四叶草安全马坤:从黑客到安全公司,从付不起工资到超三千万融资

本月初,一家西安的网络安全公司获得超过三千万人民币Pre-A轮融资的消息刷遍了网络安全从业者们的朋友圈,这家公司就是四叶草安全。就国内网络安全环境来说在资本寒冬拿到如此金额融资的团队实属少见,这离不开四叶草安全的领袖——马坤。


四叶草安全马坤:从黑客到安全公司,从付不起工资到超三千万融资


从安全小白到渗透高手


日历翻回到14年前


2001年4月1日发生中美撞机事件后,中美两国的黑客之间爆发了看不见的战争,两国网站上的黑客攻击事件每天都要发生40到50起。马坤就是这场中美黑客大战当中的一员,彼时,他化名为某ID,以HUC(中国红客联盟)成员的身份在一个个美国网站上挂上了五星红旗。


马坤与安全行业结缘还要从他那次并不算成功的高考说起,由于发挥失常,本可以去到顶尖大学的他被调配到了一所较为普通的一本类理工院校,学习测控技术与仪器专业。


看着平日一起玩耍的小伙伴一个个都踏进了心仪的学府,一向要强的马坤心里满是失落,他渐渐开始不去上课,与曾经的自己背道而驰。


可以说是缘分奇妙,也可以说是命运使然,马坤就在那时接触到了网络安全,并从那次中美黑客大战后开始慢慢的迷上这个行业。当时在安全行业根本没有当今各种各样的培训,马坤全凭着热爱两字到处看各种教程,摆弄一些黑客小工具,从QQ号相关技术开始熟悉远程控制、木马、键盘记录等技术。


为了炫耀技术在大一通过IPC共享的漏洞控制了整个机房的电脑,让它们弹出一些恐怖吓人的网页;为了找失联的同学,渗透进某整个省的高校,在网站的js文件中挂出寻人启事,“做过很多这种无厘头的事情,就是因为喜欢”,马坤说,“最后还真把人找到了。”


马坤在其中越钻越深,天天在网吧跟同学一块通宵,同学玩游戏,马坤玩一会游戏看一会黑客相关的东西。从一些国内黑客社区学的东西已经不能满足他的猎奇心,逐渐他与国外的渗透好手们切磋技艺,在渗透领域掌握了很多经验,2005年已经是渗透领域高手的马坤作以核心成员的身份加入了FST(火狐技术联盟),他的ID是cnfjhh,圈内人称cn。


“因为这方面比较神秘,而我是一个对未知领域很有兴趣的人。但当真正接触到这个行业以后,我才发现有很多很多东西等着去学,越学越觉得自己很浅薄,所以从03年感觉真正入门到07年一直在学习各种知识,到后来有的网站我大概看几眼就知道能不能搞定,而网站本身只是打开渗透之路的门,后面的路还很长,能不能拿下目标,靠的是经验、思路和耐心”,马坤说。


2006年,网游《魔兽世界》火爆全球,美国的暴雪公司也名声大噪,当时马坤受到了朋友的鼓动:“听说你能力很强,有本事把暴雪黑了”。要强的马坤听了之后比较受刺激,于是就摩拳擦掌准备堵住朋友的嘴,但没想到过程却意外地轻松。


“那就试一下,没想成无意中发现一个简单的漏洞很快就搞进去了”,马坤说,“发现web有负载均衡,整个渗透持续了好几天,终于进到内网,在整个渗透过程中并没有改对方的东西,也没有留任何后门,我渗透喜欢记录管理的习惯,日志痕迹也不留,碰到一些审计设备也会想办法绕过他们,后来只在暴雪官方主页留下一个‘Test by cnfjhh’的文本。我对安全是很喜欢的,我要得只是证明自己行,绝不因为别的诱惑去玷污爱好。”


因为热爱,所以回程


渗透暴雪事件结束后,马坤受到很多外界的干扰就没有继续他的黑客事业,去了当地市工商局工作,一年后又去一家百年外企从事与大学专业相关的工作。在外企5年的时间里,马坤已经把技术慢慢的放下了,虽然外企的待遇比较好,但是找不到存在感,他依然向往着网络世界的明枪暗箭,向往着渗透成功的欢呼雀跃。


“可能就是因为在黑客这个兴趣上投入的太多,这个领域已经和我已经融合在一块了。当时看到好几个哥们都在创业,自己也有了这个念头。”


让马坤正式有了创办公司的念头是在2012年,与MS等几个多年兄弟组了团队,为CNCERT检查全国多个省运营商网络漏洞和问题。这个契机使得马坤觉得安全领域还是有所可为的,并且以后会逐渐变成一个需求更多的行业。


由于在外企工作多年,自己慢慢也有了点小积蓄,于是在2012年底马坤和他的朋友创办了四叶草,公司是创办了,然后呢?


