新锐 | 悬镜安全子芽:未名湖畔的筑梦人 – 作者:悬镜安全实验室

 

首发公众号平台:安在

“未名湖是个海洋,诗人都藏在水底,灵魂们若是一条鱼,也会从水面跃起。”这是一段流传很广的描写北大未名湖的诗句。

初冬的未名湖畔,收尽了一整个秋天落下的丰满,裹挟着刚刚到来的那一丝冷冽,给每一条鱼、每一方湖水、每一个过往的行人,轻轻洒下独属于冬日的气氛。

过不了多久,春天就会到来,绿色会再度攀上枝头,鱼儿也会和灵魂一起,在湖面欢愉地掠过。未名湖畔又要热闹起来了,数不尽的朝阳、勇气,还有梦想。

子芽,就是曾经从这充满生机的未名湖畔走出来的年轻人,在他身后的,是一群同样在燕园里自由追逐的灵魂。

当梦想照进现实,这便是悬镜安全。

自由且勇于求索的灵魂

也许是未名湖畔的秀逸让北大这所学校多了些浪漫和悠然,子芽也似乎也多了些自由理想主义者的情怀。

1.png

本科毕业后,带着“编程改变世界”的憧憬,子芽以安全开发工程师的角色进入了网御星云公司。能参与编写正在被无数人使用的大型安全防御产品,使他兴奋。时光荏苒,随着技术研究的深入,他逐渐发现即使编程能力再好,当前细致的角色分工和浅薄的底层安全功底,是没办法独立做出一款真正防御高级持续攻击的商用产品。他的人生中必须划出一段专有时间来好好研究与梳理。

2012年,刚刚进入职场不到2年的子芽,就这么结束了自己第一份正式工作,带着重新打磨自我的初衷,顺利考取了北京大学的硕士研究生。不过他选择北大的原因倒是让人有些哭笑不得。“女朋友正在北京大学读研,我没什么特别感兴趣的学校,索性就去陪在女朋友的身边。”子芽如是说道。

在他看来,考研并不是一件需要花费太多精力的事情,因为相对于备考期间的刷题,他更愿意去动手探索技术背后所蕴含的底层原理。而他之所以迫切地想要学习底层网络安全原理,则是因为始终有两个问题在困扰着自己——网络安全本质是什么?未来的安全到底什么样?

重新步入象牙塔后,子芽再次拥有了大把时间来思考心中的困惑。这次他调整了学习的姿势,站在顶层设计者的角度自由编写一款可以检测防御高级持续攻击的工具,期间结识了一帮志同道合的师兄弟,一起开展属于他们自己的内部项目。主要包括了善于学习算法设计、安全攻防、数据分析与挖掘、架构设计的其他5位小伙伴。

2014年6月,内部项目开展不到一年,核心团队里的几位师兄临近毕业离校,如果不能聚在一起继续干点人事,也许就会从此各奔东西。可能是是从北大走出来的学子,都无法褪去率真洒脱的天性,几个白帽子相约北大泊星地咖啡厅,三言两语,“Xmirror” 悬镜安全就这么创立了。

在0到1的事业创建过程中,子芽先后遇到事业中的两位贵人,优炫软件董事长梁继良先生和时任360VP的谭晓生先生,他们陆续为这颗种子的发芽成长灌注了养分。

子芽对我说,他十分感谢母校一直以来所倡导的自由探索的理念,让他们能够有充分的时间和空间去做自己想做的事情。在技术的深度钻研上,硕导文伟平教授也给予了充分的指导,而北大计算机中心更是作为第一位全场景用户,从数据采集和特定场景使用上,赋予了悬镜安全迈出第一步的正能量。

从14年创业至今,悬镜安全已经走过了5年的时光。伴随着团队的茁壮成长,子芽也开始了博士研究生继续深造,拜在北京大学信息安全实验室陈钟教授门下。在导师的悉心指导下,个人的视野和格局有了进一步提升,更加看清未来的道路和方向。

