清初,天山七劍飛紅巾、武瓊瑤、桂仲明、冒浣蓮、易蘭珠、張華昭、凌未風以天山為家,仗義行俠。飄零慣,金戈鐵馬,拼葬荒丘。
而今,青蓮云也有七人執劍,直指物聯網安全江山。
這七人的為首之人是CEO董方。
口述:董方 文:又田
(一)
我開始接觸安全是在2003年,正值大二,通過一個十幾人的線上聊天室開始自學網絡安全,里面的人大多都是學生,全憑著興趣一門心思的做研究。之后我們幾個人成立了一個民間的網絡安全組織:80SEC,專注于Web安全方向的攻防技術研究。
畢業后我進入啟明星辰做了三年偏傳統的信息安全,之后又來到搜狐做了三年的甲方安全,但都圍繞著基于Web應用的業務安全這條主線。
2011年底是我第一次創業,發布了一款叫做“日志寶”的數據分析產品,以SaaS服務的方式為企業客戶提供的日志進行大數據安全分析??蛻艨梢园逊掌?、網站日志傳到日志寶云端,通過云端安全引擎進行安全分析和在線的免爬蟲漏洞掃描。
雖然日志寶是個免費服務,效果卻意料之外的實用,可以精準檢測到傳統基于規則分析所無法識別的黑客攻擊和后門文件,這家公司也就成了青蓮云的母公司。
但我第一次創業并不算順利。2011年,彼時底層的大數據分析平臺技術并不完善,也缺乏基于流處理的數據分析引擎,日志寶在短期內匯聚了上百億條數據,底層的數據存儲和分析效率已成問題。
2013年初,機緣巧合下我們的產品和團隊被360所收購,團隊的研發方向演變為云安全及云上的業務安全,團隊輸出的產品包括云WAF、安全CDN、高防IP等云安全技術。
隨著物聯網市場的興起,360以“兒童手表”首次踏足智能硬件領域,從此開始一路征戰智能硬件市場。2014年,360成立云事業部,我出任云事業部產品總監。
實際上我們整個團隊不僅僅要負責360云的產品化相關工作,同時也需要針對智能硬件云平臺和IoT安全進行技術預研究。當時360信息安全部的頂尖黑客們負責尋找各類智能硬件設備的安全漏洞,但我們團隊更多的思考在于:如何實現一種低成本、輕量級、普適性的后端安全技術架構來解決聯網設備的安全隱患。
在這一過程中,我發現了一個問題。
360匯集了一群業界頂尖黑客,投入了非常多的人力和研發成本才能把產品做得足夠安全,但是外面林林總總的智能硬件產品,誰來保證他們的安全?誰又應該是他們的安全團隊?這一瞬間的思考讓我萌生了二次創業的想法。
時間行至2016年,360調整組織結構將企業安全與智能硬件分開來。此時我們團隊無論跟隨哪一方向團隊價值都不能最大化輸出,我決定離職創業,云事業部團隊的七位同事也跟隨我集體辭職創業。
這7位就是青蓮云的核心創始團隊,7人“各懷絕技”,有的擅長嵌入式開發,有的擅長云端高性能計算,有的專注黑客攻防對抗,有的擅長APP的安全檢測和加固等等。
青蓮云的來龍去脈即是如此,一切的機緣巧合,都始于我們趕上了智能硬件產業發展的熱潮。
(二)
還在360工作時,我曾走訪過多家智能硬件生產商,用一句話概括多數廠商的技術架構是:上行下行,能通就行。
很通俗的一句話,什么意思?
設計一個智能硬件背后需要有云服務的支撐,要考慮多活、災備、冗余、負載、擴容等,以及各種來自網絡的黑客攻擊行為的檢測和防御。而大部分廠商出于成本考慮和缺乏安全經驗積累,在最基礎的硬件架構和后端服務架構上都不會考慮安全問題,買上幾臺阿里云服務器開始調試,能通就開始量產。
但這種圖快的打法終不是長久之計,所以在2016年青蓮云成立之初,我們的打法是給用戶提供一套將物聯網安全防御策略融合在內的云產品,即我們第一個產品青蓮云,一套穩定的物聯網后端云。
2016年的國內物聯網仍處于萌芽期,各大廠商埋頭做產品,做體驗,構想各種不確定的用戶需求。此時提供以安全為核心的一整套物聯網服務顯然不合適,未解決溫飽問題,誰會買豪車呢?
在推出青蓮云后,2016年底我們開始深度拜訪客戶,傾聽客戶產品的市場反饋。卻在此時發現一個現象,一些長尾客戶對青蓮云產品的接受度較高,但對于如美的、海爾等頭部客戶來說,其自身的研發能力較強,往往會選擇購買阿里云、亞馬遜服務器,并在其上自主研發企業物聯網云平臺。
此時,青蓮云的產品形態就處于一個尷尬的定位。
如何能夠拿到這些金字塔尖的客戶?云和云安全的關系給了我們很大的啟發。
舉個例子:云盾作為阿里的安全部門很早就存在其中,為阿里云提供安全解決方案,直到后來,阿里云產品和云盾的技術積累陸續成熟后,云盾才獨立商業化運行,無論客戶使用亞馬遜或是微軟的云,都可以使用阿里云盾的安全服務。
回到青蓮云,我們是否能遵循云和云安全的思路,將本就融合在青蓮云中的安全防御策略與后端云引擎分離開來呢?
