清初,天山七剑飞红巾、武琼瑶、桂仲明、冒浣莲、易兰珠、张华昭、凌未风以天山为家,仗义行侠。飘零惯,金戈铁马,拼葬荒丘。
这七人的为首之人是CEO董方。
口述:董方 文:又田
(一)
我开始接触安全是在2003年,正值大二,通过一个十几人的线上聊天室开始自学网络安全,里面的人大多都是学生,全凭着兴趣一门心思的做研究。之后我们几个人成立了一个民间的网络安全组织:80SEC,专注于Web安全方向的攻防技术研究。
毕业后我进入启明星辰做了三年偏传统的信息安全,之后又来到搜狐做了三年的甲方安全,但都围绕着基于Web应用的业务安全这条主线。
2011年底是我第一次创业,发布了一款叫做“日志宝”的数据分析产品,以SaaS服务的方式为企业客户提供的日志进行大数据安全分析。客户可以把服务器、网站日志传到日志宝云端,通过云端安全引擎进行安全分析和在线的免爬虫漏洞扫描。
虽然日志宝是个免费服务,效果却意料之外的实用,可以精准检测到传统基于规则分析所无法识别的黑客攻击和后门文件,这家公司也就成了青莲云的母公司。
但我第一次创业并不算顺利。2011年,彼时底层的大数据分析平台技术并不完善,也缺乏基于流处理的数据分析引擎,日志宝在短期内汇聚了上百亿条数据,底层的数据存储和分析效率已成问题。
2013年初,机缘巧合下我们的产品和团队被360所收购,团队的研发方向演变为云安全及云上的业务安全,团队输出的产品包括云WAF、安全CDN、高防IP等云安全技术。
随着物联网市场的兴起,360以“儿童手表”首次踏足智能硬件领域,从此开始一路征战智能硬件市场。2014年,360成立云事业部,我出任云事业部产品总监。
实际上我们整个团队不仅仅要负责360云的产品化相关工作,同时也需要针对智能硬件云平台和IoT安全进行技术预研究。当时360信息安全部的顶尖黑客们负责寻找各类智能硬件设备的安全漏洞,但我们团队更多的思考在于:如何实现一种低成本、轻量级、普适性的后端安全技术架构来解决联网设备的安全隐患。
在这一过程中,我发现了一个问题。
360汇集了一群业界顶尖黑客,投入了非常多的人力和研发成本才能把产品做得足够安全,但是外面林林总总的智能硬件产品,谁来保证他们的安全?谁又应该是他们的安全团队?这一瞬间的思考让我萌生了二次创业的想法。
时间行至2016年,360调整组织结构将企业安全与智能硬件分开来。此时我们团队无论跟随哪一方向团队价值都不能最大化输出,我决定离职创业,云事业部团队的七位同事也跟随我集体辞职创业。
这7位就是青莲云的核心创始团队,7人“各怀绝技”,有的擅长嵌入式开发,有的擅长云端高性能计算,有的专注黑客攻防对抗,有的擅长APP的安全检测和加固等等。
青莲云的来龙去脉即是如此,一切的机缘巧合,都始于我们赶上了智能硬件产业发展的热潮。
(二)
还在360工作时,我曾走访过多家智能硬件生产商,用一句话概括多数厂商的技术架构是:上行下行,能通就行。
很通俗的一句话,什么意思?
设计一个智能硬件背后需要有云服务的支撑,要考虑多活、灾备、冗余、负载、扩容等,以及各种来自网络的黑客攻击行为的检测和防御。而大部分厂商出于成本考虑和缺乏安全经验积累,在最基础的硬件架构和后端服务架构上都不会考虑安全问题,买上几台阿里云服务器开始调试,能通就开始量产。
但这种图快的打法终不是长久之计,所以在2016年青莲云成立之初,我们的打法是给用户提供一套将物联网安全防御策略融合在内的云产品,即我们第一个产品青莲云,一套稳定的物联网后端云。
2016年的国内物联网仍处于萌芽期,各大厂商埋头做产品,做体验,构想各种不确定的用户需求。此时提供以安全为核心的一整套物联网服务显然不合适,未解决温饱问题,谁会买豪车呢?