而“安全本质是什么”,他心中也渐渐有了答案。

网络安全的本质还是人

悬镜安全当前的核心技术体系为“悬镜DevSecOps智适应威胁管理”。

DevSecOps是在2017年的RSA安全大会上正式被提出的概念,其核心理念为安全需要贯穿从开发到运营整个业务生命周期的每一个环节才能提供有效保障。通过AI赋能,主动识别并动态跟踪软件供应链在开发、部署、运营等关键环节面临的应用安全脆弱性与未知外部威胁,动态评估真实业务场景下的资产弱点风险。

之所以要做DevSecOps,是因为在“安全本质是什么”这一问题上,子芽的答案是“人”。

2.png

2013年6月,英国《卫报》和美国《*****》先后向公众披露:美国国家安全局(NSA)和联邦调查局(FBI)于2007年启动了一个代号为“棱镜”的秘密监控项目,监听全球民众电话的通话记录,监视民众网络活动。

此事一出,美各界及国际社会顿时掀起轩然大波,同时也对传统网络信息安全的技术和产品提出了挑战。

彼时子芽还和师兄弟们开展的内部项目刚刚成立,鉴于当时国内信息安全产品过于侧重边界防御而无法有效应对高级持续威胁的现状,他一直在思考,“重运营防御”的技术方式究竟是不是网络安全未来的正确方向?

在他和团队看来,保护网络安全特别是业务安全,处理好“漏洞”至关重要。如果没有早期发现和解决漏洞的能力,那么即便后期运营垒砌再坚固的壁垒,依然会有被绕过防御的风险。

子芽认为,漏洞的核心是代码,而代码又是由“人”来编写的,那么安全就应该“以人为本”。同时,对于软件供应链安全的追溯,源头也是“人”,采用智能自动化手段是保护软件供应链安全的有效落地实践之一。

随着几年后Gartner年度十大信息安全技术对DevSecOps的重视,也印证了他对未来技术发展的预判。悬镜团队基于威胁建模、威胁发现、威胁模拟和检测响应的整体安全体系“悬镜DevSecOps智适应威胁管理平台”的技术和理念也被越来越多行业头部客户和业界同行认可。其中,灵脉AI-IAST的渗透测试平台最受甲方安全部门青睐,这一点让他和团队欣喜。

由于传统的漏洞检测方法主要包括漏洞扫描产品和专家渗透测试两大类。前者的检测能力基于纯安全规则实现,在面对无法提取特征的业务逻辑漏洞时显得无能为力;而后者又过于依赖人工分析,成本高、水平层次不齐,检出率和漏洞覆盖率难以得到有效保证。

通过AI技术赋能,融合悬镜安全白帽黑客多年的红蓝对抗经验,悬镜灵脉AI-IAST渗透测试平台结合了漏洞扫描产品和专家渗透测试的优势,将专家能力用以AI训练,已经可以采用自动化或半自动化的方式实现业务逻辑漏洞的精准检测。

而灵脉IAST,则可以快速赋能研发、测试、运维等岗位的安全小白,将安全透明地内嵌于从研发到运营的流程之中,帮助企业无感高效地提升安全能力,让渗透测试不再遥不可及。

客户的诉求也许并不是真正的需求

在与客户接触的过程中,子芽深有感触——客户的直接诉求虽然重要,但这并不一定代表着真正的需求。

子芽说,也许有一些刚开始重视安全的客户,过去并没有对安全有过太多的了解,也没有用过优质的安全解决方案,那么他所提出的诉求就极有可能远远低于他实际的需求;另一部分客户,虽然提出了极高的诉求,但却又有可能远远超出了他实际需求的范畴。

因此,客户的诉求固然重要,理解客户的本质需求才是对客户更负责任的行为。

他给我举了个例子:如果一个客户希望己方员工的安全意识和技能得到提高,那么是否就意味着他需要采购“安全培训”的服务?

也许站在惯性思维的角度来说,这确实是最直接也是最常见的解决办法。但子芽却不这么认为:他觉得,人工培训的方式不仅效果有限,成本也相对较高;客户所需求的结果是员工的能力得到提高,只要能实现这个结果,为什么不选择一个更好的方式呢?

