日韩欧美另类久久久精品_亚洲大色堂人在线无码_国产三级aⅴ在线播放_在线无码aⅴ精品动漫_国产精品精品国产专区

我要投稿 投訴建議

從付不起工資到超三千萬(wàn)融資

時(shí)間:2021-01-08 13:25:45 創(chuàng)業(yè)故事 我要投稿

從付不起工資到超三千萬(wàn)融資

  從黑客到安全公司,從付不起工資到超三千萬(wàn)融資。下面看看四葉草安全創(chuàng)始人馬坤的故事。

  從安全小白到滲透高手

  日歷翻回到14年前

  2001年4月1日發(fā)生中美撞機(jī)事件后,中美兩國(guó)的黑客之間爆發(fā)了看不見(jiàn)的戰(zhàn)爭(zhēng),兩國(guó)網(wǎng)站上的黑客攻擊事件每天都要發(fā)生40到50起。馬坤就是這場(chǎng)中美黑客大戰(zhàn)當(dāng)中的一員,彼時(shí),他化名為某ID,以HUC(中國(guó)紅客聯(lián)盟)成員的身份在一個(gè)個(gè)美國(guó)網(wǎng)站上掛上了五星紅旗。

  馬坤與安全行業(yè)結(jié)緣還要從他那次并不算成功的高考說(shuō)起,由于發(fā)揮失常,本可以去到頂尖大學(xué)的他被調(diào)配到了一所較為普通的一本類(lèi)理工院校,學(xué)習(xí)測(cè)控技術(shù)與儀器專業(yè)。

  看著平日一起玩耍的小伙伴一個(gè)個(gè)都踏進(jìn)了心儀的學(xué)府,一向要強(qiáng)的馬坤心里滿是失落,他漸漸開(kāi)始不去上課,與曾經(jīng)的自己背道而馳。

  可以說(shuō)是緣分奇妙,也可以說(shuō)是命運(yùn)使然,馬坤就在那時(shí)接觸到了網(wǎng)絡(luò)安全,并從那次中美黑客大戰(zhàn)后開(kāi)始慢慢的迷上這個(gè)行業(yè)。當(dāng)時(shí)在安全行業(yè)根本沒(méi)有當(dāng)今各種各樣的培訓(xùn),馬坤全憑著熱愛(ài)兩字到處看各種教程,擺弄一些黑客小工具,從QQ號(hào)相關(guān)技術(shù)開(kāi)始熟悉遠(yuǎn)程控制、木馬、鍵盤(pán)記錄等技術(shù)。

  為了炫耀技術(shù)在大一通過(guò)IPC共享的漏洞控制了整個(gè)機(jī)房的電腦,讓它們彈出一些恐怖嚇人的網(wǎng)頁(yè);為了找失聯(lián)的同學(xué),滲透進(jìn)某整個(gè)省的高校,在網(wǎng)站的js文件中掛出尋人啟事,“做過(guò)很多這種無(wú)厘頭的事情,就是因?yàn)橄矚g”,馬坤說(shuō),“最后還真把人找到了。”

  馬坤在其中越鉆越深,天天在網(wǎng)吧跟同學(xué)一塊通宵,同學(xué)玩游戲,馬坤玩一會(huì)游戲看一會(huì)黑客相關(guān)的東西。從一些國(guó)內(nèi)黑客社區(qū)學(xué)的東西已經(jīng)不能滿足他的獵奇心,逐漸他與國(guó)外的滲透好手們切磋技藝,在滲透領(lǐng)域掌握了很多經(jīng)驗(yàn),2005年已經(jīng)是滲透領(lǐng)域高手的馬坤作以核心成員的身份加入了FST(火狐技術(shù)聯(lián)盟),他的ID是cnfjhh,圈內(nèi)人稱cn。