在推出青莲云后,2016年底我们开始深度拜访客户,倾听客户产品的市场反馈。却在此时发现一个现象,一些长尾客户对青莲云产品的接受度较高,但对于如美的、海尔等头部客户来说,其自身的研发能力较强,往往会选择购买阿里云、亚马逊服务器,并在其上自主研发企业物联网云平台。
此时,青莲云的产品形态就处于一个尴尬的定位。
如何能够拿到这些金字塔尖的客户?云和云安全的关系给了我们很大的启发。
举个例子:云盾作为阿里的安全部门很早就存在其中,为阿里云提供安全解决方案,直到后来,阿里云产品和云盾的技术积累陆续成熟后,云盾才独立商业化运行,无论客户使用亚马逊或是微软的云,都可以使用阿里云盾的安全服务。
回到青莲云,我们是否能遵循云和云安全的思路,将本就融合在青莲云中的安全防御策略与后端云引擎分离开来呢?
如果客户有自己的云平台,那我们提供物联网安全产品和服务,如果客户什么都没有,那我们就提供一整套的解决方案,帮助客户安全且快速的落地产品。这也是2017年我们所做的。
(三)
实际上我们每次与客户接触都是从科普开始,物联网如何不安全了?为什么会不安全?怎么能做到相对安全?
“No More Free Bugs”,我开始考虑将多年的物联网安全经攻防和研发经验提炼成物联网安全培训体系,以物联网安全10堂课的形式输出给客户。这10堂课覆盖嵌入式安全研发,云端安全研发,引擎安全研发,核心通信技术、APP安全研发5个维度,每堂课售价从8000到1.5万不等。
在贯穿物联网安全10堂课培训之后,另一个切入点也随之而来,即物联网安全测评服务。也就是通过团队自研的内部安全测试工具集加上额外的黑客手段向客户证明其产品是存在安全隐患的。
物联网安全与网络安全的最大区别,是一旦产品出现漏洞很难通过远程打补丁的方式修补,销售量越高的产品一旦出现问题相应修复成本会越高。所以在产品还没有走出家门的时候进行测评,相当于全身体检,一旦出现病症可以对症下药。
比如链路层出现漏洞,可能受到设备重放或设备伪造攻击,我们会提供针对链路层安全的整套解决方案;如果是安装了有漏洞的第三方软件,出现弱口令以及系统层面的配置安全问题,我们会拿出针对嵌入式操作系统的安全解决方案。
物联网安全主要分为端管云三个层面的安全,在端的层面我们有针对通信链路的独立安全解决方案,在云的层面我们有一个完整的物联网安全云平台。此外,云上基于物联网硬件设备的数据安全分析更是我们的优势,由于移动互联网的成熟度已经非常高,所以目前对APP安全则相对涉足较少,所谓术业有专攻即是如此。
也就是说,青莲云给客户享受的是“4+1”全套大保健,1就是安全咨询服务,将测评与培训打包在一起,将不同客户测评报告中的漏洞原因编写到安全培训中,使培训更加具体,更接地气。4就是我们有四套物联网安全产品,哪疼治哪。
实际上,我们扮演的是《星球大战》中安纳金的角色,身处光明时,他是绝地武士会天赋异禀的武士安纳金·天行者,坠落黑暗则化身屠夫达斯·维德,青莲云团队同时兼备了物联网安全的攻防两端能力。
(四)
很多人会问我,安全公司赚钱吗?
这需要分长短期来看,安全行业永远不存在一夜暴富。无论是1998年成立的启明星辰,还是上市又退市的360,不难发现安全公司很少有泡沫,每家都在踏实做事,逐步成长。这是一个慢热的市场,物联网安全更是如此,它并非ofo、团购,它不是一个产品模式的变化,也不是消费习惯的变化,而是一个网络时代的变迁。
物联网安全的发展除了需要时间的沉淀更需要与企业建立长期信任感,只有对方充分信任安全公司才会把最敏感的东西交给对方。在这其中安全公司需要做的就是向企业证明你懂安全、懂业务、懂体系建设,但这并不是一件容易的事情,还需要一个周期。
因此物联网厂商对于安全的支出仍处于缓慢上升的趋势,毕竟一下割肉太多谁都会疼。相应的,安全公司赚钱也是随着物联网业务的发展,量不会一次太大。
对于青莲云来说,我们已经有了稳定的收入,但创业嘛,早期肯定是亏损的。只要有收入就足以证明当前的模式是可延续的,而我们2018年的目标就是希望把盈亏做平。
后记
董方并没有自己的独立办公室,他觉得这些没什么必要。
这位黑客出身的CEO格外有侠客精神,他把自己当成传教士,觉得承载着责任与义务去告诉别人真实的物联网,物联网攻击更非天方夜谭,而是近在身边。
采访最后,董方告诉雷锋网,他与跟随他的七位“剑客”的初心很简单:我们每服务一个客户,就让这个物联网世界更安全了一点,这种成就感让大家非常满足。
但这看上去简单的梦想,也许承载了一份很重的重量。