四葉草安全度過(guò)了自己的十周歲生日,。在周年慶上，創(chuàng)始人馬坤說(shuō),，十年是四葉草安全的風(fēng)雨漫漫創(chuàng)業(yè)路,，是無(wú)數(shù)小草凝聚心血,、揮灑汗水的十年陳釀。

　　十年有多久,？是三千六百五十天,、八萬(wàn)七千六百七十二小時(shí)、五百二十六萬(wàn)零三百二十分鐘,。對(duì)于尚且年輕的網(wǎng)絡(luò)安全行業(yè)來(lái)說(shuō),，這番歷程已不算短暫。

　　相比位于北上廣深的企業(yè)來(lái)說(shuō),，從西安生根發(fā)芽的四葉草安全或許天然缺少豐富的資源和高調(diào)的舞臺(tái),，但這并未阻攔他們的江湖地位。馬坤作為白帽安全圈的老炮,，書寫過(guò)濃墨重彩的攻防對(duì)抗,，引起過(guò)圈子大范圍的轟動(dòng)，創(chuàng)辦四葉草安全后,，他帶領(lǐng)公司成為立足西安網(wǎng)絡(luò)安全的一張名片,，并進(jìn)一步發(fā)展為行業(yè)中輻射西北、面向全國(guó)的一塊磐石。

　　一枚小草看似飄搖,，四百多小草實(shí)則強(qiáng)韌,，站在十歲的臺(tái)階上，回頭與向前,，都是故事,。馬坤卻說(shuō)，十年,，這才剛開始,！我們找到這位桀驁的黑客，和他聊聊起伏的過(guò)往,，和不可知的未來(lái),。

　　正義與破壞 只在一念之間

　　學(xué)生時(shí)代的馬坤原本是一個(gè)妥妥的學(xué)霸，高考失利是他人生中的第一次打擊,。在與之向往的名校失之交臂后,，巨大的落差讓他一度消沉，在一所普通一本理工院校變成了游離課堂之外的“怪”學(xué)生,。天天泡在網(wǎng)吧,，卻意外接觸到了“黑客”圈子。神秘,、好奇,，他開始對(duì)黑客的一切產(chǎn)生濃厚的興趣。

　　那是二十一世紀(jì)初,，哪有什么現(xiàn)成的網(wǎng)安人才培養(yǎng)體系,，憑著一腔熱情，馬坤的學(xué)霸基因重啟,，開啟瘋狂輸入模式,，往返于圖書館與網(wǎng)吧之間，查閱書籍,、觀看教程,，自學(xué)摸索各類遠(yuǎn)程控制、木馬,、鍵盤記錄等技術(shù),。

　　紙上談兵算不得熱愛，實(shí)踐出真知是成為黑客的必經(jīng)之路,。在大學(xué)期間,，馬坤干了許多看起來(lái)“離經(jīng)叛道”的事兒，比如,，通過(guò)IPC共享的漏洞控制機(jī)房電腦發(fā)布恐怖網(wǎng)頁(yè),；黑掉學(xué)校網(wǎng)站,，控制辦公系統(tǒng)拿到幾份試卷的樣卷；滲透進(jìn)某整個(gè)省的高校,，在網(wǎng)站的js文件中掛出尋人啟事尋找失聯(lián)同學(xué)……

　　在2001年中美撞機(jī)事件發(fā)生后,，民間爆發(fā)了中美黑客大戰(zhàn)，轟動(dòng)一時(shí),。出于樸素的愛國(guó)正義感,，馬坤作為組織者之一參與其中，化名為某ID,，在短時(shí)間內(nèi)成為了中國(guó)紅客聯(lián)盟核心成員,。在歷時(shí)七天的較量中，他和盟友們將五星紅旗插遍美國(guó)各主流網(wǎng)站,，這段頗為刺激的經(jīng)歷,，讓黑客圈子記住了馬坤的名字。

