四葉草安全度過了自己的十周歲生日。在周年慶上，創(chuàng)始人馬坤說，十年是四葉草安全的風(fēng)雨漫漫創(chuàng)業(yè)路，是無數(shù)小草凝聚心血、揮灑汗水的十年陳釀。

　　十年有多久？是三千六百五十天、八萬七千六百七十二小時(shí)、五百二十六萬零三百二十分鐘。對于尚且年輕的網(wǎng)絡(luò)安全行業(yè)來說，這番歷程已不算短暫。

　　相比位于北上廣深的企業(yè)來說，從西安生根發(fā)芽的四葉草安全或許天然缺少豐富的資源和高調(diào)的舞臺，但這并未阻攔他們的江湖地位。馬坤作為白帽安全圈的老炮，書寫過濃墨重彩的攻防對抗，引起過圈子大范圍的轟動(dòng)，創(chuàng)辦四葉草安全后，他帶領(lǐng)公司成為立足西安網(wǎng)絡(luò)安全的一張名片，并進(jìn)一步發(fā)展為行業(yè)中輻射西北、面向全國的一塊磐石。

　　一枚小草看似飄搖，四百多小草實(shí)則強(qiáng)韌，站在十歲的臺階上，回頭與向前，都是故事。馬坤卻說，十年，這才剛開始！我們找到這位桀驁的黑客，和他聊聊起伏的過往，和不可知的未來。

　　正義與破壞 只在一念之間

　　學(xué)生時(shí)代的馬坤原本是一個(gè)妥妥的學(xué)霸，高考失利是他人生中的第一次打擊。在與之向往的名校失之交臂后，巨大的落差讓他一度消沉，在一所普通一本理工院校變成了游離課堂之外的“怪”學(xué)生。天天泡在網(wǎng)吧，卻意外接觸到了“黑客”圈子。神秘、好奇，他開始對黑客的一切產(chǎn)生濃厚的興趣。

　　那是二十一世紀(jì)初，哪有什么現(xiàn)成的網(wǎng)安人才培養(yǎng)體系，憑著一腔熱情，馬坤的學(xué)霸基因重啟，開啟瘋狂輸入模式，往返于圖書館與網(wǎng)吧之間，查閱書籍、觀看教程，自學(xué)摸索各類遠(yuǎn)程控制、木馬、鍵盤記錄等技術(shù)。

　　紙上談兵算不得熱愛，實(shí)踐出真知是成為黑客的必經(jīng)之路。在大學(xué)期間，馬坤干了許多看起來“離經(jīng)叛道”的事兒，比如，通過IPC共享的漏洞控制機(jī)房電腦發(fā)布恐怖網(wǎng)頁；黑掉學(xué)校網(wǎng)站，控制辦公系統(tǒng)拿到幾份試卷的樣卷；滲透進(jìn)某整個(gè)省的高校，在網(wǎng)站的js文件中掛出尋人啟事尋找失聯(lián)同學(xué)……

　　在2001年中美撞機(jī)事件發(fā)生后，民間爆發(fā)了中美黑客大戰(zhàn)，轟動(dòng)一時(shí)。出于樸素的愛國正義感，馬坤作為組織者之一參與其中，化名為某ID，在短時(shí)間內(nèi)成為了中國紅客聯(lián)盟核心成員。在歷時(shí)七天的較量中，他和盟友們將五星紅旗插遍美國各主流網(wǎng)站，這段頗為刺激的經(jīng)歷，讓黑客圈子記住了馬坤的名字。

　　技能的逐步升級讓他不再滿足于僅從國內(nèi)社區(qū)汲取養(yǎng)料，他開始與國際上的同行們交流切磋，掌握了更多滲透實(shí)戰(zhàn)經(jīng)驗(yàn)。2005年，馬坤以核心成員的身份加入了火狐技術(shù)聯(lián)盟FST，ID為cnfjhh，圈內(nèi)人稱cn。

　　當(dāng)時(shí)就有朋友鼓動(dòng)馬坤，“聽說你能力很強(qiáng)，有本事把暴雪黑了?！蹦鞘恰赌ЙF世界》（暴雪公司出品的網(wǎng)絡(luò)游戲）風(fēng)靡全球的2006年，年輕氣盛的黑客絕不服氣，當(dāng)即就磨刀霍霍，在滲透中發(fā)現(xiàn)了漏洞并潛入內(nèi)網(wǎng)，在官方主頁留下了一句「Test by cnfjhh」。

