創(chuàng)業(yè)詞典網(wǎng) 創(chuàng)業(yè)知識學(xué)習(xí)分享
六道口也在北京海淀。
它同樣像上一個更為知名的道口一樣,被諸多本地大學(xué)環(huán)繞。
從地鐵站出來,混在一對對理論上正朝氣蓬勃的格子襯衫和背包組合里過了馬路,豎穿一家基本不會有人打招呼的超市,就進(jìn)入了一個安靜的小區(qū)。
進(jìn)電梯,出電梯,拐彎,開門。
正對大門的客廳里是作為工位的電腦們,以及電腦屏幕后面可能被來訪者打擾了也可能沒有的人。
這是網(wǎng)絡(luò)安全公司長亭科技的辦公室。
一年前,幾位快離開校門的年輕人湊了二十萬成立了他們的公司,未來尚不確定,這個距離中關(guān)村創(chuàng)業(yè)熱點(diǎn)稍遠(yuǎn)的小區(qū)就成了當(dāng)時最符合預(yù)算的場地選擇。
今天,他們賺了些錢,拿到了投資,確定了發(fā)展方向,也即將把辦公室搬到另一處去。
不過在介紹那些前,讓我們先回顧一下歷史。
歷史在正對客廳左手直走到底處的儲藏間里,一個箱子密密麻麻地塞著各種獎牌獎碑,其中一些大概來自大大小小的 CTF(Capture The Flag),安全界的奪旗競賽)比賽。
那是創(chuàng)始團(tuán)隊成員們會認(rèn)識彼此,對網(wǎng)絡(luò)攻防產(chǎn)生濃厚興趣,甚至最終決定一起創(chuàng)業(yè)的原因。
起源:非天才的成長之路創(chuàng)始人之一是楊坤。
當(dāng)然除了這個“之一”外,他還有很多更獨(dú)特的頭銜,比如目前成員中年紀(jì)最大的(出生于驚人的上個世紀(jì)八十年代末年),同時是僅有的還沒畢業(yè)的(博士在讀)。
或者對本文來說更重要的是,他是那個下午創(chuàng)始人里唯一有空到樓下咖啡廳坐著聊聊的。
楊坤不是歌手,也不是典型的少年天才型黑客。
如果問他為什么要從事這一行,回答沒準(zhǔn)是因為當(dāng)時保研正好選了這個方向。
但嚴(yán)謹(jǐn)?shù)匕磿r間順序來推算,他的興趣起源于高中時代,那個時候他開始在自己的文曲星上編程,寫一些游戲。
*對于可能不清楚的讀者,文曲星是一種世紀(jì)之交時很流行的電子辭典。
長得大致如下圖。
彼時“計算機(jī)要從娃娃抓起”的口號已經(jīng)出現(xiàn),少年楊坤也在初中參加過奧林匹克信息競賽,至于為什么高中反而要用文曲星而不是電腦編程,則有非常具備中國特色的兩個原因:1. 電腦家里管得嚴(yán)。
2.文曲星可以藏在課本后面玩。
他在文曲星上開發(fā)過簡單的 RPG(Role-Playing Game,角色扮演游戲),劇情都是找朋友幫忙寫的。
但這小小的興趣還是讓他打算去全面地了解計算機(jī),并為此在大學(xué)選擇了電子工程系。
據(jù)說選擇此專業(yè)有利有弊,必備的基礎(chǔ)理論和派不上用場的學(xué)問都有。
其間讓人(或者說讓筆者本人)印象深刻的有兩點(diǎn):一個是他會不斷開發(fā)各種項目去在實踐中摸索運(yùn)行原理,這似乎是日后這群人因研究 CTF 而了解甚至選擇安全業(yè)的預(yù)兆。
另一個則是和將來成為鮮明對比的安全水平與意識,當(dāng)時他建的協(xié)會網(wǎng)站上有明顯漏洞,時不時會被人掛個彈窗。
而據(jù)這位當(dāng)事人話講,他一開始考慮過修復(fù),不過發(fā)現(xiàn)對方也就是彈彈窗沒干其他什么事兒,所以就算了。
