传说结束了,历史刚刚开始——网络安全的二十年大变局
2014-16年,本怪盗团团长拜访过北京几乎所有的网络安全行业的上市公司,它们分布在从中关村到西二旗的广袤土地上。这些公司的业务往往很复杂,很难看懂,尤其是对于非技术出身的投资人来说;可是投资人就是喜欢。那几年,软件是资本市场最热门的行业,网络安全又是软件行业最热门的细分领域。
只要上市公司的主营业务包括网络安全,那么门口永远会停着投资者调研的大巴,会议室也永远爆满,大家竖着耳朵、如饥似渴地聆听着各种半懂不懂的术语(其中也包括团长本人)。“自主安全可控”是A股信息技术行业永恒的主题,而“安全”则是这个主题的核心。无论是自主还是可控,归根结底都是为了安全。
彼时彼刻,没有人认为腾讯、阿里这样的互联网公司也会从事网络安全业务。市场上存在着360这样的“互联网+安全”公司,不过仍然是少数。当时大部分人认为网络安全是纯粹的软件生意;尤其是面向企业客户的网络安全,就像一个特殊的小圈子,不会有外人进来——短短五六年之内,上述论点就被彻底推翻了。现在情况完全不一样了。
在我看来,过去二十年,中国网络安全行业经历了既壮阔又曲折的发展史,它可以划分为三个或四个时代。绝大部分移动互联网用户都只剩下最后一个时代的记忆了,但是前面几个时代确实存在过,而且非常引人入胜,甚至热血沸腾。
并不蛮荒的上古时代
王江民,出生于1951年,从小患有脊髓灰质炎,导致腿部残障。从20岁到38岁,他在老家烟台的一家街道工厂当技术工人。1988年,他开始学习计算机编程。因为早期计算机病毒太多,他决定自己动手开发杀毒软件。一开始,他把自己开发的杀毒代码公开发表在报刊上,但是代码很快变得太多太长,只能打包做成软件出售——最早的版本叫KV6(意味着能查杀6种病毒),最早的商业化版本叫KV100,然后是KV200、KV300……
1996年,“北京江民新技术公司”成立的第一个星期,KV300就取得了150万人民币的销售额;那是1996年的150万人民币。据说,王江民第一天到中关村,坐的是黄色“面的”;他很快就再也不用坐“面的”了。鼎盛时期的江民公司是中关村最赚钱、规模最大的软件公司之一,只有距离不远的瑞星公司能够与之相提并论。
1999年,瑞星杀毒软件的每月正版销量超过了10万套;2001年初,瑞星的正版软件用户突破了600万人。在那个盗版横行的年代,即便是每台电脑必备的Windows操作系统,在国内的正版用户也不过是这个数量级罢了。
这就是中国网络安全行业的上古时代,即从1990年代开始的单机及局域网时代。当时互联网还不普及,安全需求的主流是防范和查杀病毒,产品形态的主流是杀毒软件,商业模式的主流是按License付费。B端和C端的需求尚未明显分化,在个人电脑和企业内网上流行的都是瑞星、江民、卡巴斯基。
在2000年代初的大学男生宿舍流传着一个段子:“如果有女生让你帮忙装电脑,你要是不喜欢她,就给她装瑞星;要是喜欢她,就给她装卡巴斯基。”因为瑞星安装之后就不用再管了,方便省事;卡巴斯基虽然防护能力更强,但是需要频繁更新,所以能创造更多去女生宿舍的机会。不过,我读书的时候既没有帮女生装过瑞星,也没有帮女生装过卡巴斯基,无从验证这个段子的真实性。
在这个阶段,安全厂商可能是整个中国软件行业过得最滋润的——虽然杀毒软件也有盗版,但是很多个人用户还是愿意花钱保平安,企业、政府也有大笔的信息安全采购预算。安全行业就像是程序员的伊甸园,在这里可以依靠写软件、卖软件而实现财务自由。显然,如果王江民当初自学编程之后,决定去做个办公软件或游戏软件,他很可能会一直在中关村打“面的”出行。
