0

前陣子，我去了一趟北京市動(dòng)物園……旁邊的奇安信——目前中國市值最高的網(wǎng)絡(luò)安全公司，去拜訪奇安信的拳頭產(chǎn)品“天眼”。

聊著天，我忽然想起中學(xué)語文課本里的那句“生于憂患”，孟子當(dāng)初用這句話來描述一個(gè)人和國家的發(fā)展規(guī)律，結(jié)果套用到一千多年以后一家科技公司的產(chǎn)品上，也毫無違和感。

奇安信“天眼”的誕生，就是一個(gè)“生于憂患”的故事。

1

2013年底，“憂患”兩個(gè)字寫在張卓的臉上。

憂，是因?yàn)樗麄儺?dāng)時(shí)買了一套市面上最好的入侵檢測和防御系統(tǒng)，結(jié)果發(fā)現(xiàn)是個(gè)擺設(shè)，防不住黑客，錢白瞎了?；?，是怕如果再想不出解決方案，外面的黑客遲早要黑進(jìn)來。

“當(dāng)時(shí)老大就說，我們想想辦法，自己做?！睆堊炕貞浀馈?/p>

張卓

只要思想不滑坡，辦法總比困難多。2014年前后，一個(gè)低調(diào)的內(nèi)部創(chuàng)新項(xiàng)目在齊向東的拍板之下成立，齊向東那時(shí)的身份還是360創(chuàng)始人兼集團(tuán)總裁。

張卓的任務(wù)目標(biāo)很明確：做一套系統(tǒng)，能防住就防住，防不住（畢竟沒有100%安全的系統(tǒng)）至少也得能“看得見”威脅，知道是不是有黑客在搞我，是不是已經(jīng)得手。

這任務(wù)說起來簡單，可是從何下手呢？

2

說到這里，先賣個(gè)關(guān)子，交代一個(gè)背景知識(shí)：為什么當(dāng)時(shí)市面上的入侵檢測系統(tǒng)防不住黑客？

從大邏輯上來講，是因?yàn)槟Ц咭怀撸肋€沒來得及高一丈——當(dāng)時(shí)黑客們的主流攻擊模式已經(jīng)發(fā)生改變，大部分網(wǎng)絡(luò)安全產(chǎn)品卻還是老一套，沒跟上形勢。

具體來說，2010年之前，黑產(chǎn)主要“以量取勝”，主要針對普通網(wǎng)民，他們傳播病毒木馬，盡可能多地控制人們的電腦，用來點(diǎn)擊廣告、盜號(hào)、發(fā)起流量攻擊等等。

比如當(dāng)年國內(nèi)很有名的“熊貓燒香”就是這樣。

但是2010年之后，免費(fèi)殺毒逐漸普及，“以量取勝”的活兒就越來越不好做，畢竟大家都接種了“免費(fèi)疫苗”。

零散的網(wǎng)絡(luò)攻擊者們面對殺毒軟件廠商的圍剿，也“生于憂患”，開始尋找新的商業(yè)模式，逐漸抱團(tuán)作案，把目光瞄向高質(zhì)量目標(biāo)，比如企業(yè)和政府單位。

之所以我用2010年當(dāng)分界線，是因?yàn)槟悄臧l(fā)生了一起震驚全網(wǎng)的病毒攻擊——Stuxnet震網(wǎng)事件。

為了防止有讀者沒聽過震網(wǎng)事件，我簡單回顧一下：

美國情報(bào)部門在總統(tǒng)授意下，用黑客手段打擊伊朗的核計(jì)劃，在完全隔離于互聯(lián)網(wǎng)的情況下黑了進(jìn)去，讓幾臺(tái)核設(shè)施當(dāng)場撲街。

要知道，在震網(wǎng)事件發(fā)生的幾十年前，兩伊戰(zhàn)爭時(shí)期，美國也聯(lián)合以色列用軍事力量打擊過伊拉克的核反應(yīng)堆，那叫一個(gè)大動(dòng)干戈，動(dòng)用了不少的情報(bào)人員、戰(zhàn)斗機(jī)，光是飛行員都掛了好幾個(gè)，成本極高，代價(jià)極大，效果卻并不比一個(gè)“小小”木馬病毒更好。

