引言:他是Fullstack Developer和连续创业者,也是10多年的安全研究人和斜杠青年。红杉资本的丁立认为:安全的本质是“序”,在共识的推翻和重构下,安全得以创新和进化,而云会带领安全进入一个新的思维模式。他也从自身经历出发,给创业路上的领跑者们几个重要的建议。
我的事业带我领略了多个领域的技术和商业模式,我曾作为华兴资本逐鹿 X 的联合创始人和 CTO;担任在线情感咨询平台花镇的 CTO 并曾创建技术咨询公司匠者科技,也曾作为架构师为 GXG 的电子商务团队奠定了技术基础……
目前在红杉资本中国基金负责组建数据团队,作为「创业者背后的创业者」,红杉中国致力于发掘和培育产业界,为社会带来更多价值。在我看来,多重身份给我带来的是对各个行业共识的融会贯通,我自己给它起了一个名字:序。
无论作为一个安全研究者,还是创业人,又或是技术人,有许多共通性格特征:例如好奇心和执行力。当你对一个领域产生好奇心,不只是停留在空想阶段,用执行力和毅力去落地。
从安全,云,资本市场和创业者这四个角度,我也想将我的一些想法与大家分享。
序:安全的本质
与安全结缘,大约是小学三年级的时候,偶然接触到基本关于 Web 攻防的书和杂志,就此打开了新世界的大门。因为是开发者,我平常读代码更多,偶尔也会看看学界论文,这回让自己对安全的见解加深。乌云、Freebuf等网站,也是我的兴趣培养之地。
除了阅读,动手实践对安全研究是特别重要的,尤其在Web渗透领域。在闲暇时间,我也会自己写一些 Webshell,还会在沙盒里面模拟漏洞。
最后,跨领域的触类旁通更是安全上的进阶宝典。比如说,我会去了解一些法律知识。
在海洋法系国家中,律师的重要性会高很多,在跨国的法律交锋中,会找到各个国家的法律漏洞,和安全一样,这也是一个共识的挖掘。
通过这些积累,目前自己也有了一套“安全观”。个人认为,安全的本质是和「无序」做对抗,网络安全的本质是确保数字疆域的「有序性」。
「序」的本质是共识和预期。 举个例子,我们默认系统需要授权,满足一定条件的人才能进入,才能使用,这就是一种共识。
在安全研究过程中,白帽子黑帽子做的事情其实很一致,都是推翻和重建共识。但双方的利益诉求是不同的。
作为安全研究者,我们看的是这个「序」怎么被突破:比如,会去看防火墙怎么去设计策略,只有知己知彼,才能保持这个序。
安全是一个充满创新的领域
从这个层面来讲,我认为安全是一个充满创新的领域,只是不容易被其它行业感知。因为在安全领域,有一个悖论就是人们往往等待安全事件发生后,才觉得对于安全方面的投资的值得的。
其实,从资本视角来看,安全是一种基于未来风险的投资,和保险很相似。
放在信息领域是一样的:让企业认识到安全重要性的前提,是意识到他的数据的价值有多么珍贵。按照NIST提出的安全模型,业界一般把安全分为识别、保护、检测、响应、追溯这五个环节。每个环节都充斥着不小的创新机会 。
在未来,我认为 企业安全的突破点是大数据,态势感知。本质上是用数据分析代替部分人工决策,做风险管理。
我们现在都说互联网+,这意味着线下数据往线上转移。那当我们数据足够多,序的规则越多,就越难用人工去挖掘。
大数据本身并不是一个很具象的概念,但他解决的问题是,数据量级达到一定程度时,我们可以更清晰地进行分类,分析,帮助我们得出结论。
我也听说阿里云在做城市大脑,这就是一个很好的尝试,也可以很好地被应用在安全领域。
云信任的基础是:让更多企业进入Cloud Native时代
和所有安全领域的技术创新一样,云计算也为安全带来了新的分口。随之而来的是技术背后的信任问题。我觉得,一项技术的普及不仅仅是被使用,更多的是被信任。
目前,对于云的信任,很大程度上仍依赖于一种中心化的背书,比如,对阿里云的信任在一定程度上是基于对阿里巴巴品牌本身的信任。
在未来,行业分工的精细化,会让信任的命题更加复杂:合作伙伴、第三方、开源社区的参与,会对信任有一些挑战。长远来看,或许同态加密会有机会给整个行业态势造成一些有趣的改变。 从市场上,教育是根本,让更多企业,特别成长中的企业,树立云信任的共识。