  “因?yàn)檫@方面比較神秘,而我是一個(gè)對(duì)未知領(lǐng)域很有興趣的人。但當(dāng)真正接觸到這個(gè)行業(yè)以后,我才發(fā)現(xiàn)有很多很多東西等著去學(xué),越學(xué)越覺(jué)得自己很淺薄,所以從03年感覺(jué)真正入門(mén)到07年一直在學(xué)習(xí)各種知識(shí),到后來(lái)有的網(wǎng)站我大概看幾眼就知道能不能搞定,而網(wǎng)站本身只是打開(kāi)滲透之路的門(mén),后面的路還很長(zhǎng),能不能拿下目標(biāo),靠的是經(jīng)驗(yàn)、思路和耐心”,馬坤說(shuō)。

  2006年,網(wǎng)游《魔獸世界》火爆全球,美國(guó)的暴雪公司也名聲大噪,當(dāng)時(shí)馬坤受到了朋友的鼓動(dòng):“聽(tīng)說(shuō)你能力很強(qiáng),有本事把暴雪黑了”。要強(qiáng)的馬坤聽(tīng)了之后比較受刺激,于是就摩拳擦掌準(zhǔn)備堵住朋友的嘴,但沒(méi)想到過(guò)程卻意外地輕松。

  “那就試一下,沒(méi)想成無(wú)意中發(fā)現(xiàn)一個(gè)簡(jiǎn)單的漏洞很快就搞進(jìn)去了”,馬坤說(shuō),“發(fā)現(xiàn)web有負(fù)載均衡,整個(gè)滲透持續(xù)了好幾天,終于進(jìn)到內(nèi)網(wǎng),在整個(gè)滲透過(guò)程中并沒(méi)有改對(duì)方的東西,也沒(méi)有留任何后門(mén),我滲透喜歡記錄管理的習(xí)慣,日志痕跡也不留,碰到一些審計(jì)設(shè)備也會(huì)想辦法繞過(guò)他們,后來(lái)只在暴雪官方主頁(yè)留下一個(gè)‘Test by cnfjhh’的文本。我對(duì)安全是很喜歡的,我要得只是證明自己行,絕不因?yàn)閯e的誘惑去玷污愛(ài)好。”

  因?yàn)闊釔?ài),所以回程

  滲透暴雪事件結(jié)束后,馬坤受到很多外界的干擾就沒(méi)有繼續(xù)他的黑客事業(yè),去了當(dāng)?shù)厥泄ど叹止ぷ,一年后又去一家百年外企從事與大學(xué)專業(yè)相關(guān)的工作。在外企5年的時(shí)間里,馬坤已經(jīng)把技術(shù)慢慢的放下了,雖然外企的待遇比較好,但是找不到存在感,他依然向往著網(wǎng)絡(luò)世界的`明槍暗箭,向往著滲透成功的歡呼雀躍。

  “可能就是因?yàn)樵诤诳瓦@個(gè)興趣上投入的太多,這個(gè)領(lǐng)域已經(jīng)和我已經(jīng)融合在一塊了。當(dāng)時(shí)看到好幾個(gè)哥們都在創(chuàng)業(yè),自己也有了這個(gè)念頭。”

  讓馬坤正式有了創(chuàng)辦公司的念頭是在2012年,與MS等幾個(gè)多年兄弟組了團(tuán)隊(duì),為CNCERT檢查全國(guó)多個(gè)省運(yùn)營(yíng)商網(wǎng)絡(luò)漏洞和問(wèn)題。這個(gè)契機(jī)使得馬坤覺(jué)得安全領(lǐng)域還是有所可為的,并且以后會(huì)逐漸變成一個(gè)需求更多的行業(yè)。

  由于在外企工作多年,自己慢慢也有了點(diǎn)小積蓄,于是在2012年底馬坤和他的朋友創(chuàng)辦了四葉草,公司是創(chuàng)辦了,然后呢?

