Эпоха впаривания ИБ через CISO или маркетинг проходит. Но не у нас :-(

Эпоха впаривания ИБ через CISO или маркетинг проходит. Но не у нас :-(

Думаю, не надо рассказывать, как у нас развивается рынок решений по ИБ. Вендор делает то, что написано в нормативных требованиях регуляторов, получает на решение сертификат и потом продает свой продукт под соусом «вы должны купить нашу корову, так как она позволит вам выполнить требования по количеству голов скота» (заметьте, не по объему надоев и не ежегодному количеству телят, и даже не по объему мяса). Так как продукт в массе своей нахрен никому не нужный (а иначе им пользовались бы независимо от наличия требований регуляторов), да еще и неудобный в использовании, при его продаже включаются различные не очень рыночные механизмы, например, попытки коррумпировать CISO поездками заграницу или походами в хороший ресторан. Это то, что иностранцы называют первой эпохой ПО или эпохой «рост за счет продаж«, которая у них закончилась в 90-х годах, а у нас в ИБ продолжается до сих пор. Российские ИБ-компании до сих пор выпускают монолитные продукты, фокусируются на CISO, в надежде, заручившись их поддержкой, выиграть тендер и получить контракт.

Каменный век продаж плавно перетек в новую фазу, когда покупателями стали не ИБшники, а закупёры. Они думали не о том, как классно защищает продукт от атак (это само собой подразумевалось), а какую пользу решение дает бизнесу; какой у него ROI и каких KPI он поможет достигнуть. Поэтому и решения по ИБ из монолитных стали активно переходить в облака и на подписочную модель «on demand». Эта эпоха «роста за счет маркетинга» главенствовала на Западе с начала 2000-х годов и до недавнего момента. У нас этой стратегии придерживается не такое уж и большое число компаний, но они есть.

Третий период наступил относительно недавно — это эпоха конечного пользователя, когда рост осуществляется за счет продукта, в котором есть потребность у рядового ИБшника. Использование уже кем-то написанных модулей или библиотек, активное задействование API и сервисов, масштабирование по мере необходимости, no code/low code, готовые репозитории и конверторы правил Yara/SIGMA/Snort… Демократизация ИБ и принятие решений о покупке на основе критической массы внутренних пользователей, чья продуктивность повысилась после применения того или иного продукта. Почему Zoom так вознесся? Потому что им было удобно пользоваться. А Slack или Telegram? Потому что имеющими средствами коммуникаций было пользоваться неудобно. Пользователи сами находят, сами тестируют, сами оценивают продукт и компания потом просто покупает то, что уже используется многими внутри компании.

3 эры продаж решений по ИБ

В этой третьей эпохе важно не то, кому мы продаем, и не то, как мы продаем, а то, что мы продаем. Времена «продажи воздуха», когда клиенту впаривали roadmap и обещание «мамой клянусь, все будет» на Западе уходят в небытие. Удобный дизайн или модель ценообразования freemium (бесплатная версия имеет базовый функционал, а платная — все самые вкусные и корпоративные фичи) становятся неотъемлемой частью стратегии развития продукта, который начинает распространяться среди пользователей напрямую (магазин Chrome, Slack App Directory, не к ночи упомянутый Rustore, AppStore, если получится, и т.п.). Но дизайн — это то, к чему стали относиться как к должному. Но гораздо важнее, какую боль пользователя решает продукт? В идеале, конечно, основных групп пользователей (немного упрощая, — рядовой ИБшник, которому нужна автоматизация рутинных задач, CISO, которому нужен сертификат ФСТЭК, и закуперам или финансовому директору, которому важны KPI, ROI, ускоренная амортизация, OpEx’ные платежи вместо CapEx).

Росс Халелюк, венчурный капиталист и один из руководителей компании LimaCharlie.io (она не из ИБ-сферы) провел анализ более 600 вендоров и их 824 продуктов, чтобы понять, как сегодня развивается рынок ИБ (очевидно, что российский рынок в обзор не попал) и есть ли в нем место для стратегии роста на основе продукта (product-led growth, PLG) и он сделал интересные, хотя и лежащие на поверхности, выводы:

  • Директора по ИБ завалены рекламой от разных компаний (на одной только выставке, проходящей параллельно RSA Conference, полторы тысячи вендоров) и просто не успевают посмотреть все, что им предлагают
  • Стоимость выхода на «больших начальников» очень высока и недоступна многим, особенно начинающих ИБ-компаниям, которые не могут по своему желанию приглашать на ужин тех, кто им интересен.
  • Не все продукты в области ИБ могут следовать стратегии PLG. Для этого нужно, чтобы ценность продукта была простой для понимания и пользователь мог легко и быстро увидеть разницу «до» и «после». Вряд ли SIEM можно продавать по модели freemium — за 30 дней тестирования бывает непросто понять все выгоды. А тот же EDR решает слишком много задач, чтобы его ценность была «простой и понятной». А вот тот же сканер безопасности или средство управления соответствием могут еженедельно показывать числа выявленных нарушений и давать рекомендации по их устранению, что сразу покажет их ценность для ИБшника.

В итоге у Халелюка появилась карта из 151 ИБ-компании, которые ориентируются в своем развитии именно на конечного пользователя, которому предлагаются продукты с понятной и легко демонстрируемой ценностью.

ИБ-компании, выбравшие стратегию роста за счет продукта, а не продаж или маркетинга

Можно заметить, что в списке нет «монстров» ИБ-рынка, что и понятно. Они обладают большими бюджетами и вполне способны продолжать развиваться через контакты с CISO или вливание в маркетинг. У нас тоже абсолютное большинство компаний развиваются по старинке, а тех, кого можно было бы отнести к PLG-компаниям, можно пересчитать на пальцах одной руки. Например, тот же XSpider, родившийся как проект Димы Максимова, позже переросший в одного из крупнейших отечественных производителей ИБ — Positive Technologies. PT, кстати, сейчас совместно с CyberOK запустили новый проект по схожей схеме — SOLDR, решение класса SOLDR. Или Vulners, который долгое время был бесплатным, а потом перешел на freemium-модель. Правда, Vulners покинул Россию и сейчас «считается» компанией американской; как и ряд других отечественных ИБ-компаний.

Антивирусные вендора сложно отнести к PLG-компаниям. Хотя они и предлагают триальные версии на свои продукты, все-таки это не freemium-модель, — продукт по окончании 30-ти дней перестает обновляться и превращается в тыкву. А как же RuSIEM, у которого есть бесплатная и урезанная по функционалу версия RvSIEM (а где-то она называется RuSIEM free)? Это решение можно было бы отнести к PLG, если бы оно распространялось всем желающим и просто могло быть скачано с сайта производителя. Но нет — чтобы получить дистрибутив надо заполнить форму, то есть между продуктов и конечным пользователем появляется ненужная прокладка в виде человека, который принимает решение, давать ссылку или нет, а это в корне нарушает модель PLG.

Нужны ли вообще компании, работающие по модели PLG? Это зависит от цели самой компании. Если она хочет получить как можно больше апологетов в свои ряды и ей не стыдно за свои продукты и она хочет развиваться, то, конечно, ответ будет да. Если компания живет по принципу «пользователи плакали, кололись, но продолжали жрать кактус» в расчете на то, что ее продукт не имеет аналогов или обладает всеми нужными сертификатами, то для нее ответ будет нет. Будь у нас свободный рынок, да еще и не имеющий границ, я бы сказал, что конечный пользователь в итоге и рассудит. Но мы живем сейчас в условиях специальной военной операции, весь мир повернулся к нам спиной, а локальный рынок не рыночен и достаточно мал, чтобы быть свободным. Поэтому ближайшие годы моду у нас будут задавать не ИБ-компании, ориентированные на конечного пользователя. А что будет потом, посмотрим…

Заметка Эпоха впаривания ИБ через CISO или маркетинг проходит. Но не у нас :-( была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!