从我和企业接触的经历来说,目前对云担忧更多的,是传统小微企业。我所接触多的新兴创业公司,或者资本市场中的企业,这些公司一般不会产生顾虑。
为什么呢?一方面是传统企业还不能适应 Cloud Native的架构,很多企业其实很难去主动开始数字化转型;另一方面是取决于技术能力和专业知识。
这和70年代与90年代出生人的思维差异一样。90后会觉得“独居”“人脸识别”“区块链”这些字眼都习以为常,70后便不会。
对于新兴的,科技领域的创业公司,他们对云的态度是“这近乎是一个普世标准”,尤其是14 – 15年之后,互联网领域的创业公司很少说会去找 IDC 去做托管。金融机构其实目前的态度亦是比较开放。
这就和创业公司本身对技术的理解和知识加深有关,当然,2018年的云,和12 – 13年的云也有了很大差异了。2013年,我们谈ECS、SLB更多的还是局限于IaaS层面,本身的价值相对有限。
现在,随着是 Docker 、Kubernetes、函数计算 等技术的出现,云计算进入新的时代,企业更愿意通过使用开箱即用的云服务来满足对于 消息队列、数据库、CI/CD 等各类基础设施和中间件的需求。当然这也给云安全带来了更多的价值空间。
淡化的边界,和思维转变的风口
把安全基于云上来做,能享受到轻量、低成本、易延展、高稳定、自动化等技术红利,但云也对传统安全管理思维带来了巨大的冲击,最核心的点是,内网外网的边界模糊。
在传统架构下,企业在 IDC 机房内,搭建一个局域网,围着一堵墙;但是,我们把这些往云上迁移时,很难有一个外网内网的概念。像 Google 之前提到的内网管理机制,建立一个安全网关(Beyond Corp 模型),这是我认为的可取模式。
也就是说,传统安全更多是基于网络边界,比如默认内网是可信的,外网不可信的。但未来,不需要区分内网和外网,而是基于身份管理和权限控制,这是一个非常明显的趋势。
未来,在一个比较理想的情况下,企业只需要关心规则的定制,权限的设置,和数据本身;而不要去关心数据放在哪里,用什么物理介质去存储。这对CISO和技术管理者的思维转型,和技术知识,也有更高的要求。
IoT 的爆发期,和给创业者的建议
正因为云的普及,从资本市场的视角来看,个人认为态势感知、IoT 安全都大有可为。
首先,IoT 在去年和今年有显著升温的迹象。IoT 安全的细分领域或许会滞后1-2年,在 2019 -2020 年迎来一个新的成长期。 其它比较热门的安全领域,如 CASB 和 UBA,也很有潜力,但目前看来在市场教育方面还有不短的路要走。
关于爆发期的预测,个人习惯通过行业的趋势和标志性指标作为基准线。尤其是:技术本身的关注度,解决了一个前所未有的问题和痛点,和未来的商业应用空间 ——区块链就是一个典型。
最后,在安全和所有领域的创业路上,也想从我自己的角度,谈一些建议
(1)如果要做安全产品,特别 ToB 产品,在 A 轮/ B 轮这些中后期阶段,主要是看营收,如果是在早期,就是技术独创性。这种独创性不一定是从无到有的创造出一种新技术,更多的时候可能会体现在解决了某项竞争对手所难以解决的市场痛点上 。
(2)对于早期阶段初创企业来说,很多技术背景强的公司,会进入闭门造车的窠臼之中,花过多时间去打磨你的技术(注意,不是不需要打磨,而是时间的平衡)。但实际上,需要的快速试错,快速打进市场。我个人遇到的情况:很多公司到A轮之后,之前的代码都会推倒重做。
(3)如之前所说,技术和营收要找一个平衡点。最重要是解决痛点,找到这个亮点,包装,推出去,去验证是不是真的,然后试错。 在这样的实践过程中,才能找到创业中的序之所在。
丁立于 2017/12 由于出色的技术能力入选阿里云 MVP 计划。
欢迎申请成为 阿里云MVP ,与丁立交流 上述言论仅代表个人与所就职机构无关