震網(wǎng)病毒帶火了一個(gè)詞：APT。

APT全稱 Advanced Persistent Threat，翻譯過來是“高級(jí)持續(xù)性攻擊”，說白了就是“不怕賊偷，就怕賊惦記”，APT的目標(biāo)價(jià)值都很高，賊一盯就是幾個(gè)月甚至好幾年。

震網(wǎng)事件之前，在百度谷歌上搜APT，關(guān)于黑客攻擊的解釋很少，震網(wǎng)事件之后明顯增多。

我猜也許是震網(wǎng)事件讓無數(shù)攻擊者們意識(shí)到：還有這種操作？干一票頂三年??！于是大家開始有樣學(xué)樣，就跟當(dāng)年小混混學(xué)著電影《古惑仔》拉幫結(jié)派一樣。

那之后，針對性的網(wǎng)絡(luò)安全事件也變得頻發(fā)，我隨便舉幾個(gè)例子：

2011年9月日本三菱旗下軍工企業(yè)遭黑客入侵。2012年12月賽門鐵克承認(rèn)兩款企業(yè)級(jí)產(chǎn)品源代碼被盜（你看，老牌安全公司也會(huì)中招吧）， 2012年4月VMware確認(rèn)源代碼被盜；6月雅虎服務(wù)器被黑。

“脫褲”這個(gè)詞也是那兩年興起的，指一家公司的數(shù)據(jù)庫被黑客拖走。當(dāng)時(shí)放眼整個(gè)互聯(lián)網(wǎng)，大街都是光屁股，天空烏云密布，時(shí)不時(shí)飄過幾條內(nèi)褲。

老一套安全產(chǎn)品之所以防不住APT（或者說是“針對性的滲透攻擊”），是因?yàn)樗鼈兊姆烙悸肥恰俺菈?通緝令”模式。

弄一道“墻”，把整個(gè)公司內(nèi)網(wǎng)圍起來，城門口設(shè)個(gè)閘（入侵檢測系統(tǒng)），進(jìn)出挨個(gè)檢查，看看有沒有通緝令上的人。所謂“通緝令”就是基于特征碼的黑名單。

它的問題在于：只能解決已知威脅，如果新出現(xiàn)的威脅，沒有在通緝名單里，就很難判斷。壞人也不傻，進(jìn)來之前肯定先給它易個(gè)容（做個(gè)病毒免殺），避免出現(xiàn)在通緝令里。

更大的問題是，“城墻模式”缺少響應(yīng)機(jī)制，即便是發(fā)現(xiàn)了威脅，也沒有聯(lián)動(dòng)防御機(jī)制，不能溯源，只能被動(dòng)地防守。

這樣一來，壞人一天可以嘗試攻擊幾千幾萬次，入侵防御系統(tǒng)一天報(bào)警幾千次，弄得安保人員疲憊不堪，但壞人只要成功一次，就溜進(jìn)來了。

3

背景鋪墊完，回到故事。

張卓要腫么辦呢？

他們當(dāng)時(shí)想到一個(gè)思路：數(shù)據(jù)采集+數(shù)據(jù)分析，就像是現(xiàn)實(shí)世界里用攝像頭采集數(shù)據(jù)，再放一間監(jiān)控室里綜合研判一樣。

他們找到公司網(wǎng)絡(luò)的流量出入口和一些關(guān)鍵位置，部署上流量采集系統(tǒng)，試圖在數(shù)字洪流里分辨出各種文件和動(dòng)作：域名解析、網(wǎng)絡(luò)連接、Web訪問、文件傳輸、登錄動(dòng)作、郵件、數(shù)據(jù)庫操作……找出那些可疑的。

前文我提過，這件事說起來邏輯簡單，做起來可不容易。

首先是性能問題：這么大的網(wǎng)絡(luò)流量，要全量采集，怎么能有條不紊地采集、存儲(chǔ)、處理？

起初，張卓找了些開源項(xiàng)目，很快遇到性能瓶頸，他只能一點(diǎn)一點(diǎn)調(diào)優(yōu)?！肮こ袒边@件事也沒什么捷徑，只能日拱一卒，不斷想辦法替換模塊、調(diào)整架構(gòu)，像短跑運(yùn)動(dòng)員一樣，一天天地琢磨怎么讓速度快那么0.01秒。

