雷鋒網(wǎng)宅客頻道按：肖力，阿里巴巴第一個(gè)安全工程師，阿里云安全團(tuán)隊(duì)創(chuàng)始人。

引言

阿里云，這個(gè)國內(nèi)最大的云計(jì)算平臺(tái)，服務(wù)著萬億企業(yè)的數(shù)據(jù)和業(yè)務(wù)。它所代表的云計(jì)算能力已經(jīng)像水、電一樣成為了互聯(lián)網(wǎng)國度的基礎(chǔ)設(shè)施。

難以想象如果一個(gè)城市的水源干涸、電力枯竭，將引發(fā)怎樣的災(zāi)難。對阿里云來說，安全是巨大的云城邦腳下的基石。而肖力，作為2005年就加入阿里巴巴的第一個(gè)安全工程師、阿里云安全團(tuán)隊(duì)的締造者，正承擔(dān)著這份守土之責(zé)。

肖力是為數(shù)不多站在技術(shù)和戰(zhàn)略十字路口的人，他無時(shí)無刻不在尋找世界上最先進(jìn)的武器和部隊(duì)來守衛(wèi)阿里云計(jì)算。于是，他對于未來一年、五年、十年網(wǎng)絡(luò)安全趨勢的洞見，也許會(huì)深切地影響中國互聯(lián)網(wǎng)安全的發(fā)展脈絡(luò)。

每年，肖力都會(huì)出現(xiàn)在各大世界頂級安全會(huì)議的現(xiàn)場，感受最新安全技術(shù)形勢的變化。RSA 大會(huì)，是全球安全廠商一年一度的聚會(huì)，被視為全球安全行業(yè)的風(fēng)向標(biāo)。每年全球 Top 500 的安全廠商都會(huì)積極參與 RSA 的技術(shù)分享，并借此機(jī)會(huì)為自己的最新技術(shù)找到“用武之地”。

客觀地說，全球安全技術(shù)仍然以美國為中心，RSA 上的無數(shù)公司拼湊出了一幅安全界的清明上河圖，這番圖景，對于安全產(chǎn)業(yè)發(fā)展較美國有“代溝”的中國，有著極強(qiáng)的借鑒意義。

剛剛從舊金山 RSA 現(xiàn)場歸來的肖力，帶回了從互聯(lián)網(wǎng)安全高地繪制的最新趨勢圖。雷鋒網(wǎng)宅客頻道在第一時(shí)間采訪到肖力，讓他展示了這份最新的“作戰(zhàn)地圖”。

【肖力】

以下是肖力訪談實(shí)錄

（口述/肖力 | 文/史中）

一、安全沒有巨頭，“合作”才有意思

在描述今年 RSA 所有的具體技術(shù)趨勢之前，我最愿意分享一個(gè)今年的總關(guān)鍵詞，那就是“合作”。這個(gè)詞聽上去不性感，卻是安全行業(yè)發(fā)展到現(xiàn)在，一個(gè)必然到來的總趨勢。

1、安全是“碎片化”的

安全有點(diǎn)不一樣。

在互聯(lián)網(wǎng)的其他領(lǐng)域，通常會(huì)出現(xiàn)巨頭一家獨(dú)大，能占領(lǐng)70%-80%的市場。

但我感受到安全這片土地，一定不是巨頭霸占的領(lǐng)域。為什么這樣說呢？因?yàn)榘踩⒉淮怪?，恰恰相反它涉及到互?lián)網(wǎng)和商業(yè)世界的所有領(lǐng)域，可謂安全無處不在。這些領(lǐng)域太廣泛了，所以不可能有一個(gè)巨頭說：我的產(chǎn)品在所有領(lǐng)域都是最好的。

就算是我們耳熟能詳?shù)陌踩罂В篗cAfee、賽門鐵克，他們的收入在整個(gè)安全市場的占比還是很少的。我看到的是，安全的每個(gè)細(xì)分領(lǐng)域都有“頭牌公司”。

