重返聚光灯,绿盟做对了什么? – 作者:史中浅黑科技

大家好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事,不妨加微信(微信号:shizhongst)告诉我,反正我也不一定撩得到。


重返聚光灯,绿盟做对了什么?

文 | 史中@浅黑科技


在我眼里,曾聚集了中国最顶尖黑客的绿盟已经沉默了很久。想到它,我脑海中就浮现出一个透明的绿巨人,坐在桌边喃喃自语。


Clipboard Image.png

讲道理,这和它的传奇过往显得并不搭配。(有关绿盟的传奇往事,中哥以后开贴专门聊,有想听的童鞋举个爪)但这个世界的善良之处就在于,它经常猝不及防地给你一些温情反转。

2018年元旦开始,绿盟股价结束了两年半的下跌,从不到9块上升到13,比最低点回升 50%。也几乎是同时,他们的声音在嘈杂的舆论背景声中重新变得清晰。高管出街和发布行业报告的密度陡然提高,存在感一波高过一波。

比起那些闷头赚钱(或者闷头没赚钱)的老哥们,“重返聚光灯”这五个字送给绿盟,应该是没毛病。

归来的历程,绿盟冷暖自知。而从旁观者的角度看,他们一定是做对了什么。

我关心两个问题:

1、作为公司,能否从绿盟身上学到传统安全企业转型的“标准姿势”?

2、作为个体,能否从绿盟的转身中获得经验:一个沉默许久的人,应该如何重返战场?

我把绿盟的操作总结成三招,希望对你也有帮助:

Let’s Rock !


第一招:精选一首“主打歌”

在很多人心中,绿盟以安全产品见长,擅长造“工具”。它的各种产品就像刀枪剑戟一样,十八般兵刃可以挂满一面墙,让人眩晕。

然而,就像某些电视剧片尾曲歌手,唱功人人挑大拇哥,但就是不温不火。原因就在于没有一个“主打歌”把它的形象钉在观众的脑子里。

所以,绿盟返回战场前,迫切需要一个“主打歌”。这个主打歌会是绿盟诸多硬件之一吗?显然不是。

执着于工具本身,并不一定带来生存优势。

我想到一个小栗子:

解放战争时期,国民党军配置重型美式装备,解放军大多是一些从日本缴获的轻型武器。

但是,标准美式装备有两个巨大的弱点:

1、对道路的平整度要求非常高。

2、需要耗费大量能源。

而小米加步枪却非常好地适应了中国一穷二白破破烂烂的现实情况,机动性爆棚。

战争的结果人尽皆知。解放军胜利的一个巨大原因就是:看到了战争的“终点”是“消灭对手”,而不是“使用先进的武器”。

作为战争在赛博世界的翻版,网络安全同样是如此。

企业用户想要看到的终点是“解决安全问题”,而不是“拥有安全产品”。

从这个终点反推,绿盟找到的“主打歌”就是——威胁情报。

Clipboard Image.png

打个小比方:

硬件端就像一个人的四肢、胸肌、腹肌;

而威胁情报就是一个人的认知(注意不是大脑,也不是智商)。

绿盟的硬件端是它的最强优势,这是路人甲都知道的事实。但我想说,强壮的身躯,并不意味着打架一定能赢。看过《霍元甲》你就能体会这种感觉。

Clipboard Image.png

更为重要的是,你要知道对方会怎样出拳,甚至要知道不同的格斗拳路和风格,这就是“认知”。当你的大脑可以判断出对手下一拳会打到哪里,此时你就能优雅地调动全身肌肉躲闪,然后给对手致命一击。

结论是:

只有你具备了“认知”(威胁情报)这个前提,你发达的肱二头肌(硬件产品)才能被正确运用。

640.gif

绿盟的官方说法,把这种“脑手协作”叫做“云地协同”,这背后的台词是:

肌肉发达的绿巨人试图克制自己的“优势依赖”,慢慢学会有收有放。用认知来控制强壮的身体,而不是把传统优势榨干到极限。

找到主打歌,只是第一步。接下来就要把整个专辑卖出去。

既然企业的终极要求是“解决安全问题”,那么大多企业都需要网络安全提供商回答下列问题:

1、你能解决我的什么问题?

2、你用什么方法,什么技术解决我的问题?

