网络安全昨天是“保驾护航”、今天是“并驾齐驱”、明天是“安全先行”
————Micropoor
哲学上异化指:主体发展到了一定阶段,分裂出自己的对立面,变为了外在的异己的力量。
本文“异化”指:主体在发展的过程中或发展到了一定的阶段,由外部、内部力量自我分裂出本体的对立面,变成了内在的异己的力量。
网络安全行业的公司在诸多环节上存在异化碎片,错综复杂交织在一起后,最终形成了“异化安全”(行业)。安全不是不能盈利,更不是传统to B端企业的主流问题而导致无法盈利。(例如回款慢、竞争激烈、部分存在商务起主导作用等)。
而最终原因是发生了“异化安全”。
我用经济学哲学来解释这个现象,四个字概括“异化安全”(行业)。即主体设定了一个奴役本体的客体或主体制造了一个奴役本体的客体。
在《马克思和马克思主义》中有这样一段话“任何实践活动都必须有三项:主体、客体、联系主客体之间的桥梁——实践。异化不是独立项,而是在一定条件下主客体联系的特定方式:主体创造了客体,客体反过来支配主体压抑主体。”
抽象理解异化:
人类是主体,机器人是客体,人类创造了机器人,主体创造了客体。然而,机器人反过来控制了人类,奴役了人类,客体奴役了主体。这便是异化的过程。
现实中例如:
在小中规模的公司如果是以“工具、产品”而起家作为主流盈利的,那么就不应该同时具备大量的服务人员,一个是成本高、毛利低,第二个是降低其主体的利润率。
反之,如果是以服务起家的小中规模的公司,那么就不应该是“平台化”策略做公司的第二成长曲线,因大部分平台化是很难有标准化的,那么投入的研发、定制化开发的成本就居高不下,且因无标准化,那么就很难快速切入市场化。
上述是理想型,但是现实中矛盾点就出现了,其中的一个矛盾是部分的甲方对待“实战演习”的认知是错误的,既过重关注其结果,而非建立成熟度、自有人员能力、快速应急对抗能力。那么将会以大量的存量预算投入到了相对成熟的中大型公司,而所谓相对成熟的公司中的代名词“大而全”,又是以“大量服务人员、攻防对抗”为集中。
于是现象恰恰言重了上述的推论:
小中型的安全公司如果是以工具、产品为核心,大量的安全服务异化主体。反之,小中型的安全公司如果是以服务为核心,大量的“概念跟风式”研发投入异化主体。
而在相对存量预算的甲方市场中,把有限的预算投入到了无限的服务中,而非增强自身的自有人员能力、溯源能力、工具建设上。
对于以工具为核心且又无法承担大量服务人才的公司来说,无法参与到更多的甲方场景打磨工具。
对于以服务为核心且又无壁垒产品的公司来说,也无法把更多的精力投入到有效的研发创新。
而相对成熟的大体量的公司,只能两手抓,尽可能两手硬。而在“两手抓、双手硬”的过程中,承受多重的本体异化。
对待资方来说,安全公司的盈利、增长、产品的壁垒、又是非常关键的条件之一。
没有调研,就没有发言权。笔者分别出差北京、深圳,调研上海数个安全公司、甲方公司、资方。
在大量调研的过程中,又总结出了一个相似性规律。既“高度概念化”驱动工具、产品。
例如突然某一段时间都在“人工智能安全”、“AI自动化”等
那么就必然出现同一性,“而同一性产生竞争性、竞争性产生斗争性”。
而斗争性的表现形式之一就是以低价为主,收益往往小于产出,既创新投入产出比过低。
但是概念化工具、产品的创新,是网络安全行业前进的必要动力。而必要动力却不应该成为了资方的必要条件之一。
最近的融资,都大量体现在了“流行概念”的工具化上。
于是许多公司的估值与营收无法并驾齐驱,甲方应该有正确的网络安全观,乙方要有毫不动摇的决心,资方要有强大的网络安全行业认知与经验,这让我想起了“一位历史学家所述”,既越自卑的人(组织、国家)越会通过竞争、甚至残酷的竞争去抢食蛋糕。越自信的人(组织、国家)越会通过合作、甚至利他的合作去做大蛋糕。以上的方法路径是没有对错之分的,只不过是手段不同。
当蛋糕是长期存量的前提下,那么利己是相对正确的。
当蛋糕是短期存量的提前下,那么利他是相对正确的。
无论利己亦或是利他行为,都不是静态的、都不是一层不变的。而是动态的,是运动的。
人,不能有“非黑即白”的思维方式,并不是你赢了,我就输了,也不是你多了,我就一定少了。
要坚持长期主义,辩证的看待问题。
只要你坚持长期主义,就没有人可以复制你。同时也没有人可以永远的跟随你。
正如他人问你怎么提升自己,你的回答是“学习”。这个道理很简单,对方也会马上心领会神。
但是一旦你坚持长期主义,那么对方就无法模仿你。
网络安全是一门综合性很强的学科,涉及到的知识方方面面,迭代日益加速,不要被昨天的“收入”所迷惑,不要被今天的“估值”所彷徨,不要在明天的“对比”中所迷惘。在独孤中定位自我,在学习中完善自我。赋予生命的意义、赋予工作的意义。在长期主义中学会乐观、积极、信任、合作、利他。
原文始发于微信公众号(0x727开源安全团队):论异化网络安全(行业)——手稿
