规划产品,并且通过团队努力,获得市场成功,这是有志于产品管理的同学一直期盼的目标。产品管理相关的书很多,如《产品经理手册》、《启示录——打造用户喜欢的产品》、《增长黑客》、《从零到一》、《精益创业》、《创新者的窘境》等等,对于训练产品思维、掌握通用技能都很有帮助,但针对网络安全行业专门的内容偏少。笔者现在难得有一段休息时间,正好整理自己这方面的经验和思考,不求全面,更多谈一些体悟。这是第一篇,和产品规划相关。
通用方法
从通用角度看,产品规划时一般需要关注三个层面的问题:
- 场景:就是理清楚客户价值,为客户具体解决什么问题;
- 用户:同样解决问题,不同的方法适合不同情况下的用户群,选择合适的方案需要考虑到用户的特点;
- 产业现状:竞争、市场容量、发展速度等等,决定产品策略时需要综合这些方面来考虑。
多数情况下,有经验的产品经理一定会考虑用户和场景,但对产业现状往往思考偏少。即使某些公司固定的模版要求必须有这一部分,但提供的内容质量往往比较简单,发挥不了应有的作用。究其原因,一方面是分析产业现状确实需要有更高的视角,掌握更全面的信息;另一方面也和规划者往往会选择性忽略不利信息有关(不是故意的欺骗,而是人性中习惯性的乐观)。对产业现状的分析,是用来回答值不值得做、能不能做必须考虑的,因此如果说开发产品是一种投资,那么这部分内容对于投资决策是优先级最高的。
中国的网安产业有自己的独特性,而独特性体现在哪些具体的点上,必然是见仁见智,但有些问题还是需要长期关注和思考:
- 不同的合规性要求对安全产业的真实影响是什么?
- 不同类型的安全厂商会如何看待产业间的合作、竞争?
- 安全行业的热点和市场空间是否一致,具体的原因是什么?
- 一个新的安全概念从引入到被市场接受,再到形成成熟市场,这个周期的时间大致有多久,影响它的主要因素是什么?
- 一个产品领域的进入者,主要面临的挑战会包括哪些,反过来说开拓者的优劣有哪些?
- 企业在供应链稳定、项目延续和供应链安全方面会考虑什么,如何影响产品采购决策?
- … …
有些问题看似能很快给出答案,但如果长期的观察、收集各方面信息,也许会有不一样的答案。
安全采购驱动力
当确定要投入一个产品,甚至确定了主打行业之后,下一步就是如何管理需求了。需求管理有通用的模型和方法,如卡顿模型、$APPEALS模型等,网上有很多资料可以学习,这里主要分享安全产品特定的一种分析方式:多数情况下,我们可以从合规要求、问题驱动、安全治理三个方面来分析一个安全产品的核心、以及用户采购的真实驱动力。
- 合规要求:这里的规不仅包括网络安全行业特定的法律、法规以及行业规范(网络安全法、等保、ISO/IEC JTC 1/SC 27负责的27000系列、ITU-T SG17相关工作、PCI DSS等),也包括公司IT治理和财务审计方面对安全的要求(GDPR、SOX)。这曾经是网络安全行业发展最大的驱动力,不再多说。一个有趣的问题大家可以思考,国内很多安全合规要求,主要在于核查是否有相关的功能或者流程,这种合规要求方式对市场的影响具体会是怎么样的呢?
- 问题驱动:在日常运营中遇到什么具体问题,针对性的解决,这就是问题驱动。诸如爆发勒索软件、受到鱼叉式钓鱼或者DDoS攻击、红蓝对抗出现意外结果等。这需要对威胁以及对应的防御技术有较深入的理解,举个例子解决鱼叉式钓鱼问题,就需要知道鱼叉式钓鱼和常规的钓鱼邮件有什么不同?是否能够通过同样的技术来检测、发现?或者需要什么样新的技术,包括对现有安全产品进行升级?
- 安全治理:顾名思义安全治理是需要一套体系化的方法来建立完整的安全架构,以有效地达到安全目标。如果说在十几年前,安全还是老三样(防火墙+防病毒+入侵检测/防御)和认证加密为主的时候,安全治理显得还不是特别重要,对应整体解决方案更多显现成产品的堆砌。但这类解决方案比较难回答,用户真采用了这套方案,具体能达到什么目标。当客户问到:这样做,它是否安全的时候?典型的回答是安全总是相对的。而当前的IT架构、威胁类型日益复杂,用户必须去寻求体系化的方法,避免头痛医头、脚痛医脚这种注定无效的方案。同时,当前相关的方法论和模型也日益完善起来,这些产出大多数源自多年的一线实践,最终总结、沉淀而成(如大家熟知的Lockheed Martin 杀链模型源自LM-CIRT团队2005-2011年间的实践),这使得满足实战需要的体系化设计成为可能。这种思路下的设计、咨询、评估在欧美市场已经看到了若干的具体实践,这也许是网络安全,特别是攻防领域真正走向成熟的开端。至少我们可以推断,安全治理正在成为日益重要的一个驱动力,未来将是最核心的驱动力。
需注意的是,这三种安全驱动力往往是彼此交错、共同存在的。一个安全项目中,工程师可能更关心具体的技术能力和对应解决的问题,而管理者还会从安全治理角度去评估合理性、价值和功能。这就要求产品规划/营销必须从安全治理层面建立自己的价值点。同时也需要从这方面出发去理解客户的真实需求。譬如技术圈中常拿来谈论的态势感知地图大屏,如果不只考虑攻防对抗底层技术问题,还考虑管理层出于安全治理的考量因素,也许对客户的需求会有更深的理解,同时也就可以基于这种需求理解,设计出的不仅是地图炮,而且还是更符合当前安全能力现状、更好满足客户需求的功能实现。
总之,需求管理不要被困在客户声音(VOC)中 ,即使是提出了具体功能点,也要去沟通、理解功能背后隐含的真实需求是什么,尝试在这个层面上去交流。这其中就可以从合规要求、问题驱动、安全治理三个驱动力上去综合考虑。