廿载弹指东逝水 网络淘尽英雄 是非成败不虚空 黑客依旧在 精神仍然红 大V新锐竞相上 惯看立业建功 一场邀约喜相逢 信安多少事 都付笑谈中 “访谈”,是安在新媒体栏目之一,旨在通过与中国信息安全影响力人物的直接对话,揭示产业发展历程和动向趋势,描绘中国信息安全之全景视图。 赵武,“行武”十年,研究攻防,先后经历华为和360两种不同文化,也算网安行业老人了。如今又以创业之身份出现,堪称新锐。赵武侃侃善谈,富有激情,短短三个小时的对话居然有超过4万字的记录,摘编整理后,就让我们看看,这位网安老兵、创业新锐,对安全技术、行业现状、产业发展以及创新创业都有哪些真知灼见吧。
赵武:你们的访谈很不错,我很喜欢。不过,今天这期恐怕要砸你们招牌了,呵呵。说真的,我好像没有之前你采访的那些大V们有料,像小顿有乌云可以说,TK是拿了很多大奖的,而我,属于自我表扬型的,你说渗透能力吧,我不是最强,要说编程吧,我也不是最强的,当然,如果说安全工程化,可能稍微还擅长一些。
赵武:我是湖南人。大一的时候开始学编程,下半学期就帮学校开发一些软件,包括新生入校报名、院系考试、成绩登记等系统。那时候还不懂安全,直到有件事情让我对安全有了关注,有个学生入侵了我写的系统,把自己的成绩给篡改了,这件事然我非常震惊。我后来找到他,问他如何做到的,他说是一个叫SQL的注入,当时我是第一次听到这个词,我就专门去研究,然后就一发不可收。 我懂编程,相比其他搞安全的有点优势,能把自己想的东西给做出来。大二起,一系列网站开始找我,包括CSDN,我会把漏洞报给他们,像当时比较热门的大富翁论坛,我写了一个工具,把以前手动入侵变成了自动化入侵,从此开始走上了“不归路”。 因为不满足于局域网,我就把学校两个总出口的服务器黑了,还黑进一个老师的电脑里,在他电脑上留了一个文本,说这个学校的网络不行,整个体系我都拿下来了。后来老师找到我,联系学工办,给我很好的上网条件,说你这么发展会出问题的,应该想想怎么去利用这个技术,让我针对性地去做一些研究。说起来我很感激那个老师,遇到他是我的幸运。
赵武:对,那段时间搞技术研究,我的兴趣逐渐集中到攻防技术的工程化以及开发实现上,大学时候就做了工具,但还是个雏形。直到毕业后进到华为,全球安全实验室,除了做漏洞挖掘,我一直想把安全作为一个业务推出去,这也是一种工程化的思维。
赵武:呵呵,没错,以前不能说,现在可以了。是这样的,当时我做漏洞挖掘和攻防研究,因为华为是设备提供商,我发现某个协议出了问题,我可以免费发短信、免费发彩信,在运营商网络你还看不到我的计费信息。我就给运营商领导发了个短信,是他们的总经理,以党委书记的名义发的,结果就被紧急召见了。我写了一个100多页的PPT跟客户的高级副总裁聊,告诉他我花了大概一个星期的时间,利用漏洞进入运营商系统,尽管这些系统在外面看来是坚不可摧,但是我最后证明它们就是筛子眼。PPT一页页过完,他问我有什么要求吗?我说没什么要求,你改了就行了,然后就走了。后来人家告诉我说,旁边就是警察,你只要说出任何跟勒索或经济诉求相关的字眼,可能就会面临牢狱之灾,想想还是有些后怕的。有意思的是,后来当初那个老总还有书记,也都出事了。
赵武:那是有一次内部比赛,各个业务部门自己提一些项目,我私下做了一个扫描器,当时国内还很少。我给大家演示,那些评委都说看不懂。我觉得市场前景很大,跟领导说一年可以为公司增加10亿元的收入,领导只是简单反问了我一句,华为一年的销售额是多少你知道吗?后来我才明白,安全在华为不是业务,也就难有大的发展,要想实现自己的想法,只有出去创业。 那是在2009年,我设计了一个SQL注入测试的工具,叫“穿山甲”,有什么效果呢?就是几乎搞安全测试的人手一套,这让我感到很自豪。
赵武:对的,那个产品对我来说是里程碑的事情。我做了一个免费版,一天激活量有几万,一下就火了,这也让我有信心出来创业,当然,当时业界前辈给我的鼓励和支持也特别多。于是,我在深圳成立了诺赛科技,做了两年,基本上属于技术可以市场不行,一年公司的净利润还不如我在华为赚的钱多。正好有个机会,原本是想找360合作,但跟周鸿祎一聊,他改变了我的人生。他问我你想要什么,我说我要挂马数据,因为当时做网站安全都是要这些信息的,360这方面实力最强。老周当时说了一句话,你要这数据可以,但这数据对我太核心了,要不你过来,不要赚那点小钱,我们一起把安全免费了,这样才能把市场做大,把格局做大。当时我只当是一说,还说再看看,后来发现情况变了。我们是2010年下半年谈的,还没谈完呢,第二年360上市了,我就把公司以知识产权收购的方式整体卖了,加盟了360。
赵武:去360以后,我就把以前对网站安全产品的理解都带到了360,先后做了安全检测、网站卫士、“库带”计划和补天平台。
赵武:到今年上半年的时候,360给了我一些内部创业的机会,我挺感激的,只是到后面一些想法不一样,最终就出来了。 之所以出来是因为看到一个机会,个人感觉目前国内的安全形势处于马上会发生大变革的时间。风起云涌暗潮涌动,因为安全的攻击形势发生了根本性的变化。以前我们说漏洞,基本上都是网络资产漏洞,现在的漏洞应该叫人员资产漏洞,业务人员和市场人员总有出错的饿时候,更加让人防不胜防。就在这种形势下,大数据瞬间凸显出来了,我觉得这是一个机会,很多人选择在这个时机点出来创业也是这个感觉。 360还是很厚道的,我进去时没有想过什么时候出来,但现在,我就想做一个最合适我的选择,其实我跟老板去讲的时候老板还是很支持的。
赵武:其实也很好理解。比如说我想独立做一个品牌,这个品牌可以是子公司,这是我的理解,但老板理解你子公司是属于大公司的,这里面就有可能冲突,你需要损失小公司利益去满足大公司整体计划,但是小公司怎么玩?它是活是死?这个很难说。其实这也无可厚非,如果我是老板,我也会这么思考。但我更情愿是,你在大公司里,就算能赚一个亿,那是大公司的利益,而我如果是个小公司,哪怕只赚了100万,我也会特别开心。我会为每一点小小的成绩而开心,你知道自己在成长,这个成长不是别人帮你设计好的,这种状态是我更想要的。也许别人帮你定好了,你一年可以赚很多钱,这是很多人会做的选择,但我不是,我更希望这条路是自己走出来的,我不太愿意做跟别人一样的东西,甚至别人做过了我都不愿意再做。这个从商务上不见得是好事情,但是我个性是这样的。 做一种更符合自己的、能让自己有成就感的、能让我去改变的事情,这是我的选择。
赵武:这不叫丰满,更多是冲突。就像我现在两个合伙人,也是华为销售出来的,我以前也经历过他的阶段,第一次创业时言必提华为。后来去360,发现两家尽管有相似的地方,比如用户至上,艰苦奋斗,但文化还是大不相同,特别是工作方式问题。华为属于瀑布模型,而360是互联网思维,要求快速迭代。你会发现这里头其实没有绝对的对错,但冲突就特别明显。还有就是,以前搞技术特简单,你把产品做出来,人家对你认可就行,但出来以后不只做技术,你还得考虑商务,而且必须更紧密地进行团队合作,需要不断去了解市场。所以说这种过程挺痛苦的,但也痛并快乐着。
赵武:现在根本融合不了,或者说现在阶段离融合还远,因为我们目标是新产品上线,所以大家还能调和,但以后涉及到管理就不那么好了,我的想法是先把这个问题解决掉,以后走一步看一步,经营公司就像不断自我重塑的过程。一路走来,我碰过很多坑,这些坑我知道怎么迈过去,但是还会有新的问题出现。不过这些我都觉得不是什么大问题,有冲突其实是好事,会让自己更加灵活。
赵武:我可以肯定地说,去360是我这辈子最不后悔的事情之一。 我从去360,就很清楚想做的一件事,就是想看看网站安全到底能做多大。比方说做网站安全检测,有超过200万用户在用,反正算是国内规模最大的,对我来说在哪里做无所谓,但一定是做成事情。如果一个平台不能让我做成事情,可能就是我离开的时候了。 我跟老周、老齐都沟通过,他们也给我很大支持,我只是想做这个事情,没有想过什么时候一定要走。当时我遇到的情况就是做到了一定规模,但我不认为它算很成功,我从技术上把它完成了,在商务上把它推广出去了,但是我自始至终没赚过钱,这是很大的硬伤,我做了这么久工作,没有在商务上真正的大盈利,可能是我这个人不太善于把钱算计得很清楚吧。
赵武:我可以脱离产品来讲讲。 现在一个什么机会呢?就是安全领域的很多风险在变化,比如你要员工公私分明,但这是不可能的,除非你完全独立的两台电脑、独立的网络,只要这两者混在一起,你可能不经意间就会犯错误,像是把一些敏感文档同步到云盘,把一些笔记、密码存在印象笔记,这些入口逐步会变成新的攻击点。企业怎么解决呢?传统安全公司没这样的产品,除非封锁网络,可实际上你又需要开放网络。企业只能通过行政命令去喊不允许,但效果并不好。最后就是这样,企业三天两头被拖库,印象笔记也好,云盘也好,各类互联网时代的应用都会变成企业信息泄密的渠道。
赵武:我们其实是利用所有互联网公开的数据。举个例子,我们目标假设是小米,我知道小米在乌云已经有公开的漏洞,外面有多少个代码库,有多少小米的员工信息,我画一个图就可以看到全貌了。接着我告诉小米,你有多少个域名,每个域名牵涉多少个网站,几个外网的,几个内网的,每个网站什么类型,比如代码服务器、邮件服务器,这都是公开的。还有,小米有那么多员工,每个人都有企业邮箱,你一给我发名片就已经泄露你的信息了,这是必然的,毕竟人要沟通嘛。从这些邮箱里,猜中一个的可能性是很大的,除非你加二次认证,但是国内很少。通过一个用户、一个企业资产,我再碰出更多资产、人员信息,企业被黑也就成为必然。这些就是大数据,而且全是公开的数据,通过这些,就能汇成一个完整的资产图。 我唯一要做的就是按照黑客入侵的思维,把每个阶段点需要的数据预先采集了,然后汇成一个图表。当我把这个图表给企业看的时候,往往他是不知道的,为什么?很简单,企业大了,变化也大,很多临时性的开发或测试系统,他自己都搞不清楚的。你不知道你有这么多资产,以及你不知道你这些资产被人已经知道了,我就从这个角度给企业提供服务和支持。
赵武:是的,我刚才提到所有东西并不包括社工库,我们产品不可能给客户提供这种服务。但是其他公开渠道还是很多的,比如Github,托管代码库,很多程序员习惯性在代码里插入一些敏感信息,像服务器地址,数据库连接信息,甚至密码,这些都应该是私密的,你自己都不知道已经公开了。诸如此类的,我会通过公开渠道去获取,但并不包括社工库。
赵武:算是吧,但这不是我们第一时间要做的。这里面有两点,第一个是,对企业或白帽子们来说,做检测时他其实知道哪些有效哪些无效,他只是需要数据,需要能够串起来做分析,他现在缺少串起来的东西,有了这个,就可以挨个去分析了。第二个,恰恰我认为精确度的东西我们是有保障的,比如IP和邮箱,我们会通过各种方式去验证。
赵武:有这么个意思,不过我想强调的有两点。 我不知道你有没有发现,阿里有很多安全人员,360也有很多,找别人问题很行,但找自己问题就未必了,为什么自己发现不了自己的问题?这是很典型的安全审美疲劳。他天天做这个,到后面没动力了,你又没给我奖励,也没提成,但是我发现别人的漏洞是有提成的,这就使得找别人的更有动力。众测就是这样,做第一批的时候,明显有效,但是它是不全的,为什么众测完了企业还是被黑?众测只是告诉你有没有发现,你说有5个,我很高兴,这5个是潜在的我发现了,但问题可能还有50个。你不能完全依赖于众测,原因就在于安全是个整体,不是一个点的问题发现了就行了,他们每个人只证明它这个点确实是有效的,但不能证明他把所有点都发现全了。 怎么解决审美疲劳期?很核心的,我想把人工转为自动化,我们的第一批用户很可能是白帽子,他们需要数据,需要串起来,我这里是最全的。
赵武:没错,我们就是个人版和企业版。 总体上看是个新东西,你可以说核心是威胁情报,之前一段时间,国内这方面概念讲得高大上,但是并没有帮企业解决真正面临的问题。我们来解决这个问题,帮企业做情报分析。还有就是,对大数据威胁情报的利用,我们把它叫信息安全的“瑞士军刀”。我们是一个平台,你想要的所有的资产信息我能汇成一个整体,让你快速对目标进行安全评估,它可能是工具箱一类的,可以团队协作,这个工具箱前提是我收集了很多数据,就是威胁情报,这就是一个大数据安全平台。为什么我们不叫威胁情报?的确是有关系的,但它被叫烂了,“瑞士军刀”反倒更直白一些,我说过,我不喜欢做别人做过的事情。现在很多传统厂商都把自己定义为威胁情报,谁都能做APT,把IDS一改就是APT,这是我很不认同的做法,但是人家敢喊,所以我就改了,叫什么无所谓,我也不知道该怎么称呼这个产品,白帽子不在乎怎么叫它,只在意怎么用它,它会被视为供全网信息搜集的,仅此而已就够了。 当我跟企业去讲的时候,我会说它是一个帮助企业进行威胁情报分析和安全隐患监控的平台,而和白帽子沟通这个产品的时候,我会说它会帮你加速深度测试过程,它是一个资产大数据平台,因为你所要的东西我都有,还可以进行团队协作。
赵武:没错,你讲的我还真就碰到过。当初我做Web漏洞扫描时,想申请,但是没有这一类,网络漏洞扫描倒是可以,但要求你把系统加进来,别的你申请不了,所以说标准了法律了什么的都有滞后性。到了一定的阶段,其实大家看到的都殊途同归,很可能看到的问题是一个,解决方法也同样,只不过切入点不同而已。所以说,我觉得大家各自做没有问题,有无效果就看有没有人用,这是我的特长,工程化思维嘛。只要有人用,觉得好用,我不会去管有没有归属,比如突然有一天大家给了个定义叫大数据安全平台,就去申请一个销售许可呗,但在此之前无所谓。
赵武:一定的,比如我卖一个产品给你,但是我希望得到你的认可,最好的模式是一方面我收你费,另外还给你钱。但这个模式很奇怪,以前没有人这么经历过,我想尝试一下,就是在你成长的同时,你有获取,当然你也在贡献。贡献之后不只是你承担,别人也能承担。但这是我假想的,搞不好是一个空中楼阁。
赵武:我们马上要开始一到两周的“封闭”,出第一个正式版本,先是个人版的,针对白帽子群体的,还不是一个真正商业化的东西。
赵武:当然有,我找销售同事一起来做,一开始肯定有考虑,我们最终还是要给企业提供服务,只是说现在更关注技术和产品。
赵武:互联网其实有一个大问题,是好也是不好。互联网人喊得特别早,比方说安全这东西,我要来了,还不只是安全,而是所有的东西,因为互联网要小步快跑,要快速迭代,出一个版本就得喊这是个大问题,但这离你真正的商业版本还距离很远,可你一下子把敌人给喊醒了。老周就很典型,他一说谁人家就呛他了,这是有道理的,就是喊得太快。那他发现的问题对不对?准得很!但是,你喊这么早,还没有来得及提供一个颠覆产品,人家就起来了,所以这是互联网企业一个通病。就像我,现在几个月了,都不敢对外面说话,因为这是教训,先前喊过,可几个市场都没了,曾经看到很好的点,可别人做得比我好,我就不敢做了。 第二个像你刚才讲的,传统企业该怎么玩还是怎么玩,它其实有风险转嫁。客户说了,你必须人在这儿我才相信你,而互联网企业不可能去堆人。还有,就算你有人,我跟他合作15年了,跟你刚认识,你说我选谁?其实就像我们,也需要客户,但前期我不找,不是我不想找,而是很难建立这种信任和合作关系,所以我们开辟市场就先从互联网企业开始。因为我们觉得,像互联网企业也不是说就不买传统设备了,防火墙该买还得买,服务该买还得买,先做传统市场的话比较难,但这块属于小众,还没成气候,竞争还谈不上。互联网这样的客户起来了,可传统的东西未必解决问题,试试我的,成本还低。