  沒(méi)有項(xiàng)目,沒(méi)有客戶,沒(méi)有人。

  “當(dāng)時(shí)很多客戶對(duì)安全的理解就是采購(gòu)設(shè)備,這跟我最開(kāi)始的觀點(diǎn)是格格不入的。我們是想做成一個(gè)方案解決商,而不是安全設(shè)備的銷(xiāo)售商。國(guó)內(nèi)的安全行業(yè)絕大多數(shù)都是在做設(shè)備,可能是因?yàn)槔麧?rùn)來(lái)的快。發(fā)現(xiàn)用戶漏洞和缺陷是第一步,但第一步就沒(méi)有人重視,因?yàn)檫@一步不賺錢(qián)做的人就很少,大家都在趨利,要是格格不入的話就會(huì)逐漸被淘汰。”

  韜光養(yǎng)晦,厚積薄發(fā)

  情懷歸情懷,公司還是要生存下去的。馬坤認(rèn)真的思考了幾個(gè)月后,覺(jué)得該走的路還是要走,開(kāi)始親力親為跑客戶,在公司成立之初也賣(mài)過(guò)十余單的安全設(shè)備。

  從一個(gè)技術(shù)發(fā)燒友的變成銷(xiāo)售的過(guò)程,馬坤坦言“內(nèi)心很復(fù)雜,但為了公司活下去這又是不得不做的。”有這些經(jīng)歷更讓馬坤覺(jué)得安全市場(chǎng)的缺口是很大的。

  “用戶解決安全問(wèn)題這個(gè)過(guò)程,就好比一個(gè)人頭痛,并沒(méi)有人給他做診斷,讓他買(mǎi)了很多胃藥,這個(gè)過(guò)程中用戶并不知道痛點(diǎn)在哪,而對(duì)方只關(guān)心藥賣(mài)的如何”,馬坤在這個(gè)節(jié)骨眼上萌生了要幫用戶去發(fā)現(xiàn)問(wèn)題的想法,“知道問(wèn)題在哪,才能去解決。”

  這時(shí)公司已經(jīng)成立了多半年,公司開(kāi)始嘗試去接一些安全廠家的外包,也就是賣(mài)設(shè)備之前的一些安全評(píng)估,在獲得授權(quán)的情況下完全模擬黑客的思路去發(fā)現(xiàn)用戶本身的安全缺陷。

  這種事情很不賺錢(qián),按每人每天計(jì)算,大部分就是幾百塊錢(qián),好一點(diǎn)也就一千多塊。有時(shí)候只需要檢測(cè)一臺(tái)主機(jī),而有時(shí)候是很多個(gè)網(wǎng)段,“這個(gè)情況沒(méi)法去計(jì)較工作量的問(wèn)題了,有的工作量非常大,而且是純手工活,時(shí)間緊迫,你必須快速完成。”

  “觸動(dòng)最深的是一次去某用戶那干活,有三四百臺(tái)問(wèn)題主機(jī)上千種應(yīng)用擺到面前,需要一個(gè)一個(gè)去發(fā)現(xiàn)問(wèn)題并處理問(wèn)題。干兩個(gè)星期下來(lái)用戶說(shuō)話沒(méi)算數(shù)只結(jié)算了幾百塊,我們還是硬著頭皮把事干完了,這不是為了盈利或怎樣,就是為了總結(jié)其中出現(xiàn)的問(wèn)題便于給團(tuán)隊(duì)增加經(jīng)驗(yàn)。由于項(xiàng)目都是背靠背,公司很多時(shí)候賬戶上沒(méi)錢(qián)發(fā)不起工資。”

  這些經(jīng)驗(yàn)成為了他們寶貴的財(cái)富,也成為四葉草團(tuán)隊(duì)承辦多個(gè)CTF比賽和完善分布式漏洞掃描平臺(tái)Bugscan等產(chǎn)品而厚積薄發(fā)的一部分。

  專注服務(wù),做透做深

  Bugscan是面向安全領(lǐng)域的發(fā)燒友和極客們的免費(fèi)漏洞掃描平臺(tái),傳統(tǒng)的特征庫(kù)對(duì)比的方式查找漏洞因?yàn)槿鄙傩袨樽R(shí)別導(dǎo)致誤報(bào)比較多。它采用分布式漏洞掃描,可對(duì)目標(biāo)快速準(zhǔn)確的掃描,用戶也可制作上傳插件,通過(guò)模擬行為提高準(zhǔn)確度。四葉草還采用與主框架相同的Python語(yǔ)言編寫(xiě)了漏洞社區(qū)“圈子”,把安全圈的高手匯集到一起,由他們主動(dòng)發(fā)現(xiàn)問(wèn)題,相同的編寫(xiě)語(yǔ)言可以讓愛(ài)好者們通過(guò)討論交流直接在社區(qū)中該進(jìn)插件并讓主框架直接調(diào)用,“圈子”和Bugscan平臺(tái)之間產(chǎn)生了很深的紐帶。

