【白帽】圈里圈外,笑然面对
乍见“笑然”二字,很容易让人联想到《诗经》中的一句:“巧笑倩兮,美目盼兮。”
现在,有个姑娘就叫这个名字,并且出现在你面前——她长发乌润,双眸灵动,浅笑盈盈,温润如风,让人不由赞叹“人如其名”。
就是这样一位人如其名、巧笑嫣然的姑娘,如今竟是阿里云云盾“先知”计划的产品负责人。
从“圈外”到“圈内”,曾经对安全一窍不通的笑然,是怎么跨过技术的门槛,成为业内成绩斐然的安全产品负责人呢?
来到安全部门这片新天地,
笑然自己总结了一套“心经”
《武林外传》中有一句经典台词:“有人的地方就有江湖。”在刀光剑影的武侠世界里,武功的有无,显然是界定江湖内外最直接的门槛。
安全的江湖也是如此。
时至今日,虽然网络安全已经无处不在,安全问题也日益为公众所知并重视,但安全的“圈里圈外”依然存在着一道清晰的界线——技术,它像一条雾气迷蒙的大河,横亘在安全江湖和外部世界之间。
普通人站在网络安全的圈外,望向彼岸,定然是重重迷雾和模糊的轮廓。跨越的过程更是千难万险:且不说瞬息万变花样百出的攻防实战,光是那些晦涩的技术名词,便已让人眼花缭乱了。这决定了安全从业者多是技术出身,管理者通常也是从技术转型而来。
那么,作为圈外人的笑然,又是怎么入行的呢?阿里云云盾的“先知”计划,被称为凝聚了安全技术之精华,她又是如何当上产品负责人的?
说到这里,就必须提到另一位大神、安全圈叱咤风云的传奇人物吴翰清。
时针拨回到2015年年底,时任支付宝口碑产品经理的笑然正酝酿转岗,面对两个截然不同的选择——手机淘宝和安全部门,她举棋不定。其实在这二者之间,选择手机淘宝显然更为合理:从2010年大学毕业进阿里,笑然一直在做广告和营销产品,先是探索淘宝直通车的商业流量变现,后来又负责淘点点的消费者导购和大数据营销两条业务线,手机淘宝业务对她来说已是驾轻就熟。而安全?“真的是雾里看花”。
这时候,吴翰清“刺”出了一句话:“做手机淘宝对你还有什么挑战?来安全部门,你会发现一个完全不同的新世界。”正是这句话“刺”中了笑然的心怀。
“我当时申请转岗,就是为了寻求突破。如果继续待在熟悉的领域,转岗还有什么意义?”慎重思考过后,“圈外”的笑然以新兵的姿态,正式踏进“安全圈”了。
主动走出“舒适区”去面对完全陌生的世界,需要的不仅仅是闯关的勇气,“一开始我真的什么都不懂,圈内很平常的一个名词,我都需要逐个去理解;要跟上前沿就更辛苦了,需要恶补。不过,经过四个多月的紧张学习,再和那些技术高手们交流,他们的反馈是,你学的还挺快嘛。这里面有鼓励在,但对我来说,信心也是这么一点点积累起来的。”
对于快速进阶,笑然有自己一套“心经”:“我获取知识的途径有两个,一是来自阿里众多的安全专家,他们在行业内非常有建树,我就仗着自己外行,没有心理包袱,加上脸皮厚,经常缠着他们请教问题。此外,专家们会介绍更广泛的知识获取途径:微信公众号、网站、书籍,这些可以让我第一时间跟进行业动态和发展。”
对人的理解,
使笑然领悟到产品的生存之道
花开两朵,各表一支。
作为“圈内人”的吴翰清,为什么会选择笑然这个“圈外人”,来担任如此重要的“先知”计划的产品负责人呢?
“我觉得主要是两个点吧,一是我有比较强的学习能力,能快速了解行业,二是最关键的,就是对人的理解。”笑然如此回忆。
互联网产品的根本在于人。只有抓住用户痛点,才能找到产品的生存之道,这恰是很多技术人员比较欠缺的:他们更习惯于面对数据和代码,而在和活生生的人打交道时,却往往会束手无策。“如果不能准确地理解和把握用户的心理,技术再炉火纯青,也像一拳打在了棉花上——无从发力。”
事实上,吴翰清和他的安全部门早已意识到这个问题:阿里云曾建立过一个团队,为企业客户提供渗透测试服务,一年下来收入不错,但到15年底,这个产品却下线了。
对此,笑然有着敏锐的分析:“下线,是因为在服务企业的过程中,渗透测试并不能很好地帮助企业全面发现安全问题:第一,参与测试的人员较少,测试效率低,测试效果也不能达到最大化;第二,渗透测试的形式存在问题,只需通过一个漏洞深入,然后成功获得数据权限,测试就算结束了,客户不会知道是否还存在可能同样导致数据泄露的其它漏洞,也就不能了解安全风险的全貌;第三,渗透测试的性价比非常低,客户可能投入了很多预算,但一次测试只找到一个点的问题,投入产出存在问题。”
“一句话,不能更好地为客户服务的产品就不是好产品。”她补充道。
正是基于这样的考虑,阿里决定成立自己的众测平台——“先知”计划。作为众测平台,面对的不仅是客户,还有数量众多的白帽子,协调二者的关系成为重中之重。这对曾在阿里妈妈和支付宝担任产品经理、长期和企业及用户打交道、积累了丰富平台产品经验的笑然来说,并不难。于是,理所当然的,笑然成为“先知”计划的不二人选。