總而言之,原本對網(wǎng)絡(luò)攻防并無特別興趣的清華工科生楊坤聽從前輩建議沒有出國,又出于對母校的喜愛保研留校,陰錯陽差地和這個議題掛上了鉤。
他又在研究生階段接觸了 CTF,此后勢頭一發(fā)不可收拾。
和同伴組建了藍(lán)蓮花(Blue-Lotus)戰(zhàn)隊征戰(zhàn)各大國內(nèi)國際比賽,不僅讓非此專業(yè)的學(xué)生因其魅力轉(zhuǎn)頭加入了安全業(yè),還因為鉆研比賽時展現(xiàn)的詭異狂熱和恒心吸引了日后長亭科技的早期成員。
發(fā)展:從丁方到乙方畢業(yè)在即,幾位在 CTF 比賽中打得難舍難分的隊友已經(jīng)對這個行業(yè)產(chǎn)生了濃厚的興趣,也不想就此分離。
當(dāng)時大環(huán)境正在改善,政策正在重視網(wǎng)絡(luò)安全,看起來此領(lǐng)域的事業(yè)大有可為。
他們決定成立公司做些和安全有關(guān)的事。
不過這一整句話里最簡單的只有“成立公司”那個部分。
“決定”很難,要說服聯(lián)合創(chuàng)始人從山清水秀的杭州搬到以不宜居住為居住特色的北京。
“做些事”很難,當(dāng)時毫無資歷名氣的幾人最窘迫時連軟件外包的活都做過,但更常見的是從傳統(tǒng)安全廠商那接客戶轉(zhuǎn)了幾手的項目,所謂乙方的乙方的乙方——丁方。
回憶這段經(jīng)歷時,看起來比實際年齡還要年輕的楊坤笑個不停,或許是因為那都是過去時,現(xiàn)在通過口耳相傳的聲譽(yù),他們至少當(dāng)上單純的乙方了。
那乙方到底在做什么?用一句話定義,是通過自身團(tuán)隊為企業(yè)進(jìn)行滲透測試(Penetration Testing, 有時簡稱為 pentest ),并提供之后的修復(fù)建議。
不過,和近年國內(nèi)安全界比較熱門的安全眾測概念*相反,他們完全通過公司內(nèi)的技術(shù)人員對服務(wù)的企業(yè)進(jìn)行針對性檢測。
據(jù)說在某些案例下,他們的內(nèi)部團(tuán)隊找出的漏洞甚至多于廠商交給安全社區(qū)檢測后發(fā)現(xiàn)的。
*注:眾包(crowdsourcing)在漏洞檢測上的應(yīng)用。
有的平臺由白帽黑客自主提交漏洞—如烏云,ZDI;有的由廠商發(fā)布項目交由社區(qū)測試—如漏洞盒子,Bugcrowd。
而另一個特點(diǎn)則是 0 元起步檢測。
這個在互聯(lián)網(wǎng)創(chuàng)業(yè)圈非常普遍的免費(fèi)+增值收費(fèi)概念對他們而言是艱辛的一步,畢竟團(tuán)隊為每次檢測需要付出的成本太高。
不過,在提出后也被視為創(chuàng)業(yè)以來做過的最正確決定之一,據(jù)說鮮有廠商看到免費(fèi)檢測的報告后仍決定不購買后續(xù)服務(wù)的。
比起向不了解安全防護(hù)的企業(yè)科普可能的后果,一次模擬真實的攻擊或許直觀生動得多。
同步:藍(lán)蓮花和 SQLChop藍(lán)蓮花不等于長亭科技。
對于在創(chuàng)業(yè)之余兼顧學(xué)位的楊坤來說,培養(yǎng)藍(lán)蓮花(Blue-Lotus)的新血也是偶爾需要關(guān)注的事。
這個在國際賽事上排行前列*的 CTF 戰(zhàn)隊基本是長亭團(tuán)隊的源頭,卻因為太過小眾并沒有為這個公司帶來商業(yè)上的便利。
