安全产品杂谈——产品规划

规划产品，并且通过团队努力，获得市场成功，这是有志于产品管理的同学一直期盼的目标。产品管理相关的书很多，如《产品经理手册》、《启示录——打造用户喜欢的产品》、《增长黑客》、《从零到一》、《精益创业》、《创新者的窘境》等等，对于训练产品思维、掌握通用技能都很有帮助，但针对网络安全行业专门的内容偏少。笔者现在难得有一段休息时间，正好整理自己这方面的经验和思考，不求全面，更多谈一些体悟。这是第一篇，和产品规划相关。

通用方法

从通用角度看，产品规划时一般需要关注三个层面的问题：

1. 场景：就是理清楚客户价值，为客户具体解决什么问题；
2. 用户：同样解决问题，不同的方法适合不同情况下的用户群，选择合适的方案需要考虑到用户的特点；
3. 产业现状：竞争、市场容量、发展速度等等，决定产品策略时需要综合这些方面来考虑。

多数情况下，有经验的产品经理一定会考虑用户和场景，但对产业现状往往思考偏少。即使某些公司固定的模版要求必须有这一部分，但提供的内容质量往往比较简单，发挥不了应有的作用。究其原因，一方面是分析产业现状确实需要有更高的视角，掌握更全面的信息；另一方面也和规划者往往会选择性忽略不利信息有关（不是故意的欺骗，而是人性中习惯性的乐观）。对产业现状的分析，是用来回答值不值得做、能不能做必须考虑的，因此如果说开发产品是一种投资，那么这部分内容对于投资决策是优先级最高的。

中国的网安产业有自己的独特性，而独特性体现在哪些具体的点上，必然是见仁见智，但有些问题还是需要长期关注和思考：

1. 不同的合规性要求对安全产业的真实影响是什么？
2. 不同类型的安全厂商会如何看待产业间的合作、竞争？
3. 安全行业的热点和市场空间是否一致，具体的原因是什么？
4. 一个新的安全概念从引入到被市场接受，再到形成成熟市场，这个周期的时间大致有多久，影响它的主要因素是什么？
5. 一个产品领域的进入者，主要面临的挑战会包括哪些，反过来说开拓者的优劣有哪些？
6. 企业在供应链稳定、项目延续和供应链安全方面会考虑什么，如何影响产品采购决策？
7. … …

有些问题看似能很快给出答案，但如果长期的观察、收集各方面信息，也许会有不一样的答案。

安全采购驱动力

当确定要投入一个产品，甚至确定了主打行业之后，下一步就是如何管理需求了。需求管理有通用的模型和方法，如卡顿模型、$APPEALS模型等，网上有很多资料可以学习，这里主要分享安全产品特定的一种分析方式：多数情况下，我们可以从合规要求、问题驱动、安全治理三个方面来分析一个安全产品的核心、以及用户采购的真实驱动力。

• 合规要求：这里的规不仅包括网络安全行业特定的法律、法规以及行业规范（网络安全法、等保、ISO/IEC JTC 1/SC 27负责的27000系列、ITU-T SG17相关工作、PCI DSS等），也包括公司IT治理和财务审计方面对安全的要求（GDPR、SOX）。这曾经是网络安全行业发展最大的驱动力，不再多说。一个有趣的问题大家可以思考，国内很多安全合规要求，主要在于核查是否有相关的功能或者流程，这种合规要求方式对市场的影响具体会是怎么样的呢？
• 问题驱动：在日常运营中遇到什么具体问题，针对性的解决，这就是问题驱动。诸如爆发勒索软件、受到鱼叉式钓鱼或者DDoS攻击、红蓝对抗出现意外结果等。这需要对威胁以及对应的防御技术有较深入的理解，举个例子解决鱼叉式钓鱼问题，就需要知道鱼叉式钓鱼和常规的钓鱼邮件有什么不同？是否能够通过同样的技术来检测、发现？或者需要什么样新的技术，包括对现有安全产品进行升级？
• 安全治理：顾名思义安全治理是需要一套体系化的方法来建立完整的安全架构，以有效地达到安全目标。如果说在十几年前，安全还是老三样（防火墙+防病毒+入侵检测/防御）和认证加密为主的时候，安全治理显得还不是特别重要，对应整体解决方案更多显现成产品的堆砌。但这类解决方案比较难回答，用户真采用了这套方案，具体能达到什么目标。当客户问到：这样做，它是否安全的时候？典型的回答是安全总是相对的。而当前的IT架构、威胁类型日益复杂，用户必须去寻求体系化的方法，避免头痛医头、脚痛医脚这种注定无效的方案。同时，当前相关的方法论和模型也日益完善起来，这些产出大多数源自多年的一线实践，最终总结、沉淀而成（如大家熟知的Lockheed Martin 杀链模型源自LM-CIRT团队2005-2011年间的实践），这使得满足实战需要的体系化设计成为可能。这种思路下的设计、咨询、评估在欧美市场已经看到了若干的具体实践，这也许是网络安全，特别是攻防领域真正走向成熟的开端。至少我们可以推断，安全治理正在成为日益重要的一个驱动力，未来将是最核心的驱动力。

需注意的是，这三种安全驱动力往往是彼此交错、共同存在的。一个安全项目中，工程师可能更关心具体的技术能力和对应解决的问题，而管理者还会从安全治理角度去评估合理性、价值和功能。这就要求产品规划/营销必须从安全治理层面建立自己的价值点。同时也需要从这方面出发去理解客户的真实需求。譬如技术圈中常拿来谈论的态势感知地图大屏，如果不只考虑攻防对抗底层技术问题，还考虑管理层出于安全治理的考量因素，也许对客户的需求会有更深的理解，同时也就可以基于这种需求理解，设计出的不仅是地图炮，而且还是更符合当前安全能力现状、更好满足客户需求的功能实现。

总之，需求管理不要被困在客户声音（VOC）中 ，即使是提出了具体功能点，也要去沟通、理解功能背后隐含的真实需求是什么，尝试在这个层面上去交流。这其中就可以从合规要求、问题驱动、安全治理三个驱动力上去综合考虑。