清初,天山七剑飞红巾、武琼瑶、桂仲明、冒浣莲、易兰珠、张华昭、凌未风以天山为家,仗义行侠。飘零惯,雄姿英才,拼葬荒丘。
而今,青莲云也有七人执剑,直指物联网平安江山。
这七人的为首之人是CEO董方。
口述:董方 文:又田
(一)
我开端接触平安是在2003年,正值大二,经过一个十几人的线上聊天室开端自学网络平安,外面的人大多都是先生,全凭着兴味一门心思的做研讨。之后我们几团体成立了一个官方的网络平安组织:80SEC,专注于Web平安方向的攻防技术研讨。
毕业后我进入启明星斗做了三年偏传统的信息平安,之后又离开搜狐做了三年的甲方平安,但都围绕着基于Web使用的业务平安这条主线。
2011年底是我第一次创业,发布了一款叫做“日志宝”的数据剖析产品,以SaaS效劳的方式为企业客户提供的日志停止大数据平安剖析。客户可以把效劳器、网站日志传到日志宝云端,经过云端平安引擎停止平安剖析和在线的免爬虫破绽扫描。
虽然日志宝是个收费效劳,效果却预料之外的适用,可以精准检测到传统基于规则剖析所无法辨认的黑客攻击和后门文件,这家公司也就成了青莲云的母公司。
但我第一次创业并不算顺利。2011年,彼时底层的大数据剖析平台技术并不完善,也缺乏基于流处置的数据剖析引擎,日志宝在短期内会聚了上百亿条数据,底层的数据存储和剖析效率已成成绩。
2013年终,机缘巧合下我们的产品和团队被360所收买,团队的研发方向演化为云平安及云上的业务平安,团队输入的产品包括云WAF、平安CDN、高防IP等云平安技术。
随着物联网市场的衰亡,360以“儿童手表”初次踏足智能硬件范畴,从此开端一路征战智能硬件市场。2014年,360成立云事业部,我出任云事业部产品总监。
实践上我们整个团队不只仅要担任360云的产品化相关任务,同时也需求针对智能硬件云平台和IoT平安停止技术预研讨。事先360信息平安部的顶尖黑客们担任寻觅各类智能硬件设备的平安破绽,但我们团队更多的考虑在于:如何完成一种低本钱、轻量级、普适性的后端平安技术架构来处理联网设备的平安隐患。
在这一进程中,我发现了一个成绩。
360聚集了一群业界顶尖黑客,投入了十分多的人力和研发本钱才干把产品做得足够平安,但是里面林林总总的智能硬件产品,谁来保证他们的平安?谁又应该是他们的平安团队?这一霎时的考虑让我萌发了二次创业的想法。
工夫行至2016年,360调整组织构造将企业平安与智能硬件分开来。此时我们团队无论跟随哪一方向团队价值都不能最大化输入,我决议离任创业,云事业部团队的七位同事也跟随我个人辞职创业。
这7位就是青莲云的中心开创团队,7人“各怀绝技”,有的擅长嵌入式开发,有的擅长云端高功能计算,有的专注黑客攻防对立,有的擅长APP的平安检测和加固等等。
青莲云的来龙去脉即是如此,一切的机缘巧合,都始于我们赶上了智能硬件产业开展的热潮。
(二)
还在360任务时,我曾走访过多家智能硬件消费商,用一句话概括少数厂商的技术架构是:下行下行,能通就行。
很浅显的一句话,什么意思?
设计一个智伴随着互联网和移动生活的日趋成熟,芝麻信用高分和良好的个人征信记录,不仅可以办理贷款、申请信用卡延伸你的财富,更能大大便利我们的生活。能硬件面前需求有云效劳的支撑,要思索多活、灾备、冗余、负载、扩容等,以及各种来自网络的黑客攻击行为的检测和进攻。而 大局部厂商出于本钱思索和缺乏平安经历积聚,在最根底的硬件架构和后端效劳架构上都不会思索平安成绩,买上几台阿里云效劳器开端调试,能通就开端量产。
但这种图快的打法终不是持久之计,所以在2016年青莲云成立之初,我们的打法是给用户提供一套将物联网平安进攻战略交融在内的云产品,即我们第一个产品青莲云,一套波动的物联网后端云。
2016年的国际物联网仍处于萌芽期,各大厂商埋头做产品,做体验,设想各种不确定的用户需求。此时提供以平安为中心的一整套物联网效劳显然不适宜,未处理温饱成绩,谁会买豪车呢?