不過發(fā)生在奪旗世界的傳說也只用在那個世界流傳,至少,這個隊伍還在取得不錯的成績,或許也在同時吸引下一批打算扎根的新人。
注:排名這種東西可以在 CTFtime.org 這個網(wǎng)站上查看。
比起藍(lán)蓮花,SQLChop 和他們的主業(yè)關(guān)聯(lián)度高得多。
他們出于某種原因開發(fā)了這個基于詞法和語法分析的無規(guī)則 SQL 注入檢測引擎,卻發(fā)現(xiàn)既難以整合到別的項目里,也沒到可以作為商業(yè)產(chǎn)品單獨(dú)推出的地步,所以干脆用它投石問路,順便為這個成立不久的公司找點(diǎn)關(guān)注度。
效果似乎很成功,這個工具被今年 Black Hat 大會 Arsenal 分會場收錄。
相關(guān)媒體在轉(zhuǎn)載介紹時,也提到了他們這家一年前還默默無聞的公司。
不過,關(guān)注度的又一次暴漲可能來自不久前在上海舉行的 GeekPwn。
他們?nèi)〉玫莫務(wù)乱舱稍趦Σ亻g的箱子里,但和名次比起來,讓大眾印象深刻的應(yīng)該是生活中的智能攝像頭被他們一一順手攻破的景象。
或者按楊坤的話說,這種比賽讓原來難以理解的黑客行為“可視化了”。
番外:科班生,不要忘了鎖門從被當(dāng)作工作間的客廳穿過去,還有個會議室。
一側(cè)是長桌子,另一側(cè)是床墊,開會前還需要整理下房間。
據(jù)說床墊是給那些工作到太晚或熬夜的人使用,有實習(xí)生的時候偶爾還要占領(lǐng)陽臺。
又據(jù)說這種情況很少發(fā)生,除非是碰上急事。
說這話時楊坤認(rèn)真強(qiáng)調(diào)他們注重的是效率,一般工作時間就是早上九十點(diǎn)到晚上六點(diǎn)。
不過認(rèn)真后緊接著的是八卦環(huán)節(jié),比如因為工作時間特別人性化,這個目前成員剛過兩位數(shù),僅有一位女生的公司竟然實現(xiàn)了極高的非單身率(> 72%),著實感人。
說到成員,除了和業(yè)內(nèi)平均相較而言的非常年輕之外,就是和業(yè)內(nèi)傳說相較而言的科班出身(名校+計算機(jī)相關(guān))。
沒有常見的黑客洗白,沒有帶著神秘的野路子手法人物。
那他們是不是難以從攻擊者的角度考慮問題?訪談過程中,楊坤在講自己并非天才型黑客時,順便也表示成員中都沒有像這樣的人物。
而在那之后的某個時刻,他提到了科班出身的優(yōu)點(diǎn),對軟硬件都有全面的了解,邏輯嚴(yán)密等等。
或許那才是這個團(tuán)隊最看重的素質(zhì)。
從儲藏間轉(zhuǎn)身,回客廳,出門,在開門拉門的那一剎那,某個從眼前掠過的圖案可能會突然抓住你(或者就是筆者我)的注意:在那扇公寓門的內(nèi)側(cè),學(xué)生宿舍一般的值日職責(zé)表的下面,貼了這么一張紙。
當(dāng)然了,它真的沒怎么發(fā)揮作用。
附錄|一些沒在正文中提到的問答問:CTF 比賽的心得(&DEFCON,HITCON 等不同地區(qū)比賽之間以及國內(nèi) CTF 競賽的區(qū)別)先說說 CTF 的優(yōu)點(diǎn)。