子芽意识到,虽然国内网络信息安全已经有了超过20年的历史,但一直以来都聚焦于运营环节。实际上,超过80%的应用安全事件都来源于漏洞,如果把挖掘漏洞、修复漏洞变成像找bug一样的简单,用低成本的方式解决这个难题,那就能让当前国内网络安全的整体防护能力更上一步。

4.png

对于一名甲方安全负责人来讲,在应对开发安全的工作时,通常需要面临三个阶段。

5.png

第一个阶段,自己上手,带领技术人员做上线前渗透测试,但如果测试人员水平层次不齐,那将导致测试的结果不尽如人意;另外如果使用敏捷开发,还会进一步影响业务的交付速度。

第二个阶段,寻求适合敏捷开发的灰盒安全测试,将安全能力固话在特定平台上,保障应用安全测试水平下限。其中,甲方开始思考对安全方案对业务迭代的影响。

第三个阶段,建立基于威胁建模的安全开发赋能平台或流程管理平台,弥补程序员安全素养不足的缺陷,避免因为代码上存在的业务逻辑漏洞而导致安全风险事件的发生。

在这个过程中,甲方安全负责人的根本需求是在SDLC早期建立完善的安全开发体系,而每一个阶段却都衍生出了不同的诉求,如果完全按照诉求来进行,那必然会费时又费力。但如果通过集所有需求于一身的DevSecOps智适应威胁管理平台,就能够直截了当地满足客户真正的需求,其中流程低侵入性和自动化是关键。

因此,不断理解和引导客户的需求表达,就成了悬镜安全5年来在方向既定和产品设计上,所一直坚持和遵循的原则。

一群可爱的人

从2014年创立到今天,悬镜安全已经并不算一个特别年轻的公司了。但将产品规模化,通过渠道对外推广和销售,其实是从去年才刚刚开始的事情。

原因很简单——这群从北大走出来的年轻人,太执迷于学术了。

子芽告诉我,悬镜安全的核心团队基本都是北大师兄弟,日常探讨最多的就是“xxx问题还有更好的解决办法”、“xxx问题的高效率算法是xxx”、“xxx的技术思路论证有缺陷”等,他们无一例外地都将全部的精力投入到产品的研发和技术的研究中。

2016年,刚刚成立两年的悬镜安全已经成功地将自动化漏洞渗透的检出率和误报率提升到了97.7%,但却因为产品性能低于预期,所有人在当时都迈不过心里的这道坎。于是他们开始死磕性能,一直到去年,才终于将性能提升到了满意的目标。

可结果等到不断有客户问起“什么时候打算把产品规模化”的时候,子芽恍然醒悟:“是时候可以对接渠道了哇。”

所幸的是,虽然公司没怎么挣钱,还“缺心眼”地重蹈了技术创业团队不会做销售的覆辙,但悬镜安全上上下下每一个人都依旧动力十足、信心满满。

子芽笑称“皆因师兄弟们的信任和理解”,但在我看来,这是因为他们都坚信着自己的方向和理想。

一直以来,悬镜安全都是一家特别有活力的公司,而赋予悬镜安全生命力的,就是这一群简单而又有趣的人。在这里,每一个成员都能够享受技术自由,主动为自己制定计划和方向。如果方向遵循了公司的战略方针,就可以发起立项,一旦讨论通过,就能够得到资源上的支持去放手实现自己的目标。

这其实类似于谷歌“20%时间制”——给予工程师20%的自由时间去创造自己的想象。只不过在悬镜安全里,这种模式更加的简单和纯粹。

子芽要求所有的合伙人,每隔一段时间都要离开办公桌,深入到客户身边去倾听客户的需求;同时,由于悬镜安全的售前主要由测试人员担任,这样一来凡是从客户处反馈来的问题,都可以直接以bug的形式提交到系统里进行优化。不仅免去了繁琐的流程、提高了效率,也更加尊重了客户的需求。