對于一個(gè)企業(yè)來說，它的安全需求是“碎片化”的，這意味著企業(yè)要搞定各個(gè)方向可能存在的安全問題，就一定會(huì)選用多個(gè)領(lǐng)域的安全產(chǎn)品。根據(jù)我的觀察，每個(gè)公司都需要5-10個(gè)領(lǐng)域的安全產(chǎn)品。例如：

內(nèi)網(wǎng)安全：企業(yè)員工的PC、移動(dòng)端設(shè)備安全；

數(shù)據(jù)中心安全：企業(yè)的核心業(yè)務(wù)數(shù)據(jù)可靠性安全；

系統(tǒng)安全：企業(yè)各大 OA、CRM 等辦公系統(tǒng)的安全；

Web 安全：企業(yè)對外服務(wù)的網(wǎng)絡(luò)安全；

等等。。。

千里之堤潰于蟻穴。對于企業(yè)來說，所有的維度一旦出現(xiàn)任何一個(gè)短板，它的安全性都會(huì)破碎。這個(gè)特性就要求各個(gè)方向的安全產(chǎn)品之間的聯(lián)動(dòng)合作，它們只有拼成一個(gè)整體，才能為企業(yè)提供最安全的服務(wù)。

2、打通日志和API是合作的重要一步

今年的 RSA，我感受到了一個(gè)關(guān)鍵詞：合作。這說明安全行業(yè)也已經(jīng)意識到了，合作是至關(guān)重要的。

但實(shí)際上目前安全廠商的合作現(xiàn)狀并不好。

以數(shù)據(jù)日志為例，網(wǎng)絡(luò)、系統(tǒng)、主機(jī)都會(huì)產(chǎn)生數(shù)據(jù)日志，把這些日志匯總分析，才能得到整體的安全態(tài)勢。但是，目前諸多安全廠商的日志格式、標(biāo)準(zhǔn)都不同。甚至在安全領(lǐng)域?qū)ｉT出現(xiàn)了一個(gè)領(lǐng)域：安全日志的橫向管理分析。產(chǎn)生了安全大數(shù)據(jù)產(chǎn)品——SIEM，SIEM 第一個(gè)核心競爭力就是翻譯各個(gè)安全產(chǎn)品的日志。

由于日志的碎片化和不統(tǒng)一，翻譯的做法，一定不如原生的統(tǒng)一格式日志。云是一個(gè)非常好的機(jī)會(huì),消除不同日志之間隔閡的機(jī)會(huì)。在這種統(tǒng)一的 API 接口基礎(chǔ)上，安全產(chǎn)品的聯(lián)合才能變得更容易。

作為云計(jì)算的服務(wù)商，我們最希望看到各大安全產(chǎn)品能夠在我們的平臺(tái)上實(shí)現(xiàn)數(shù)據(jù)、日志、接口的聯(lián)合。這樣才能讓我們平臺(tái)上的用戶更加堅(jiān)不可摧。

二、安全產(chǎn)品全面轉(zhuǎn)轉(zhuǎn)向公共云 SaaS 服務(wù)

1、SaaS 安全服務(wù)元年

在 RSA 上觀察各大廠商主推的產(chǎn)品，就可以清晰地看出安全產(chǎn)業(yè)的發(fā)展趨勢。

以前，全球的安全廠商都在賣“盒子”；

從去年開始，有一些廠商推出了基于 API 接口提供的云化服務(wù)；

今年，大部分安全廠商都在提供基于公共云（即一些人理解的公有云）的云安全 SaaS 服務(wù)。

這說明 SaaS 安全服務(wù)已經(jīng)成為了一個(gè)不可逆的主流趨勢。舉兩個(gè)例子：

Fastly 是一家 CDN 廠商，在今年他們開始提供云安全產(chǎn)品；

QUANTIL 也是一家 CDN 廠商，今年同樣推出了云安全產(chǎn)品。

從這一點(diǎn)上看，可以看出美國和中國安全發(fā)展的最大不同：

根據(jù)我的觀察，美國云計(jì)算發(fā)展要領(lǐng)先中國兩年。之所以得出這樣的判斷，是參考了 SaaS服務(wù)的成熟度。在美國，基于公共云的 SaaS 服務(wù)已經(jīng)成為了企業(yè)服務(wù)的主要形式；而在中國 SaaS 服務(wù)本身都還沒起來，所以 SaaS 安全服務(wù)也同樣不成熟。