“之前我有独立负责一条或者好几条业务线的经验,不管是阿里妈妈也好,口碑也好,我做的都是平台。‘先知’也是平台,关于如何平衡客户和白帽子的利益,很多经验都是可以借鉴的。做平台产品,光懂技术还真不行,经验也是少不了的。”笑然此刻的一番表述,早已褪去“圈外人”的生涩,真正有了“圈内人”的自信和从容了。
“剑出奇招”的吴翰清“刺”对了人,笑然在“先知”平台如鱼得水。
作为安全行业为数不多的妹子,笑然并不避讳自己的“小白”经历:早前以化名进入白帽子QQ群的她,很快发现白帽子们都以真名称呼她了。“我当时很奇怪,就问你们怎么知道的?他们说,你不知道QQ群信息泄露的事情啊?”后来笑然才知道,这就叫“被社工”。
尽管被“欺负”了,笑然却一点都不恼,反倒觉得白帽子们很可爱:“他们并不是想通过窃取隐私搞什么破坏,只是很单纯地向我表达一下关心,另外还会友善的提醒我修改密码。”
这不由让人想起那位同为美女、誓与技术死磕到底的黄源同学,她也曾有过被人“友善社工”的经历。也许,正因为在一闪儿男宅的安全圈里,闯进来一些寥若星辰的“圈外”妹子,这个圈子才真的好玩而可爱起来了。
玩闹时虽可爱,真正面对工作时,笑然却非常的“女王”。
作为“先知”计划首席BD,她一手联系客户,一手联系白帽子和安全公司,成绩斐然:所有合作的安全公司均由笑然引入,同时她也严格制定了平台的规则,以规范白帽子行为,赏罚分明,铁面无私。
目前,全中国30%以上的网站在阿里云上,“先知”平台让白帽子受益匪浅。在刚刚过去的5月,平台上名列第一的白帽子,已经捧得15万元奖金,第二名也有十多万元。
笑然所负责的“先知”平台,
也在渐入佳境
从“圈外”到“圈里”,笑然在精进;她所负责的“先知”平台,也渐入佳境。
“在产品定位上,‘先知’计划非常注重客户的分层,对客户来说,‘先知’既可以是合作伙伴,又可以是保姆。对于有能力建立SRC、具有安全应急响应能力的客户,‘先知’是一个收集漏洞的渠道,也是忠实的合作伙伴。对不具备安全应急响应能力的客户,阿里安全工程师会帮助客户完整地管理漏洞的生命周期。”
关于如何提供更好的服务,笑然也有自己的独门秘籍。
“先知平台不仅有数量众多的白帽子,还和许多新锐的安全公司形成了合作,比如长亭科技、四叶草安全,还有安识科技,安识科技除了拥有自己的安全社区平台安全脉搏外,还有一批优质的安全工程师,始终提交着高质量的安全漏洞,每月都跻身先知top排行。这些新锐的安全公司一起,遵照平台规则,良性竞争,为客户提供最好的安全众测服务。”
“那怎么解决信任问题呢?”
“在测试人员准入方面,白帽子都经过了支付宝实名验证,安全公司也要经过企业认证。随着越来越多的安全公司成为先知计划的合作伙伴,B2B的众测会比C2B更加让客户觉得可信和放心。在行为审计方面,我们将白帽子的行为监控升级成企业的攻防对抗——攻方是我们雇佣的‘红军’,而守方是我们的态势感知产品。通过大数据安全分析,我们能够实时感知测试人员的攻击行为及路径,判断测试人员的操作是否符合平台规则,并将分析结果展示在云端控制台上,为企业提供参考。另外,之前我发现众测平台普遍存在支付奖金比较慢的问题,引发白帽子吐槽和不满。先知平台已经可以做到漏洞确认后24小时到账,这对白帽子的体验是极大的提升,也进一步保证了企业测试的效果。”
笑然说:“在神话传说中,‘先知’不仅能够准确地预知未来,也承担着引领民族和国家方向的责任。阿里设立众测平台,欢迎更多的白帽子和更多的安全创业团队加入,甚至有计划地扶植白帽子创业,阿里云的百万级客户,对白帽子创业帮助极大。当然,有了白帽子和安全公司的支持,我们也能更好地为客户提供服务。说到底,我们就是希望打造一个更加完善的安全生态圈。”
就在本文成稿之时,阿里云安全发布《安全服务职业宣言》,向行业发出倡议,希望大家尊重客户与职业,不用自己的技能破坏客户安全,以尊重客户利益为第一原则,在力所能及的范围内,踏踏实实解决客户遇到的问题。
采访结束,闲聊却突现“彩蛋”:“作为安在粉丝,你们之前采访过的叶敏,我也经常向他请教问题呢。我还记得你们采访的最后提到,刺总吴瀚清给叶敏下过一道命令,让他在年底之前务必招到一个妹子……”
说到这里,笑然顿住,眨了眨眼,似要卖个关子。
“结果呢?”
“其实,刺总的任务可不只是给叶敏的,他也有份呀。我一月初进到刺总团队,成为团队里唯一的妹子,刺总自己的任务倒是完成了,可叶敏……”话到这里,笑然又笑,“他的KPI还遥遥无期呢。”
“怎样,安在帮着介绍一个呗?”这回轮到笑然发问,她笑得就更灿烂了。
先知计划是一个帮助企业发现安全漏洞和风险的私密众测平台。企业加入先知后,可自主发布奖励计划,激励先知平台的白帽子或者安全公司来测试和提交企业自身网站或业务系统的漏洞,全面发现安全问题和风险,按漏洞效果付费。
相关内容请看 https://www.aliyun.com/product/xianzhi/?spm=5176.7960203.237031.91.VVEHTB
扩展阅读: