清初,天山七劍飛紅巾、武瓊瑤、桂仲明、冒浣蓮、易蘭珠、張華昭、凌未風以天山為家,仗義行俠。飄零慣,金戈鐵馬,拼葬荒丘。
這七人的為首之人是CEO董方。
口述:董方 文:又田
(一)
我開始接觸安全是在2003年,正值大二,通過一個十幾人的線上聊天室開始自學網(wǎng)絡安全,里面的人大多都是學生,全憑著興趣一門心思的做研究。之后我們幾個人成立了一個民間的網(wǎng)絡安全組織:80SEC,專注于Web安全方向的攻防技術研究。
畢業(yè)后我進入啟明星辰做了三年偏傳統(tǒng)的信息安全,之后又來到搜狐做了三年的甲方安全,但都圍繞著基于Web應用的業(yè)務安全這條主線。
2011年底是我第一次創(chuàng)業(yè),發(fā)布了一款叫做“日志寶”的數(shù)據(jù)分析產(chǎn)品,以SaaS服務的方式為企業(yè)客戶提供的日志進行大數(shù)據(jù)安全分析。客戶可以把服務器、網(wǎng)站日志傳到日志寶云端,通過云端安全引擎進行安全分析和在線的免爬蟲漏洞掃描。
雖然日志寶是個免費服務,效果卻意料之外的實用,可以精準檢測到傳統(tǒng)基于規(guī)則分析所無法識別的黑客攻擊和后門文件,這家公司也就成了青蓮云的母公司。
但我第一次創(chuàng)業(yè)并不算順利。2011年,彼時底層的大數(shù)據(jù)分析平臺技術并不完善,也缺乏基于流處理的數(shù)據(jù)分析引擎,日志寶在短期內(nèi)匯聚了上百億條數(shù)據(jù),底層的數(shù)據(jù)存儲和分析效率已成問題。
2013年初,機緣巧合下我們的產(chǎn)品和團隊被360所收購,團隊的研發(fā)方向演變?yōu)樵瓢踩霸粕系臉I(yè)務安全,團隊輸出的產(chǎn)品包括云WAF、安全CDN、高防IP等云安全技術。
隨著物聯(lián)網(wǎng)市場的興起,360以“兒童手表”首次踏足智能硬件領域,從此開始一路征戰(zhàn)智能硬件市場。2014年,360成立云事業(yè)部,我出任云事業(yè)部產(chǎn)品總監(jiān)。
實際上我們整個團隊不僅僅要負責360云的產(chǎn)品化相關工作,同時也需要針對智能硬件云平臺和IoT安全進行技術預研究。當時360信息安全部的頂尖黑客們負責尋找各類智能硬件設備的安全漏洞,但我們團隊更多的思考在于:如何實現(xiàn)一種低成本、輕量級、普適性的后端安全技術架構來解決聯(lián)網(wǎng)設備的安全隱患。
在這一過程中,我發(fā)現(xiàn)了一個問題。
360匯集了一群業(yè)界頂尖黑客,投入了非常多的人力和研發(fā)成本才能把產(chǎn)品做得足夠安全,但是外面林林總總的智能硬件產(chǎn)品,誰來保證他們的安全?誰又應該是他們的安全團隊?這一瞬間的思考讓我萌生了二次創(chuàng)業(yè)的想法。
時間行至2016年,360調(diào)整組織結構將企業(yè)安全與智能硬件分開來。此時我們團隊無論跟隨哪一方向團隊價值都不能最大化輸出,我決定離職創(chuàng)業(yè),云事業(yè)部團隊的七位同事也跟隨我集體辭職創(chuàng)業(yè)。
這7位就是青蓮云的核心創(chuàng)始團隊,7人“各懷絕技”,有的擅長嵌入式開發(fā),有的擅長云端高性能計算,有的專注黑客攻防對抗,有的擅長APP的安全檢測和加固等等。
青蓮云的來龍去脈即是如此,一切的機緣巧合,都始于我們趕上了智能硬件產(chǎn)業(yè)發(fā)展的熱潮。
(二)
還在360工作時,我曾走訪過多家智能硬件生產(chǎn)商,用一句話概括多數(shù)廠商的技術架構是:上行下行,能通就行。
很通俗的一句話,什么意思?