但是，我堅(jiān)信公共云計(jì)算服務(wù)是未來互聯(lián)網(wǎng)的趨勢。我可以舉一個(gè)例子：

前兩年我曾經(jīng)和 Gartner 的分析師交流，我詢問他怎么看未來云計(jì)算市場上“公共云”和“私有云”的比例。他的判斷是50%-50%，也就是公共云和基于 Spark 或 Hadoop 的私有云各占一半。

今年我又去詢問了安全界的同行，所有人都給出了公共云超過80%，20%私有云的判斷。從廠商展示的云解決方案來看也印證了這樣的說法。之前有的廠商把“支持私有云部署”作為賣點(diǎn)，但是今年，已經(jīng)很少有人講這一點(diǎn)了。

雖然一些廠商還在私有云方面發(fā)力，但是我認(rèn)為在美國這個(gè)趨勢已經(jīng)很明顯了。

波音公司，全球頂尖的大飛機(jī)制造公司，所有的核心系統(tǒng)都跑在微軟的云計(jì)算上。

當(dāng)高等級安全需求的大型企業(yè)、銀行、政府系統(tǒng)都上了公共云，他們經(jīng)過嚴(yán)格的評估，認(rèn)可在公共云上劃出的“邏輯隔離區(qū)”的安全性。良好的示范效應(yīng)會(huì)使得其他行業(yè)迅速跟進(jìn)，擁抱公共云。

2、公共云安全產(chǎn)品的“天然優(yōu)勢”越來越明顯

從我的角度來看，公共云至少有三點(diǎn)優(yōu)勢：

1）彈性擴(kuò)展。公共云可以提供無限的算力和存儲(chǔ)空間。

2）快速迭代。公共云可以做到每天更新，快速迭代。如果大企業(yè)選擇私有云，就沒有辦法享受到最新的技術(shù)紅利，有“被干掉”的風(fēng)險(xiǎn)。

3）數(shù)據(jù)打通。數(shù)據(jù)智能是未來的趨勢，初期大家都玩自己的數(shù)據(jù)，未來更多企業(yè)需要數(shù)據(jù)共享分析。而私有云很難和外界打通數(shù)據(jù)。例如阿里云正在做的城市大腦，需要同時(shí)分析十幾個(gè)數(shù)據(jù)源的數(shù)據(jù)，這只在公共云上有可能實(shí)現(xiàn)。

說了這么多公共云的優(yōu)勢，不僅僅因?yàn)槲覀兯龅氖枪苍朴?jì)算，而是因?yàn)楫?dāng)公共云計(jì)算成為趨勢的時(shí)候，基于公共云的安全產(chǎn)品才能真正被人認(rèn)可，從技術(shù)上和易用性上成為首選。

根據(jù)我的觀察，國內(nèi)大的安全公司，已經(jīng)把產(chǎn)品云化，說明他們也非常認(rèn)可這個(gè)趨勢。

三、不說“數(shù)據(jù)智能”，不好意思和別人打招呼

數(shù)據(jù)智能是我在今年 RSA 上看到的最明顯的趨勢。數(shù)據(jù)智能在交通、金融等等方面都已經(jīng)有大量的案例，安全的數(shù)據(jù)智能也成為人人爭搶的高地。

我理解的數(shù)據(jù)智能，包括了基于數(shù)據(jù)的機(jī)器學(xué)習(xí)和人工智能。

以前，如果你的產(chǎn)品不叫“下一代防火墻”“下一代終端安全”，都不好意思和人打招呼；

今年，如果你不說自家的產(chǎn)品是基于大數(shù)據(jù)、人工智能，也不好意思和人打招呼。

舉例來說：

Logtrust，可以實(shí)時(shí)收集企業(yè)各個(gè)方面的數(shù)據(jù)，并且利用數(shù)據(jù)智能分析實(shí)時(shí)給出安全狀況分析；