  (Bugscan漏洞掃描平臺(tái))

  馬坤表示Bugscan由同事小Z在2011年年底就開(kāi)始做了,經(jīng)過(guò)西瓜、老武和不流暢等同事多次代碼重構(gòu)后已經(jīng)非常完善了,他們于2015年2月份正式對(duì)外發(fā)布。

  “在國(guó)內(nèi)對(duì)漏洞有深刻理解,又有相關(guān)編程能力的人群大概不到兩萬(wàn)。過(guò)去黑客技術(shù)只能靠自學(xué),現(xiàn)在的孩子很幸福,可以有各種培訓(xùn)機(jī)構(gòu)和地方去學(xué)習(xí),但是學(xué)習(xí)是需要時(shí)間的,所以這方面的人才補(bǔ)充會(huì)有一個(gè)醞釀期,在未來(lái)三到五年才會(huì)補(bǔ)充現(xiàn)在的需求缺口,所以現(xiàn)在局面很尷尬,國(guó)內(nèi)目前安全行業(yè)很缺人,而我們做的事,能在一定程度上激發(fā)安全愛(ài)好者們水平的縱向成長(zhǎng)。我們公司除了有做滲透測(cè)試、代碼審計(jì)、二進(jìn)制領(lǐng)域的,還有做前端開(kāi)發(fā)、底層模塊開(kāi)發(fā)、固件開(kāi)發(fā)、協(xié)議分析、ACM算法等領(lǐng)域的兄弟。”

  直到去年年底,四葉草整個(gè)團(tuán)隊(duì)還只有十幾個(gè)人,馬坤想拉以前玩滲透的高水平戰(zhàn)友入伙,他們水平雖高,但不屑于做安全行業(yè),因?yàn)檫@個(gè)行業(yè)不賺錢(qián),沒(méi)幾個(gè)人愿意來(lái)。安全公司不能沒(méi)有人,不能什么事都來(lái)自己干。為了有效地發(fā)現(xiàn)人才,四葉草安全從辦第一個(gè)CTF(SSCTF)到近期的華山杯比賽,中間陸陸續(xù)續(xù)的舉辦多場(chǎng)比賽,效果都非常好,讓更多黑客愛(ài)好者們知道了四葉草安全,很多比賽場(chǎng)景源自他們團(tuán)隊(duì)這么幾年來(lái)在一線辛苦的摸爬滾打而積累的經(jīng)驗(yàn)。

  現(xiàn)在四葉草安全整個(gè)團(tuán)隊(duì)已經(jīng)擴(kuò)張到了四十多人,馬坤也在著手他們新產(chǎn)品Bugfeel(感洞)的推出。漏洞感知平臺(tái)Bugfeel不同于Bugscan的免費(fèi)模式,它是一個(gè)較為商業(yè)化的服務(wù),采用了雙引擎技術(shù),可全方位的對(duì)云服務(wù)進(jìn)行自動(dòng)觸發(fā)式的漏洞發(fā)現(xiàn),也可對(duì)App的服務(wù)端和通訊過(guò)程進(jìn)行有效識(shí)別。Bugfeel(感洞)可通過(guò)與私有云服務(wù)商進(jìn)行定制化服務(wù)實(shí)現(xiàn)商業(yè)化。目前Bugfeel(感洞)已完成兩輪功能測(cè)試,第三輪測(cè)試完成后會(huì)正式推向市場(chǎng)。

  “其實(shí)一開(kāi)始我是拒絕投資的”

  隨著公司逐步走向正軌,安全行業(yè)內(nèi)優(yōu)秀公司的稀缺也使得一些投資機(jī)構(gòu)主動(dòng)找到馬坤談投資的相關(guān)事宜,但馬坤最初對(duì)此的態(tài)度卻是不當(dāng)回事,用他的話來(lái)說(shuō)是這個(gè)階段他們已經(jīng)可以自給自足了。

