所有的产品因为管理层的需求来讲都比以前更加重视管理上的需要，比如说我们以前提的MDM直接管理移动设备，云计算安全设备里面CASB负责哪些用户能使用哪些云计算资源，哪些资源不能乱用，EDR里面也会管理终端安全。自适应安全更是典型的管理场景，所以这些功能堆在一起比较多，他必然会用一些比较复杂的大数据算法，并基于大数据算法再往上堆各种复杂的比如人工智能算法来帮他实现更高一步的自动化。某些比较有钱或者比较重安全的高级用户他可以用更复杂的一些方案，比如可以变形的WAF或者动态的虚拟蜜罐，这都是以前我们认为不会有市场的产品也开始普及开来。

最直观的例子就是说这么多功能叠加的组合，会直接导致这个市场高度碎片化，所以这张图大家可以简单看一下有多少个大的产品细分市场，像有些市场比如说反欺诈或者工控市场还有安全自动相应化相对来说比较新兴的一些市场，大家可以看这个市场的碎片化程度会有多高。

传统安全产品继续演化

老的一些产品，有些是作为演化，有些是加一些功能重新包装。以前我们讲过防火墙会变成新一代的防火墙，终端杀毒会变成EDR软件。而EDR最开始定位只是一个管理上的功能，他甚至不杀毒，只是被动的看有哪些病毒感染哪些终端。后来传统杀毒软件厂商觉得他们有工程能力能够直接杀毒，就是直接防御事中防御、事中检测合到产品形态里面去，所以我们看红的EDR产品线里面都有比较复杂的管理功能，他还有比较复杂的基于行为来判断病毒是否爆发的一些功能。IDS、IPS会变成NTA也是有一些基于网络行为来做分析的，SIEM会变成UEBA基于用户和实体的行为来分析异常。

总之这些产品演化的共同特点就是：因为大数据和其他相关技术的开源的成熟，所以会集成更多的功能，也会有更多的产品组合形态。最后或多或少它都有一些基于人工智能来进行行为分析，而总体来讲他会比较重管理的功能，像大的EDR有单独的管理界面能够把整个EDR管理用起来，他能让整个的产品的管理来更靠近这种业务形态。

新安全产品：威胁情报

新产品不是这种产品的演化，而是全新冒出来的。大家常听说的威胁情报，能做出来后台有很主要的原因是因为：

第一，大数据处理平台。有很多威胁情报公司可以用开源的方法开发出自己数据分析平台。

第二，有各种各样的算法。他们能够从这些比较多样的数据里面提取出新的分析结果。

不过我们翰思科技认为威胁情报这个东西不应该作为一个黑白名单来直接使用，他的准确度没有高到这种地步，我们建议丰富上下文的作用，比如说现在有一个文件的行为看起来比较可疑，你可以根据威胁情报上下文来判断这个是不是真的有问题。

新安全产品：大数据安全分析

还有一个提得比较多的词就是大数据安全分析，其实我们认为严格来讲他不是一个产品市场，他是一个能力。很多产品都可以有大数据安全分析能力，因为毕竟所有的安全产品后端基本都是属于大数据的。每个漏洞的一个普及情况，新的漏洞是谁发布的，哪些人在用，这也是后端大数据分析的例子。防火墙这些杀毒软件的规则都会有大数据支撑，所以讲大数据是没有什么太大意义的。

基本上有分析功能都是安全分析，所有的产品你看跟他原来的产品形态其实有很大的关系，比如说防火墙演变成了大数据分析，那可能是比较重视TCPIP那种层次。如果你是想做多样性的大数据分析，我们认为可以靠SIEM这种产品线演化出来新的产品。

瀚思科技大数据安全分析产品框架

这边我简单讲一下大数据安全产品会有哪些框架。这张图是我们自己的产品，他会有比较复杂的多样性数据采集，这个数据可能包括日志数据和网络流量数据，数据之上还有转换功能，转换功能之上有堆积金字塔型的各种分析方法，最底下是规则，再往上有机器学习，再往上面可能有用户行为分析，所有这些分析也要结合威胁情报来做分析。这些是通用的分析场景，对于某些专有领域的场景比如说帐号或者态势感知还有上面要做一些额外的模块，我们觉得这是比较典型的大数据安全分析的一个框架。

企业怎么选择产品？