重返聚光灯，绿盟做对了什么？
2018/4/16 12:04:30 浅黑科技

    

    

     浅友们大家好~我是史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事，不妨加微信(微信号：shizhongst)告诉我，反正我也不一定撩得到。

     重返聚光灯，绿盟做对了什么？

     文 | 史中@浅黑科技

     在我眼里，曾聚集了中国最顶尖黑客的绿盟已经沉默了很久。想到它，我脑海中就浮现出一个透明的绿巨人，坐在桌边喃喃自语。

    

     讲道理，这和它的传奇过往显得并不搭配。(有关绿盟的传奇往事，中哥以后开贴专门聊，有想听的童鞋举个爪)但这个世界的善良之处就在于，它经常猝不及防地给你一些温情反转。

     2018年元旦开始，绿盟股价结束了两年半的下跌，从不到9块上升到13，比最低点回升 50%。也几乎是同时，他们的声音在嘈杂的舆论背景声中重新变得清晰。高管出街和发布行业报告的密度陡然提高，存在感一波高过一波。

     比起那些闷头赚钱(或者闷头没赚钱)的老哥们，“重返聚光灯”这五个字送给绿盟，应该是没毛病。

     归来的历程，绿盟冷暖自知。而从旁观者的角度看，他们一定是做对了什么。

     我关心两个问题：

     1、作为公司，能否从绿盟身上学到传统安全企业转型的“标准姿势”？

     2、作为个体，能否从绿盟的转身中获得经验：一个沉默许久的人，应该如何重返战场？

     我把绿盟的操作总结成三招，希望对你也有帮助：

     Let's Rock !

     第一招：精选一首“主打歌”

     在很多人心中，绿盟以安全产品见长，擅长造“工具”。它的各种产品就像刀枪剑戟一样，十八般兵刃可以挂满一面墙，让人眩晕。

     然而，就像某些电视剧片尾曲歌手，唱功人人挑大拇哥，但就是不温不火。原因就在于没有一个“主打歌”把它的形象钉在观众的脑子里。

     所以，绿盟返回战场前，迫切需要一个“主打歌”。这个主打歌会是绿盟诸多硬件之一吗？显然不是。

     执着于工具本身，并不一定带来生存优势。

     我想到一个小栗子：

     解放战争时期，国民党军配置重型美式装备，解放军大多是一些从日本缴获的轻型武器。

     但是，标准美式装备有两个巨大的弱点：

     1、对道路的平整度要求非常高。

     2、需要耗费大量能源。

     而小米加步枪却非常好地适应了中国一穷二白破破烂烂的现实情况，机动性爆棚。

     战争的结果人尽皆知。解放军胜利的一个巨大原因就是：看到了战争的“终点”是“消灭对手”，而不是“使用先进的武器”。

     作为战争在赛博世界的翻版，网络安全同样是如此。

     企业用户想要看到的终点是“解决安全问题”，而不是“拥有安全产品”。

     从这个终点反推，绿盟找到的“主打歌”就是——威胁情报。

    

     打个小比方：

     硬件端就像一个人的四肢、胸肌、腹肌；

     而威胁情报就是一个人的认知(注意不是大脑，也不是智商)。

     绿盟的硬件端是它的最强优势，这是路人甲都知道的事实。但我想说，强壮的身躯，并不意味着打架一定能赢。看过《霍元甲》你就能体会这种感觉。

    

     更为重要的是，你要知道对方会怎样出拳，甚至要知道不同的格斗拳路和风格，这就是“认知”。当你的大脑可以判断出对手下一拳会打到哪里，此时你就能优雅地调动全身肌肉躲闪，然后给对手致命一击。

     结论是：

     只有你具备了“认知”(威胁情报)这个前提，你发达的肱二头肌(硬件产品)才能被正确运用。

    