在推出青莲云后,2016年底我们开端深度访问客户,倾听客户产品的市场反应。却在此时发现一个景象,一些长尾客户对青莲云产品的承受度较高,但关于如美的、海尔等头部客户来说,其本身的研发才能较强,往往会选择购置阿里云、亚马逊效劳器,并在其上自主研发企业物联网云平台。
此时,青莲云的产品形状就处于一个为难的定位。
如何可以拿到这些金字塔尖的客户? 云和云平安的关系给了我们很大的启示。
举个例子:云盾作为阿里的平安部门很早就存在其中,为阿里云提供平安处理方案,直到后来,阿里云产品和云盾的技术积聚陆续成熟后,云盾才独立商业化运转,无论客户运用亚马逊或是微软的云,都可以运用阿里云盾的平安效劳。
回到青莲云,我们能否能遵照云和云平安的思绪,将本就交融在青莲云中的平安进攻战略与后端云引擎别离开来呢?
假如客户有本人的云平台,那我们提供物联网平安产品和效劳,假如客户什么都没有,那我们就提供一整套的处理方案,协助客户平安且疾速的落地产品。这也是2017年我们所做的。
(三)
实践上我们每次与客户接触都是从科普开端,物联网如何不平安了?为什么会不平安?怎样能做到绝对平安?
“No More Free Bugs”,我开端思索将多年的物联网平安经攻防和研发经历提炼成物联网平安培训体系,以物联网平安10堂课的方式输入给客户。这10堂课掩盖嵌入式平安研发,云端平安研发,引擎平安研发,中心通讯技术、APP平安研发5个维度,每堂课售价从8000到1.5万不等。
在贯串物联网平安10堂课培训之后,另一个切入点也随之而来,即物联网平安测评效劳。也就是经过团队自研的外部平安测试工具集加上额定的黑客手腕向客户证明其产品是存在平安隐患的。
物联网平安与网络平安的最大区别,是一旦产品呈现破绽很难经过近程打补丁的方式修补,销售量越高的产品一旦呈现成绩相应修复本钱会越高。 所以在产品还没有走出家门的时分停止测评,相当于全身体检,一旦呈现病症可以有的放矢。
比方链路层呈现破绽,能够遭到设备重放或设备伪造攻击,我们会提供针对链路层平安的整套处理方案;假如是装置了有破绽的第三方软件,呈现弱口令以及零碎层面的配置平安成绩,我们会拿出针对嵌入式操作零碎的平安处理方案。
物联网平安次要分为端管云三个层面的平安,在端的层面我们有针对通讯链路的独立平安处理方案,在云的层面我们有一个完好的物联网平安云平台。此外,云上基于物联网硬件设备的数据平安剖析更是我们的优势,由于挪动互联网的成熟度曾经十分高,所以目前对APP平安则绝对涉足较少,所谓术业有专攻即是如此。
也就是说, 青莲云给客户享用的是“4+1”全套大保健,1就是平安征询效劳,将测评与培训打包在一同,将不同客户测评报告中的破绽缘由编写到平安培训中,使培训愈加详细,更接地气。4就是我们有四套物联网平安产品,哪疼治哪。
实践上,我们扮演的是《星球大战》中安纳金的角色,身处黑暗时,他是绝地武士会天赋异禀的武士安纳金·天行者,坠落黑暗则化身屠夫达斯·维德,青莲云团队同时兼备了物联网平安的攻防两端才能。
(四)
很多人会问我,平安公司赚钱吗?
这需求分长短期来看, 平安行业永远不存在一夜暴富。 无论是1998年成立的启明星斗,还是上市又退市的360,不难发现平安公司很少有泡沫,每家都在踏实做事,逐渐生长。这是一个慢热的市场,物联网平安更是如此,它并非ofo、团购,它不是一个产品形式的变化,也不是消费习气的变化,而是一个网络时代的变迁。
物联网平安的开展除了需求工夫的沉淀更需求与企业树立临时信任感,只要对方充沛信任平安公司才会把最敏感的东西交给对方。在这其中平安公司需求做的就是向企业证明你懂平安、懂业务、懂体系建立,但这并不是一件容易的事情,还需求一个周期。
因而物联网厂商关于平安的收入仍处于迟缓上升的趋向,毕竟一下割肉太多谁都会疼。相应的,平安公司赚钱也是随着物联网业务的开展,量不会一次太大。
关于青莲云来说,我们曾经有了波动的支出,但创业嘛,晚期一定是盈余的。只需有支出就足以证明以后的形式是可延续的,而我们2018年的目的就是希望把盈亏做平。
后记
董方并没有本人的独立办公室,他觉得这些没什么必要。
这位黑客出身的CEO格外有侠客肉体,他把本人当成传教士,觉得承载着责任与义务去通知他人真实的物联网,物联网攻击更非天方夜谭,而是近在身边。
采访最初,董方通知雷锋网 (大众号:雷锋网) ,他与跟随他的七位“剑客”的初心很复杂:我们每效劳一个客户,就让这个物联网世界更平安了一点,这种成就感让大家十分满足。
但这看上去复杂的梦想,也许承载了一份很重的分量。
雷锋网宅客频道(微信大众号:letshome),专注先锋科技范畴,讲述黑客面前的故事,欢送关注雷锋网宅客频道。
。