没有项目,没有客户,没有人。


“当时很多客户对安全的理解就是采购设备,这跟我最开始的观点是格格不入的。我们是想做成一个方案解决商,而不是安全设备的销售商。国内的安全行业绝大多数都是在做设备,可能是因为利润来的快。发现用户漏洞和缺陷是第一步,但第一步就没有人重视,因为这一步不赚钱做的人就很少,大家都在趋利,要是格格不入的话就会逐渐被淘汰。”


韬光养晦,厚积薄发


情怀归情怀,公司还是要生存下去的。马坤认真的思考了几个月后,觉得该走的路还是要走,开始亲力亲为跑客户,在公司成立之初也卖过十余单的安全设备。


从一个技术发烧友的变成销售的过程,马坤坦言“内心很复杂,但为了公司活下去这又是不得不做的。”有这些经历更让马坤觉得安全市场的缺口是很大的。


“用户解决安全问题这个过程,就好比一个人头痛,并没有人给他做诊断,让他买了很多胃药,这个过程中用户并不知道痛点在哪,而对方只关心药卖的如何”,马坤在这个节骨眼上萌生了要帮用户去发现问题的想法,“知道问题在哪,才能去解决。”


这时公司已经成立了多半年,公司开始尝试去接一些安全厂家的外包,也就是卖设备之前的一些安全评估,在获得授权的情况下完全模拟黑客的思路去发现用户本身的安全缺陷。


这种事情很不赚钱,按每人每天计算,大部分就是几百块钱,好一点也就一千多块。有时候只需要检测一台主机,而有时候是很多个网段,“这个情况没法去计较工作量的问题了,有的工作量非常大,而且是纯手工活,时间紧迫,你必须快速完成。”


“触动最深的是一次去某用户那干活,有三四百台问题主机上千种应用摆到面前,需要一个一个去发现问题并处理问题。干两个星期下来用户说话没算数只结算了几百块,我们还是硬着头皮把事干完了,这不是为了盈利或怎样,就是为了总结其中出现的问题便于给团队增加经验。由于项目都是背靠背,公司很多时候账户上没钱发不起工资。”


这些经验成为了他们宝贵的财富,也成为四叶草团队承办多个CTF比赛和完善分布式漏洞扫描平台Bugscan等产品而厚积薄发的一部分。


专注服务,做透做深


Bugscan是面向安全领域的发烧友和极客们的免费漏洞扫描平台,传统的特征库对比的方式查找漏洞因为缺少行为识别导致误报比较多。它采用分布式漏洞扫描,可对目标快速准确的扫描,用户也可制作上传插件,通过模拟行为提高准确度。四叶草还采用与主框架相同的Python语言编写了漏洞社区“圈子”,把安全圈的高手汇集到一起,由他们主动发现问题,相同的编写语言可以让爱好者们通过讨论交流直接在社区中该进插件并让主框架直接调用,“圈子”和Bugscan平台之间产生了很深的纽带。


(Bugscan漏洞扫描平台)


马坤表示Bugscan由同事小Z在2011年年底就开始做了,经过西瓜、老武和不流畅等同事多次代码重构后已经非常完善了,他们于2015年2月份正式对外发布。


“在国内对漏洞有深刻理解,又有相关编程能力的人群大概不到两万。过去黑客技术只能靠自学,现在的孩子很幸福,可以有各种培训机构和地方去学习,但是学习是需要时间的,所以这方面的人才补充会有一个酝酿期,在未来三到五年才会补充现在的需求缺口,所以现在局面很尴尬,国内目前安全行业很缺人,而我们做的事,能在一定程度上激发安全爱好者们水平的纵向成长。我们公司除了有做渗透测试、代码审计、二进制领域的,还有做前端开发、底层模块开发、固件开发、协议分析、ACM算法等领域的兄弟。”


直到去年年底,四叶草整个团队还只有十几个人,马坤想拉以前玩渗透的高水平战友入伙,他们水平虽高,但不屑于做安全行业,因为这个行业不赚钱,没几个人愿意来。安全公司不能没有人,不能什么事都来自己干。为了有效地发现人才,四叶草安全从办第一个CTF(SSCTF)到近期的华山杯比赛,中间陆陆续续的举办多场比赛,效果都非常好,让更多黑客爱好者们知道了四叶草安全,很多比赛场景源自他们团队这么几年来在一线辛苦的摸爬滚打而积累的经验。


现在四叶草安全整个团队已经扩张到了四十多人,马坤也在着手他们新产品Bugfeel(感洞)的推出。漏洞感知平台Bugfeel不同于Bugscan的免费模式,它是一个较为商业化的服务,采用了双引擎技术,可全方位的对云服务进行自动触发式的漏洞发现,也可对App的服务端和通讯过程进行有效识别。Bugfeel(感洞)可通过与私有云服务商进行定制化服务实现商业化。目前Bugfeel(感洞)已完成两轮功能测试,第三轮测试完成后会正式推向市场。