其次，流量采集過來，要怎么分辨出是不是異常呢？

這就好比攝像頭都布好了，但是讓你坐在監(jiān)控室里盯著10086路攝像頭，畫面里人來人往，你根本處理不過來。

大概是這么個(gè)意思

人當(dāng)然處理不過來，但是人工智能興許可以。

那時(shí)人工智能技術(shù)還不火，張卓就試著去用機(jī)器學(xué)習(xí)相關(guān)的技術(shù)，比如半監(jiān)督學(xué)習(xí)、SVM支持向量機(jī)、神經(jīng)網(wǎng)絡(luò)等等，去識(shí)別流量里的異常。

在邏輯上就類似于，一些公共場所用AI圖像識(shí)別技術(shù)來檢測人們有沒有戴口罩，只不過張卓做的事情發(fā)生在網(wǎng)絡(luò)流量里，識(shí)別的是網(wǎng)絡(luò)攻擊。

但人工智能顯然也不能百分之百準(zhǔn)確，為了降低漏報(bào)和誤報(bào)，所以還得結(jié)合其他辦法，像過濾器一樣層層過濾，才能得到最精準(zhǔn)的答案。

一個(gè)方法是去公司外部收集“威脅情報(bào)”，用來匹配內(nèi)部數(shù)據(jù)。

威脅情報(bào)：“最近有個(gè)團(tuán)伙在流竄作案，手法是這樣這樣的，長相是這樣這樣的，大家注意！”

內(nèi)部流量分析系統(tǒng)：“收到，咦？這不是剛才進(jìn)來的那幾個(gè)？難怪我感覺有點(diǎn)奇怪，趕緊告警！”

用了人工智能和威脅情報(bào)匹配，張卓覺得還是不夠準(zhǔn)。

美國網(wǎng)絡(luò)安全行業(yè)比中國起步早個(gè)十多年，他決定去取取經(jīng)。

2013年，美國網(wǎng)絡(luò)安全的街上，最靚的仔叫FireEye，火眼，當(dāng)年剛上市，市值蹭蹭往上竄，而且這家公司憑著看家本領(lǐng)，據(jù)說拿到了美國中央情報(bào)局的訂單和投資。

火眼的看家本領(lǐng)叫“沙箱”，它的原理我用一個(gè)小故事來打個(gè)比方：

城門口，士兵攔住一個(gè)可疑之人，例行檢查，卻發(fā)現(xiàn)此人并不在通緝令上，就放他進(jìn)去了（這就是傳統(tǒng)的防火墻和入侵檢測系統(tǒng)干的事）。

此人進(jìn)入城中，撕下偽裝，竟是怪盜雞der，他在城中潛伏數(shù)日，溜入藏寶閣，殺傷數(shù)人，偷得至寶，以為得逞，仰天長笑。

頃刻間，整個(gè)世界開始扭曲折疊，隨后化作砂礫，就像《盜夢空間》里演的那樣。

他醒了，發(fā)現(xiàn)自己在審訊室里，原來，一切都是假的，這座城是一個(gè)“沙箱”，里頭的時(shí)間流速被加快了，他以為已經(jīng)過去了三個(gè)月，實(shí)際外面只過去一秒鐘。

張卓找到當(dāng)時(shí)公司負(fù)責(zé)“云查殺”的同事張聰，因?yàn)椤霸撇闅ⅰ北澈缶陀杏玫缴诚浼夹g(shù)。

他倆分工，張卓這邊負(fù)責(zé)把前幾輪用人工智能和威脅情報(bào)匹配等技術(shù)發(fā)現(xiàn)的異常流量還原成樣本文件，扔到給張聰這邊，張聰負(fù)責(zé)用沙箱來觀察樣本放到沙箱里，進(jìn)一步判斷是好是壞。