3、你是否能提供一个客观的标准,让我能够独立比对你和同类产品?

于是,绿盟罗列了几个企业最需要自己的场景,举几个例子:

1、企业安全平台:解决“谁在搞我?”的问题。

2、安全态势感知方案:解决“谁想搞我?”的问题。

3、威胁分析系统:解决“谁搞了我?”的问题。

4、威胁情报中心:解决“黑客怎么搞的我?”的问题。

等等等等,还有不少。

这就像孙思邈把诸味道草药组合成固定的药方,恰能对症治疾一般。

这是一种比较务实的心态:你有病。我有药。你关心我的药是什么成分,我也可以解释清楚;你不关心我药的成分也没问题,不看广告看疗效。

好了,总结一下绿盟的第一招:

企业安全的终点是“远离风险”,盯着这个目标,盘算自己的“主打歌”;

“主打歌”应该是“威胁情报”,用“威胁情报”支配优异的“硬件产品”;

主打歌 Ready,然后寻找用户的痛点,为这些痛点设计具体的“全套服务”。

从终点反推路径,从路径反推方案。一目了然。

套用绿盟科技副总裁宫智的话说就是:“从被动响应变成主动出击。”至此,“挣扎”终于变成了“奋斗”。一切开始顺理成章了。

第二招:让别人感受到你的“神操作”

就像一把芭蕉扇。“威胁情报”是扇柄,处在枢纽位置。“硬件产品”是扇骨,给人带来最直接的效果。

Clipboard Image.png

然而,这把芭蕉扇能扇灭火焰山的前提是,扇骨要足够坚硬。也就是说,绿盟的威胁情报能力起码要及格。

那么,绿盟的威胁情报能力到底行不行?

之前一些网络安全业内人士对我表达了这样的观点:绿盟“端”的数量不够,且分布不均,没有强大的威胁情报收集能力。

开始我觉得好有道理,你看人家XXX,那么多端,收集那么多海量数据。但是和更多大牛聊过之后,我觉得不能这样简单地理解。

要想说明什么样的威胁情报是好情报,还得回到企业面临的威胁,我粗暴地把威胁分为两类:

已知威胁(主要由在全球普遍爆发的漏洞引起)

未知威胁(主要由 APT 这类针对性攻击引起)

Clipboard Image.png

这两类威胁看起来平分秋色,在数量上却比例悬殊:绝大多数企业最紧迫要解决的问题,是已知威胁。目测占到了所有威胁的90%。

再来说一下绿盟的威胁情报的主要来源:

部署在企业端里采集的数据

合作运营商流量数据

安全研究员成果

网络空间探测器 SEER(类似于空间探测引擎 Shodan)和蜜罐系统

交换/购买/合作伙伴数据

根据一些企业安全大牛告诉我的经验:

1、解决已知威胁,用“交换/购买/合作伙伴的威胁情报数据”就可以作为主力;

2、解决未知威胁,情报数据所能派上的用场,没有想象中那么大。

从这个角度来看,绿盟的威胁情报数据,应该可以打到80分。(当然每个人的评价参数不同,但我认为超越及格线肯定是没问题的)

所以,又回到绿盟所说的“云地协同”:威胁情报数据够用,再配合传统优势的硬件端能力,就可以比较好地解决已知威胁。

那么,怎么评价问题解决得好不好呢?

我先给你大概描述一下企业面对已知威胁时的一个经典场景:

一个漏洞在全球爆发,如果企业没有在十个小时之内“亡羊补牢”修补漏洞,那么基本上你就不用补了。。。因为羊应该已经亡得差不多了。黑客已经入侵完毕,植入后门,拿到你的数据,回家吃鸡去了。

(当然这种说法有点极端,看到漏洞爆发,无论经历多久都一定要把自家企业的系统修复,这才是正确的人生观世界观。只是如果拖得时间越长,黑客就会越深入,损失就会指数级增长。)

从黑产的角度看,他们已经形成了分工明确的产业链:

“漏洞黑客”专门研究各大系统,一旦发现漏洞,第一时间发布到黑市;

“开发者”买来这些漏洞,开发成自动化攻击工具,然后第一时间发布到黑市;