　　這場到此一游的打卡，馬坤并沒有改動(dòng)任何東西，也沒有留下任何后門。在他還并不算長的黑客經(jīng)歷中，雖然有入侵的能力，但他從未破壞過任何他人網(wǎng)絡(luò)。

　　炫技，或許是很多黑客在網(wǎng)絡(luò)世界中證明自己的方式，馬坤說，“我干這個(gè)事是因?yàn)槲蚁矚g，我想證明我可以。正義，應(yīng)該成為能力的一個(gè)底線，絕不因誘惑去污損自己的愛好?！?/p>

　　不當(dāng)藥販子 要當(dāng)良醫(yī)

　　一直以來，黑客技術(shù)在馬坤心里就是一個(gè)純粹的愛好，大學(xué)畢業(yè)后，他走上了常規(guī)的職場之路，先后在政府單位和一家百年外企工作。在外企的五年里，雖然待遇豐厚，但看著技藝逐漸塵封，他還是充滿了失落。身邊的朋友們在陸續(xù)熱火朝天地創(chuàng)業(yè)，馬坤不禁心動(dòng)，“我在黑客這個(gè)事兒上投入了這么多，能不能讓興趣和事業(yè)產(chǎn)生結(jié)合呢？”

　　舉棋不定之間，有朋友給馬坤介紹了一個(gè)外包項(xiàng)目，他與黑客圈子的幾位朋友完成交付后，看到了希望——興趣能力也可以用來工作。于是，他與幾個(gè)兄弟組隊(duì)，為CNCERT檢查全國多個(gè)省運(yùn)營商網(wǎng)絡(luò)漏洞問題，這再次印證了他的希望——這項(xiàng)技能不僅可以是一份工作，網(wǎng)絡(luò)安全未來會(huì)逐漸成為一個(gè)具有市場需求的行業(yè)，自己的技術(shù)是可以有所作為的。

　　拿出工作攢下的微薄積蓄，幾個(gè)志同道合的朋友，一間辦公室，2012年，西安四葉草信息技術(shù)有限公司誕生了。

　　攜攻防技術(shù)而入行的四葉草安全，立志要成為網(wǎng)絡(luò)安全解決方案提供商，但是初入商業(yè)市場，第一課就是顛覆技術(shù)發(fā)燒友的理想化認(rèn)知。

　　“我們就是個(gè)沒活、沒客戶、沒人的三無團(tuán)隊(duì)”，馬坤回憶說，“當(dāng)時(shí)的大環(huán)境，客戶認(rèn)為做安全等于買設(shè)備，他們的合作伙伴，就是安全設(shè)備銷售商，不是我們這種徒有技術(shù)的正義黑客?！?/p>

　　商業(yè)的本質(zhì)是趨利，標(biāo)新立異并不是問題，但沒有競爭力、沒有探索出商業(yè)模式只能被火速淘汰。馬坤在理想與現(xiàn)實(shí)中彎腰，為了保證生存，轉(zhuǎn)變?yōu)殇N售角色賣了十余單安全設(shè)備。

　　在這個(gè)過程中，他卻越發(fā)肯定了自己最初的判斷?！鞍踩袠I(yè)需要解決的問題，跟生病就醫(yī)是一樣的，身體不舒服，首先應(yīng)該做診斷，因此發(fā)現(xiàn)用戶的漏洞和缺陷是第一步，然后再對癥治療，而不是不管緣由直接賣藥?！?/p>

　　病人不清楚自己哪里有問題，醫(yī)生只關(guān)注藥品的銷量和利潤，這種頭痛醫(yī)腳的怪圈是不健康的。診斷不賺錢，所以沒人重視，但馬坤覺得，該走的路，一步也不能少。

　　于是，馬坤帶領(lǐng)團(tuán)隊(duì)嘗試著新的模式，在售賣設(shè)備之前先給客戶做安全評估，拿到授權(quán)后模擬攻擊者的思路和行為進(jìn)行滲透測試，發(fā)現(xiàn)存在的缺陷弱點(diǎn)。人工安全服務(wù)何其辛苦，沒有產(chǎn)品，就只能手動(dòng)檢測每一臺機(jī)器、每一個(gè)網(wǎng)段、每一項(xiàng)配置，完全依靠專家知識和經(jīng)驗(yàn)，報(bào)酬卻非常微薄，公司發(fā)不出工資是經(jīng)常的事。