　　技能的逐步升級(jí)讓他不再滿足于僅從國(guó)內(nèi)社區(qū)汲取養(yǎng)料,，他開始與國(guó)際上的同行們交流切磋，掌握了更多滲透實(shí)戰(zhàn)經(jīng)驗(yàn),。2005年,，馬坤以核心成員的身份加入了火狐技術(shù)聯(lián)盟FST，ID為cnfjhh,，圈內(nèi)人稱cn,。

　　當(dāng)時(shí)就有朋友鼓動(dòng)馬坤，“聽說(shuō)你能力很強(qiáng),，有本事把暴雪黑了,。”那是《魔獸世界》（暴雪公司出品的網(wǎng)絡(luò)游戲）風(fēng)靡全球的2006年,，年輕氣盛的黑客絕不服氣,，當(dāng)即就磨刀霍霍，在滲透中發(fā)現(xiàn)了漏洞并潛入內(nèi)網(wǎng),，在官方主頁(yè)留下了一句「Test by cnfjhh」,。

　　這場(chǎng)到此一游的打卡，馬坤并沒(méi)有改動(dòng)任何東西,，也沒(méi)有留下任何后門,。在他還并不算長(zhǎng)的黑客經(jīng)歷中，雖然有入侵的能力,，但他從未破壞過(guò)任何他人網(wǎng)絡(luò),。

　　炫技，或許是很多黑客在網(wǎng)絡(luò)世界中證明自己的方式,，馬坤說(shuō),，“我干這個(gè)事是因?yàn)槲蚁矚g,，我想證明我可以。正義,，應(yīng)該成為能力的一個(gè)底線,，絕不因誘惑去污損自己的愛好?！?/p>

　　不當(dāng)藥販子 要當(dāng)良醫(yī)

　　一直以來(lái),，黑客技術(shù)在馬坤心里就是一個(gè)純粹的愛好，大學(xué)畢業(yè)后,，他走上了常規(guī)的職場(chǎng)之路,，先后在政府單位和一家百年外企工作。在外企的五年里,，雖然待遇豐厚,，但看著技藝逐漸塵封，他還是充滿了失落,。身邊的朋友們?cè)陉懤m(xù)熱火朝天地創(chuàng)業(yè),，馬坤不禁心動(dòng)，“我在黑客這個(gè)事兒上投入了這么多,，能不能讓興趣和事業(yè)產(chǎn)生結(jié)合呢,？”

　　舉棋不定之間，有朋友給馬坤介紹了一個(gè)外包項(xiàng)目,，他與黑客圈子的幾位朋友完成交付后,，看到了希望——興趣能力也可以用來(lái)工作。于是,，他與幾個(gè)兄弟組隊(duì),，為CNCERT檢查全國(guó)多個(gè)省運(yùn)營(yíng)商網(wǎng)絡(luò)漏洞問(wèn)題，這再次印證了他的希望——這項(xiàng)技能不僅可以是一份工作,，網(wǎng)絡(luò)安全未來(lái)會(huì)逐漸成為一個(gè)具有市場(chǎng)需求的行業(yè),，自己的技術(shù)是可以有所作為的。

　　拿出工作攢下的微薄積蓄,，幾個(gè)志同道合的朋友,，一間辦公室，2012年,，西安四葉草信息技術(shù)有限公司誕生了,。

　　攜攻防技術(shù)而入行的四葉草安全，立志要成為網(wǎng)絡(luò)安全解決方案提供商,，但是初入商業(yè)市場(chǎng),，第一課就是顛覆技術(shù)發(fā)燒友的理想化認(rèn)知。

　　“我們就是個(gè)沒(méi)活,、沒(méi)客戶,、沒(méi)人的三無(wú)團(tuán)隊(duì)”,，馬坤回憶說(shuō)，“當(dāng)時(shí)的大環(huán)境,，客戶認(rèn)為做安全等于買設(shè)備,，他們的合作伙伴，就是安全設(shè)備銷售商,，不是我們這種徒有技術(shù)的正義黑客,。”