Splunk，可以為來自任何應(yīng)用、服務(wù)器或網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)實(shí)時(shí)建立索引，讓企業(yè)可以搜索；

LogRhythm，通過數(shù)據(jù)智能分析，幫助企業(yè)監(jiān)測、分析和抵抗網(wǎng)絡(luò)威脅；

Cloudera，通過數(shù)據(jù)分析的手段，幫助用戶保護(hù)自己的核心資產(chǎn)。

【Splunk將用戶數(shù)據(jù)同一導(dǎo)入大數(shù)據(jù)平臺(tái)/圖片來自官網(wǎng)】

客觀來說，數(shù)據(jù)智能也是技術(shù)發(fā)展的必然歸宿：

一家企業(yè)的訪問量達(dá)到數(shù)億，如果靠人工來判斷每一個(gè)請求是否安全，顯然不可能做到。以前大部分人的方法是使用“規(guī)則”，把經(jīng)驗(yàn)寫成規(guī)則來“過濾”非法請求。但是，隨著攻擊者的“玩法”越來越高級，傳統(tǒng)的過濾方法可以被輕易繞過，安全研究員們必須找到一種“新的”“自動(dòng)化”的方法來發(fā)現(xiàn)風(fēng)險(xiǎn)和攻擊者。

這就必然是數(shù)據(jù)智能。

例如，知名的數(shù)據(jù)智能公司 Splunk，他們將用戶的各方面數(shù)據(jù)（包括主機(jī)、系統(tǒng)、Web日志等等）統(tǒng)一導(dǎo)入大數(shù)據(jù)平臺(tái)，制造出可以分析威脅的引擎，這已經(jīng)成為了行業(yè)的最佳實(shí)踐模型包。

再例如，RSA 今年的初創(chuàng)公司評比——“創(chuàng)新沙盒”大賽上，拔得頭籌的“UnifyID”，核心就是把來自 IoT 設(shè)備的海量數(shù)居上傳到云端，通過機(jī)器學(xué)習(xí)的方法判定：哪些設(shè)備是可信的，從而識別設(shè)備背后的人的身份，保護(hù)系統(tǒng)、數(shù)據(jù)安全。

整個(gè)行業(yè)的趨勢就是：越是頂級的安全公司，越是重視數(shù)據(jù)智能在安全領(lǐng)域的應(yīng)用。

四、安全的“未來邊疆”和“明日黃花”

除了 RSA 上人人都在喊的方向，還有一些只有少數(shù)前瞻性公司涉獵的安全方向，這些方向一方面有可能在未來會(huì)是安全的新邊疆，但顯然在今年還沒有進(jìn)入爆發(fā)期；一方面可能是一個(gè)并不正確或者尚未探明模式的方向。我試著對這些技術(shù)趨勢給出自己的判斷。

1、IoT 安全是一個(gè)巨大的未來

有一個(gè)趨勢大家都可以看到：

過去，人們面對的終端是PC，

目前，人們面對一個(gè)新的端：移動(dòng)端，就是我們的 Android 和 iPhone。

未來，人們將會(huì)面對 IoT 和萬物互聯(lián)。

雖然大家都看好 IoT 領(lǐng)域的安全市場，但是由于 IoT 本身剛剛開始，所以在 RSA 上自認(rèn)為是 IoT方向安全廠商的人還很少。所以我認(rèn)為 IoT 安全的市場還沒有起來，因?yàn)?IoT 本身的市場還沒辦法養(yǎng)活依附其上的安全市場。

但是我堅(jiān)信一個(gè)判斷：

IoT市場和安全市場本身類似，都是碎片化的領(lǐng)域。沒有一個(gè)廠商的安全方案可以把所有的 IoT 安全都搞定。

舉個(gè)例子：

“汽車”這個(gè) IoT領(lǐng)域最大的端，可能有專門的安全廠商只做汽車安全，由于面對的風(fēng)險(xiǎn)不同，它的方案很難完全復(fù)制到其他領(lǐng)域。智能家居安全、工控機(jī)安全、醫(yī)療設(shè)備安全都是未來不同的安全領(lǐng)域。