也正是因为公司过于“人性化”,误打误撞地让好事“成了双”。

“我们当前在成都有一个研发中心,起因则是因为有一名合伙人想家,希望可以在离家近一点的地方工作,于是我们索性就在成都设立了研发点。没想到作为中西部网络安全产业的发展高地,成都在近两年涌入了大量的网络安全人才,产业也得到了蓬勃发展。当初的无心插柳却在今天为我们带来了许多优秀的商业机会与合作伙伴。”子芽笑着感叹道。

目前,悬镜安全已经有了一只将近58人的专业团队,共有6个核心合伙人,分别负责算法研究、攻防、架构等技术岗位的决策。子芽告诉我,明年还会有两位非常厉害的师弟从北大毕业成为这个团队中的一员,悬镜安全也将迎来公司成立至今的第一位销售合伙人,总算是打破了一群人只顾着“哼哧哼哧干活”的局面。

虽然从去年开始才刚刚对接渠道,但悬镜安全目前无论是整体营收还是增长势头,大家都感到非常的满意,商业进展也超出预期。

我想,这也许就是“酒香不怕巷子深”吧。

未名湖畔的筑梦人

在安全圈里,人们往往会分成“江湖”和“学院”两派;而在安全创业中,近几年也有越来越多的“科班生”崭露头角。

子芽将这群从科班生中走出来的创业公司称为“2.0版”安全技术厂商:不仅懂得用黑客的思维去理解攻防对抗,还懂得如何用自动化、智慧化的方式将攻防能力平台化。在他看来,创业之初的所有预期,三年内也都将得以实现。

7.png

我问子芽,三年以后怎么办?是不是早就已经定好了目标和方向?

他却告诉我,三年以后会发生什么、要做什么,他很少考虑。就好像他会在工作时突然决定考研,又在读研期间突然决定创业一样,他总是会因为某一时刻的“理想”而作出决定。

所以他不愿在时间尚未到来时就花费过多的心思去揣摩,他要做的,就只是将全部精力投入到当下正在做的也是最为重要的事情上,在过程中积累技术和经验。等到一切告一段落,才会从这段经历中找到发光点,再去开始下一段的旅程。

子芽表示,在新一轮融资结束后,悬镜安全将全面扩展技术本地化支持能力,在北京、成都和广州等分支机构的基础上,勾勒出一个能够全面覆盖华北、华中、华南、华东和西南地区的技术能力输出蓝图。通过更加接近用户的本地化技术支持,更好地帮助客户建立健全DevSecOps综合安全开发运营体系。

同时,悬镜安全将会在现有DevSecOps智适应威胁管理体系下,输出新的产品线,继续扩大产品的覆盖能力和范围。

不仅如此,子芽还透露,他们当前还正在内部研究一款开源的工具。也许在不久的将来,这款开源的工具就能够给网络安全行业带来普惠,做出力所能及的贡献。

回过头来想,无论是子芽还是悬镜安全,之所以有着这般“特殊”的品质,可能也与燕园的文化与情怀息息相关。做自己想做的事,坚持自己热爱的事业,就好像每个早春未名湖畔的那一个个青春的灵魂,徜徉在自由且充满勇气的梦境里。

写在最后

曾有朋友对子芽说:“作为一个刚开始崭露头角的2B创业公司,应当尽量满足客户所提出的每一项诉求。”

但子芽却表示:他做不到——不是因为不想做,而是因为有限精力下他更愿意把能做的、该做的事情先做好。

他十分清楚悬镜安全的短板在哪里,因此才更加清楚什么才是当下更应该投入全部精力去做的事情。

虽然在这个过程中,悬镜安全的确牺牲了很多的商业机会,但也正是这种“将能做好的事情做得更好,做不到的绝不吹嘘”的对客户负责的态度,才让悬镜安全的每一步虽然走得稍显缓慢,却踏踏实实。

子芽说,他的愿望很简单,就是当大家提起悬镜安全的时候,能够真诚的说一句:“这是一家有技术、有干货的公司。”

他信誓旦旦地告诉我,明年一定会出现一个带着惊喜的悬镜安全,我们拭目以待。

来源:freebuf.com 2019-12-26 17:34:19 by: 悬镜安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论