　　商業(yè)的本質(zhì)是趨利,，標(biāo)新立異并不是問(wèn)題,，但沒(méi)有競(jìng)爭(zhēng)力、沒(méi)有探索出商業(yè)模式只能被火速淘汰,。馬坤在理想與現(xiàn)實(shí)中彎腰,，為了保證生存，轉(zhuǎn)變?yōu)殇N售角色賣了十余單安全設(shè)備,。

　　在這個(gè)過(guò)程中,，他卻越發(fā)肯定了自己最初的判斷?！鞍踩袠I(yè)需要解決的問(wèn)題,，跟生病就醫(yī)是一樣的，身體不舒服,，首先應(yīng)該做診斷，因此發(fā)現(xiàn)用戶的漏洞和缺陷是第一步,，然后再對(duì)癥治療,，而不是不管緣由直接賣藥?！?/p>

　　病人不清楚自己哪里有問(wèn)題,，醫(yī)生只關(guān)注藥品的銷量和利潤(rùn)，這種頭痛醫(yī)腳的怪圈是不健康的,。診斷不賺錢,，所以沒(méi)人重視，但馬坤覺(jué)得,，該走的路,，一步也不能少。

　　于是,，馬坤帶領(lǐng)團(tuán)隊(duì)嘗試著新的模式,，在售賣設(shè)備之前先給客戶做安全評(píng)估，拿到授權(quán)后模擬攻擊者的思路和行為進(jìn)行滲透測(cè)試,，發(fā)現(xiàn)存在的缺陷弱點(diǎn),。人工安全服務(wù)何其辛苦,，沒(méi)有產(chǎn)品，就只能手動(dòng)檢測(cè)每一臺(tái)機(jī)器,、每一個(gè)網(wǎng)段,、每一項(xiàng)配置，完全依靠專家知識(shí)和經(jīng)驗(yàn),，報(bào)酬卻非常微薄,，公司發(fā)不出工資是經(jīng)常的事。

　　以攻促防 把技術(shù)沉淀成產(chǎn)品和服務(wù)

　　財(cái)務(wù)上的窘迫驅(qū)使馬坤思考公司的發(fā)展方向,，完全依靠人力去做安全服務(wù),，肯定不是長(zhǎng)久之計(jì)。一方面,，身處西安的四葉草安全在人才招募上面臨瓶頸,，另一方面，要把攻防技術(shù)甚至是非常攻擊者視角的知識(shí)經(jīng)驗(yàn)沉淀為更普適的,、適合防守方使用的安全產(chǎn)品并不容易,。

　　馬坤認(rèn)為，這需要把「人的能力」插件化,，并且把讓「攻」和「防」都實(shí)現(xiàn)自動(dòng)化,。

　　他和團(tuán)隊(duì)伙伴早年混社區(qū)的優(yōu)勢(shì)，搭建了一個(gè)安全社區(qū),，集思而廣益,，匯集了大量的、新的,、高級(jí)的黑客思維,、攻擊手法，再結(jié)合四葉草安全長(zhǎng)期積累的一線經(jīng)驗(yàn)和精湛技術(shù),，梳理進(jìn)行數(shù)據(jù)建模并輸入到產(chǎn)品頂層,，發(fā)布了國(guó)內(nèi)首款基于社區(qū)的分布式漏洞掃描平臺(tái)——Bugscan。

　　在后續(xù)的產(chǎn)品設(shè)計(jì)中,，馬坤解釋道,，“我們有個(gè)內(nèi)網(wǎng)探針，可以抓獲內(nèi)網(wǎng)流量,，以便快速學(xué)習(xí)其中的行為特征,，并將其形成類似于規(guī)章制度一樣的規(guī)則。產(chǎn)品部署比較靈活,，可以旁錄進(jìn)去,，也可以串聯(lián)進(jìn)去，一旦發(fā)現(xiàn)異常,，串聯(lián)進(jìn)去可以做攔截處理,，旁錄進(jìn)去也可以做預(yù)警處理,。”