這些領(lǐng)域非常細(xì)分，所有的方案都無法通用，另外對于同一個(gè) IoT設(shè)備來說，還存在不同類型的安全需求。例如：端本身的安全、傳輸過程中的認(rèn)證和加密安全、云端安全。這就造成了一個(gè)復(fù)雜的安全局面：

可能有十個(gè) IoT 安全的細(xì)分領(lǐng)域，每個(gè)領(lǐng)域又需要不同的端口和傳輸安全。每一種排列組合都需要一個(gè)細(xì)分安全公司來進(jìn)行服務(wù)。

例如一些比較前沿的公司：

Covisint Corporation，可以提供多個(gè)物聯(lián)網(wǎng)設(shè)備之間安全的信息交流平臺(tái)。

CyberOwl，提供 IoT 設(shè)備早期警報(bào)和威脅情報(bào)系統(tǒng)。

可見，這其中會(huì)孕育出超出想象的機(jī)會(huì)。

【Covisint Corporation 提供的安全接入能力/圖片來自官網(wǎng)】

2、移動(dòng)安全市場并不美好

所謂移動(dòng)安全市場，就是我剛才說到的以 Android 和 iPhone 手機(jī)端為主的安全市場。雖然移動(dòng)終端已經(jīng)非常普及，但是我認(rèn)為，這個(gè)市場和 IoT 市場恰恰相反，并沒有很大的安全需求。

從今年 RSA 的參展商來看，做移動(dòng)安全的公司非常少，總數(shù)500家企業(yè)中，移動(dòng)安全公司只有個(gè)位數(shù)。這也支持了我的判斷。

我相信 99% 的 iPhone 都沒有裝安全軟件，而 Android 手機(jī)上的殺毒軟件重要性也在下降。這個(gè)現(xiàn)象背后有其原理：

當(dāng)年之所以 PC 殺毒軟件、安全軟件可以做起來，是因?yàn)?PC 端的安全自身做得不夠好，有很多病毒。但是反觀移動(dòng)端，目前已經(jīng)進(jìn)入了成熟期。iPhone 的安全性一直水準(zhǔn)很高，而 Android 經(jīng)過幾年的演進(jìn)，安全性也比較高?？梢哉f，歸根結(jié)底是因?yàn)橐苿?dòng)安全市場沒有那么多需求。

移動(dòng)安全這個(gè)市場一度火爆，很多企業(yè)都準(zhǔn)備大展拳腳，但是現(xiàn)在看來，很多企業(yè)都已經(jīng)“死”了。根據(jù)我的判斷，這個(gè)市場也許并不會(huì)迎來新的發(fā)展機(jī)會(huì)。

3、CASB（Cloud Access Security Broker 云安全接入代理）將會(huì)開拓新邊疆

CASB 是前年和去年剛剛興起的領(lǐng)域，意思是云化的 SaaS 服務(wù)中的數(shù)據(jù)安全。簡單來說，就是企業(yè)在接入 SaaS 服務(wù)的過程中，可能產(chǎn)生數(shù)據(jù)、隱私方面的問題。

舉幾個(gè)例子：

• Salesforece 是全球最大的 CRM（客戶管理）SaaS 服務(wù)提供商，全球很多企業(yè)都接入它的系統(tǒng)來管理客戶資源；

• 人力管理方面也有很多 SaaS 服務(wù)提供商，比如之前在美國上市的 Workday，微軟的幾十萬人管理都是通過 SaaS 服務(wù)實(shí)現(xiàn)的；

• 個(gè)人工作也會(huì)接入 SaaS 服務(wù)，例如 Office 365、各類網(wǎng)盤。

原來全球企業(yè)只用本地軟件，現(xiàn)在紛紛接入云端 SaaS，所以接入的過程本身產(chǎn)生了新的威脅。例如：SaaS 服務(wù)本身安全性如何、敏感信息是否越界上傳、接入身份是否合法等等。

