https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

整併,是福還是禍?

2009 / 03 / 06
編輯部
整併,是福還是禍?
「必須購買安全」這件事遲早會消失。IT 供應商已經開始有所認知,他們必須同時提供安全,將它視為所販售之任何產品的一部分。

Marcus Ranum 觀點:
你做了研究調查後,說服你的老闆,說你找到了符合公司需求的產品。在做決定前, 已經花了好幾個小時在評估與測試上,更別提你在實機測試,還有去了解它複雜難懂的部分,以及組態設定與調節等所花費的天數。接著,卻來了一封E-mail通知你,你所選擇的產品或供應商已經由同行大廠取得,而產品將會由和該廠 「完整的企業解決方案」來提供。要不是因為其它大部分一起綁售的產品數量龐大,加
上行業大廠過去有隨意終止好產品的記錄,或是將那些產品此後以僅提供維護的模式存在,導致很快地淪為淘汰商品,你應該會很開心才是。
聽起來很熟悉嗎? 歡迎到「整併 (consolidation)的不利」這邊來!這是一個活
生生的實證,比較大不見得都比較好,而且其資本主義制度存在的目的是在供應商業利益,不是客戶群。幾乎我們每個在安全產業工作的人,都有這樣的經驗—基於很簡單的理由,在沒有一些致命威脅事件的狀況下,僅有大約25%的安全產品可維持超過5或6 年。我們當中大部分的人都經歷過,一個產品忽然停產了。跟著很快就 會接到廠商業務人員致電,要你不得不接這顆「命運的子彈」;儘管我們仰賴它的
事實擺在眼前,而且支付著20%的年度維護費用。
我並不是說整併就是不好;有時候你會看到獨立主機的技術,與可提供更佳販售、支援與維護的大廠之間,整合的很相稱與適當。
但是,我們產業有個悲觀的事實是僧多粥少;有太多產品在現有的利基點上競爭著。每次有某個新技術問世成為熱門話題,就會有一陣「達爾文進化論」炫風
襲來;1或2個確實很好的產品,會被推演至 食物鏈的最上層,然後食腐者進來,將又虛弱又遲鈍的產品大口吞噬。這裡有個問題,有10個創投新公司,要攻略同一個客戶族群,已經沒有空間供給安全產品利基點了。
既然創投資本家對安全比較沒興趣(我們正處於衰退狀態!),新利基點的數量與規模正在縮減中。
現實狀況是,IT安全產業存在目的是在服務它自己,而不是客戶群。當我們忘記這
一點,將會因隨之而來的經歷感到挫敗。當你那些重要的幕僚已了無新意,而且有太多新興公司緊鑼密鼓地創新時,整併是無可避免的結果。假如你從產業的願景,或是創投資本家的眼光來看,產業的景氣即將經歷大起爾後大落的循環,
這是相當合理的。
那對客戶的意義又是什麼呢?對我而言,那是自己動手做,或是將開放原始碼技術整併至你的產品選擇中的最好論證。請記住:被用來對開放原始碼開砲的爭議點是: 「誰將會去做維護工作?」而那爭議的結果則是非常不利於:「這個
產品明天還是否存在?」

Bruce Schneier的對奕:
我們不喜歡買整合產品系列的原因:那只是一個很棒的產品加上
一堆二流產品。我們也知道我們不喜歡買最佳組合(best-of-breed):不同的供應商、多種介面,以及拼拼湊湊的產品,它們無法一起運作地很好。安全產業在這2者之間或進或退,有如新世代的IT安全專家再度發現,各個解決方案不利之處。
真正的問題在於,沒有一個解決方案能真正地發揮作用,而我們卻繼續欺騙自己去相信,當時我們沒擁有的比起我們持有的更好。你要買的真正解決方案是成果,不是產品。
老實說,沒有人想買IT安全產品。人們只想買他們想要的東西—像是網路連線、線上互動、電子郵件、網路應用等任何產品—而且他們希望那些都是安全的。因此,他們被迫得把錢花在IT安全上,這成為電腦產業青幼年時期的一個產物。因此,將
來「必須購買安全」這件事遲早會消失。
會消失的原因是,IT供應商已經開始有所認知,他們必須同時提供安全,將它視為所販售之任何產品的一部分。另外,組織也已開始購買服務, 而不是產品,並且要求安全必須是那些服務的一部分。再者,安全產業將以一個消費者的名目消失,
以IT產業取代市場。
這裡有個關鍵的驅動力是委外。委外是終極整併者,因為客戶不再重視細節。假設我從一個IT架構規模相當龐大的公司,購買我的網路服務,我並不會在乎它是否有透過安裝入侵防禦系統來保護我的東西,或是透過設定路由器和伺服器,以符
合網路應用安全的需求,或者它是否用了精靈給的神奇安全魔術粉,好讓
它發揮作用。我要的只是一張契約,詳細記載服務水準和品質,那是我的
供應商有能力處理的。
IT是基礎架構。基礎架構向來都是委外。而基礎架構如何運作的細節,則是由供應的企業處理。這是IT的未來,而當它發生時,我們將會看到一種以往未曾見過的整併型式。未來,並不是大型的安全公司會將小型安全公司併吞,而是非安全公司將吞噬掉大型與小型的安全公司。此狀況已經開始出現。2006年,IBM買下ISS, 同年BT買下敝人公司Counterpane,去年也買下INS。 這些都不是大型安全公司購買小型公司的案例;而是非安全公司購買大型與小型安全公司。
假如我是Symantec或McAfee,我會為買家做好自我準備。
這是很令人滿意的整併。無需在一個不夠好的單一產品系列,或是運作不佳的組合產品之間做選擇,我們可以完全地忽略掉這個問題。我們只要找到一個基礎架構供應商,會將這些問題處理得當,並且讓它發揮作用—誰在乎那是怎麼辦到的!

Marcus Ranum是Tenable Network Security的CSO,亦是知名的安全技術改革者與講師。
Bruce Schneier是BT Counterpane的CTO,也是Beyond Fear:
Thinking Sensibly About Security in an Uncertain World一書的作者。