　　以攻促防 把技術(shù)沉淀成產(chǎn)品和服務(wù)

　　財(cái)務(wù)上的窘迫驅(qū)使馬坤思考公司的發(fā)展方向，完全依靠人力去做安全服務(wù)，肯定不是長久之計(jì)。一方面，身處西安的四葉草安全在人才招募上面臨瓶頸，另一方面，要把攻防技術(shù)甚至是非常攻擊者視角的知識經(jīng)驗(yàn)沉淀為更普適的、適合防守方使用的安全產(chǎn)品并不容易。

　　馬坤認(rèn)為，這需要把「人的能力」插件化，并且把讓「攻」和「防」都實(shí)現(xiàn)自動(dòng)化。

　　他和團(tuán)隊(duì)伙伴早年混社區(qū)的優(yōu)勢，搭建了一個(gè)安全社區(qū)，集思而廣益，匯集了大量的、新的、高級的黑客思維、攻擊手法，再結(jié)合四葉草安全長期積累的一線經(jīng)驗(yàn)和精湛技術(shù)，梳理進(jìn)行數(shù)據(jù)建模并輸入到產(chǎn)品頂層，發(fā)布了國內(nèi)首款基于社區(qū)的分布式漏洞掃描平臺——Bugscan。

　　在后續(xù)的產(chǎn)品設(shè)計(jì)中，馬坤解釋道，“我們有個(gè)內(nèi)網(wǎng)探針，可以抓獲內(nèi)網(wǎng)流量，以便快速學(xué)習(xí)其中的行為特征，并將其形成類似于規(guī)章制度一樣的規(guī)則。產(chǎn)品部署比較靈活，可以旁錄進(jìn)去，也可以串聯(lián)進(jìn)去，一旦發(fā)現(xiàn)異常，串聯(lián)進(jìn)去可以做攔截處理，旁錄進(jìn)去也可以做預(yù)警處理?！?/p>

　　下一步是自動(dòng)化的防御，“黑客入侵的思路通常是通過工具暴力枚舉、或者是對某個(gè)SQL注入點(diǎn)不斷進(jìn)行嘗試拆解，包括數(shù)據(jù)庫字段、表段等，從而暴露更多的敏感信息。而我們會(huì)部署動(dòng)態(tài)混淆加密技術(shù)的前置產(chǎn)品，一旦黑客訪問，URL會(huì)在一次訪問后自動(dòng)加密，待第二次訪問同一個(gè)URL時(shí)就已經(jīng)失效了。這步操作就可以抵御絕大部分工具類的黑客。”

　　這樣就形成了從內(nèi)網(wǎng)到外網(wǎng)的防范機(jī)制，實(shí)踐中會(huì)根據(jù)客戶體量，部署數(shù)量相匹配的探針及外網(wǎng)軟硬件。這套從感知、監(jiān)測到防御的安全產(chǎn)品+服務(wù)的體系被命名為感洞Bugfeel，在落地實(shí)踐中取得了良好的反饋。同時(shí)，隨著服務(wù)客戶的增多，團(tuán)隊(duì)體會(huì)到不同行業(yè)需求和場景的天差地別，四葉草安全開始從通用安全服務(wù)往細(xì)分行業(yè)發(fā)力，定制出面向金融、運(yùn)營商等行業(yè)的綜合安全解決方案。

　　從2017年起，四葉草安全與螞蟻金服達(dá)成戰(zhàn)略合作，為其平臺商戶提供全面全時(shí)段的安全檢測和監(jiān)測服務(wù)。這輪合作不僅讓四葉草安全真正面向大型互聯(lián)網(wǎng)企業(yè)積累經(jīng)驗(yàn)，也讓馬坤看到螞蟻生態(tài)中更多的中小企業(yè)面臨的安全困境——總是被攻擊被勒索，卻不知道哪里有風(fēng)險(xiǎn)，不知道怎么做防御。

　　馬坤意識到，安全不能只是行業(yè)頭部才能享受的服務(wù)，中小企業(yè)的安全需求同樣是普遍而急迫的。他們將旗下產(chǎn)品與服務(wù)進(jìn)行整合，推出了SaaS化智能化服務(wù)平臺凌洞，提供一站式的安全產(chǎn)品服務(wù)，可以幫助用戶用更低的成本、更高的效率建立起安全屏障。