設計一個智能硬件背后需要有云服務的支撐,要考慮多活、災備、冗余、負載、擴容等,以及各種來自網(wǎng)絡的黑客攻擊行為的檢測和防御。而大部分廠商出于成本考慮和缺乏安全經(jīng)驗積累,在最基礎的硬件架構和后端服務架構上都不會考慮安全問題,買上幾臺阿里云服務器開始調(diào)試,能通就開始量產(chǎn)。
但這種圖快的打法終不是長久之計,所以在2016年青蓮云成立之初,我們的打法是給用戶提供一套將物聯(lián)網(wǎng)安全防御策略融合在內(nèi)的云產(chǎn)品,即我們第一個產(chǎn)品青蓮云,一套穩(wěn)定的物聯(lián)網(wǎng)后端云。
2016年的國內(nèi)物聯(lián)網(wǎng)仍處于萌芽期,各大廠商埋頭做產(chǎn)品,做體驗,構想各種不確定的用戶需求。此時提供以安全為核心的一整套物聯(lián)網(wǎng)服務顯然不合適,未解決溫飽問題,誰會買豪車呢?
在推出青蓮云后,2016年底我們開始深度拜訪客戶,傾聽客戶產(chǎn)品的市場反饋。卻在此時發(fā)現(xiàn)一個現(xiàn)象,一些長尾客戶對青蓮云產(chǎn)品的接受度較高,但對于如美的、海爾等頭部客戶來說,其自身的研發(fā)能力較強,往往會選擇購買阿里云、亞馬遜服務器,并在其上自主研發(fā)企業(yè)物聯(lián)網(wǎng)云平臺。
此時,青蓮云的產(chǎn)品形態(tài)就處于一個尷尬的定位。
如何能夠拿到這些金字塔尖的客戶?云和云安全的關系給了我們很大的啟發(fā)。
舉個例子:云盾作為阿里的安全部門很早就存在其中,為阿里云提供安全解決方案,直到后來,阿里云產(chǎn)品和云盾的技術積累陸續(xù)成熟后,云盾才獨立商業(yè)化運行,無論客戶使用亞馬遜或是微軟的云,都可以使用阿里云盾的安全服務。
回到青蓮云,我們是否能遵循云和云安全的思路,將本就融合在青蓮云中的安全防御策略與后端云引擎分離開來呢?
如果客戶有自己的云平臺,那我們提供物聯(lián)網(wǎng)安全產(chǎn)品和服務,如果客戶什么都沒有,那我們就提供一整套的解決方案,幫助客戶安全且快速的落地產(chǎn)品。這也是2017年我們所做的。
(三)
實際上我們每次與客戶接觸都是從科普開始,物聯(lián)網(wǎng)如何不安全了?為什么會不安全?怎么能做到相對安全?