　　下一步是自動(dòng)化的防御,，“黑客入侵的思路通常是通過(guò)工具暴力枚舉,、或者是對(duì)某個(gè)SQL注入點(diǎn)不斷進(jìn)行嘗試拆解，包括數(shù)據(jù)庫(kù)字段,、表段等,，從而暴露更多的敏感信息。而我們會(huì)部署動(dòng)態(tài)混淆加密技術(shù)的前置產(chǎn)品,，一旦黑客訪問(wèn),，URL會(huì)在一次訪問(wèn)后自動(dòng)加密，待第二次訪問(wèn)同一個(gè)URL時(shí)就已經(jīng)失效了,。這步操作就可以抵御絕大部分工具類的黑客,。”

　　這樣就形成了從內(nèi)網(wǎng)到外網(wǎng)的防范機(jī)制,，實(shí)踐中會(huì)根據(jù)客戶體量,，部署數(shù)量相匹配的探針及外網(wǎng)軟硬件。這套從感知,、監(jiān)測(cè)到防御的安全產(chǎn)品+服務(wù)的體系被命名為感洞Bugfeel,，在落地實(shí)踐中取得了良好的反饋。同時(shí),，隨著服務(wù)客戶的增多,，團(tuán)隊(duì)體會(huì)到不同行業(yè)需求和場(chǎng)景的天差地別，四葉草安全開始從通用安全服務(wù)往細(xì)分行業(yè)發(fā)力,，定制出面向金融,、運(yùn)營(yíng)商等行業(yè)的綜合安全解決方案。

　　從2017年起,，四葉草安全與螞蟻金服達(dá)成戰(zhàn)略合作，為其平臺(tái)商戶提供全面全時(shí)段的安全檢測(cè)和監(jiān)測(cè)服務(wù),。這輪合作不僅讓四葉草安全真正面向大型互聯(lián)網(wǎng)企業(yè)積累經(jīng)驗(yàn),，也讓馬坤看到螞蟻生態(tài)中更多的中小企業(yè)面臨的安全困境——總是被攻擊被勒索，卻不知道哪里有風(fēng)險(xiǎn),，不知道怎么做防御,。

　　馬坤意識(shí)到，安全不能只是行業(yè)頭部才能享受的服務(wù),，中小企業(yè)的安全需求同樣是普遍而急迫的,。他們將旗下產(chǎn)品與服務(wù)進(jìn)行整合，推出了SaaS化智能化服務(wù)平臺(tái)凌洞,，提供一站式的安全產(chǎn)品服務(wù),，可以幫助用戶用更低的成本,、更高的效率建立起安全屏障。

　　做正確的事 市場(chǎng)會(huì)給你答案

　　如果完全從商業(yè)的角度考慮,，服務(wù)中小企業(yè)可能并不是最上乘的選擇,。目光拉長(zhǎng)，我們回望四葉草安全的十年,，會(huì)發(fā)現(xiàn)馬坤的選擇與答案,。

　　就像創(chuàng)業(yè)之初大家都在賣盒子的時(shí)候，他也知道做安全檢測(cè)不賺錢,、做安全服務(wù)很累人,，但該走的路還是要走的。就像還作為獨(dú)立黑客的時(shí)候,，擁有高超技術(shù)要想變現(xiàn)并不是太難的事情,，但輕松的選擇不等于就是對(duì)的。

　　在2015年拿到Pre-A 輪融資之前,，四葉草安全出現(xiàn)過(guò)幾次發(fā)不出工資的情況,，直到2017年，公司才開始走出虧損實(shí)現(xiàn)盈利,?！俺掷m(xù)的投入、長(zhǎng)久的蟄伏確實(shí)是熬人的,，但堅(jiān)持做正確的事,，市場(chǎng)是會(huì)看到的?！瘪R坤表示,，“我們總是在說(shuō)安全行業(yè)要守護(hù)國(guó)家數(shù)字經(jīng)濟(jì)建設(shè)的安全底線，這么多中小企業(yè)的安全缺陷不就是底線嗎,？安全不應(yīng)該讓他們望而生畏,，我們有能力和經(jīng)驗(yàn)，服務(wù)中小企業(yè)是非常適宜非常應(yīng)該的,?！?/p>