     绿盟的官方说法，把这种“脑手协作”叫做“云地协同”，这背后的台词是：

     肌肉发达的绿巨人试图克制自己的“优势依赖”，慢慢学会有收有放。用认知来控制强壮的身体，而不是把传统优势榨干到极限。

     找到主打歌，只是第一步。接下来就要把整个专辑卖出去。

     既然企业的终极要求是“解决安全问题”，那么大多企业都需要网络安全提供商回答下列问题：

     1、你能解决我的什么问题？

     2、你用什么方法，什么技术解决我的问题？

     3、你是否能提供一个客观的标准，让我能够独立比对你和同类产品？

     于是，绿盟罗列了几个企业最需要自己的场景，举几个例子：

     1、企业安全平台：解决“谁在搞我？”的问题。

     2、安全态势感知方案：解决“谁想搞我？”的问题。

     3、威胁分析系统：解决“谁搞了我？”的问题。

     4、威胁情报中心：解决“黑客怎么搞的我？”的问题。

     等等等等，还有不少。

     这就像孙思邈把诸味道草药组合成固定的药方，恰能对症治疾一般。

     这是一种比较务实的心态：你有病。我有药。你关心我的药是什么成分，我也可以解释清楚；你不关心我药的成分也没问题，不看广告看疗效。

     好了，总结一下绿盟的第一招：

     企业安全的终点是“远离风险”，盯着这个目标，盘算自己的“主打歌”；

     “主打歌”应该是“威胁情报”，用“威胁情报”支配优异的“硬件产品”；

     主打歌 Ready，然后寻找用户的痛点，为这些痛点设计具体的“全套服务”。

     从终点反推路径，从路径反推方案。一目了然。

     套用绿盟科技副总裁宫智的话说就是：“从被动响应变成主动出击。”至此，“挣扎”终于变成了“奋斗”。一切开始顺理成章了。

     第二招：让别人感受到你的“神操作”

     就像一把芭蕉扇。“威胁情报”是扇柄，处在枢纽位置。“硬件产品”是扇骨，给人带来最直接的效果。

    

     然而，这把芭蕉扇能扇灭火焰山的前提是，扇骨要足够坚硬。也就是说，绿盟的威胁情报能力起码要及格。

     那么，绿盟的威胁情报能力到底行不行？

     之前一些网络安全业内人士对我表达了这样的观点：绿盟“端”的数量不够，且分布不均，没有强大的威胁情报收集能力。

     开始我觉得好有道理，你看人家XXX，那么多端，收集那么多海量数据。但是和更多大牛聊过之后，我觉得不能这样简单地理解。

     要想说明什么样的威胁情报是好情报，还得回到企业面临的威胁，我粗暴地把威胁分为两类：

     已知威胁(主要由在全球普遍爆发的漏洞引起)

     未知威胁(主要由 APT 这类针对性攻击引起)

    

     这两类威胁看起来平分秋色，在数量上却比例悬殊：绝大多数企业最紧迫要解决的问题，是已知威胁。目测占到了所有威胁的90%。

     再来说一下绿盟的威胁情报的主要来源：

     部署在企业端里采集的数据

     合作运营商流量数据

     安全研究员成果

     网络空间探测器 SEER(类似于空间探测引擎 Shodan)和蜜罐系统

     交换/购买/合作伙伴数据

     根据一些企业安全大牛告诉我的经验：

     1、解决已知威胁，用“交换/购买/合作伙伴的威胁情报数据”就可以作为主力；

     2、解决未知威胁，情报数据所能派上的用场，没有想象中那么大。

     从这个角度来看，绿盟的威胁情报数据，应该可以打到80分。(当然每个人的评价参数不同，但我认为超越及格线肯定是没问题的)

     所以，又回到绿盟所说的“云地协同”：威胁情报数据够用，再配合传统优势的硬件端能力，就可以比较好地解决已知威胁。

     那么，怎么评价问题解决得好不好呢？

     我先给你大概描述一下企业面对已知威胁时的一个经典场景：

     一个漏洞在全球爆发，如果企业没有在十个小时之内“亡羊补牢”修补漏洞，那么基本上你就不用补了。。。因为羊应该已经亡得差不多了。黑客已经入侵完毕，植入后门，拿到你的数据，回家吃鸡去了。

     (当然这种说法有点极端，看到漏洞爆发，无论经历多久都一定要把自家企业的系统修复，这才是正确的人生观世界观。只是如果拖得时间越长，黑客就会越深入，损失就会指数级增长。)

