红队、安全工具与商业化

红队，即网络安全对抗中的攻击方。

绝大部分因兴趣入行的从业者，都是从攻击开始：从一次漏洞利用、一次成功的突破获得服务器权限；到自己从事漏洞挖掘、代码审计、钻研各种绕过防御的姿势；再到建立完善的红队渗透和武器化体系。

一个完整的红队工作，大致以获取权限/获取数据 为导向，中间涉及到非常多的环节，如前期的武器准备、信息收集、打点、横向、提权、取证、持久化等等。

这个过程中每个环节都涉及到非常多的工具，它们商业化是一个什么状态？

三个需要关注的问题

工具与产品的差异

「工具」到「产品」之间有着非常大的gap。红队工具早期诞生于一个或少数几个安全工程师的独立开发，主要以解决个人需求为主。前期产品思维、商业化思维、工程化思维的欠缺（安全工程师写的代码，你懂得），导致小工具在向商业化转型过程中，仍需正规军来扭转局面。

需求能被解决吗

大部分工具的价值并非是「解决问题」，而是「提升效率」。以漏扫为例，企业的需求是提升软件安全性，降低漏洞数量，但是漏扫只负责检测，不负责修复。针对其报告出来的安全漏洞，还需要人工验证、人工修复。那么这个需求闭环了吗？没有。

换言之，从效果角度讲，只有企业内部有负责漏洞挖掘的岗位与流程，漏扫工具才能在这个流程上发挥价值。

安全工具的商业模式

谁来买是个问题，由于安全行业本就不大，个人开发者贡献的营收极小。大部分红队工具产品化成功的例子是从toG、toA做转化，但是这块市场也不大，针对初创公司来讲，打造一个爆款安全工具，营收大概能贡献A-B轮的指标，最终还是要向解决方案去走（比如当下很多攻击类工具都可以包到「攻击面管理」xASM的方案里）。

SaaS化的安全工具同样也不好走，第一，我们看到的很多SaaS安全工具其实只是「在线化」，而非真的「租用」，以卖账号永久性使用权为例，这跟传统SLG模式的买断没啥区别；第二，安全数据都是高度敏感的，在线化、数据外发本身就面临数据泄露和监管风险。

那么为什么越来越多的安全工具在做在线化？无论是SaaS、PLG还是开源商业化，在安全领域，其本质上是 用运营成本来换数据壁垒、品牌壁垒，进而降低获客成本。

品牌壁垒是第一收益：通过免费工具、安全社区、开源项目方方面面，做技术影响力建设，用作品给公司贴一个技术标签，提升品牌信任度。

数据壁垒有点难度：即用户越多-用户上传的数据越多-产品能力越强-用户越多。

能换研发成本吗？

这里的假设是通过开源或者社区运营，社区用户能够贡献大量的代码，并形成与竞对pk的优势。但是实际情况笔者看到即使是IT、infra的社区，贡献的高质量代码及其有限，缩小到安全行业，安全的社区人数本就稀少，基本已白嫖为主，这部分贡献相对于产品真正在大B侧pk的核心竞争力，几乎可以忽略不计。

能形成生态壁垒吗？

你的安全工具是否被广泛集成于生态、以及行业性的解决方案之中？做到像gitlab、docker、k8s一样的商业模式？从国内市场来讲，答案是非常难，一是市值小且难以全球化，和这些global infra project难以相提并论；二是产业链成熟度低；三是因为安全领域的碎片化和封闭性，形成技术生态的条件极差。

安全工具商业化的两个建议

预期明确，关注品牌价值

有明确的投入产出预期，再启动。低部署成本的黑盒类工具走toG toA的路线，甲方工具走解决方案路线，在线化获客驱动SLG私有化销售的模式，都可以完成一定规模的营收。

此外，高质量工具为公司带来的品牌价值容易被低估。作为早期融资过渡、激发新的市场需求、甚至在企业文化建设和招聘方面都会有较大帮助。

两种适合商业化的工具定位

效率工具

能为安全日常性工作提升效率的工具，用户画像明确，靠功能和用户体验获胜，高频使用能够让产品价值快速被感知。随着国内老龄化问题严峻，人力成本越来越高，且安全部门leader逐渐具有技术背景，「堆人干活」的模式长期来讲有望得到改观。

限制工具

如果把安全产品分为两类，一种是边界不清晰的「用了更安全」的产品，比如IDS、EDR，核心能力是对攻防经验的积累，而攻防是动态演进的；另外一种则是边界清晰的「我允许你干什么、不允许你干什么」的限制工具，用了就能在逻辑上解决某些问题，例如以黑白名单进行防御的安全工具，云服务器的安全组。

还有一个逻辑，做真正有实用价值的东西，也是技术人的使命。

原文始发于微信公众号（乐枕迭代日志）：红队、安全工具与商业化