面對這種威脅，一些安全廠商投身于此，例如：

CipherCloud，提供全套的云端加密、監(jiān)控、秘鑰管理服務(wù)。

Skyhigh，提供對 Office 365，Salesforece 等知名 SaaS系統(tǒng)進(jìn)行安全保護(hù)的產(chǎn)品。

CloudLock，可以對所有購買和自建的云端應(yīng)用實(shí)施安全保護(hù)。

【Skyhigh 產(chǎn)品適配的部分軟件】

就國內(nèi)廠商來說，360 今年也發(fā)布了 CASB 方面的產(chǎn)品，意在提前布局市場。CASB 的市場將會(huì)很廣闊，但是根據(jù)我的觀察，國內(nèi) SaaS 服務(wù)的市場不超過 10億，很多公司還沒有使用 SaaS 服務(wù)，所以在國內(nèi)現(xiàn)階段推出 CASB 產(chǎn)品，也許有些為時(shí)過早。

就全球來說，CASB 也在成熟過程中。有一點(diǎn)可以作證這個(gè)觀點(diǎn)，那就是 CASB 產(chǎn)品的形態(tài)還在一直變化。

目前大量的 CASB 都是基于 SaaS 服務(wù)商（財(cái)務(wù)、客戶、辦公）提供的 API 接口來做的，根據(jù) SaaS 服務(wù)商的數(shù)據(jù)來做分析，這種方法嚴(yán)重依賴 API 的成熟度和完整度。如果 SaaS 服務(wù)商本身提供的數(shù)據(jù)就不完整，CASB 的監(jiān)控能力就會(huì)很差。

基于此，今年有一些安全廠商選擇通過流量分析的方法來獲取數(shù)據(jù)。因?yàn)槠髽I(yè)員工上網(wǎng)一定會(huì)通過網(wǎng)絡(luò)接口，實(shí)際上在接口處的流量相對更加全面，所以最新的產(chǎn)品形態(tài)是：CASB 廠商通過網(wǎng)絡(luò)接口流量進(jìn)行威脅分析，試圖更完整地解決問題。

4、威脅情報(bào)、UBA、安全運(yùn)維自動(dòng)化

除了以上比較明朗的技術(shù)趨勢外，還有一些更加細(xì)分的領(lǐng)域。但是在我看來，這些細(xì)分領(lǐng)域并不是產(chǎn)品的最終形態(tài)，而更像是面對安全廠商的技術(shù)。

1）威脅情報(bào)

威脅情報(bào)不應(yīng)該面對最終用戶，應(yīng)該面對安全廠商。我認(rèn)為終端用戶用不了威脅情報(bào)的數(shù)據(jù)，這些數(shù)據(jù)應(yīng)該由具體的安全服務(wù)廠商進(jìn)行分析之后，落實(shí)到具體的產(chǎn)品中，才可以為用戶所用。

例如，威脅情報(bào)可以用在大數(shù)據(jù)分析平臺(tái)、WAF、終端安全、數(shù)據(jù)安全等等產(chǎn)品上。

據(jù)此，我認(rèn)為直接面向終端用戶的威脅情報(bào)可能走不通。

2）UBA

UBA 全稱是用戶行為分析（user behavior analytics），簡單來說就是從企業(yè)用戶的角度來入手，通過分析用戶的一般行為，對用戶的安全等級進(jìn)行標(biāo)注，一旦感知到異常行為，就可以進(jìn)行預(yù)警。這種技術(shù)同樣可以應(yīng)用在安全產(chǎn)品之中。

3）安全運(yùn)維自動(dòng)化

安全運(yùn)維自動(dòng)化，是一個(gè)更激進(jìn)的安全管理形態(tài)。顧名思義，這種技術(shù)想要實(shí)現(xiàn)在無人值守的情況下進(jìn)行自動(dòng)安全運(yùn)維，目前這種技術(shù)仍然處在初期階段。同樣，這也不是一個(gè)產(chǎn)品形態(tài)，目前，有一些運(yùn)維自動(dòng)化的方案已經(jīng)出來，但是在后期可能會(huì)和具體的產(chǎn)品相結(jié)合。

