安全管理
首页 > 新闻报道 > 安全管理> 正文

在百度:如何做好企业安全这门生意?

怎么把企业安全这门生意做好,创造更多客户价值。

作者:刘洪善来源:Freebuf|2017-01-11 14:38:50

关于作者刘洪善

百度安全资深产品架构师,负责百度安全企业级产品的设计和商业化,主导了多个百度安全最佳实践的产品化和安全能力输出项目,对企业级产品的设计和运营,有广泛的涉猎和深刻的理解。

加入百度前,刘洪善在国内视频行业排名第一的爱奇艺,负责爱奇艺的安全建设、安全管理和安全运维等,对企业安全建设有丰富的经验和独特的见解。
这几年,一直在百度做互联网安全相关的工作,从刚开始的安全运维、安全开发,到内部安全管理,到现在的安全产品设计和运营,期间根据公司需要,担任和接触过研发、管理、运营、市场、产品、销售等工作。

虽然经历了百度安全从对内到外、从做好自身安全到安全商业化的历程,但主线一直没变:怎么把企业安全这门生意做好,创造更多客户价值。

安全行业这方面的介绍较少,这里我就把我的一部分思考分享出来,希望对从事企业业务特别是企业安全的你有所帮助。

第一节、客户战略

1、产品按行业标杆化

按行业里树立自己的产品标杆,让口碑带动销售。 

1.1、产品行业化。按照不同行业的特点来梳理和标准化的自己的产品,而不能像用户产品一样,一招鲜吃遍天。比如SaaS类安全产品,集成了各种功能,检测、防护、加速,哪些功能是哪个行业所需的?都要吗?经常走访行业客户,梳理客户的商业流程,就很容易得到答案。设计企业产品,本质是满足客户商业流程的效率需求,或者叫提高生产效率。比如针对政企行业,有的产品为了方便主管部门类客户大批量管理辖下网站,就设置了大批量网站添加和扫描功能;比如针对游戏行业客户,为了提高实时性,针对这部分用户拓宽了CDN节点。 

1.2、方案行业化。客户通过组合各种产品才能满足自身的需求已经司空见惯,而企业又不可能根据客户的特殊需求来定制一款“万能”的解决方案,因此企业产品有越来越API化的趋势。某款产品是某些主要功能API的集合,而集合的产品本身也越来越像API,专注于解决一个问题。比如WAF,侧重解决web的各种恶意攻击;IDS,侧重根据流量和日志来分析可能的攻击;抗D产品,侧重拦截疑似DDoS攻击,清洗后回源正常流量。把自己的产品,或自己不擅长,而合作伙伴擅长的产品,组成一个有针对性的行业方案,可以满足更多客户需求,增加客户粘性,也顺带增加销售收入。 

1.3、最简单也是最实用的一句话:安全产品行业圈子小,客户圈子也不大。产品做得如何,很容易在业内传播,因此产品打磨得还不到位的话,可以先找一些关系好的天使企业试运营,慢慢完善。或者干脆先不上市,等打磨好再说,因为一款产品,好的口碑不容易获得,但坏口碑一旦建立,却很难修复。 

2、大中小微

产品到底瞄准哪些客户群?除了瞄准行业,每个行业里企业也分了大中小微。主要的产品,瞄准哪个层级的市场?这并没有范式,只能根据实际的运营效果来决定。

2.1、在国内,一想到企业市场,大家理所当然地想到先做大企业客户。大企业确实无论在付费、留存等各方面都有很大的优势,业内常有“三年没单子,一单吃三年”的说法,但做大企业客户相应的也有成单周期长、获客成本高、难成单等特点。

2.2、中小微企业则容易线上交付,降低销售成本,获客成本也非常低。但相应付费、留存都无法和大企业相比,此时做新客、做留存、做转换、做渗透成了要做的4个方面,玩法更像互联网的用户产品。

3.3、无法决定面向哪个用户群的时候,先选大企业客户群一般总是没错的。

3、完善的定价策略

国内的企业产品,特别是安全产品,在定价上有随意化的特点。需要明确两点:定价是交付客户价值的最终体现,不完善的定价体系,表明对产品的价值思考也不完善;完善的定价体系,是产品最终成熟的表现:综合了自身价值,客户价值,市场竞争等各方面因素后的战略选择。

所以,必须认真对待产品的定价,除了最简单随意的方法,比如参照竞争对手的定价,有没有什么定价上的方法呢?还是有的:

3.1、按照用户数定价。就是按照交付给客户,客户服务的最终用户数量来定价。这类定价法,一般是针对SaaS化、API化的安全产品。比如防刷单产品,按接口调用次数计费,1分钱100次。缺点是无法满足不同规模用户的需求,比如有的大企业一天调用几千万次,有的小企业一天只调用几百次。因此必须按规模建立差级价格,特价特办,比如大于100万次一1分钱调用500次等,按照客户的使用情况调整,兼顾大小客户。

3.2、按版本区分定价。这是企业产品最常见的定价方法。比如按客户的规模,划分为免费版、专业版、商务版、企业版、定制版等,比如salesforce就是按照这种方法定价,加大版本间的差距,从最低到最高版本,10~20倍都可以接受,只要说明产品价值并确实交付。缺点是版本增加新的内容后,无法加价以体现新的价值。因此规划之初应考虑到日后版本新增带来的增值空间。

3.3、模块化定价。也就是把产品划分为不同模块,每个模块一个价。模块里还可以划分不同的价差。可以弥补3.2定价新内容不能体现新价值的缺点,缺点是这种模式容易让客户迷糊,不知道怎么选择,因此模块不能太多,2~3种即可,每个模块也划分2~3个价差版本即可。

3.4、整体方案定价。即通过组合产品,产生更多的产品销售,同时也给予客户更多的优惠。

总之,首先是考虑产品真正带来的客户价值(CV),其次计算获客成本(CAC),最后根据可容忍的回收期(PBP)基本就可以算出定价。当然也要考虑市场特别是竞争对手带来的波动。

4、服务/非服务

做企业市场的,一般服务都会占不少的收入。比如企业安全市场的安全培训、安全咨询、渗透测试等,都可算作服务类。服务类的工作,能够增加客户价值,增加粘性,但同时由于其高昂的成本,又使得安全企业对之又爱又恨。怎么处理?

4.1、服务SaaS化、网络化、自动化。比如安全培训能标准化的标准化,能网络讲课的网络讲课。比如渗透测试,浅层次的自动化,就可以满足客户进行网站体检的需求。核心就是尽量降低服务带来的成本支出。

4.2、在收入较小时,安全服务所占的比例大,无可避免,也不必刻意回避。因为服务是锁定客户的重要手段。

4.3、在收入较大后,可以考虑通过优化或标准化产品,来减少服务的投入。

5、数据运营体系化

大部分公司的运营数据,无外乎用户量、流水等这些常规的数据,但对企业安全产品来说远远不够。应根据业特点,关注更广泛的数据:

5.1、新客。市场覆盖率如何,够不够在其中挖掘付费客户。比如一般100个潜在用户,能转换为付费用户的比例在3%左右,触达的用户够不够?

5.2、转换。潜在客户转换为付费用户的真实比例,为什么?

5.3、留存。这里指付费用户的留存,也就是用户继续付费使用产品的数量.

5.4、渗透。即客户同类消费,在你这里消费了多少?

5.5、CAC(Customer Acquisition Cost)。即获客成本,也即收入与支出的比值,支出包括人工支出、研发支出、销售支出、市场支出;收入,即客户带来的销售收入。

5.6、MRR,即客户月经常性收入。

5.7、LTV(Life Time Value)。即客户终生价值,即与客户交往的所有活动产生中,客户为企业来的总利润。

5.8、PBP(Payback Period)。即回收期,即多长时间可以回本。一般1年为佳,长线的公司也有5年左右的。

第二节、分角色分级

1、角色账号体系

企业产品的参与方是各种各样的。单就安全产品来说,技术部门里需要参与安全的可能有老板、安全、运维、研发等各种人员。一个安全产品从意向到最终在企业落地,经过的路径纷繁复杂。因此需要根据不同角色的来设计产品或者运营策略。如一个企业按一个组织分配权限,组织里可以设置不同的角色,如管理员、研发人员、老板。相互的权限做隔离,老板可以查看所有信息,但主要展现安全运营报表;安全人员可以管理漏洞,编写修复方案,并邮件发送给制定研发团队;研发人员可查看发给自己的安全工单,并进行处置等等。

一个成熟的企业产品,应该充分考虑了企业的角色和流程,并且优化了这种流程,针对不同角色设计不同的权限和功能,协同工作。

2、会员特权体系

企业产品也要像用户产品一样,设置会员特权体系,不同贡献的客户,享受不同的特权,贡献越大,特权越大。特权显示在哪里呢?可以是价格优惠,可以是品牌露出,可以是其他价值增值。

2.1、做会员体系,不是为了多赚钱,是为了给不同的客户交付不同的价值。有的客户需要更多的服务,并愿意为此付费;有的客户则不需要。而等级分明的会员体系,能把客户需求明确区分出来,并把高价值的服务交付给高付费的用户。这对企业、对客户都是负责的市场行为。

2.2、会员体系要动态调整,严格按照贡献的利润和价值来区分等级,贡献大的往上,贡献小的往下,以前贡献大的现在贡献小了也可以往下调。 

3、完善的引导体系

企业产品一般给人的感觉是:丑、贵、难用。给人这种感觉,一方面是企业产品本质确实只是个生产工具,没必要在不必要的细节上花心思;一方面是设计之初就没有清楚,企业产品虽然是卖给企业,但毕竟是具体的人在用。

但是考虑到企业产品的本质是提高生产效率的工具,如果使用流程设计得丑贵难,又怎么能使得用产品的工作人员提高效率呢?这本身就很个矛盾。而且具体使用产品的人的用户体验,直接决定了产品的口碑和二次付费的可能。

因此,企业产品也必须像用户产品一样,考虑好使用流程的同时,做好:

3.1、界面设计。不求华丽时尚,但求简单易懂。

3.2、用户引导。对初次登录的用户,必须进行引导。对老的用户,也应把引导折叠的位置明确提醒出来,再次遇到问题的时候可以再次查看引导。

3.3、说明文档。通过用户反馈(试用、客服、走访)积累起用户常见问题FAQ;产品上线后,给出明确的技术说明问题;对典型案例的展示问题。

3.4、在线帮助。在显眼位置,放置用户在线帮助,以放用户在以上都无法解决的情况下,获得人工帮助。

3.4、对应的服务体系。售前/销售/售后。

第三节、能力接口化

随着企业市场的云化、互联网化,传统的软件或者服务越来越多的以API的方式出现。一方面方便了企业快速迭代;另一方面也培养起了客户对个性化的需求。

1、客户通过组合不同的方案,不同的产品,不同的API,灵活的组合,满足自己的需求,越来越成为常态。如,有的客户为了给最终用户提供端上的防钓鱼工具,集成了百度网址安全中心的API,实时识别和拦截恶意网址。

但企业也不应对客户的需求做到完全定制化,因此其中的成本高,可复制性不可预见,只细到API维度即可。

2、API化也是促进行业生态的动力。把自己的能力更多的开放出来,合作伙伴也可以通过使用这些新的、自己不具备的能力来加到自己的产品里,为客户创造更多的价值。

3、API化是趋势。做企业产品的经常被形容为站在企业后面的企业,既然本来就不是面向最终用户,因此只要为客户、为最终用户创造价值,产品的形态其实显得无足轻重。那产品的品牌呢?API化并没有削弱品牌,只是不以整装产品的形态出现了,API化后的技术、产品、服务等能力,还是决定品牌是否优质的核心。

第四节、运营去互联网化

企业不同个人,个人下载软件或者购买产品,是冲动型消费,个人自主意愿就能决定,而企业里的人五花八门,有负责拍板的老板,有负责采购的行政,有负责预算的财务,有负责使用的技术人员。从产品购买意向,到谈判,到采购,到最终安装使用,每个人在其中都扮演了不同角色。

因此,企业产品的运营,无法像用户产品一样,通过互联网化的用户画像、通过大数据等来增加成单量。而还是必须依靠线下销售,用销售人员地推的方式,带着明确目的,带着明确方案,和潜在客户接触。

1、明确客户的需求。了解客户真正需要什么,预算多少,预期如何落地,什么时候落地。

2、明确关键角色。在项目周期里,谁负责拍板?到那个级别?是谁?谁负责预算?谁负责采购?谁负责产品技术评估?谁负责日常使用?明确并推动关键角色,才能使项目快速落地。

3、明确方案。在上述评估后,在团队和合作伙伴内匹配可交付的资源,并给出明确产品方案、报价、交付方式、交付时间、SLA、说明文档、试用账号等,促进客户尽快决策。

第五节、重视市场宣传推广

销售在企业产品运营中不可或缺,但大部分企业就把几乎所有资源都花在销售上,而忽视了市场的作用,或者将市场的作用定位为配合销售,这都是错误的。

市场的宣传推广,应主要放在产品差异化上做文章:产品的创新点,产品的技术、价格等优势,并把这些亮点投入潜在客户的视野中。

1、市场宣传推塑造行业形象。市场的作用除了直接拉新外,大部分的作用都是缓慢的,但不能因此放弃持续的市场宣传和推广。因为品牌的作用虽然不能立竿见影,但却是长期里,避开竞争对手的围剿,建立行业形象主要的方式。每一次市场活动,每次PR稿件,都包含了对企业形象、产品形象的塑造。