赵武:没错,对绝大多数中小型公司来说,想法其实很简单,我不做安全,是因为没人盯着,等到我赚钱了,名声大了,就有人盯着了,那就不得不去做些预防了,他又不想养一批人,就很自然会转化为外包需求,这是对的,花不了几个钱。另外,我觉得传统企业留不住人是因为给不出钱,但以后互联网这种打法迟早会出问题,他们归根到底做安全还是为了自己的需要,人越堆越多,将来干嘛?你自己根本消化不了,很可能会变来变去,就像经常裁剪产品线,就是想着法儿给一群人找事情做。我觉得挺有意思,所以说安全圈就像娱乐圈,发现自己问题发现不了,发现别人问题都能发现。
赵武:没错,以前不敢秀,现在敢秀了。
赵武:有一段时间我跟阿里还有腾讯那波人互相吵,挺好玩的,私下其实都是朋友,但台面上要吵。为什么?有点浮躁,没做出来东西就很浮躁,也是宣传的需要,但做出来反而沉静下来了,理性了许多。所以说,你总得做点什么东西。 现在也还有不理性的,很多都是刚出道的、刚毕业的,像这种的,他以后会成长,但是现在他不能理解。当然,这里也有个原因,就是有了各种漏洞平台,以前不敢说是因为怕被抓,现在敢说了,有本事你去把平台搞定,你搞不定它我就安全了。所以现在的感觉,大部分跟这个有直接关系,敢说,敢秀,敢黑。 但我觉得以后一定会变,这不是个常态。中国立法滞后,执法也是选择性的,而且到了一定阶段就是博弈,政府、企业和群众之间的博弈。前面第一站企业赢了,第二站白帽子赢了,第三站政府部门,以前我不重要,现在我重要了,安全以前不关注,现在关注了,所以说,未来一定会有变化。
赵武:那还是挺多的。首先团队肯定不一样,以前我是抓壮丁,能抓到就不错了,现在是有选择性的。其次就是资源不一样,以前创业时身无分文,现在至少还有点资源,比如很重要的资金。还有就是看到问题的角度不一样,以前只是说从技术看这个事情,所以只想把技术做好,但现在你看,马上要“封闭”了,我们把后面商业推广的东西也考虑进去,你说光是好东西没用,现在互联网时代了,还要考虑更多的产品包装、宣传、商务模式等问题。
赵武:有的,但是不仅仅是战略计划,拔高一点说,就是想做一个什么样的公司?我曾经发微博,提到Github,美国硅谷的,我特别佩服,这家公司在它估值十亿的时候也就30多个人。这和中国有很大区别,首先它的脑力是值钱的,它是靠创新去开创了新的产品、新的体验和新的时代,这能保证它以后的商业是成功的,它不用每个人都累得跟狗一样,大家都可以有一个快乐工作和健康生活的状态,每个人都自主自觉,去奔自己的事业。与此同时,每个人产生的回报是非常大的,它不是靠人去堆的。这就是我的目标。
赵武:对,当然,Github本身也是很赚钱的。我对兄弟们说了,我们最好的模式是自己赚钱,赚的都不需要外面支持了,我想做的是一个小而美的公司,而不是大而全的公司,我们要做细,可以慢一点,不用向股东交代,向投资人交代,只需要慢慢发展,但是我是有黏性的,这是理想状态。
赵武:对,我跟大家沟通的时候,其实都很认可这个,你说一提到华为、360,就说什么女人当男人用、男人当驴用,那种状态是不是可以改变了?以前单纯的环境下,也许你只有艰苦奋斗,现在我们还是艰苦奋斗,但我们艰苦奋斗不是你交给我任务、我完成这个任务,而是很自主的,这就是我看到Github的伟大之处,在那么多巨头的围剿下,它能做的很好。
赵武:非常大。我在360没帮他们赚钱,但公司还是对我很认可,对这个团队很认可。我带的人最多时候没超过30个,但我们做的产品和系统非常多,而且成功率还是比较高的。
赵武:我是没什么准点儿,一般是十点多走,回去后跟家人聊会天,继续工作,工作到凌晨三四点,给小孩泡个奶粉再睡觉。
赵武:是有些不一样。当时也很拼,通常我都是我们部门最晚走的,不过不像现在这么夸张现在会更着急,毕竟花的自己的钱,这一点我想你应该也能体会。 (文\叶健 整理) |
|
来自: victor1208 > 《待分类》