你或许仍然持怀疑态度:我们确实需要初创公司,但真的需要这么多吗?如果能由一家企业把一个问题彻底解决,当然再理想不过了,但现实中的创新并不是这样运作的。通常会有一批早期进入者,负责向市场解释新威胁、探索新方法;随后,才会有人站出来,赢下已经被教育成熟的市场。CSPM 就是一个典型例子。在 Wiz 成立之前,围绕云安全的尝试已经持续了十多年,行业对什么行得通、什么行不通,有了大量试错和积累。我可以明确地说一句:如果没有前面那 10–15 单点方案反复尝试云安全,Wiz 根本不可能出现
所以,这两个问题的答案都非常明确:
是的,我们确实需要这么多公司;
是的,我们也确实在变得更安全。
这就是我的立场,也是我持续看到、并且坚信的现实。
原文链接:
https://ventureinsecurity.net/p/if-you-ask-these-two-questions-youre
话题讨论,内容投稿,报告沟通,商务合作等,请联系喵喵 mew@z1-sec.com。

相关内容 查看全部