安全产品杂谈——产品规划

规划产品,并且通过团队努力,获得市场成功,这是有志于产品管理的同学一直期盼的目标。产品管理相关的书很多,如《产品经理手册》、《启示录——打造用户喜欢的产品》、《增长黑客》、《从零到一》、《精益创业》、《创新者的窘境》等等,对于训练产品思维、掌握通用技能都很有帮助,但针对网络安全行业专门的内容偏少。笔者现在难得有一段休息时间,正好整理自己这方面的经验和思考,不求全面,更多谈一些体悟。这是第一篇,和产品规划相关。

通用方法

从通用角度看,产品规划时一般需要关注三个层面的问题:

  1. 场景:就是理清楚客户价值,为客户具体解决什么问题;
  2. 用户:同样解决问题,不同的方法适合不同情况下的用户群,选择合适的方案需要考虑到用户的特点;
  3. 产业现状:竞争、市场容量、发展速度等等,决定产品策略时需要综合这些方面来考虑。

多数情况下,有经验的产品经理一定会考虑用户和场景,但对产业现状往往思考偏少。即使某些公司固定的模版要求必须有这一部分,但提供的内容质量往往比较简单,发挥不了应有的作用。究其原因,一方面是分析产业现状确实需要有更高的视角,掌握更全面的信息;另一方面也和规划者往往会选择性忽略不利信息有关(不是故意的欺骗,而是人性中习惯性的乐观)。对产业现状的分析,是用来回答值不值得做、能不能做必须考虑的,因此如果说开发产品是一种投资,那么这部分内容对于投资决策是优先级最高的。

中国的网安产业有自己的独特性,而独特性体现在哪些具体的点上,必然是见仁见智,但有些问题还是需要长期关注和思考:

  1. 不同的合规性要求对安全产业的真实影响是什么?
  2. 不同类型的安全厂商会如何看待产业间的合作、竞争?
  3. 安全行业的热点和市场空间是否一致,具体的原因是什么?
  4. 一个新的安全概念从引入到被市场接受,再到形成成熟市场,这个周期的时间大致有多久,影响它的主要因素是什么?
  5. 一个产品领域的进入者,主要面临的挑战会包括哪些,反过来说开拓者的优劣有哪些?
  6. 企业在供应链稳定、项目延续和供应链安全方面会考虑什么,如何影响产品采购决策?
  7. … …

有些问题看似能很快给出答案,但如果长期的观察、收集各方面信息,也许会有不一样的答案。

安全采购驱动力

当确定要投入一个产品,甚至确定了主打行业之后,下一步就是如何管理需求了。需求管理有通用的模型和方法,如卡顿模型、$APPEALS模型等,网上有很多资料可以学习,这里主要分享安全产品特定的一种分析方式:多数情况下,我们可以从合规要求、问题驱动、安全治理三个方面来分析一个安全产品的核心、以及用户采购的真实驱动力。

  • 合规要求:这里的规不仅包括网络安全行业特定的法律、法规以及行业规范(网络安全法、等保、ISO/IEC JTC 1/SC 27负责的27000系列、ITU-T SG17相关工作、PCI DSS等),也包括公司IT治理和财务审计方面对安全的要求(GDPR、SOX)。这曾经是网络安全行业发展最大的驱动力,不再多说。一个有趣的问题大家可以思考,国内很多安全合规要求,主要在于核查是否有相关的功能或者流程,这种合规要求方式对市场的影响具体会是怎么样的呢?
  • 问题驱动:在日常运营中遇到什么具体问题,针对性的解决,这就是问题驱动。诸如爆发勒索软件、受到鱼叉式钓鱼或者DDoS攻击、红蓝对抗出现意外结果等。这需要对威胁以及对应的防御技术有较深入的理解,举个例子解决鱼叉式钓鱼问题,就需要知道鱼叉式钓鱼和常规的钓鱼邮件有什么不同?是否能够通过同样的技术来检测、发现?或者需要什么样新的技术,包括对现有安全产品进行升级?
  • 安全治理:顾名思义安全治理是需要一套体系化的方法来建立完整的安全架构,以有效地达到安全目标。如果说在十几年前,安全还是老三样(防火墙+防病毒+入侵检测/防御)和认证加密为主的时候,安全治理显得还不是特别重要,对应整体解决方案更多显现成产品的堆砌。但这类解决方案比较难回答,用户真采用了这套方案,具体能达到什么目标。当客户问到:这样做,它是否安全的时候?典型的回答是安全总是相对的。而当前的IT架构、威胁类型日益复杂,用户必须去寻求体系化的方法,避免头痛医头、脚痛医脚这种注定无效的方案。同时,当前相关的方法论和模型也日益完善起来,这些产出大多数源自多年的一线实践,最终总结、沉淀而成(如大家熟知的Lockheed Martin 杀链模型源自LM-CIRT团队2005-2011年间的实践),这使得满足实战需要的体系化设计成为可能。这种思路下的设计、咨询、评估在欧美市场已经看到了若干的具体实践,这也许是网络安全,特别是攻防领域真正走向成熟的开端。至少我们可以推断,安全治理正在成为日益重要的一个驱动力,未来将是最核心的驱动力。

需注意的是,这三种安全驱动力往往是彼此交错、共同存在的。一个安全项目中,工程师可能更关心具体的技术能力和对应解决的问题,而管理者还会从安全治理角度去评估合理性、价值和功能。这就要求产品规划/营销必须从安全治理层面建立自己的价值点。同时也需要从这方面出发去理解客户的真实需求。譬如技术圈中常拿来谈论的态势感知地图大屏,如果不只考虑攻防对抗底层技术问题,还考虑管理层出于安全治理的考量因素,也许对客户的需求会有更深的理解,同时也就可以基于这种需求理解,设计出的不仅是地图炮,而且还是更符合当前安全能力现状、更好满足客户需求的功能实现。

总之,需求管理不要被困在客户声音(VOC)中 ,即使是提出了具体功能点,也要去沟通、理解功能背后隐含的真实需求是什么,尝试在这个层面上去交流。这其中就可以从合规要求、问题驱动、安全治理三个驱动力上去综合考虑。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,098评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,213评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,960评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,519评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,512评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,533评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,914评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,804评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,563评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,644评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,350评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,933评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,908评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,146评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,847评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,361评论 2 342

推荐阅读更多精彩内容