  “以前看過(guò)很多新聞,說(shuō)有的公司拿了融資反而整個(gè)步伐往另外一個(gè)方向去走了,變得不做事了。所以在早期我對(duì)融資的態(tài)度是比較排斥的,雖然整個(gè)安全服務(wù)行業(yè)都不太盈利,可我們現(xiàn)階段可以養(yǎng)活自己了。但是和如山創(chuàng)投老總聊后改善了對(duì)投資的看法,他說(shuō)現(xiàn)在國(guó)外的安全服務(wù)企業(yè)譬如Fire Eye,他們都是虧損的,所以他不害怕我們虧損,只需要把影響力做出來(lái)。”

  馬坤透露這次投資方的股權(quán)只占到了很小的一部分,四葉草的估值是幾個(gè)億,他們沒(méi)有什么限制條件和對(duì)賭協(xié)議,最讓馬坤感受到誠(chéng)意的還是一個(gè)字:快。

  “從今年11月初他們過(guò)來(lái)找我們談到最終簽訂合同只花了不到兩周的時(shí)間,簽訂后一周錢(qián)就到賬了,總共也就20天左右的時(shí)間。因?yàn)楹芏嗤鞋F(xiàn)在也都在拿融資,發(fā)展速度很快,競(jìng)爭(zhēng)激烈,經(jīng)過(guò)思考,我覺(jué)得這個(gè)融資是可以拿的,但是我們把它要用到點(diǎn)上。”

  于是四葉草在最近提出了一個(gè)“佰萬(wàn)計(jì)劃”,拿出數(shù)百萬(wàn)元去回饋圈子漏洞社區(qū)的愛(ài)好者們,給他們的貢獻(xiàn)進(jìn)行補(bǔ)貼和激勵(lì)。“這是以前想去做但是沒(méi)有能力做的事情,可能這也是拿融資的一個(gè)好處吧”,馬坤笑道。

  除了回饋安全愛(ài)好者、深化產(chǎn)品、擴(kuò)張團(tuán)隊(duì),馬坤對(duì)這幾千萬(wàn)怎么花暫時(shí)還未想好,不變的是未來(lái)四葉草還會(huì)繼續(xù)做服務(wù),他覺(jué)得這只是剛剛開(kāi)始,將漏洞發(fā)現(xiàn)這個(gè)細(xì)分領(lǐng)域做專,并逐漸把四葉草的新型模式推向全球市場(chǎng)。

  要合作,要聯(lián)合

  “現(xiàn)在安全行業(yè)說(shuō)實(shí)話很小,大家都很艱苦,本身就是一個(gè)很小的行業(yè)再去互相擠兌,對(duì)行業(yè)對(duì)自己都沒(méi)有好處,還不如抱團(tuán)取暖,共同進(jìn)步,再說(shuō)被模仿說(shuō)明你選的路是對(duì)的”, 面對(duì)BAT等大公司在安全領(lǐng)域的快速布局和同行的模仿等壓力時(shí),馬坤說(shuō)。

  目前BAT等大型互聯(lián)網(wǎng)公司旗下的安全團(tuán)隊(duì)主要精力還是要放在內(nèi)部公司系列產(chǎn)品的安全上,主要負(fù)責(zé)解決自己內(nèi)部的安全問(wèn)題。馬坤認(rèn)為四葉草與他們之間是沒(méi)有業(yè)務(wù)沖突的,反而還會(huì)聯(lián)合起來(lái),安全行業(yè)之間的協(xié)同合作很重要。

  “有些時(shí)候大公司內(nèi)部出現(xiàn)問(wèn)題安全部門(mén)很難處理的面面俱到,可以用我們或同行的服務(wù)模式減輕他們的壓力。我們常聽(tīng)說(shuō)一個(gè)小黑客拿下某某大型系統(tǒng),對(duì)此我覺(jué)得一點(diǎn)都不奇怪,一個(gè)用戶好比色子有很多點(diǎn),攻擊的人只需要從一個(gè)點(diǎn)鉆進(jìn)去,防御的人卻需要把所有的點(diǎn)都堵住,攻防本來(lái)就不對(duì)等,做安全的人很不容易,要耐得住性子,攻防之路還會(huì)很長(zhǎng)很長(zhǎng),要抗衡就需要聯(lián)合更多有實(shí)力的安全力量,讓防御的效率和質(zhì)量要跟得上趟才行。”