正统老派的程序员至今仍会怀念这个时代——遥远、原始但是并不蛮荒的上古时代,网络安全是中国软件行业的核心和收入担当,制造了一大批财富神话。随着互联网的普及,网络安全形势更加复杂,并且远远超过了查杀病毒的范畴;这似乎是又一个伟大的增长机会,那些已经赚得盆满钵满的杀毒软件巨头可以从胜利走到胜利。直到一个圈外人突然闯入,简单粗暴地将一切打碎在地。
重新洗牌的中古时代
2008年7月,360推出的免费杀毒软件正式发布。360究竟是不是中国第一个“免费网络安全软件”,这一点一直存在争议;不过,360彻底改变了网络安全市场的格局,这一点是毫无争议的。360的老大周鸿祎也是程序员出身,但是从创立3721到执掌雅虎中国,他的经历背景早已“互联网化”了。
360开创了“羊毛出在猪身上”的免费模式,把C端信息安全从卖License的“软件生意”变成了卖流量的“互联网生意”;这不啻于对传统“软件思维”的降维打击。从此开始,瑞星、江民、金山毒霸等传统C端安全厂商的市场份额急剧萎缩,360很快取得绝对的霸主地位;腾讯、百度也纷纷推出安全套件,以免费模式大举蚕食C端网络安全市场。这个软件行业曾经的“伊甸园”,在互联网行业野蛮人的入侵之下,甚至来不及做出像样的抵抗。
2010年,中国第一代网络安全领军人物王江民因病逝世。2011年,奇虎360在纽交所上市,周鸿祎在短短三年内积累的财富,已经超过了上古时代网络安全大佬们的总和。这是一个世代更替的象征,更是商业模式彻底转变的象征——网络安全进入了“互联网时代”,用户需求主要来自应对来自互联网的各种安全隐患,而C端的变现途径也从“卖License”转变为了“免费,然后卖流量”。
(360以一己之力,把网络安全拉进了互联网时代)
虽然免费安全软件席卷了C端,但是在B端又是另一番景象:企业及政府客户对信息安全的需求已经与个人用户非常不同了,互联网时代层出不穷的攻击手段又进一步抬高了B端信息安全的门槛。启明星辰、绿盟科技、深信服等企业安全软件商,恰恰在这一时期取得了快速发展。360也开发了企业安全解决方案,但是在这里它只是一家重要厂商,远远谈不上称霸市场;其他互联网玩家则普遍没有进入企业安全市场。
简而言之,在这个时期,网络安全行业在C端和B端出现了显著分化:前者变成了一种基于流量的互联网生意,后者则仍然是典型的软件生意,两者的交集不是很大。C端安全逐渐演变为“赢家通吃”的游戏,几个互联网公司占据了大部分市场;B端安全则处于群雄割据的状态,营业收入达到十几亿或几十亿人民币就已经堪称一方诸侯了。A股上市的“网络安全概念板块”多达70余家公司,其中真正拥有网络安全业务收入的就不下50家。
在2015年的A股大牛市当中,我一度产生了“拜访所有网络安全上市公司”的计划。我马不停蹄地跑了很多地方,跟数以百计的国内外机构投资者分享拥挤的会议室,如饥似渴地写下长长的调研纪要——可是拼死拼活也只拜访了大约三十家公司。研究这些公司很累,因为它们大部分聚焦于少数行业或地域的客户,业务非常垂直,不太具备可拓展性。与隔壁C端安全市场的马太效应、赢家通吃比起来,B端安全市场好像变成了一个世外桃源,可以有滋有味地过自己的小日子,只是有点缺乏激情而已。
真的是这样吗?我有一种预感,这种局面不可能长期持续下去——在技术和商业模式不断进步的互联网时代,任何“世外桃源”都不可能独善其身。但是,当时的我不可能知道这种局面将如何结束;没有人能未卜先知。
再度融合:新时代悄无声息地降临
2017年,我在成都参加腾讯战略合作伙伴大会。在“腾讯云”的分会场,演讲嘉宾不停地提到“平台原生”的网络安全体系,以及这种体系能够如何替代企业原有的网络安全配置。坐在我身后的一个企业IT人员困惑地嘟哝:“有没有搞错?他们真的相信自己讲的东西吗?”
我侧过身问他:“怎么,你不相信吗?”