“其实一开始我是拒绝投资的”


随着公司逐步走向正轨,安全行业内优秀公司的稀缺也使得一些投资机构主动找到马坤谈投资的相关事宜,但马坤最初对此的态度却是不当回事,用他的话来说是这个阶段他们已经可以自给自足了。


“以前看过很多新闻,说有的公司拿了融资反而整个步伐往另外一个方向去走了,变得不做事了。所以在早期我对融资的态度是比较排斥的,虽然整个安全服务行业都不太盈利,可我们现阶段可以养活自己了。但是和如山创投老总聊后改善了对投资的看法,他说现在国外的安全服务企业譬如Fire Eye,他们都是亏损的,所以他不害怕我们亏损,只需要把影响力做出来。”


马坤透露这次投资方的股权只占到了很小的一部分,四叶草的估值是几个亿,他们没有什么限制条件和对赌协议,最让马坤感受到诚意的还是一个字:快。


“从今年11月初他们过来找我们谈到最终签订合同只花了不到两周的时间,签订后一周钱就到账了,总共也就20天左右的时间。因为很多同行现在也都在拿融资,发展速度很快,竞争激烈,经过思考,我觉得这个融资是可以拿的,但是我们把它要用到点上。”


于是四叶草在最近提出了一个“佰万计划”,拿出数百万元去回馈圈子漏洞社区的爱好者们,给他们的贡献进行补贴和激励。“这是以前想去做但是没有能力做的事情,可能这也是拿融资的一个好处吧”,马坤笑道。


除了回馈安全爱好者、深化产品、扩张团队,马坤对这几千万怎么花暂时还未想好,不变的是未来四叶草还会继续做服务,他觉得这只是刚刚开始,将漏洞发现这个细分领域做专,并逐渐把四叶草的新型模式推向全球市场。


要合作,要联合


“现在安全行业说实话很小,大家都很艰苦,本身就是一个很小的行业再去互相挤兑,对行业对自己都没有好处,还不如抱团取暖,共同进步,再说被模仿说明你选的路是对的”, 面对BAT等大公司在安全领域的快速布局和同行的模仿等压力时,马坤说。


目前BAT等大型互联网公司旗下的安全团队主要精力还是要放在内部公司系列产品的安全上,主要负责解决自己内部的安全问题。马坤认为四叶草与他们之间是没有业务冲突的,反而还会联合起来,安全行业之间的协同合作很重要。


“有些时候大公司内部出现问题安全部门很难处理的面面俱到,可以用我们或同行的服务模式减轻他们的压力。我们常听说一个小黑客拿下某某大型系统,对此我觉得一点都不奇怪,一个用户好比色子有很多点,攻击的人只需要从一个点钻进去,防御的人却需要把所有的点都堵住,攻防本来就不对等,做安全的人很不容易,要耐得住性子,攻防之路还会很长很长,要抗衡就需要联合更多有实力的安全力量,让防御的效率和质量要跟得上趟才行。”


除了运营商、政府、能源、电力等等行业和BAT等大型互联网公司,信息安全对中小型、小微型企业同样重要,四叶草曾在2014年为某亿级APP做的授权渗透测试,一个四叶草的技术人员用了一下午的时间就获取了其内网的最高权限。


“如果这个人是个心怀不轨的黑客的话,渗透后可以拿到源代码,所有的用户数据,公司的资料包括在线支付系统等等,这种情况下后果会是什么样子?数据会卖给同行,或者制造一个大新闻,这样会让竞争对手非常的开心,很有可能会让这个新生而有钱的公司down掉。”


细分是行业大趋势


马坤表示安全行业的细分化会是一个趋势,包括了不同领域的细分和不同服务的细分。


对于领域的细分,马坤相信在不远的未来,智能设备的普及、工业自动化控制以及移动端的安全这三个领域将会是发展的重中之重。同时他非常认同服务的细分,“安全领域里一个公司不可能做的面面俱到,只能去做自己擅长的,在一个领域做得足够深,在市场上产生正向效应,这就很棒。”


天使恶魔,一念之间


“安全会是信息化的脊梁,协议、算法、系统的缺陷是会不断的被发现,应用的多样化会让更多行业都离不开它,所以它会和信息化共存,这也是我把它坚持下去的原因之一。我们这个行业有很多人去做了黑色产业链,我一直都比较抵触这些东西。不过这个世界上没有太多坏人,更多的是迷茫的人,安全行业大有可为,他们是可以被慢慢引导的。”


对想要有在网络安全行业从业或创业的人,马坤给出了他的建议:“坚持和喜欢,这两点非常重要,而最重要的是心存正义,要能够抵御一些诱惑。在一个细分领域往深钻,不要去做面面俱到的人。如果只是想赚钱来这个行业,那趁早到别的行业去,因为这个行业真的很苦。”


文/李泽辰


    为您推荐