　　做正確的事 市場會(huì)給你答案

　　如果完全從商業(yè)的角度考慮，服務(wù)中小企業(yè)可能并不是最上乘的選擇。目光拉長，我們回望四葉草安全的十年，會(huì)發(fā)現(xiàn)馬坤的選擇與答案。

　　就像創(chuàng)業(yè)之初大家都在賣盒子的時(shí)候，他也知道做安全檢測不賺錢、做安全服務(wù)很累人，但該走的路還是要走的。就像還作為獨(dú)立黑客的時(shí)候，擁有高超技術(shù)要想變現(xiàn)并不是太難的事情，但輕松的選擇不等于就是對的。

　　在2015年拿到Pre-A 輪融資之前，四葉草安全出現(xiàn)過幾次發(fā)不出工資的情況，直到2017年，公司才開始走出虧損實(shí)現(xiàn)盈利?！俺掷m(xù)的投入、長久的蟄伏確實(shí)是熬人的，但堅(jiān)持做正確的事，市場是會(huì)看到的。”馬坤表示，“我們總是在說安全行業(yè)要守護(hù)國家數(shù)字經(jīng)濟(jì)建設(shè)的安全底線，這么多中小企業(yè)的安全缺陷不就是底線嗎？安全不應(yīng)該讓他們望而生畏，我們有能力和經(jīng)驗(yàn)，服務(wù)中小企業(yè)是非常適宜非常應(yīng)該的?！?/p>

　　其實(shí)，堅(jiān)持本心不是為了感動(dòng)自己，作為一個(gè)企業(yè)家，對員工、對行業(yè)、對股東都負(fù)有重要的責(zé)任。馬坤認(rèn)為，走正確的路，不僅是贏得自我尊重和旁人喝彩，哪怕是最世俗的財(cái)務(wù)回報(bào)，也會(huì)在正確的道路上悉數(shù)回饋。

　　他表示，能夠在資源無法抗衡一線城市、經(jīng)營狀況欠佳的境遇中獲得資本支持，更多就是對團(tuán)隊(duì)理念和價(jià)值觀的認(rèn)可。此后，他們幾乎保持著每兩年一輪的融資節(jié)奏，其中包括螞蟻金服的巨額注資，客戶和市場當(dāng)然不是用腳投票的。截至目前，四葉草安全已累計(jì)為6100多個(gè)用戶項(xiàng)目提供技術(shù)服務(wù)和安全保障，同時(shí)旗下的感洞平臺為1700多萬互聯(lián)網(wǎng)企業(yè)的資產(chǎn)安全風(fēng)險(xiǎn)持續(xù)保駕護(hù)航。這些成果，是十年的堅(jiān)持帶來的。

　　馬坤的赤子之心不僅體現(xiàn)在做產(chǎn)品服務(wù)客戶上，他們還一手搭建了網(wǎng)絡(luò)安全人才培養(yǎng)體系。自學(xué)成才的他深諳技術(shù)人才對于行業(yè)發(fā)展的重要性，安全公司不能沒有人，但是如何挖掘理想的人才、如何培養(yǎng)出技術(shù)精湛的人才，一直存在很大的市場缺口。

　　早期的安全社區(qū)和Bugscan為喜愛或從事安全工作的技術(shù)人員提供了學(xué)習(xí)與交流的陣地，自此，他們基于自身的攻防實(shí)戰(zhàn)基因打造了網(wǎng)絡(luò)攻防實(shí)訓(xùn)平臺、網(wǎng)絡(luò)攻防競賽平臺，并從2015年開始舉辦SSCTF網(wǎng)絡(luò)安全技能大賽，開鑿安全從業(yè)者水平縱向成長路徑。

　　如今，公司已經(jīng)成立了網(wǎng)絡(luò)安全人才培養(yǎng)專屬部門——四葉草網(wǎng)絡(luò)安全人才培養(yǎng)與創(chuàng)研中心，提供數(shù)字時(shí)代下的安全學(xué)習(xí)產(chǎn)品、靶場產(chǎn)品、安全保障服務(wù)、安全競賽服務(wù)、認(rèn)證培訓(xùn)服務(wù)等，形成人才培養(yǎng)、技術(shù)創(chuàng)新、產(chǎn)業(yè)發(fā)展的良性生態(tài)。