“让互联网公司负责网络安全?缩减自己的网络安全团队,把安全都搬到公有云上去?想想就觉得不可能啊。”他咬着圆珠笔,陷入了沉思。又过了好一会,他又开口了:“不过,我们已经看到太多不可能的事情发生了,所以……”
三年之后,“不可能”的事情已经成为了一种流行的标配。现在,规模最大的网络安全公司确实变成了腾讯、阿里,或许再加上华为。360仍然位于第一梯队,但是它的主要增长来源已经变成了企业及政府客户(还没算上从中拆分出来的奇安信,那是一家纯粹的To B公司)。互联网公司不遗余力地强调着“产业互联网”或者“To B互联网”的概念,希望企业客户成为下一个增长引擎;在这个过程中,云计算是最重要的驱动力,而网络安全则是云计算最重要的配置之一。
由此进入了网络安全的第三个时代,可以称之为“现代”:它是移动互联网和云计算的时代,也是B端和C端网络安全开始再度融合的时代。让我们简单回顾一下这个时代已经出现和正在出现的演变趋势:
移动智能设备的崛起,使得C端安全软件变成了一种纯粹的“工具”,其用户黏性和导流效率大幅降低。况且,iOS设备以及高端安卓设备自身的安全防护能力已经比较强了;在PC端,Windows操作系统自带的防火墙和杀毒套装也日益完善。虽然C端安全需求还是存在的,但是战略价值和商业价值已经比较有限。腾讯、阿里、360、猎豹等互联网公司已经基本瓜分了这个市场。
云计算尤其是公有云的崛起,使得安全防范的主要任务从客户端转移到了云端。例如,当我们使用文档分享平台时,文档的安全性几乎完全取决于云端,与我们的PC或智能手机的安全部署关系不大。随着5G的流行、宽带网速的进一步提升,越来越多的存储和计算功能被搬到云端,由企业级的云安全厂商负责。从这个角度讲,B端和C端的安全需求融合了。
与此同时,腾讯、阿里已经在云计算方面取得了巨大的优势,成为国内最大的公有云服务商。它们将向自己的云计算客户提供一整套B端安全解决方案,就像它们同时在个人设备上提供C端安全产品一样。从这个角度讲,B端和C端的安全供应也融合了,均由互联网公司提供。
事实上,进入移动互联网时代以后,绝大部分个人用户的信息安全,本来就取决于互联网公司的“云端安全”,无论他们自己有没有注意到这一点:
在PC时代(尤其是2000年代早期),QQ盗号软件、QQ尾巴层出不穷,你的QQ好友可能在一夜之间就被黑产攻下来了。MSN的聊天信息甚至是明文传输的,用不着破译。而在移动时代,微信、手机QQ的个人信息是非常安全的,在云端攻破的难度趋于无穷大,在手机端通过钓鱼软件攻破也很困难。
我们日常使用的微信、支付宝扫码支付功能,每次都在传递自己的银行卡信息;理论上,如果这个信息被窃取,后果将不堪设想。事实上,这样的信息窃取极少发生。我们在头部APP上绑卡的时候,除了觉得有点麻烦,大概不会有什么真正的安全顾虑。
在疫情期间,我们的出行高度依赖各地推出的健康码,这些健康码大多是通过微信小程序运作的。每次你扫码、填写出行记录,就意味着将个人信息上传到了微信后台,再汇总到本地防疫部门。在大部分情况下你都不会反对,因为你潜意识里知道这很安全。
无论我们有没有安装个人安全软件,无论我们使用的是免费版还是付费版,我们的信息安全事实上主要都取决于云端。这个过程还在持续——随着云办公、云文档、云游戏等概念的不断落实,我们手中的智能设备总有一天要“空心化”,变成一个纯粹的展示平台。对于企业和政府而言,或许也是如此。
Gartner于2019年提出了“云原生安全”的概念:云端数据和业务的安全,应该作为一项基础能力,由公有云服务商提供给客户。换句话说,网络安全的使命将由公有云服务商一并负责,而不是由B端客户另外找人负责。当然,为了维持本地数据和企业内网的安全,企业和政府机关还是需要维持一定程度的本地安全体系;但是这个安全体系可以大幅度简化,对人力物力的需求大幅降低。
传说结束了,历史刚刚开始
打一个比方——传统的B端网络安全体系,就像是以高射炮和近程导弹为主体的防空系统,绝大部分防空设施放在本地,策略是“在敌机飞到我方目标上空时,予以驱逐或击落”;云原生的网络安全体系,则像是以卫星、天基导弹和远程导弹为主体的“星球大战防御系统”,本地防空大幅简化,策略是“根本不让敌机或敌方导弹飞过来,甚至在它们起飞初期就予以解决”。后一种安全体系能够从根本上解决问题,但是也对云服务商的技术能力提出了极高的要求。
既然本地防空体系已经大幅简化,那么你就要保证敌机飞不过来;否则,就算只有几架漏网之鱼出现,后果也是很难想象的。这样的任务,对于中小型的云服务商来说,实在太重了;对于头部云服务商来说,则是可以做到的。例如,在疫情期间一跃成为远程办公头号应用的腾讯会议,就采用了完全内置的云原生安全体系;在用户体量迅猛增长的过程中(目前注册用户已经过亿),这套安全体系很好地胜任了激增的安全需求。
我认为,在“云原生安全”的时代,网络安全行业的面貌会被彻底改造,云厂商会成为最主要的服务集成商,在云原生安全的体系下,PaaS、SaaS将会为传统安全厂商带来新的机会,更高程度的标准化将会让整个安全行业的人效比得到质提升——这是传统安全厂商目前面临的最大的痛点之一。