五、冷清的中國展臺(tái)，我們長路漫漫

今年的 RSA，有來自中國的 30家安全廠商，包括華為、360 在內(nèi)的大廠商，還有很多中小廠商。但是一個(gè)普遍的感覺就是：中國展臺(tái)很冷清。

我覺得原因在于，中國的安全企業(yè)業(yè)務(wù)沒有全球化。簡單來說就是，安全產(chǎn)品沒有賣給國外的用戶。

這其中又反映出中美安全廠商的不同點(diǎn)：

• 美國的安全廠商，一個(gè)公司通常只做一個(gè)領(lǐng)域的產(chǎn)品。例如美國廠商 Rapid 7，它只做“漏洞管理”這一項(xiàng)業(yè)務(wù)，非常專一；例如 Palo Alto Networks，就是防火墻做得最好，它的核心能力就是“流量解析”。

• 中國的安全廠商，一般會(huì)覆蓋很多安全領(lǐng)域。國內(nèi)的 Top 安全廠商，沒有二三十個(gè)產(chǎn)品都不敢和別人打招呼。

究其原因的話，很重要的一點(diǎn)應(yīng)該是：中國市場還沒有形成足以養(yǎng)活“專一”安全企業(yè)的規(guī)模。受限于目前的市場規(guī)模，所以國內(nèi)的安全市場是“銷售主導(dǎo)”。也就是說本來客戶就這么多，但是企業(yè)要多收錢，所以只好開發(fā)出更多的產(chǎn)品。

當(dāng)然，市場最終拼的是能力，而不是銷售。如果一家廠商未來要做到百億美金的安全公司，至少有一點(diǎn)要做到“全球最好”。而在一點(diǎn)上做到最好，顯然就不會(huì)有更多的資源和精力去做其他領(lǐng)域。

以阿里云安全為例，我們的核心任務(wù)就是把平臺(tái)的穩(wěn)定性做到最好，據(jù)此我們最需要的底層能力就是“抗 DDoS”，所以在抗 DDoS 方面，我們的能力就要做到全球最好。至于其他業(yè)務(wù)，我們會(huì)和全世界最好的 IoT 安全公司合作，和最好的數(shù)據(jù)安全公司合作，和最好的 Docker 安全公司合作，和最好的威脅情報(bào)公司合作等等。

對于中國安全企業(yè)來說，做到某一個(gè)點(diǎn)的全球最好，仍然前路漫漫。中國企業(yè)展位門庭若市的那一天，仍然需要我們共同的努力。

小結(jié)·采訪手記

中國頂級安全公司紛紛出海，但是肖力卻冷靜地看到了我們某種程度的“自說自話”。這種冷靜可以解讀為一個(gè)安全研究員的職業(yè)直覺；從另一個(gè)角度來說，認(rèn)清我們的優(yōu)勢和劣勢，正是攻城略地前的寂靜。

公共云 SaaS 安全服務(wù)、安全數(shù)據(jù)智能、IoT 安全、CASB，是肖力熱情贊頌的四座高地。這四個(gè)領(lǐng)域有著一個(gè)共同點(diǎn)，那就是在現(xiàn)有基礎(chǔ)上，賽博世界的元素（服務(wù)、數(shù)據(jù)、終端）更加密集、頻繁、安全地連接。

幾十年前，從全世界第一臺(tái)電腦接入互聯(lián)網(wǎng)開始，我們就在期待每一個(gè)新的賽博世界的子民。而當(dāng)億萬設(shè)備裹挾著重若泰山的數(shù)據(jù)向我們的互聯(lián)網(wǎng)點(diǎn)頭致意的時(shí)候，我們需要有足夠的自信，給它們安全的承諾。據(jù)此，肖力的洞見，值得玩味。

更多安全人物采訪，請關(guān)注雷鋒網(wǎng)宅客頻道（微信搜索：宅客頻道）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。