CTF 形式的競賽十分有趣,能夠很好地培養(yǎng)學(xué)生對網(wǎng)路安全技術(shù)的興趣;同時,CTF 競賽一般都由經(jīng)驗豐富的安全專家來命題,里面考察的技術(shù)都是與真實環(huán)境當(dāng)中所涉及的技術(shù)相通的;CTF 競賽是與時俱進(jìn)的,業(yè)內(nèi)研究的熱點(diǎn)和流行的新技術(shù)都會出現(xiàn)在比賽中;CTF 競賽非常多,現(xiàn)在每年可打的比賽有好幾十個,如果想?yún)⒓樱瑤缀趺恐芏加?CTF 可打。
我們打了三年多的國內(nèi)外 CTF,最大的心得就是堅持參賽,因為 CTF 中實在有太多的寶藏可以挖掘。
說起國內(nèi)外 CTF 的差別,相比國內(nèi)比賽,國際比賽考察的知識面比較廣,解題需要靠 扎實的計算機(jī)基礎(chǔ),比如密碼學(xué)、算法、網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)、體系結(jié)構(gòu)等等,而不僅僅是攻擊的技巧或者工具使用。
另外在二進(jìn)制安全方面,難度要大很多。
近年來,我們和 上海交通大學(xué)的 0ops 等經(jīng)常參加國際比賽的戰(zhàn)隊正在努力把國際風(fēng)格的比賽引入到國內(nèi),相信不久之后,二者的差距會越來越小。
問:創(chuàng)業(yè)以來有沒有做過非常正確或者非常錯誤的決定,有的話是什么? 非常正確的決定與非常錯誤的決定都很多,選定中小型互聯(lián)網(wǎng)企業(yè)作為我們的目標(biāo)客戶和方向、選擇真格基金作為我們的投資方都是非常正確的決定。
選擇“0 元起步的網(wǎng)絡(luò)安全服務(wù)”作為切入口也是非常正確的做法。
之前的時候我們甚至把免費(fèi)用戶轉(zhuǎn)化為付費(fèi)用戶的轉(zhuǎn)化率定得比較低,但是實際情況比我們預(yù)想中好太多。
大概這也是因為企業(yè)對待網(wǎng)絡(luò)安全問題的態(tài)度轉(zhuǎn)變,以及對長亭科技的技術(shù)的認(rèn)可。
至于非常錯誤的決定,我們曾經(jīng)走過不少彎路,都屬于非常錯誤的決定,但是沒有這些彎路帶來的經(jīng)驗,我們也不會成長,所以這樣看來非常錯誤的決定不一定是壞的決定。
*注: 楊坤在訪談時補(bǔ)充的又一特別正確決定:沒有接受某公司的股權(quán)互換收購要求。
問:對有志從事網(wǎng)絡(luò)安全/企業(yè)信息安全的人的建議。
對于想要從事安全行業(yè)的人,技術(shù)方面唯一的建議就是一定要堅持學(xué)下去,不要輕易放棄不要浮躁。
另外,希望他們能抵擋誘惑。
這個行業(yè)里的誘惑太多,如果不能抵擋誘惑很容易走上歪路,我們希望網(wǎng)絡(luò)安全這個行業(yè)發(fā)展越來越好,不僅僅是技術(shù)越來越好。
所以希望更多的年輕人是走正確的道路。
問:如果不從事網(wǎng)絡(luò)安全業(yè)的話,會希望去做什么?*注:此回答來自聯(lián)合創(chuàng)始人陳宇森,主要是真的發(fā)了很多圖過來,不貼一些出來不好意思。
也許想去當(dāng)個廚師,曬點(diǎn)圖咯~完。
致謝:肉肉,楊坤,所有工作時被來訪者打斷還能接著碼代碼的長亭成員。
下一篇:LinkedIn CEO: 怎樣做一個好的創(chuàng)始人 下一篇 【方向鍵 ( → )下一篇】
上一篇:國家工商總局副局長孫鴻志涉嫌嚴(yán)重違紀(jì)被調(diào)查 孫鴻志簡歷 上一篇 【方向鍵 ( ← )上一篇】
快搜