經(jīng)過這么層層篩查確認(rèn)，準(zhǔn)確率就更高了。

張卓給這個(gè)大工程起了個(gè)名字，天眼，SkyEye，當(dāng)時(shí)的想法也挺簡單，對標(biāo)美國的火眼。

美國有“火眼”，中國也得有一只照出妖魔的“天眼”。

那時(shí)悶頭搭建天眼的張卓怎么也想不到，自己手中的代碼，竟為日后一家市值幾百億，目標(biāo)是萬億市值的安全公司埋下伏筆。

4

這個(gè)世界上的很多優(yōu)秀的產(chǎn)品都遵循同樣的軌跡：先是被逼得沒辦法，只好自己搗鼓出一套東西，解決自己的需求——“窮則獨(dú)善其身”，隨后發(fā)現(xiàn)，誒？別人也有一樣的問題呀，于是推己及人，成就一番事業(yè)——“達(dá)則兼濟(jì)天下”。

天眼也是一樣。

解決完自己的安全問題，他們自然想到：有沒有可能做成商業(yè)化產(chǎn)品，拿去幫別人解決問題？

正好趕上2014年 ，網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，人們開始頻繁地在電視和網(wǎng)絡(luò)報(bào)道中見到一句話：“沒有網(wǎng)絡(luò)安全就沒有國家安全” 。

他們隱隱感覺，網(wǎng)絡(luò)安全的春天要來了。

于是這一年，一個(gè)又一個(gè)在企業(yè)安全領(lǐng)域浸染多年的大牛納入齊向東麾下，比如現(xiàn)在奇安信的二把手吳云坤。

吳云坤到了奇安信，帶的第一個(gè)產(chǎn)品就是天眼，沒過多久，天眼便一戰(zhàn)成名，因?yàn)榘l(fā)現(xiàn)了針對我國關(guān)鍵基礎(chǔ)設(shè)施的境外黑客團(tuán)伙——海蓮花。

5

事情經(jīng)過是這樣的：

2014年夏天，某不便透露的地市級(jí)偵查部門交給天眼團(tuán)隊(duì)一個(gè)木馬樣本。這個(gè)木馬水平不低，且已經(jīng)被查殺過。你可以理解為抓到個(gè)刺客，但刺客立馬咬毒自盡了，溯源難度很大。

他們很快分析出一些線索。

“按照以往絕大多數(shù)安全公司的做法，到這一步也就為止了。它（木馬）連過這個(gè)，干過這個(gè)事兒，報(bào)告就交上去了?！?/p>

張卓回憶：“當(dāng)時(shí)老吳（吳云坤）提議說，公司積累了這么多安全數(shù)據(jù)，可以往前多挖一挖?！?/p>

也許是出于一個(gè)老安全人的直覺：高級(jí)黑客團(tuán)伙的作案手法通常很嫻熟，不太可能讓你直接抓到把柄，但存在一種可能性：若干年前的其他案件也許是同一個(gè)團(tuán)伙干的，當(dāng)時(shí)他們還沒那么嫻熟，暴露過一些破綻。

他們趕緊向公司申請數(shù)據(jù)權(quán)限，開始深挖，做同源性分析。

負(fù)責(zé)調(diào)查的幾個(gè)人像打了雞血一樣亢奮，通過域名知道樣本，通過樣本找到爬蟲……就這么一環(huán)扣一環(huán)，愣是在一堆看似零散的點(diǎn)里連出一條證據(jù)鏈。

天眼之下，鬼怪現(xiàn)形。

線索指向某省一所高校的留學(xué)生宿舍，對方電腦輸入法用的是某東南亞國家的語言，跟后來偵查部門的現(xiàn)場勘察結(jié)果完全吻合。

所有人都驚呆了：“我們就守在一個(gè)大寶藏上，以前居然沒意識(shí)到。連偵查部門都很震撼，他們沒想到一家民營企業(yè)能輸出一份這樣的APT報(bào)告。”