　　其實(shí)，堅(jiān)持本心不是為了感動(dòng)自己,，作為一個(gè)企業(yè)家,，對(duì)員工、對(duì)行業(yè),、對(duì)股東都負(fù)有重要的責(zé)任,。馬坤認(rèn)為，走正確的路，不僅是贏得自我尊重和旁人喝彩,，哪怕是最世俗的財(cái)務(wù)回報(bào),，也會(huì)在正確的道路上悉數(shù)回饋。

　　他表示,，能夠在資源無(wú)法抗衡一線城市,、經(jīng)營(yíng)狀況欠佳的境遇中獲得資本支持，更多就是對(duì)團(tuán)隊(duì)理念和價(jià)值觀的認(rèn)可,。此后,，他們幾乎保持著每?jī)赡暌惠喌娜谫Y節(jié)奏，其中包括螞蟻金服的巨額注資,，客戶和市場(chǎng)當(dāng)然不是用腳投票的,。截至目前，四葉草安全已累計(jì)為6100多個(gè)用戶項(xiàng)目提供技術(shù)服務(wù)和安全保障,，同時(shí)旗下的感洞平臺(tái)為1700多萬(wàn)互聯(lián)網(wǎng)企業(yè)的資產(chǎn)安全風(fēng)險(xiǎn)持續(xù)保駕護(hù)航,。這些成果，是十年的堅(jiān)持帶來(lái)的,。

　　馬坤的赤子之心不僅體現(xiàn)在做產(chǎn)品服務(wù)客戶上,，他們還一手搭建了網(wǎng)絡(luò)安全人才培養(yǎng)體系。自學(xué)成才的他深諳技術(shù)人才對(duì)于行業(yè)發(fā)展的重要性,，安全公司不能沒(méi)有人,，但是如何挖掘理想的人才、如何培養(yǎng)出技術(shù)精湛的人才,，一直存在很大的市場(chǎng)缺口,。

　　早期的安全社區(qū)和Bugscan為喜愛或從事安全工作的技術(shù)人員提供了學(xué)習(xí)與交流的陣地，自此,，他們基于自身的攻防實(shí)戰(zhàn)基因打造了網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺(tái),、網(wǎng)絡(luò)攻防競(jìng)賽平臺(tái)，并從2015年開始舉辦SSCTF網(wǎng)絡(luò)安全技能大賽,，開鑿安全從業(yè)者水平縱向成長(zhǎng)路徑,。

　　如今，公司已經(jīng)成立了網(wǎng)絡(luò)安全人才培養(yǎng)專屬部門——四葉草網(wǎng)絡(luò)安全人才培養(yǎng)與創(chuàng)研中心,，提供數(shù)字時(shí)代下的安全學(xué)習(xí)產(chǎn)品,、靶場(chǎng)產(chǎn)品、安全保障服務(wù),、安全競(jìng)賽服務(wù)、認(rèn)證培訓(xùn)服務(wù)等,，形成人才培養(yǎng),、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良性生態(tài)。

　　回過(guò)頭看,，四葉草安全的業(yè)務(wù)覆蓋了漏洞風(fēng)險(xiǎn)發(fā)現(xiàn),、安全防御體系建設(shè)和攻防實(shí)戰(zhàn)型人才培養(yǎng)，始終是圍繞著其提倡的「以攻促防」理念來(lái)為行業(yè)提供服務(wù)和價(jià)值,。

　　行業(yè)逐漸細(xì)分 搞安全從來(lái)都不容易

　　這十年不僅是四葉草安全從無(wú)到有的十年,，網(wǎng)絡(luò)安全行業(yè)也從不完全成體系到如今細(xì)分領(lǐng)域眾多、參與者眾多,，整體呈現(xiàn)蓬勃向上的大好發(fā)展之勢(shì),。