  除了運(yùn)營(yíng)商、政府、能源、電力等等行業(yè)和BAT等大型互聯(lián)網(wǎng)公司,信息安全對(duì)中小型、小微型企業(yè)同樣重要,四葉草曾在2014年為某億級(jí)APP做的授權(quán)滲透測(cè)試,一個(gè)四葉草的技術(shù)人員用了一下午的時(shí)間就獲取了其內(nèi)網(wǎng)的最高權(quán)限。

  “如果這個(gè)人是個(gè)心懷不軌的黑客的話,滲透后可以拿到源代碼,所有的用戶數(shù)據(jù),公司的資料包括在線支付系統(tǒng)等等,這種情況下后果會(huì)是什么樣子?數(shù)據(jù)會(huì)賣(mài)給同行,或者制造一個(gè)大新聞,這樣會(huì)讓競(jìng)爭(zhēng)對(duì)手非常的開(kāi)心,很有可能會(huì)讓這個(gè)新生而有錢(qián)的公司down掉。”

  細(xì)分是行業(yè)大趨勢(shì)

  馬坤表示安全行業(yè)的細(xì)分化會(huì)是一個(gè)趨勢(shì),包括了不同領(lǐng)域的細(xì)分和不同服務(wù)的細(xì)分。

  對(duì)于領(lǐng)域的細(xì)分,馬坤相信在不遠(yuǎn)的未來(lái),智能設(shè)備的普及、工業(yè)自動(dòng)化控制以及移動(dòng)端的安全這三個(gè)領(lǐng)域?qū)?huì)是發(fā)展的重中之重。同時(shí)他非常認(rèn)同服務(wù)的細(xì)分,“安全領(lǐng)域里一個(gè)公司不可能做的面面俱到,只能去做自己擅長(zhǎng)的,在一個(gè)領(lǐng)域做得足夠深,在市場(chǎng)上產(chǎn)生正向效應(yīng),這就很棒。”

  天使惡魔,一念之間

  “安全會(huì)是信息化的脊梁,協(xié)議、算法、系統(tǒng)的缺陷是會(huì)不斷的被發(fā)現(xiàn),應(yīng)用的多樣化會(huì)讓更多行業(yè)都離不開(kāi)它,所以它會(huì)和信息化共存,這也是我把它堅(jiān)持下去的原因之一。我們這個(gè)行業(yè)有很多人去做了黑色產(chǎn)業(yè)鏈,我一直都比較抵觸這些東西。不過(guò)這個(gè)世界上沒(méi)有太多壞人,更多的是迷茫的人,安全行業(yè)大有可為,他們是可以被慢慢引導(dǎo)的。”

  對(duì)想要有在網(wǎng)絡(luò)安全行業(yè)從業(yè)或創(chuàng)業(yè)的人,馬坤給出了他的建議:“堅(jiān)持和喜歡,這兩點(diǎn)非常重要,而最重要的是心存正義,要能夠抵御一些誘惑。在一個(gè)細(xì)分領(lǐng)域往深鉆,不要去做面面俱到的人。如果只是想賺錢(qián)來(lái)這個(gè)行業(yè),那趁早到別的行業(yè)去,因?yàn)檫@個(gè)行業(yè)真的很苦。”

【從付不起工資到超三千萬(wàn)融資】相關(guān)文章:

單位不簽合同需付雙倍工資02-11

多付工資就屬于特殊待遇?05-22

創(chuàng)業(yè)融資前到準(zhǔn)備07-27

付海超的大學(xué)生創(chuàng)業(yè)故事04-22

肉麻到起雞皮的情話02-18

昆明醫(yī)保起付線2015年2月1日起調(diào)整02-11

長(zhǎng)眠不起成語(yǔ)01-17

2014年秋季起研究生全自費(fèi) 碩士學(xué)費(fèi)不超8000(全文)08-04

心痛到無(wú)法呼吸的超傷感語(yǔ)句01-24