     从黑产的角度看，他们已经形成了分工明确的产业链：

     “漏洞黑客”专门研究各大系统，一旦发现漏洞，第一时间发布到黑市；

     “开发者”买来这些漏洞，开发成自动化攻击工具，然后第一时间发布到黑市；

     “攻击者”原本就长期盯着一些公司，公司里面有什么系统，攻击者甚至比公司内部人员还了解。它会经常浏览黑市网站，一旦发现可利用的攻击工具，马上购买，开干。

     从漏洞研究者发布漏洞，到攻击者实施攻击，整个流程下来也就几个小时。

     所以，从攻击者开始进攻，到企业开始进行防护，中间有一个时间差。

     绿盟和其他安全公司要做的，就是尽量缩短这个“时间差”，最好让它为零，或者为负数。

     举个栗子：

     海啸爆发，卫星预警五小时后到达海岸。如果你可以让游客在五小时之内全部撤离，那边此次海啸就不会造成伤亡。如果海啸到达的时候，已经撤离了大部分，只有少数财物还未来得及撤走，造成的损失也是可控的。

    

     根据绿盟科技高级副总裁叶晓虎的说法，整合新的技术策略以后，“绿盟已经把以前需要数天的响应周期，缩短到了几个小时。”

     如果果真可以达到这个数据，就可以说是让人眼前一亮的“神操作”。

     总结一下：

     绿盟的”主战技能“——威胁情报得分并不低，只有在这样的情况下，分散在企业中的”特色技能“——各路硬件才能充分发挥作用。

     第三招：老司机带带你

     如果把网络安全企业比作保镖，那么保镖大哥不仅要干掉明火执仗的敌人，也要干掉放冷枪的狙击手。也就是说，解决了已知威胁，还要解决未知威胁。

     如果有人得了常见病，医生就会非常精准地拿出治疗方案。但如果得了罕见病，医生就要一点一点帮你体检，尝试不同的治疗方法。就是因为这种病是你独有的，几乎没有前例可遵循。

     绿盟做了什么特别的工作呢？

     随便举两个例子：

     前置化安全：在企业开发系统的最开始，就把安全的模块和安全的理念嵌入进去。这样开发出来的系统，自然免疫力强健，不太会生病。

     红蓝军对抗：和军事演习类似，一边组织蓝军对系统进行攻击，另一边帮助企业的红军对抗攻击。

     你有没有发现，这些工作， 与其说是在帮助用户搞安全，不如说是在帮助用户提高自己的安全能力。有种“老司机带带你，一起去飙车”的感觉。

     为什么会是这样呢？

     还是用医生治病来举例子：面对未知的疾病，治疗固然重要，但是即使华佗在世也往往只能事后补救。而最好的方法，是靠自身的免疫系统。

     帮助企业建设安全能力，等企业一起成长，显然不如直接卖产品收益来得快。听起来绿盟像是在做公益。他们也学老罗卖情怀吗？

     我倒觉得不是。

     简单说来，虽然企业建设安全能力，短期来看成本巨大，而且不利于销售更多的安全产品。但是长远来看，帮助比给予更重要：

     1、如果一味为客户，就会让客户成为依赖极强的“巨婴”，永远无法长大，也就没办法用成长来回馈安全企业。

     2、市场盘子做不大，你的市场份额再高，也永远是小孩过家家。(其实中国几百亿的安全市场， 和其他行业比起来，就是过家家。过去十年都在过家家，如果未来还过家家，就真的要过一辈子家家了。。。)

     这和谈恋爱的道理一样，

     一个老司机和一个弱鸡怎么可能没羞没臊地在一起？

     看清这一点之后，

     老司机是不是应该带带你？

    

     ---

     曾经的绿色兵团，是黑客精神的旗手，它让一代黑客相信了某种东西。站在此地回望，和绿盟同时代创业的其他黑客们，有的和绿盟一样仍在坚持，有的已经累了，走散在这个时代里，杳无音信。

     穿过二十年尘埃，我猜无论是曾经的伙伴还是对手，此刻看到绿盟的肩上还扛着那杆大旗，他们都会觉得释然。

     如果在理想主义的时代，能扛起理想的大旗；

     而在商业主义的时代，还能扛起商业的大旗，

     这事儿多他喵的酷。

     在我眼里，绿盟给出的商业答案还远远远远不完美，但是，它比过去的自己更好。

     而如何成为更好的自己，才是每个人都可以借鉴的“标准答案”。

    

    

     再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以关注微博：@史中方枪枪，或者搜索微信：shizhongst。

     不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。

     ----点击图片阅读更多精彩文章----

    

    

     ----特别阅读·请在后台回复“乌云”阅读----

    

     想看更多请点击下方阅读原文

     浅黑科技，让技术被读懂

    

    

    http://weixin.100md.com
返回 浅黑科技 返回首页 返回百拇医药