2、市场宣传推广承载着企业的文化观、产品观。对外可以感染潜在客户,增加老客户粘性;对内可以激励起员工的自豪感,培养员工的归宿感和认同感。这是销售额带不来的。

3、市场宣传推广是企业的喉舌。没有完善的市场宣传推广平台,企业和产品就相当于失声,就难以影响更多客户,就难以影响整个行业。我们对用户的态度?我们对行业的看法?我们产品的特点?酒香也怕巷子深,何况市场上那么多酒。

第六节、如何看待新技术新概念

安全产品的演化一直没有停止,从最初的防火墙、IDS、IPS到现在的威胁情报、态势感知。每个新的技术,都带来新的概念,进而衍生出新的价值、新的产品。

1、欢迎新技术。安全本身就是各种技术的融合,新技术加入到安全产品中,改造并升级产品的价值,也是客户所乐于接受的。大数据时代,也让安全进入了威胁情报时代。云计算时代,让安全进入了云化、SaaS化。人工智能时代,让安全进入了攻防自动化时代。每次的新技术,都让安全产品实现新的升级和新的价值。

2、欢迎新概念。一个概念从提出到落地到市场培育出来,大致时间是1-2年。一个好的概念,往往包含了新的行业思考,新的商业模式,新的客户价值,进而促进行业的发展。比如云安全的概念,就从商业模式到技术架构,都革新了旧的模式,进而产生了新的客户价值。

3、新技术新产品的加入,一定要更换新的产品名称吗?答案是:不必。如果不是一个颠覆性的革新,或者新的名称特别好,那改名就要谨慎。

一忌生造名词。如果一个概念,不打算在市场上花大钱大力推广,进而形成行业产品,那就不要生造概念,特别是一堆只有自己认识的英文缩写,百度上查不到,自己人不认识,怎么给客户去说清楚?这里面有很大的学习成本。

二忌经常改动。一个产品名字,除了承载了产品形象外,还有着一系列相关的影响:之前,为宣传推广一个产品,市场花销会因为产品名字的变更而作废;现在,产品名称的变更,需要同步更新从技术、运营、产品、市场、售前、售后、客户等一系列相关的文档、工具、话术,这需要不小的人力成本来整理和变更;将来,新名称会导致新的宣传推广策略,适不适合则需要时间和金钱来检验。

二忌自以为是。名字,最根本的作用是简化客户认知。因此,任何使名字所含信息复杂化,让用户不知道所云或者需要大量的学习才能记住的名字,都是坏名字,不管我们觉得如何如何好。另外,我们本身就具备客户所没有的产品知识和场景,所以我们理解的,觉得好的,不妨再问问客户。这方面可以通过调查问卷、走访来获得反馈。

第七节、总结

总之,生意的本质很简单朴素:赚钱。但做生意不是为了赚钱而赚钱,赚钱只是创造客户价值后的自然衍生。企业市场特别是企业安全市场,有很多玩法,但不变的是客户价值。

以上论述,要展开来还有很多东西,但限于篇幅,只能先到此为止,日后再一步步深入。

希望从事安全行业的你,多从自己的角度思考业务,不要迷信技术,懂技术更好,不懂也没关系。安全和其他行业相比并没有什么不同,不要因为技术的门槛而没有底气,每个岗位,技术、销售、运营、市场、产品,都是为业务服务,都是为客户服务,思考好自己的那部分,其他部分也是相通的。共勉。

* 本文作者:刘洪善,转载请注明来自FreeBuf.COM

【责任编辑:刘洪善 】

分享:

安全快讯+更多

湖南青年杨某沉迷“黑客”技术,利用国外网络攻击网站的攻击服务,花钱请人开发成软件后,通过QQ群推销,并发展代理商销售,8个月内获利数万元。
6月13日,由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心、首都创新大联盟共同举办的第五届中国网络安全大会(NSC2017)在北京国家会议中心隆重举行。
《中华人民共和国网络安全法》已于6月1日正式实施并成为我国网络空间法治建设的重要里程碑,在确立安全在整个信息系统建设中的核心和关键地位的同时,也对保护公众个人信息安全起到了积极作用。
Shadow Brokers(影子经纪人)回应想哭勒索蠕虫事件,同时公布了一个月度销售计划,称自6月开始,每个月都有高危0day、黑客工具、机密数据售卖。
勒索病毒“WannaCry”(永恒之蓝)在全球范围内的爆发,恐怕是这几天影响力最大的公共安全事件了。