导语:“古今之成大事业、大学问者,必经过三种之境界:‘昨夜西风凋碧树,独上高楼,望尽天涯路’,此第一境也。‘衣带渐宽终不悔,为伊消得人憔悴’,此第二境也。‘众里寻他千百度,蓦然回首,那人却在,灯火阑珊处’,此第三境也。”
——王国维《人间词话》
直到2017年初2000万元融资的消息传出,一贯低调的中睿天下才引起外界的关注。一如眼前的魏海宇本人,低调是中睿天下对外的一贯姿态,高调全部用在了内部的产品研发中。
但实际上,这个“鲜为人知”公司前身是信息安全圈的骨灰级玩家,核心团队早在2003年起就长期从事网络攻防技术的研究,后来才正式成立中睿天下,专注研发基于“攻击者视角”构建的的安全防御类产品。到今天,中睿天下已经拥有了一套完备的攻击溯源产品,涵盖Web安全、网络安全、邮件安全等各个方面。
作为中睿天下的联合创始人,魏海宇随着公司一起成长,也为中睿天下带来了一种独特的气质:心怀理想,却不好高骛远;顺应现实,又不随波逐流——正如他本人一路走来的轨迹。
当传统遇到未来
独上高楼,望尽天涯路
从职业发展的角度来看,魏海宇的安全生涯起点不可为不高:初入职场的第一家公司,便是赛门铁克,这已足够让很多人羡慕不已了——那么,他又为什么主动选择离开呢?
“进赛门铁克之前,我对安全技术已经有了一定的基础,在圈子里也待了一段时间。”魏海宇介绍,“到了赛门铁克,我主要从事病毒木马分析相关工作,这段时间成长非常快。”
借着全球性企业的优质平台,魏海宇接触到了当时全球各种最先进的病毒,也由此积累了丰富的经验。但与此同时,他也注意到传统安全存在着难以解决的问题:滞后性。
“杀软总是要落后于病毒的,一定要有人中招,才能提取特征、进行防御。就像是一个人杀了人,警察才能根据他的肖像进行追捕——但是,为什么一定要死人呢?有没有一种方式,可以在他刚刚举起刀的时候,就把他绳之以法呢?”
魏海宇有心找到这样一种方法,但在赛门铁克,这绝非易事——这样大体量的公司如同前进中的列车,而魏海宇充其量不过是一枚螺丝钉,只能跟随着这台庞大机器的方向。
于是,魏海宇离开赛门铁克,加入东方微点。“因为东方微点全球第一个推出了主动防御技术,基于危险行为进行拦截,可以解决传统杀毒软件滞后于病毒木马的问题,这正是我所感兴趣的。”
在东方微点,魏海宇参与当时未完成的杀毒研究工作,见识了从计算机诞生起的dos病毒到win64病毒等各种病毒样本,对于各类攻击方式有了透彻的理解;而杀毒软件开发相关的工作,为他的创业打下了基础,也形成了自己的安全理念:
“对抗未知威胁,但不是用传统的方法。”
魏海宇的理念和他经历的实际案例有关。
2009年,某涉密单位隔离内网中的多台计算机被病毒感染。该病毒采用多态技术感染了很多重要文件,当时市面上所有杀毒软件都无法清除。熬了一个通宵后,魏海宇写出了清除算法,恢复了这些文件,同时还原了攻击者整个入侵过程中的细节。
2011年,某个重要敏感机关发现了可疑流量,但之后再也找不到任何痕迹。魏海宇最终揭晓了谜底,同时也还原了该次攻击事件的来龙去脉——这是一次处心积虑的APT攻击,木马是Rootkit级别,隐藏极深。
两个案例都说明,随着技术的发展,攻击的手段、方式、过程越发呈现出复杂化、多样化的态势。“已经有了APT的感觉。”魏海宇回忆道——这也正是魏海宇创业的目的所在。
然而魏海宇清晰地认识到,木马病毒仅仅是APT攻击链上的一个环节。一起完整的APT攻击包括踩点、策划、打点、渗透、权限驻守等环节,需要精通不同环节的人聚在一起,才能真正做到“攻击溯源”。魏海宇谦虚地解释,“我们的团队里高手如云,核心成员都具备国际一流技术水平。只论技术,我算一般。”
图:基于攻击溯源的一体化安全解决方案
当理想遇到现实
衣带渐宽终不悔
历经传统安全企业,魏海宇及团队成员对于传统安全体系的薄弱点有着充分的认识和体会:“现在的防御体系其实非常差,虽然国内安全公司有着看似成熟的产品,实际上效果不好——写一个木马,绕过防御的方法会有几十种上百种。我们想改变这样的现状。”
但理想总是远大,现实却没有那么乐观。
一开始,魏海宇把精力都投入到了APT攻击方面,在他看来,这是确定无疑的趋势;但真到了市场当中,面对客户,魏海宇发现现实的需求并非如此:“客户告诉我,别谈APT了,你先解决我们的基础安全问题吧——APT攻击从没发现过,倒是很多普通威胁,仍然解决不好。“
