10 способов для SIEM-вендора увеличить продажи своего продукта

Но в локальных офисах международных компаний эта роль не очень полноценна, так как вы не можете повлиять на ценообразование, вы не можете создавать бандлы продуктов, вы не можете повлиять на функционал продаваемых решений, вы не можете… много чего. Но при этом вы проходите всякие обязательные тренинги, где моделируете различные ситуации, которые должны способствовать росту доходов компании без предложения о разработке новых продуктов или существенного изменения существующих. И вот я помню одно из упражнений, где в качестве примера был взят on-prem SIEM (его у Cisco тогда еще не было и можно было фантазировать, не будучи зашоренным), для которого надо было предложить варианты увеличения доходов и, возможно, изменения бизнес-модели. У меня тогда родилось несколько возможных вариантов (не претендую на полноту)

Чтобы увеличить доходы от продажи SIEM (Security Information and Event Management), особенно в условиях, когда продукт является тяжеловесным и сложным во внедрении, можно рассмотреть несколько подходов по изменению бизнес-модели и развитию продуктовой линейки. Вот несколько вариантов:

Модель SaaS (Software-as-a-Service)

Можно предложить SIEM как облачное решение, где клиенты платят за подписку на использование сервиса, а не покупают его разово. Это может привлечь клиентов из малого и среднего бизнеса, которые не могут позволить себе большие единовременные затраты. У такого сценария есть очевидные преимущества:

• Рост числа новых клиентов из новых сегментов.
• Плавный рост доходов благодаря регулярным платежам.
• Снижение барьера входа для клиентов.
• Возможность более гибкой масштабируемости в зависимости от потребностей клиента.

15 сентября 2021 года был эфир AM Live по SIEM, на котором среди прочего я задавал вопрос участникам о том, насколько их SIEM готовы к использованию в облаках, либо в качестве самостоятельно развертывания, либо в качестве SIEM-as-a-Service. Ответ был предсказуемым — наши вендора в эту сторону особо не смотрят, так как «нет запросов от заказчиков», но они в любой момент готовы развернуть свои решения в облаках.

А вот когда мы сделали опрос участников эфира, то на вопрос, готовы ди они воспользоваться услугами SIEM-as-a-Service, 46% ответили утвердительно. Налицо некое соответствие ожиданий и потребностей заказчиков с тем, что о них думают вендора. В тот же день, 3 года назад, IDC опубликовала отчет с прогнозами рынка SIEM до 2025-го года. Так вот у программных SIEM ежегодный падение (даже не рост) — 25%. У аппаратных — падение 12%. А вот у SaaS-модели для SIEM ежегодный рост составляет 15%.

Сколько вендоров SIEM у нас за 3 года предложило свои продукты в облачном исполнении?

Модульная продажа и ценообразование

Можно превратить SIEM в модульное решение, где базовые функции стоят дешевле, а более продвинутые функции (например, расширенный анализ данных, машинное обучение, автоматизация расследований инцидентов, ведение базы инцидентов, интеграцию с ГосСОПКА и т.п.) можно продавать как дополнительные модули. Преимущества данной схемы:

• Клиенты могут постепенно расширять свою инфраструктуру, начиная с основного функционала.
• Возможность увеличивать средний чек за счет продажи дополнительных модулей.

Переход на модель MSSP

Можно внедрить модель Managed Security Service Provider (MSSP), где вы не только продаете продукт, но и предлагаете его как услугу. Компания управляет SIEM для клиента, анализирует события, предоставляет отчеты, реагирует на инциденты и предоставляет аналитику безопасности, получая следующие преимущества:

• Постоянный источник дохода через предоставление услуг.
• Привлечение клиентов, у которых нет ресурсов для самостоятельного управления SIEM.
• Улучшение клиентского опыта и повышение доверия.

Предоставление на условиях аренды (оплата за объем)

Можно попробовать внедрить модель, где оплата за SIEM зависит от объема обрабатываемых данных или числа подключенных источников. Это сделает продукт более доступным для небольших компаний, которые могут начать с малого объема данных. У такого варианта свои преимущества:

• Гибкая модель оплаты привлекает клиентов с разными бюджетами.
• Клиенты будут платить больше по мере роста их бизнеса и увеличения объемов данных.
• Возможность установить систему минимальных платежей за использование, что будет поддерживать регулярный доход.

Платные обновления и расширенные функции

Можно создать систему обновлений, где клиенты могут покупать новые функции и улучшения отдельно от базовой лицензии. Например, интеграция с новыми типами систем (коннекторы), продвинутые механизмы анализа и отчетности, поддержка новых стандартов и нормативных требований, пакеты экспертизы/правил. Эта модель чем-то схожа с второй моделью, но имеет иные преимущества:

• Клиенты будут платить за новые возможности, поддерживая постоянный доход.
• Возможность разделения клиентов по категориям: базовые и премиальные, общие и фокусные.

Интеграция с другими продуктами безопасности

В отдельных случаях, в зависимости от возможностей вендора, можно попробовать интегрировать SIEM с другими продуктами безопасности (например, с системами управления уязвимостями, DLP, EDR, NTA и т.д.). То есть получается продажа SIEM в составе экосистемы безопасности или пакетов решений, что позволит предлагать клиентам более полное решение. Это дает:

• Увеличение стоимости сделки за счет перекрестных продаж других продуктов.
• Более высокая лояльность клиентов за счет комплексного решения их задач безопасности.

Предоставление консалтинговых услуг и поддержки внедрения

Можно добавить в пакет продаж дополнительные услуги по внедрению, настройке и обучению. Особенно актуально для малых и средних компаний, которые могут не иметь достаточных знаний и ресурсов для полноценного развертывания SIEM. К преимуществам такой схемы можно отнести:

• Увеличение прибыли за счет дополнительных услуг.
• Ускоренное и более качественное внедрение SIEM у клиентов.
• Улучшение клиентского опыта и уменьшение количества претензий в техподдержку и отказа от продления лицензии на продукт.

Гибкие условия лицензирования для малого и среднего бизнеса

Можно поиграться в специальные пакеты для малого и среднего бизнеса с упрощенными условиями лицензирования и меньшими затратами на поддержку. Можно также внедрить программу лояльности или скидки для клиентов, которые остаются с компанией на долгосрочной основе. Как и первая бизнес-модель это позволяет:

• Расширить базу клиентов за счет привлечения малого и среднего бизнеса.
• Получать постоянный доход от техподдержки и обновлений для долгосрочных клиентов.

Продажа контента обнаружения

Хороший SIEM — это в первую очередь контент обнаружения. Можно увеличить доходы не только за счет продажи отраслевых пакетов экспертизы/правил своим же клиентам, но и за счет продажи универсального контента для клиентов других SIEM. Почему нет? Это позволит:

• Расширить базу клиентов за счет привлечения клиентов других SIEM-вендоров.
• Привлечь клиентов, у которых нет ресурсов для самостоятельного написания контента обнаружения для SIEM.

Отчуждение модулей

Если SIEM построен изначально по продуманной архитектуре и имеет модульную структуру, каждый элемент которой (хранилище, сборщик данных /ELT/, анализатор, коррелятор и т.п.) может работать независимо от других, то можно попробовать, по аналогии с предыдущей моделью, продавать клиентам не SIEM целиком, а отдельные его компоненты — для анализ данных, их хранения и т.п. Ровно по такому принципу сегодня строятся различные SIEM следующего поколения.

Эти шаги позволят привлечь новые категории клиентов, увеличить доходы от продажи SIEM и сделать бизнес более устойчивым за счет многократных и постоянных денежных поступлений по различным каналам. Хотя нельзя сказать, что каждая из предложенных моделей безупречна и не имеет ограничений, они могут быть рассмотрены в качестве возможных путей развития для SIEM-вендора, который не может пойти по пути расширения своего портфеля за счет разработки новых продуктов, за счет OEM-сотрудничества или за счет слияния и поглощений.