　　馬坤認(rèn)為，現(xiàn)在的安全創(chuàng)業(yè)起步或許會(huì)變得更加簡(jiǎn)單,，但實(shí)現(xiàn)安全本質(zhì),、滿足安全需求也會(huì)變得更難。

　　行業(yè)起步階段,，傳統(tǒng)安全廠商傾向于做大而全的業(yè)務(wù),，但實(shí)際上，用戶并不是需要一個(gè)全家桶,，只是基于一些客觀現(xiàn)實(shí)環(huán)境,，用戶可能并不希望引入很多的安全服務(wù)商，他會(huì)希望有一個(gè)服務(wù)商來(lái)解決所有的安全問(wèn)題,。這導(dǎo)致了安全行業(yè)中一個(gè)很現(xiàn)實(shí)的痛點(diǎn)——同質(zhì)化嚴(yán)重,。

　　往后發(fā)展，安全需要能真正解決問(wèn)題,，行業(yè)必然會(huì)趨于細(xì)分,。雖然底層技術(shù)——無(wú)論是操作系統(tǒng)、協(xié)議或是算法是通用的,，但是賦予到上層應(yīng)用時(shí),，面臨的是不同的業(yè)務(wù)場(chǎng)景，會(huì)促使針對(duì)性更強(qiáng)的,、聚焦細(xì)分領(lǐng)域的安全解決方案的出現(xiàn),。同時(shí)，在面向的客戶行業(yè)也會(huì)趨于細(xì)分,。比如,，運(yùn)營(yíng)商會(huì)有自己的政策和訴求，金融行業(yè)有相應(yīng)的標(biāo)準(zhǔn)和等級(jí),，甲方對(duì)于安全的需求越來(lái)越旺盛,、同時(shí)也越來(lái)越精細(xì)。

　　反映到如今的安全創(chuàng)業(yè)生態(tài)中,，資本市場(chǎng)和創(chuàng)業(yè)企業(yè)都會(huì)去瞄準(zhǔn)一些細(xì)分的安全理念,、技術(shù)趨勢(shì)，比如專注于數(shù)據(jù)安全、業(yè)務(wù)安全,、交付安全等等,，設(shè)計(jì)出能與大廠同臺(tái)競(jìng)爭(zhēng)的方案和服務(wù)，滿足對(duì)口客戶的需求,。

　　對(duì)于創(chuàng)業(yè)者來(lái)說(shuō),，無(wú)論是投資環(huán)境還是國(guó)家政策和客戶意識(shí)，無(wú)疑是比十年前健全很多的,，創(chuàng)業(yè)不再那么舉步維艱,。但與之相對(duì)應(yīng)的，安全技術(shù)和客戶業(yè)務(wù)的融合要求變得更高,，不懂業(yè)務(wù)很難能把安全做好,，各行各業(yè)的信息化依賴程度只會(huì)越來(lái)越高，一旦發(fā)生安全事故往往都是大事,，滿足合規(guī)和保障安全都不可掉以輕心,，雖然政策東風(fēng)頻吹、資本信息高漲,、市場(chǎng)在持續(xù)擴(kuò)大,，看似無(wú)限機(jī)會(huì)在前方，想要活下去,、立得住,，需要有真功夫。

　　談到四葉草安全的下一個(gè)十年,，馬坤表現(xiàn)得非常理性,，“按照現(xiàn)在的速度，無(wú)論是技術(shù)變革還是市場(chǎng)需求,，十年足以翻天覆地,，我不想去吹牛。但我們希望,，未來(lái)三年內(nèi)努力讓公司上市,，讓更多的人能知道我們四葉草安全。每個(gè)人的精力有限,，企業(yè)也一樣,，我們也需要專注，我們會(huì)繼續(xù)致力于‘先于黑客發(fā)現(xiàn)并解決問(wèn)題’的思路,，在安全攻防領(lǐng)域?yàn)榇蠹冶ｑ{護(hù)航,，獲得行業(yè)和市場(chǎng)的認(rèn)可。下一個(gè)十年究竟會(huì)是什么樣,，我們一起拭目以待,?！?/p>

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<