2015年5月，一份編號(hào)為APT-C-00的安全報(bào)告公諸于世，這是中國首份APT報(bào)告，發(fā)布者為“天眼實(shí)驗(yàn)室”，詳細(xì)還原了一個(gè)被命名為“OceanLotus”（海蓮花）的組織在如何對中國政府、科研院所、海事機(jī)構(gòu)等重要領(lǐng)域?qū)嵤╅L達(dá)數(shù)年的、有組織、有計(jì)劃、有針對性的不間斷攻擊，以及如何利用木馬秘密控制部分政府人員、外包商和行業(yè)專家的電腦系統(tǒng)，竊取機(jī)密資料。

報(bào)告全文有興趣的自己可以搜搜看，我簡單摘出一點(diǎn)料來幫助大家理解。這是當(dāng)時(shí)偽裝成各種形式的木馬文件，分別偽裝成合同、Flash更新和QQ：

這是“海蓮花”長達(dá)3年多的攻擊時(shí)間軸：

這份報(bào)告意義重大。

對內(nèi)，讓我們清楚看到被攻擊的事實(shí)。

對外，則告訴全世界：中國是網(wǎng)絡(luò)攻擊的受害者，而不是美國一直不惜余力地渲染的“網(wǎng)絡(luò)威脅者”。

2010年藍(lán)翔技校被懷疑是“軍方黑客大本營”

天眼一戰(zhàn)成名。

雖然“數(shù)據(jù)對安全很重要”這個(gè)道理大家以前也知道，但是真正經(jīng)歷過一次，那種撲面而來感受是完全不同——“上沒上過戰(zhàn)場的士兵還是不一樣的?！?/p>

2015年，張卓和小伙伴們將一本外國著作翻譯到國內(nèi)出版，書名叫《數(shù)據(jù)驅(qū)動(dòng)安全》，也是這一年，齊向東把“數(shù)據(jù)驅(qū)動(dòng)安全”確立為公司的第一個(gè)業(yè)務(wù)戰(zhàn)略。

“數(shù)據(jù)驅(qū)動(dòng)安全”成了奇安信企業(yè)故事的序章，幫他們在2016年拿到28.5億元的A輪融資，當(dāng)時(shí)的投前估值為100億元，已經(jīng)超過當(dāng)時(shí)大部分已上市網(wǎng)絡(luò)安全公司的市值。

6

不過話說回來，千萬不要以為天眼能抓APT，就能分分鐘賣爆，取得商業(yè)上的成功。

這就好比金庸小說里的張三豐，要成為武林高手，只需要自己悶著頭練武就行，但是要開宗立派，那就得考慮柴米油鹽，解決整個(gè)門派的生計(jì)問題，也不能光他自己一個(gè)人武藝高強(qiáng)，得讓大家都能學(xué)得會(huì)一招兩式，傳承下來才行。

總之，掌門人自己必須完成一次從高手到宗師的蛻變。

奇安信獨(dú)立融資后，張卓要扛起天眼產(chǎn)品市場和收入的擔(dān)子，他也得完成從一個(gè)單純技術(shù)人向一個(gè)產(chǎn)品負(fù)責(zé)人的蛻變。

起初他跑到客戶那，拍著胸脯說“我要打十個(gè)”，被客戶一句話就給噎回來：

“天眼要走向規(guī)模化和商業(yè)化，不能光靠沙箱和威脅情報(bào)?！睆堊恳庾R(shí)到，大多數(shù)客戶都覺得自己離國家級(jí)的APT攻擊太遠(yuǎn)，所以常規(guī)的威脅發(fā)現(xiàn)、響應(yīng)處置而溯源分析才是普遍需求。

他們開始瘋狂補(bǔ)齊產(chǎn)品和方案上的短板。從事前的檢測、響應(yīng)，到事后的取證、溯源，每個(gè)環(huán)節(jié)都不能放過。

據(jù)張卓回憶，天眼團(tuán)隊(duì)人數(shù)最多時(shí)一度超過400人，當(dāng)時(shí)團(tuán)隊(duì)內(nèi)部冒出特別多的想法和方向，每個(gè)方向都想對標(biāo)一家美國上市安全公司。后來齊向東覺得這樣不行，便主持把天眼拆成三支團(tuán)隊(duì)，好讓每個(gè)隊(duì)伍都各自專注在自己的方向。

