2025-12-30 01:23:45 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章解析了零层战略，即基础设施厂商（如云、OS、身份平台）拥有定义安全边界的能力。新零层的出现会引发安全创业潮，其演变遵循态势管理、威胁检测到运营响应的可预测模式。因零层厂商难以覆盖边缘场景，依附于这些平台的专用工具将持续拥有市场机会。 综合评分： 90 文章分类： 安全建设,网络安全,解决方案

cover_image

碾压竞争对手的底层逻辑：网络安全行业“零层”战略深度解析

原创

ROSS HALELIUK

安全喵喵站

2025年12月29日 08:30 广东

数月前，我提出了一个核心概念，旨在解释我们这个行业是如何运作的，以及一家初创公司想要跻身十亿美元俱乐部，必须具备哪些先决条件。我将这个基石称之为“零层”（Layer Zero），因为它是一切上层建筑得以建立的基础。

这篇文章发布后反响极为热烈，我收到了数十位同行的反馈、评论和疑问。今天，我希望分享一些新的视角，对最初的“零层”概念进行补充和深化，让它的全貌更加清晰。

快速回顾 (A Quick Recap)

对于那些没有读过原版文章的读者，我强烈建议您去看看，因为它提供了本文所有观点的基础概览。而对于已经读过但需要快速回顾的朋友，这里是我的核心解释：

“……最能提供真正安全能力的实体，是那些构建核心技术的厂商。逻辑上讲，云服务商最适合解决云安全；操作系统厂商最接近解决端点安全；邮件服务商能看到流经其基础设施的一切，因此他们应该最擅长解决邮件安全；身份服务商已经掌管了用户访问，因此他们应该能有效处理身份威胁检测与响应。这些基础提供商拥有定义安全边界如何创建、访问如何强制执行以及数据如何流动的系统，因此他们有能力将安全内建（bake security in）。我所定义的‘零层’指的就是这些提供商。

‘零层’指的是基础设施和技术的基础层，是其他工具赖以依存的平台。控制点（control points）通常在这里浮现——身份平台、云服务提供商和操作系统。它们不仅仅是基础设施的被动提供者，它们还积极地塑造了所有其他工具的‘交战规则’。对于那些拥有‘零层’的厂商来说，增加安全能力往往只是一个架构决策（一个开关、一个 API 扩展、一个捆绑包等等）；而对于其他所有人，即那些在这些平台之上运营的厂商来说，提供安全则变成了一场与底层平台的谈判。这就是掌握基础的力量，也是所有不掌握基础的厂商所面临的挑战。”

— 摘自：[与网络安全中的“零层”竞争] (Competing with layer zero in cybersecurity)

理解“零层”在现实世界中的体现，最简单的方法是看看谁是主要的零层提供商：

在云端（In the cloud）：像 AWS、Azure 和 GCP 这样的云服务提供商。
在网络（In the network）：像 Cisco 和 Juniper 这样的网络提供商。
在端点（In the endpoint）：像 Microsoft (Windows) 和 Apple (macOS 和 iOS) 这样的操作系统提供商。
在身份（In identity）：像 Microsoft Entra 和 Okta 这样的身份服务商（IdPs）。
在浏览器（In the browser space）：像 Mozilla (Firefox)、Chrome (Google) 和 Edge (Microsoft) 这样的浏览器平台。
在代码安全（In code security）：像 GitHub 以及最近的 Cursor 这样，代码创建和管理的平台。

在上一篇文章中，我解释了市场动态，以及当零层提供商开始提供安全服务时会发生什么（人们通常更倾向于第三方解决方案），还有当安全公司干预零层提供商的核心业务时会发生什么（一个糟糕的主意），等等。现在，我想分享一些关于这个主题的其他想法，它们可能有助于人们巩固围绕这个概念建立的心智模型。

每一个新的“零层”都会引发安全公司的爆炸式增长

“零层”是一个非常动态的概念，因为事物总是在不断演变，而这种演变会带来基础设施的转变以及**攻击面（attack surface）**的扩大。

我们现在谈论云、身份和操作系统，好像它们一直是“零层”，但它们本身并非是必然的。相反，它们之所以能成为默认的控制平面（control planes），是因为更深层次的基础设施转变在其周围产生了引力。

个人计算机的爆发创造了端点层。
IP 网络技术创造了网络层。
虚拟化计算创造了云层。
SaaS 的兴起将浏览器变成了应用程序的交付机制。

每当一个新的基础层出现时，我们都会看到相同的模式：大量网络安全公司应运而生，以利用这一转变带来的机遇。这种发生的速度差异很大，主要取决于底层基础设施变革的速度：

云（Cloud）：几乎一夜之间就发生了。
身份（Identity）：花费了至少十年才得以巩固。
浏览器（Browser）：直到现在才开始获得五年前就应有的重视。
AI：我们看到许多公司押注于 AI 将成为新的零层，这也是为什么大量资本正涌入 AI 安全领域的原因。

无论具体的细分市场如何，其动态是相同的：当一个新的控制平面形成时，安全公司就会追逐其周围的攻击表面。

这就是为什么我认为“零层”是新安全市场的创造者（creator）。当基础发生变化时，成千上万的新问题随之出现：态势管理、可见性、错误配置、新旧工作流程之间的差距、碎片化的 API 以及不一致的策略模型。

如果你将视角放得足够远，你会发现当今五千多家网络安全供应商并不是市场效率低下的标志；它们恰恰是过去 40 年中我们经历了数十次“零层”转变的有力证明，而每一次转变都催生了各自的“缺失控制”（missing controls）产业。