尽管已经拥有对抗APT方面的能力,但市场的要求,让中睿天下选择了一条更为接地气的道路:攻击溯源,“睿眼”便是中睿天下在攻击溯源方面的成果。
魏海宇以Web为例,介绍了产品的优势:“首先解决了检测率低、误报多、效率低的问题。睿眼的威胁检测率有了大幅提高,很难有攻击方式能绕过。误报多导致报警次数多达几十次几百次,客户看不过来,就完全失去了意义。而睿眼可以将原本需要几天时间分析的日志,在几分钟内解决。”
“第二,成功判断攻击效果。攻击分有效和无效,无效攻击没有必要过分关注,时间紧迫的时候重点关注有效攻击,这在当时是业内第一个具有该能力的产品。”
“第三,加入了攻击过程还原,以录像的形式展示攻击者如何一步一步进行入侵,利用了什么漏洞,什么新的攻击手法,客户可以看得更清楚、更明白,这一点也非常受市场欢迎。”
睿眼•邮件也解决了困扰用户已久的另一个痛点。传统的邮件安全产品以反垃圾为主,难以有效检测高级定向攻击。但通过分析大量APT事件,魏海宇发现,绝大多数时候攻击都起源于一封钓鱼邮件。睿眼邮件产品采用了很多“黑科技”,比如邮件意图识别、URL沙箱等,即使免杀类的木马病毒也难逃“火眼金睛”。
与之相关的案例不在少数,在中国大力推进“一带一路”战略的大背景下,睿眼邮件产品在多个重要部门检测到了来自境外黑客的APT邮件攻击事件。2017年4月份,某重要单位宣传部门收到一封标题为“XX”国际合作高峰论坛的邮件,附件包含一个0day 的office文件,被睿眼•邮件检测出来。但直到2017年11月微软更新补丁(CVE-2017-11882),这个0day漏洞才被正式被公开。
完备的产品体系背后,开发的过程并不简单。
“我们是技术导向,核心团队的每个人技术都一流,一开始觉得技术转变成产品,一定不会差。后来才发现,坑非常多。”
直到第二年,中睿天下才真正推出了第一款产品“睿眼•web”,而到产品体系基本成型,整整花了四年的时间。
图:中睿天下产品防护矩阵
当技术遇到市场
蓦然回首,那人却在灯火阑珊处
与一般的技术导向型公司不同,魏海宇清楚地意识到,在复杂多变的市场中,技术并不意味着一切。
“虽然技术很重要,但只靠技术,没有前途。”
魏海宇依然记得东方微点曾走过的弯路:“在市场和技术之间,东方微点选择了技术。主动防御技术一出来,备受瞩目,大公司争相收购,但市场方面不够重视,导致最后没有达到理想中的结果。”等到互联网公司横空出世,靠全新的商业模式横扫市场时,魏海宇的判断又一次得到了印证。
这是技术人员创业常常容易出现的问题:技术固然是功底、是基础、是实力,但市场能够注意到的,必然是更加吸引眼球的。再加上,安全技术本身门槛不低,如果不重视宣传,必将导致和市场的脱轨;没有了市场,也就没有了服务的对象,那么安全技术也就失去了意义。
在魏海宇的心中,中睿天下必须将技术和市场两方面进行平衡——当然,在他的心中,技术和产品依然有着很重的分量,从中睿天下蛰伏四年研发产品便可以看出。但当公司前行到一定阶段,必然要有着与此前不同的发展。
比如这次中睿天下参加2018中国石油石化企业信息技术论坛,魏海宇介绍,“今年中睿天下规划了十几场会议。除参与石油、金融这样的行业会议外,还计划参加429在内的安全行业大会”。
融资这件事,对中睿天下来说也是个新的尝试:“我们一开始不了解融资的意义,同时担心资本过早介入影响技术发展线路,反正公司2015年就开始盈利,自己也能养活自己。后来想明白,这是有利于公司发展的。”
公司规模的扩大已经近在眼前,而魏海宇对此有足够的信心和经验——这源于早年间赛门铁克的经历:“作为国际化的大企业,赛门铁克的管理是非常规范的,职能、流程丝毫不乱。公司早期,发展要讲究效率,这套规范可能不适用;而当公司规模扩大时,赛门铁克,正好值得我们学习。”
在魏海宇的身上,你不难看出作为安全技术人员的严谨、专注、执着,但更重要的是,他还有着另一种作为创业者的气质:善于吸收、敢于变化。
理想主义者仰望星空、但经常失足跌倒;现实主义者埋头看路,却容易迷失方向;两种看似相悖的行事方式,其实只有融合在一起,才能发挥最大效力,而魏海宇,便是最好的证明。