最近，企业战略集团(ESG)完成了其第二个年度企业级网络安全供应商研究项目。该项目背后的故事类似于：企业组织(比如拥有1000名以上员工的公司企业)终端工具太多，正进行安全技术的整合与某些工具及供应商的清理。

这就造成了安全市场上公司企业从更少的供应商手中购买更多产品的现象，其市场影响不可谓不大：交易更少、大单更多、销售周期更长、CISO对采购督管更严、竞争更激烈等等。

这一趋势与安全行业曾经的做法正好相反：大公司为深度防御架构中的每一层分别购入业内最佳产品与技术。数据显示，该历史思维模式正在发生改变——62%的受访者称，其公司如今考虑从单个企业级网络安全供应商处购买公司所需的绝大部分安全技术。

于是，到底要具备什么资质才可以被认为是“企业级”网络安全供应商呢？ESG的调查给出了两大很有意思的答案：

34%的受访者称，最重要的属性就是符合战略性IT计划的网络安全产品及服务组合。换句话说，CISO想要合作的供应商应具备数字转型、IoT应用、移动应用、敏捷开发运维(DevOps)等方面的实践经验与深度网络安全知识。

27%的受访者称，最重要的属性是具备特定于自家公司所处行业的网络安全专业技能。这一点很符合网络安全正成为垂直应用，受行业特定的IoT设备/应用、业务过程、风险、监管规定等驱动的趋势。

“十全十美”也是企业级网络安全供应商应具备的属性——提供全面的产品及服务组合，提供世界一流的威胁情报、产品可扩展性、可控性、产品集成等等。

成为企业级网络安全供应商应具备的素质

“平台战”序幕刚刚拉起，安全供应商纷纷为更大的企业市场份额奋力竞争。这意味着少数供应商将脱颖而出——未来几年我们将见证50亿估值的企业网络安全供应商出现。但想要成为这种超级独角兽，网络安全供应商需做出稍许改变：

1. 供应商需涉猎广泛的商业/IT知识

企业的信息安全人员更希望能与具备商业/IT项目经验及行业知识的供应商合作。因此，供应商需涉猎广泛的商业/IT知识，而不是仅仅专注安全。而且，网络安全供应商必须超越横向安全技术而深入理解与垂直业务过程相关的风险。为此，安全供应商需投入业务/IT培训、行业市场营销、产业专家招募、销售力量与渠道重组等等。

2. 建立起与之相适应的销售模型

今天的大多数安全供应商都有个基于用户当下购买需求的事务性销售模型。这个月是Web安全续订，下个月是另一家公司要按不同的预算方案签云工作负载安全……由于公司企业寻求企业级分布式安全解决方案，供应商必须建立起与之相适应的销售模型——较长销售周期、工程支持、大量客户协作。参考Oracle和SAP，而非传统的迈克菲和赛门铁克。

3. 制定面向CISO、价值主张与需求的销售策略

类似的，销售策略应在继续针对技术买家的同时，也面向CISO沟通、价值主张与需求。毕竟，很少有安全供应商知道CISO每天都在做些什么，更不用说怎么站在安全高管的层面沟通了。

在企业当CISO不容易，变化太快，老方法跟不上节奏。自己需要的技术和能提供这些技术的供应商都在变。了解并适应这一转变的供应商将收获丰厚回报，迷茫迟钝的那些只会被时代抛弃。企业网络安全市场正在展开，以前所未有的速度和规模。