如果客戶有自己的云平臺,那我們提供物聯網安全產品和服務,如果客戶什么都沒有,那我們就提供一整套的解決方案,幫助客戶安全且快速的落地產品。這也是2017年我們所做的。
(三)
實際上我們每次與客戶接觸都是從科普開始,物聯網如何不安全了?為什么會不安全?怎么能做到相對安全?
“No More Free Bugs”,我開始考慮將多年的物聯網安全經攻防和研發經驗提煉成物聯網安全培訓體系,以物聯網安全10堂課的形式輸出給客戶。這10堂課覆蓋嵌入式安全研發,云端安全研發,引擎安全研發,核心通信技術、APP安全研發5個維度,每堂課售價從8000到1.5萬不等。
在貫穿物聯網安全10堂課培訓之后,另一個切入點也隨之而來,即物聯網安全測評服務。也就是通過團隊自研的內部安全測試工具集加上額外的黑客手段向客戶證明其產品是存在安全隱患的。
物聯網安全與網絡安全的最大區別,是一旦產品出現漏洞很難通過遠程打補丁的方式修補,銷售量越高的產品一旦出現問題相應修復成本會越高。所以在產品還沒有走出家門的時候進行測評,相當于全身體檢,一旦出現病癥可以對癥下藥。
比如鏈路層出現漏洞,可能受到設備重放或設備偽造攻擊,我們會提供針對鏈路層安全的整套解決方案;如果是安裝了有漏洞的第三方軟件,出現弱口令以及系統層面的配置安全問題,我們會拿出針對嵌入式操作系統的安全解決方案。
物聯網安全主要分為端管云三個層面的安全,在端的層面我們有針對通信鏈路的獨立安全解決方案,在云的層面我們有一個完整的物聯網安全云平臺。此外,云上基于物聯網硬件設備的數據安全分析更是我們的優勢,由于移動互聯網的成熟度已經非常高,所以目前對APP安全則相對涉足較少,所謂術業有專攻即是如此。
也就是說,青蓮云給客戶享受的是“4+1”全套大保健,1就是安全咨詢服務,將測評與培訓打包在一起,將不同客戶測評報告中的漏洞原因編寫到安全培訓中,使培訓更加具體,更接地氣。4就是我們有四套物聯網安全產品,哪疼治哪。
實際上,我們扮演的是《星球大戰》中安納金的角色,身處光明時,他是絕地武士會天賦異稟的武士安納金·天行者,墜落黑暗則化身屠夫達斯·維德,青蓮云團隊同時兼備了物聯網安全的攻防兩端能力。
(四)
很多人會問我,安全公司賺錢嗎?
這需要分長短期來看,安全行業永遠不存在一夜暴富。無論是1998年成立的啟明星辰,還是上市又退市的360,不難發現安全公司很少有泡沫,每家都在踏實做事,逐步成長。這是一個慢熱的市場,物聯網安全更是如此,它并非ofo、團購,它不是一個產品模式的變化,也不是消費習慣的變化,而是一個網絡時代的變遷。
物聯網安全的發展除了需要時間的沉淀更需要與企業建立長期信任感,只有對方充分信任安全公司才會把最敏感的東西交給對方。在這其中安全公司需要做的就是向企業證明你懂安全、懂業務、懂體系建設,但這并不是一件容易的事情,還需要一個周期。
因此物聯網廠商對于安全的支出仍處于緩慢上升的趨勢,畢竟一下割肉太多誰都會疼。相應的,安全公司賺錢也是隨著物聯網業務的發展,量不會一次太大。
對于青蓮云來說,我們已經有了穩定的收入,但創業嘛,早期肯定是虧損的。只要有收入就足以證明當前的模式是可延續的,而我們2018年的目標就是希望把盈虧做平。
后記
董方并沒有自己的獨立辦公室,他覺得這些沒什么必要。
這位黑客出身的CEO格外有俠客精神,他把自己當成傳教士,覺得承載著責任與義務去告訴別人真實的物聯網,物聯網攻擊更非天方夜譚,而是近在身邊。
采訪最后,董方告訴雷鋒網,他與跟隨他的七位“劍客”的初心很簡單:我們每服務一個客戶,就讓這個物聯網世界更安全了一點,這種成就感讓大家非常滿足。
但這看上去簡單的夢想,也許承載了一份很重的重量。
責任編輯:靳玉鳳
盤點2017年發生的12大物聯網安全事件
國內首家移動及物聯網安全聯合實驗室成立
315質量報告:民營寬帶及物聯網安全等六大亂相