　　回過頭看，四葉草安全的業(yè)務(wù)覆蓋了漏洞風(fēng)險(xiǎn)發(fā)現(xiàn)、安全防御體系建設(shè)和攻防實(shí)戰(zhàn)型人才培養(yǎng)，始終是圍繞著其提倡的「以攻促防」理念來為行業(yè)提供服務(wù)和價(jià)值。

　　行業(yè)逐漸細(xì)分 搞安全從來都不容易

　　這十年不僅是四葉草安全從無到有的十年，網(wǎng)絡(luò)安全行業(yè)也從不完全成體系到如今細(xì)分領(lǐng)域眾多、參與者眾多，整體呈現(xiàn)蓬勃向上的大好發(fā)展之勢。

　　馬坤認(rèn)為，現(xiàn)在的安全創(chuàng)業(yè)起步或許會(huì)變得更加簡單，但實(shí)現(xiàn)安全本質(zhì)、滿足安全需求也會(huì)變得更難。

　　行業(yè)起步階段，傳統(tǒng)安全廠商傾向于做大而全的業(yè)務(wù)，但實(shí)際上，用戶并不是需要一個(gè)全家桶，只是基于一些客觀現(xiàn)實(shí)環(huán)境，用戶可能并不希望引入很多的安全服務(wù)商，他會(huì)希望有一個(gè)服務(wù)商來解決所有的安全問題。這導(dǎo)致了安全行業(yè)中一個(gè)很現(xiàn)實(shí)的痛點(diǎn)——同質(zhì)化嚴(yán)重。

　　往后發(fā)展，安全需要能真正解決問題，行業(yè)必然會(huì)趨于細(xì)分。雖然底層技術(shù)——無論是操作系統(tǒng)、協(xié)議或是算法是通用的，但是賦予到上層應(yīng)用時(shí)，面臨的是不同的業(yè)務(wù)場景，會(huì)促使針對性更強(qiáng)的、聚焦細(xì)分領(lǐng)域的安全解決方案的出現(xiàn)。同時(shí)，在面向的客戶行業(yè)也會(huì)趨于細(xì)分。比如，運(yùn)營商會(huì)有自己的政策和訴求，金融行業(yè)有相應(yīng)的標(biāo)準(zhǔn)和等級，甲方對于安全的需求越來越旺盛、同時(shí)也越來越精細(xì)。

　　反映到如今的安全創(chuàng)業(yè)生態(tài)中，資本市場和創(chuàng)業(yè)企業(yè)都會(huì)去瞄準(zhǔn)一些細(xì)分的安全理念、技術(shù)趨勢，比如專注于數(shù)據(jù)安全、業(yè)務(wù)安全、交付安全等等，設(shè)計(jì)出能與大廠同臺競爭的方案和服務(wù)，滿足對口客戶的需求。

　　對于創(chuàng)業(yè)者來說，無論是投資環(huán)境還是國家政策和客戶意識，無疑是比十年前健全很多的，創(chuàng)業(yè)不再那么舉步維艱。但與之相對應(yīng)的，安全技術(shù)和客戶業(yè)務(wù)的融合要求變得更高，不懂業(yè)務(wù)很難能把安全做好，各行各業(yè)的信息化依賴程度只會(huì)越來越高，一旦發(fā)生安全事故往往都是大事，滿足合規(guī)和保障安全都不可掉以輕心，雖然政策東風(fēng)頻吹、資本信息高漲、市場在持續(xù)擴(kuò)大，看似無限機(jī)會(huì)在前方，想要活下去、立得住，需要有真功夫。

　　談到四葉草安全的下一個(gè)十年，馬坤表現(xiàn)得非常理性，“按照現(xiàn)在的速度，無論是技術(shù)變革還是市場需求，十年足以翻天覆地，我不想去吹牛。但我們希望，未來三年內(nèi)努力讓公司上市，讓更多的人能知道我們四葉草安全。每個(gè)人的精力有限，企業(yè)也一樣，我們也需要專注，我們會(huì)繼續(xù)致力于‘先于黑客發(fā)現(xiàn)并解決問題’的思路，在安全攻防領(lǐng)域?yàn)榇蠹冶ｑ{護(hù)航，獲得行業(yè)和市場的認(rèn)可。下一個(gè)十年究竟會(huì)是什么樣，我們一起拭目以待?！?/p>

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<