“攻击者”原本就长期盯着一些公司,公司里面有什么系统,攻击者甚至比公司内部人员还了解。它会经常浏览黑市网站,一旦发现可利用的攻击工具,马上购买,开干。

从漏洞研究者发布漏洞,到攻击者实施攻击,整个流程下来也就几个小时。

所以,从攻击者开始进攻,到企业开始进行防护,中间有一个时间差。

绿盟和其他安全公司要做的,就是尽量缩短这个“时间差”,最好让它为零,或者为负数。

举个栗子:

海啸爆发,卫星预警五小时后到达海岸。如果你可以让游客在五小时之内全部撤离,那边此次海啸就不会造成伤亡。如果海啸到达的时候,已经撤离了大部分,只有少数财物还未来得及撤走,造成的损失也是可控的。

Clipboard Image.png

根据绿盟科技高级副总裁叶晓虎的说法,整合新的技术策略以后,“绿盟已经把以前需要数天的响应周期,缩短到了几个小时。”

如果果真可以达到这个数据,就可以说是让人眼前一亮的“神操作”。

总结一下:

绿盟的”主战技能“——威胁情报得分并不低,只有在这样的情况下,分散在企业中的”特色技能“——各路硬件才能充分发挥作用。

第三招:老司机带带你

如果把网络安全企业比作保镖,那么保镖大哥不仅要干掉明火执仗的敌人,也要干掉放冷枪的狙击手。也就是说,解决了已知威胁,还要解决未知威胁。

如果有人得了常见病,医生就会非常精准地拿出治疗方案。但如果得了罕见病,医生就要一点一点帮你体检,尝试不同的治疗方法。就是因为这种病是你独有的,几乎没有前例可遵循。

绿盟做了什么特别的工作呢?

随便举两个例子:

前置化安全:在企业开发系统的最开始,就把安全的模块和安全的理念嵌入进去。这样开发出来的系统,自然免疫力强健,不太会生病。

红蓝军对抗:和军事演习类似,一边组织蓝军对系统进行攻击,另一边帮助企业的红军对抗攻击。

你有没有发现,这些工作, 与其说是在帮助用户搞安全,不如说是在帮助用户提高自己的安全能力。有种“老司机带带你,一起去飙车”的感觉。

为什么会是这样呢?

还是用医生治病来举例子:面对未知的疾病,治疗固然重要,但是即使华佗在世也往往只能事后补救。而最好的方法,是靠自身的免疫系统。

帮助企业建设安全能力,等企业一起成长,显然不如直接卖产品收益来得快。听起来绿盟像是在做公益。他们也学老罗卖情怀吗?

我倒觉得不是。

简单说来,虽然企业建设安全能力,短期来看成本巨大,而且不利于销售更多的安全产品。但是长远来看,帮助比给予更重要:

1、如果一味为客户,就会让客户成为依赖极强的“巨婴”,永远无法长大,也就没办法用成长来回馈安全企业。


2、市场盘子做不大,你的市场份额再高,也永远是小孩过家家。(其实中国几百亿的安全市场, 和其他行业比起来,就是过家家。过去十年都在过家家,如果未来还过家家,就真的要过一辈子家家了。。。)

这和谈恋爱的道理一样,

一个老司机和一个弱鸡怎么可能没羞没臊地在一起?

看清这一点之后,

老司机是不是应该带带你?

Clipboard Image.png

曾经的绿色兵团,是黑客精神的旗手,它让一代黑客相信了某种东西。站在此地回望,和绿盟同时代创业的其他黑客们,有的和绿盟一样仍在坚持,有的已经累了,走散在这个时代里,杳无音信。

穿过二十年尘埃,我猜无论是曾经的伙伴还是对手,此刻看到绿盟的肩上还扛着那杆大旗,他们都会觉得释然。

如果在理想主义的时代,能扛起理想的大旗;

而在商业主义的时代,还能扛起商业的大旗,

这事儿多他喵的酷。

在我眼里,绿盟给出的商业答案还远远远远不完美,但是,它比过去的自己更好。

而如何成为更好的自己,才是每个人都可以借鉴的“标准答案”。

Clipboard Image.png

再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以关注微博:@史中方枪枪,或者搜索微信:shizhongst

不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”

来源:freebuf.com 2018-04-16 15:12:59 by: 史中浅黑科技

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论