为什么“零层”永远无法提供“足够”的安全

有一种观点认为，如果“零层”平台（如端点操作系统、浏览器、云平台等）一开始就能内置更强大的安全控制，我们就不需要所有这些附加组件和点解决方案了。这种说法部分正确，但从现实角度看，这是不可能的。

“零层”的设计首要考虑的是可靠性、规模、经济效益和用户体验，而不是企业遇到的边缘案例（edge cases）。历史上，零层甚至最初都没有设计访问控制、日志记录或基本安全防护，所有这些都是在攻击者迫使创造者动手之后才添加进去的。

零层厂商在构建新功能时面临着结构性挑战：他们需要用一套架构来服务整个世界。即使他们能构建一些态势、策略和检测能力，这些能力也总是薄弱、肤浅或过于通用。即使客户因采用基础层而遭受入侵，这些平台也无法在安全方面走得足够深入。

部分原因是安全并非他们的核心业务（bread and butter），但更重要的是，这样做往往与他们的商业模式背道而驰。过度强调安全通常会：

降低兼容性
增加支持负担
复杂化核心工作流程

这些因素都会导致零层厂商的核心产品销量减少。

鉴于这种故事已经重复上演多次，我不认为即便零层平台在发布时内置了更强大的安全功能，就能解决这里的问题。企业规模越大，在配置事物上需要的灵活性就越高，而越高的灵活性总是意味着越多的错误配置。

我敢说，大多数安全问题本质上都是错误配置问题（这或许解释了为什么 CSPM 和身份自动化产品增长迅猛）。这就是为什么围绕每一个“零层”出现的第一类安全产品总是某种形式的**“态势管理”（posture management）**——这是业界持续尝试解决没人能想象到的复杂性的努力。

围绕任何“零层”的安全可预测演变

一旦一个新的基础层发展起来，围绕它的安全演变就会遵循一个可重复的模式：

步骤 1: 可见性与态势 (Visibility and Posture)

安全团队通常对 IT 或工程部门发生的事情没有控制权，但他们需要知道这个“新事物”是否被安全地部署了。

最早成功的网络工具是扫描器。

最早成功的云工具是态势管理器（CSPM）。

这个顺序非常重要，因为历史表明，为一个新的零层从运行时（runtime）而不是态势（posture）开始是错误的。当一个新的零层发展时，攻击者需要时间来了解如何实际利用它，通常没有足够的活动来证明深入检测的合理性。

人们总是从配置开始，而 CSPM 是现实生活中的一个极佳例子：Wiz 能够在市场上取胜，尽管其在初期并不具备某些竞争对手所拥有的深层控制能力。

步骤 2: 威胁检测 (Threat Detection)

一旦态势被管理得“足够好”，攻击者就会想办法绕过它。这时，日志记录、行为分析、异常检测和运行时监控就派上用场了。在云领域，我们从 CSPM 转向了运行时检测，而在像数据和应用安全等其他领域，我们也正朝着同一个方向发展。人们总是需要时间才能超越态势管理，这个成熟度曲线是相当陡峭的，但最终会实现。

这里的难点在于，市场的竞争动态往往迫使安全产品变得越来越复杂，但有些领域攻击者行动的速度并没有那么快。当发生这种情况时，网络安全厂商就可能超前于实际攻击太远，最终构建的检测只会被误报触发。人们不会花太长时间来淘汰这些工具。底线是：步骤一（态势）总是适用于每一个新的零层，但市场是否能发展到步骤二或步骤三则取决于许多因素。

步骤 3: 运营与事件响应 (Operations and Incident Response)

一旦（如果）检测工具被广泛采用，警报量就会使安全团队感到不知所措，这推动了各种运营改进，如 SOC 平台、SIEM、响应自动化等。这些工具通常是为了帮助人们处理我所定义的“人为”问题，即阶段一和阶段二工具产生的所有警报。

但这本身并不会真正导致新类别的诞生。真正创造新类别的是针对新零层的攻击数量不断增加。在那个时点，企业通常会意识到，仅仅知道有坏事发生与实际遏制它之间存在巨大差异。一如既往，我们发现没有足够的人可以对这种新攻击做出响应，这就为专业化的事件响应专家创造了空间。

这个周期解释了为什么我们的行业总是在重复相同的模式：对于每一个新的零层，我们先有态势，然后是检测，然后（有时）是响应工具。这也解释了为什么那些依附于快速增长、广泛部署的“零层”的公司，能够继承数十年的生命力。

更多关于零层（Layer Zero）的内容

在文章开头，我提到了与 Bill Phelps 的一次快速交流。他分享了一些我认为非常准确的观点：

也许这很明显，但零层是业务流程/数据的所在地，也是攻击者的目标。因此，它也是渗透测试/红队演习的最终目标。渗透测试和恶意攻击都是从一个“裸露的零层”开始的，然后所有在零层之上的层级都是为了保护它免受攻击而构建的。
如果一家公司能够演化成为一个零层平台，它就能成为一家上市公司。我会对这个想法进行扩展，说另一种上市的方式是深度嵌入到一个现有的零层中，正是这种深度创造了竞争优势。CrowdStrike 是一个很好的例子，它需要超级深入地观察端点，这是将其与我提到的那些没有构建如此深 IP 的 CSPM 区分开来的因素之一。
如果你不是主导性零层某种类型的附加组件（add-on），在网络安全领域很难实现规模化。

所有这些都是极好的洞察，坦率地说，正是读者的反馈和想法帮助我完善和扩展了自己的思考。

原文链接：

https://ventureinsecurity.net/p/going-deeper-into-layer-zero-must

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，**《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全喵喵站 ROSS HALELIUK《碾压竞争对手的底层逻辑：网络安全行业“零层”战略深度解析》