第一支獨(dú)立出來的團(tuán)隊(duì)，叫網(wǎng)絡(luò)空間安全態(tài)勢感知與協(xié)調(diào)指揮系統(tǒng)，專門為監(jiān)管部門提供網(wǎng)絡(luò)安全態(tài)勢感知和協(xié)調(diào)指揮，滿足國家監(jiān)管部門對態(tài)勢感知的標(biāo)準(zhǔn)要求，由李虎博士帶隊(duì)。

第二支獨(dú)立出來的是奇安信另一個(gè)拳頭產(chǎn)品：態(tài)勢感知與安全運(yùn)營平臺(tái)NGSOC，它相當(dāng)于企業(yè)內(nèi)部的態(tài)勢感知和網(wǎng)絡(luò)協(xié)調(diào)指揮中心，更側(cè)重于滿足企業(yè)日常安全運(yùn)營和管理的需求。

我們之后有機(jī)會(huì)再給大家單聊這兩支團(tuán)隊(duì)的故事。

第三支則是依然由張卓帶隊(duì)的天眼團(tuán)隊(duì)，聚焦于實(shí)戰(zhàn)攻防。

正當(dāng)奇安信內(nèi)部在梳理產(chǎn)品線，窗外“炮火聲”已經(jīng)響起。2016年起，響應(yīng)國家號(hào)召和有關(guān)部門的指示，一場場網(wǎng)絡(luò)實(shí)戰(zhàn)攻防演習(xí)在各個(gè)行業(yè)如火如荼地進(jìn)行。

天眼在跟黑客的實(shí)戰(zhàn)中誕生，又一頭扎進(jìn)實(shí)戰(zhàn)中。

7

實(shí)戰(zhàn)中，武器好不好用，士兵說了算，誰是天眼的士兵？兩類人，一類是企業(yè)的安全人員，一類是奇安信的安全服務(wù)人員，所以天眼要迭代升級(jí)，得聽安服和客戶的意見，這樣才能真正適應(yīng)實(shí)戰(zhàn)。

但當(dāng)時(shí)他們發(fā)現(xiàn)一個(gè)問題，天眼這個(gè)產(chǎn)品，張卓他們團(tuán)隊(duì)自己用著非常爽（一是因?yàn)槭撬麄冏约鹤龅?，二是因?yàn)樗麄儽旧砭褪枪シ栏呤郑?，但是別人用不來。

但這可不行啊，如果安服和企業(yè)安全人員用不起來，就沒法發(fā)揮天眼最大的價(jià)值。

2018年，為了讓產(chǎn)品和安服兩支隊(duì)伍盡快磨合，奇安信做了一個(gè)非常激進(jìn)的動(dòng)作：把天眼和安服兩個(gè)部門的業(yè)績直接綁定。

公司內(nèi)部戲稱：天眼和安服結(jié)婚了。

技術(shù)上的困難，張卓從來沒在怕的，卻差點(diǎn)被這場“包辦婚姻”搞得心態(tài)崩潰。

“這簡直就是人性的挑戰(zhàn)！”張卓告訴我，產(chǎn)品經(jīng)理都把產(chǎn)品當(dāng)自己孩子一樣，控制欲很強(qiáng)，看到別人干涉自己孩子的成長肯定心里不爽，但“市場驅(qū)動(dòng)”對他們而言就意味著失控，就像孩子要跟著別人出遠(yuǎn)門。

更關(guān)鍵，對方還要時(shí)常給你打來電話，說你孩子這不好，那也不好。

每周，他們都開電話會(huì)議，有時(shí)會(huì)開著開著就變成吐槽大會(huì)，二十多位分布在全國各地的安服團(tuán)隊(duì)區(qū)域負(fù)責(zé)人一人說幾句：

“你這個(gè)界面展示不合理，應(yīng)該這樣這樣……”

“數(shù)據(jù)結(jié)構(gòu)列表看不懂，弄不明白?！?/p>

“告警還不夠準(zhǔn)。”

“你這個(gè)產(chǎn)品到底行不行??？客戶用不明白，都跟我說不想買了，我怎么解釋，你這不是坑我們嘛？”

實(shí)際比這更難聽的話多了去，出于和諧，就不一一列舉了。整個(gè)會(huì)議里，產(chǎn)品團(tuán)隊(duì)就張卓和另一個(gè)人，其他二十多個(gè)人都是安服的，一場會(huì)開下來，張卓是頭皮發(fā)麻，額頭冒汗，如坐針氈。

“仿佛要把你一切努力都否定掉。”張卓說，曾經(jīng)的技術(shù)自信和驕傲，被撕碎，然后狠狠地扔到地上，再踩兩腳。

有一次，張卓正辦著公，一位同事沖進(jìn)辦公室，招呼他趕緊過去看，他團(tuán)隊(duì)里的一位同事跟安服團(tuán)隊(duì)的老大張翀斌聊著聊著就吵了起來，面紅耳赤，馬上就要打起來了！

還有一次，張卓讓手下一位同事過去和安服部門開會(huì)，聽聽意見，同事眼睛瞥到一邊：“我才不去，要去你去！”

那段時(shí)間，張卓特別低落，茫然不知所措。

8

他意識(shí)到，問題的答案可能在自己身上。

“因?yàn)楹芏鄷r(shí)候，領(lǐng)導(dǎo)的風(fēng)格就是整個(gè)團(tuán)隊(duì)的風(fēng)格”，他捫心自問，是不是因?yàn)樽约簮勖孀?，放不下所謂技術(shù)人的驕傲，不敢承認(rèn)產(chǎn)品的不足，不夠信任安服團(tuán)隊(duì)，才導(dǎo)致兩個(gè)團(tuán)隊(duì)磕磕碰碰？

“還是得從自己身上找解決辦法，要改變兩個(gè)團(tuán)隊(duì)的關(guān)系，得先改變我自己。 ”

之后，他跟張翀斌的主動(dòng)交流越來越多。

他開始用“幸存者效應(yīng)”來向自己和團(tuán)隊(duì)解釋整件事：“你做得好，別人會(huì)記在心里，做的不好，別人會(huì)告訴你，久而久之你就會(huì)感覺全是批評(píng)聲，但你得理解這件事?！?/p>

“真正關(guān)心你的人，是罵你的那個(gè)。”他說。

后來兩個(gè)團(tuán)隊(duì)都意識(shí)到，很多時(shí)候雙方都各自往前一小步，產(chǎn)品只要再加一個(gè)小小的功能，服務(wù)上再做一點(diǎn)點(diǎn)的補(bǔ)充，配合起來，客戶就會(huì)很滿意。

“不碰撞，安服永遠(yuǎn)不知道產(chǎn)品能幫他做什么，哪些是產(chǎn)品做不到的，產(chǎn)品團(tuán)隊(duì)也無法真正理解安服人員在一線經(jīng)歷的狀況。”

當(dāng)初不愿意聽安服聲音的同事，也開始主動(dòng)跟著安服的同事往客戶現(xiàn)場跑。

有一次一個(gè)同行跟張卓聊天，問：“怎么你們的安服和產(chǎn)品結(jié)婚就那么甜蜜，我們這邊一結(jié)合，都快完蛋了，天天拍桌子罵人，產(chǎn)品團(tuán)隊(duì)都想拍屁股不干了?！?/p>

張卓說著說著就笑了，這跟他在技術(shù)上取得成就的驕傲不太一樣，有一種老婆孩子熱炕頭的幸福感。

“結(jié)婚”的好處顯而易見，產(chǎn)品更貼近實(shí)戰(zhàn)，更符合真實(shí)需求，安服人員手上的武器更趁手。

張卓告訴我，從聚焦攻防的天眼團(tuán)隊(duì)獨(dú)立出來，再到和安服結(jié)婚，天眼經(jīng)歷了三個(gè)階段的跨越：

從2017年開始，天眼在易用性攻防檢測方面顯著提升，達(dá)到了在安服人員手里也“管用”的地步；

2018年到2019年，天眼還處于“安服用的好，但客戶用不起來”的階段；

到2020年初，天眼已經(jīng)從“管用”演進(jìn)到“好用”的階段，不光是安服人員，許多客戶也在直接使用。

張卓完成了從技術(shù)研究者向產(chǎn)品負(fù)責(zé)人的蛻變，天眼也成為許多政企實(shí)戰(zhàn)攻防演習(xí)的“標(biāo)配武器”。

而且“天眼”不光是本身得到打磨，也衍生出許多組件產(chǎn)品，比如郵件安全、欺騙誘捕、安全DNS、滲透測試、全包存儲(chǔ)系統(tǒng)等等，形成了一個(gè)“天眼家族”。

看得出“婚后生活”還是很幸福的，這都有家族了……

9

如果要用八個(gè)字概括天眼的故事，我想用“生于憂患，興于實(shí)戰(zhàn)”。

張卓告訴我：“最早我們還說數(shù)據(jù)驅(qū)動(dòng)安全，還講威脅情報(bào)，現(xiàn)在我們不怎么提了，就是實(shí)戰(zhàn)。就像協(xié)和醫(yī)院的專家一樣，看的病例多了，醫(yī)術(shù)才會(huì)提高。”

不過有點(diǎn)可惜的是，因?yàn)榭蛻舯Ｃ苤惖木壒?，許多攻防實(shí)戰(zhàn)的過程不能說。

我問他：注重實(shí)戰(zhàn)有哪些具體體現(xiàn)？

他舉了幾個(gè)例子：市面上聲稱做“欺騙誘捕”的公司很多，本質(zhì)上還是蜜罐。以往大家都是守株待兔，布置一堆假的服務(wù)器，等著攻擊者來訪問，留下痕跡。

“他們覺得只要蜜罐做得足夠仿真，攻擊者就會(huì)被騙，但那其實(shí)根本不叫欺騙。你的主站業(yè)務(wù)都沒連著這臺(tái)服務(wù)器，服務(wù)器都沒什么外部流量訪問，攻擊者兩下就看出來了?！边@大概就像是，你穿著精心偽裝的迷彩服，活像一棵灌木，卻趴在潔白的雪地里。

“欺騙是要真的去騙，要讓攻擊者從一開始收集到的線索就是假的?！睆堊空f，“如果一個(gè)產(chǎn)品聲稱能放釣魚郵件，我就真給你發(fā)釣魚郵件，用20種、30種方法，看你能防住幾種！”

從2016年起，除了每年雷打不動(dòng)的實(shí)戰(zhàn)攻防演習(xí)，平均下來每年他們要組織和參與200多場的攻防演習(xí)，“全國一半左右都是我們組織或參與的。你就說我們這個(gè)醫(yī)生看的病多不多吧~”張卓笑著說。

一次內(nèi)部攻防演習(xí)現(xiàn)場

10（結(jié)語）

和張卓聊完，我從奇安信走出來，心想這世界實(shí)在太奇妙，如果當(dāng)年不是因?yàn)榕卤缓诳凸?，說不定張卓就不會(huì)做出天眼，如果沒有天眼，說不定就沒有今天號(hào)稱“網(wǎng)安一哥”的奇安信。

有一種多米諾骨牌的既視感。

但我轉(zhuǎn)念又覺得，當(dāng)年即便張卓沒做出天眼，也一定會(huì)有一個(gè)李卓、劉卓來做出另一個(gè)天眼。

天眼的誕生故事，背后是奇安信崛起的故事，奇安信的崛起故事，背后又是整個(gè)網(wǎng)絡(luò)安全行業(yè)的興起和變革，前景和背景層層交疊。

看似一個(gè)個(gè)偶然的背后，其實(shí)是必然的趨勢在推動(dòng)著一切。但歷史又恰恰因?yàn)橐粋€(gè)個(gè)偶然，才顯得尤其浪漫。

最后再介紹一下我自己吧，我是謝幺，科技科普作者一枚，日常是把各路技術(shù)講得通俗有趣。想跟我做朋友，可以加我的個(gè)人微信：xieyaopro。不想走丟的話，請關(guān)注【淺黑科技】：qianheikeji