“No More Free Bugs”,我開始考慮將多年的物聯(lián)網(wǎng)安全經(jīng)攻防和研發(fā)經(jīng)驗提煉成物聯(lián)網(wǎng)安全培訓體系,以物聯(lián)網(wǎng)安全10堂課的形式輸出給客戶。這10堂課覆蓋嵌入式安全研發(fā),云端安全研發(fā),引擎安全研發(fā),核心通信技術、APP安全研發(fā)5個維度,每堂課售價從8000到1.5萬不等。
在貫穿物聯(lián)網(wǎng)安全10堂課培訓之后,另一個切入點也隨之而來,即物聯(lián)網(wǎng)安全測評服務。也就是通過團隊自研的內(nèi)部安全測試工具集加上額外的黑客手段向客戶證明其產(chǎn)品是存在安全隱患的。
物聯(lián)網(wǎng)安全與網(wǎng)絡安全的最大區(qū)別,是一旦產(chǎn)品出現(xiàn)漏洞很難通過遠程打補丁的方式修補,銷售量越高的產(chǎn)品一旦出現(xiàn)問題相應修復成本會越高。所以在產(chǎn)品還沒有走出家門的時候進行測評,相當于全身體檢,一旦出現(xiàn)病癥可以對癥下藥。
比如鏈路層出現(xiàn)漏洞,可能受到設備重放或設備偽造攻擊,我們會提供針對鏈路層安全的整套解決方案;如果是安裝了有漏洞的第三方軟件,出現(xiàn)弱口令以及系統(tǒng)層面的配置安全問題,我們會拿出針對嵌入式操作系統(tǒng)的安全解決方案。
物聯(lián)網(wǎng)安全主要分為端管云三個層面的安全,在端的層面我們有針對通信鏈路的獨立安全解決方案,在云的層面我們有一個完整的物聯(lián)網(wǎng)安全云平臺。此外,云上基于物聯(lián)網(wǎng)硬件設備的數(shù)據(jù)安全分析更是我們的優(yōu)勢,由于移動互聯(lián)網(wǎng)的成熟度已經(jīng)非常高,所以目前對APP安全則相對涉足較少,所謂術業(yè)有專攻即是如此。
也就是說,青蓮云給客戶享受的是“4+1”全套大保健,1就是安全咨詢服務,將測評與培訓打包在一起,將不同客戶測評報告中的漏洞原因編寫到安全培訓中,使培訓更加具體,更接地氣。4就是我們有四套物聯(lián)網(wǎng)安全產(chǎn)品,哪疼治哪。
實際上,我們扮演的是《星球大戰(zhàn)》中安納金的角色,身處光明時,他是絕地武士會天賦異稟的武士安納金·天行者,墜落黑暗則化身屠夫達斯·維德,青蓮云團隊同時兼?zhèn)淞宋锫?lián)網(wǎng)安全的攻防兩端能力。
(四)
很多人會問我,安全公司賺錢嗎?
這需要分長短期來看,安全行業(yè)永遠不存在一夜暴富。無論是1998年成立的啟明星辰,還是上市又退市的360,不難發(fā)現(xiàn)安全公司很少有泡沫,每家都在踏實做事,逐步成長。這是一個慢熱的市場,物聯(lián)網(wǎng)安全更是如此,它并非ofo、團購,它不是一個產(chǎn)品模式的變化,也不是消費習慣的變化,而是一個網(wǎng)絡時代的變遷。
物聯(lián)網(wǎng)安全的發(fā)展除了需要時間的沉淀更需要與企業(yè)建立長期信任感,只有對方充分信任安全公司才會把最敏感的東西交給對方。在這其中安全公司需要做的就是向企業(yè)證明你懂安全、懂業(yè)務、懂體系建設,但這并不是一件容易的事情,還需要一個周期。
因此物聯(lián)網(wǎng)廠商對于安全的支出仍處于緩慢上升的趨勢,畢竟一下割肉太多誰都會疼。相應的,安全公司賺錢也是隨著物聯(lián)網(wǎng)業(yè)務的發(fā)展,量不會一次太大。
對于青蓮云來說,我們已經(jīng)有了穩(wěn)定的收入,但創(chuàng)業(yè)嘛,早期肯定是虧損的。只要有收入就足以證明當前的模式是可延續(xù)的,而我們2018年的目標就是希望把盈虧做平。
后記
董方并沒有自己的獨立辦公室,他覺得這些沒什么必要。
這位黑客出身的CEO格外有俠客精神,他把自己當成傳教士,覺得承載著責任與義務去告訴別人真實的物聯(lián)網(wǎng),物聯(lián)網(wǎng)攻擊更非天方夜譚,而是近在身邊。
采訪最后,董方告訴雷鋒網(wǎng),他與跟隨他的七位“劍客”的初心很簡單:我們每服務一個客戶,就讓這個物聯(lián)網(wǎng)世界更安全了一點,這種成就感讓大家非常滿足。
但這看上去簡單的夢想,也許承載了一份很重的重量。
微信掃一掃
