创业者说丨MJ郑文彬:带领高阶研究员们去挖掘漏洞之上的更多价值
6月上旬,在由36氪主办的“X-36Under36创业者盛典”上,一位安全创业者——北京赛博昆仑科技有限公司创始人兼CEO 郑文彬(MJ)入围了“S级创业者名册”,成为了网络安全领域唯一入围的明星创业者。
在网络安全圈子内,提及MJ,可谓无人不知无人不晓。
2006年12月,彼时19岁但热爱黑客技术的MJ被周鸿祎招致360麾下,直至2021年1月4日离职。
在拿到离职证明当日,MJ在社交平台上如是写道,“今天我正式离开这家服役了十四年的公司。五千一百三十八天中,同中国第一安全品牌与产品共同成长、发展,没有太多遗憾;心情平淡;带上我的鼠标垫,迎接新的未来。”
在这十四年里,MJ作为360的三名创始工程师之一,主持、设计和研发了多个360核心安全产品和核心技术。作为360集团曾经的首席技术官兼首席安全技术官,MJ一手组建了360Vulcan Team这一号称是东半球最强白帽天团的的漏洞研究团队。他多次带领团队斩获国际、国内知名安全赛事冠军,还在Pwn2own 2017赛事上获得“Master of Pwn”世界破解大师称号。团队研究成果多次获得微软、苹果、谷歌等主流厂商官方公开致谢,并在微软MSRC全球最具价值安全精英榜长期霸榜,为全球证明了中国安全漏洞研究员的强大能量。
作为一位业内知名安全大牛,在成功囊括了业内几乎绝大多数顶级荣誉后,MJ毅然决定正式成为一名创业者,换一种全新的身份和方式,开启自己人生的下半场。
事实上,虽然赛博昆仑的一举一动都饱受行业同仁、媒体和投资界的关注,但戴着“明星光环”的赛博昆仑和MJ本人却又一直保持着颇为低调和神秘的行事作风,打开其企业官网会发现,从产品到企业介绍,各部分画风都极为简洁。除了能看到赛博昆仑是一家专注于提供漏洞防御和对抗能力的新一代网络空间安全公司外,几乎没有更多公开信息可供了解。
为了揭开赛博昆仑的神秘面纱,带着一颗好奇心,安全419日前走进了赛博昆仑,有幸拜访了MJ这位业界技术大牛,并邀请他以一个创业者的身份,围绕创办赛博昆仑背后的初衷和愿景,以及在创业一年多的过程中,自己对行业的一些认知和理解展开了一次畅谈。
“属于中国安全漏洞研究员们的
‘黄金十年’已走完大半程”
MJ回忆道,在2010年以前,“搞安全”还是一个风险和压力并存的职业,高薪一词也与安全研究员们基本无关。“当时国内做安全研究的白帽黑客们普遍还都面临着经济收入方面的压力,拿着和普通程序员一样水平的薪资,怀着对安全的一片热忱,在各个私密的小技术圈子里面结交网友,这是那时候大家的真实面貌。那个时候认真做安全的研究员们几乎很难找到赚钱的出路。”
2010年,中国互联网发展史上的标志性事件——3Q大战爆发,这一战役历时许久,最后在工信部的调停下宣告结束。“3Q大战爆发后,互联网巨头们纷纷意识到了网络安全的重要性,各个互联网公司开始了疯狂的挖人建团队,巨头们都养了一大帮技术实力很强的人来构筑自己的城墙。”
在MJ看来,3Q大战为国内的安全研究员们带来了天时地利人和,也开启了自2010年后属于中国安全漏洞研究员们的“黄金十年”,安全研究员们纷纷拿着此前难以想象的高薪入职互联网企业。他表示:“3Q大战成为了安全研究员们生存状态的一个分水岭,一方面是让大家的收入规模得到了大幅提升,时势造就了今天业内的一大批知名安全专家。另一方面,从这里开始,很多互联网公司们开始意识到自己需要搞安全建设,需要组建自己的安全技术团队,网络安全意识开始在互联网巨头身上得以培养起来了。”
“但从19年、20年往后,我们看到了一个很明显的现象,互联网企业们纷纷喊出了转战ToB战场的口号,有些安全团队开始面临业绩和业务方面的压力,导致一些优秀的安全研究员们正在从头部互联网企业的安全团队离开。”MJ在自己在带着360Vulcan Team和其他漏洞研究团队向前走的过程中发现,行业中的很多漏洞研究团队都面临着和自身所在企业存在理念上的分歧和冲突。
在MJ看来,尽管漏洞研究员都怀揣着一个走向技术顶峰的梦想,但大多数研究员选择来到商业公司并非是希望做纯粹的学术研究,而是想要真正把自己的漏洞研究成果转化成商业化产品,最终能够对整个安全产业的进步做出自己的贡献。但在一家toB企业的视角下,短期内是无法消化吸收掉这些前沿技术的,更多时候只能在最大程度发挥其品牌宣传价值后将这些研究成果雪藏起来,等待一个更合适的时机再去尝试发掘他们的产业价值,因此,安全研究团队往往在大型互联网企业里面很难找到自身业务的归属。
但与此同时,高级安全研究员们普遍薪资不菲,养一支安全团队可能会耗资巨大。长期下去,哪怕是一些互联网大厂也不得不考虑人效问题,漏洞研究团队与企业之间的间隙和冲突也会日益被放大。当公司赋予研究员的使命与其个人期待之间的偏差越来越大时,大厂安全团队的研究员们开始选择离开。
正是行业中安全研究员们面临的这一现实问题,促使MJ创办了赛博昆仑这个平台,一方面继续将这些爱好做漏洞研究的人凝聚到一起,给大家提供一个共同促进共同成长的安全研究氛围,另一方面,也尝试去带着这些顶尖的漏洞研究员们一起寻找一条新出路,去创造更适合他们生存的土壤环境,以赛博昆仑的身份帮助大家把研究成果商业化,去真正的创造价值。
“之前说人有问我说已经在360做到了CTO这样的高管级别,为什么要出来创业呢?在我看来,创业和现有与未来的职位财富其实并没有什么关系,创业的源动力是我们看到了一个行业中尚未解决的问题,就要尝试新的路径和方法去解决,这也是我的创业初衷。”
“我们要先帮助大家解决NDay的烂摊子”
在谈到整个赛博昆仑当前的业务发展情况时,MJ向我们坦言,在创业初期自己曾带着团队一起踏入了一个误区。
“大家都说安全行业很内卷,在我看来既然内卷能够卷的起来,证明安全的一些基本问题已经被解决的差不多了,企业的安全建设已经达到了及格线。那么作为一个漏洞研究能力很强的团队,我们就想发挥自己的优势去专攻0Day(已被发现但尚未被公开,官方也暂无相关补丁的漏洞),去优先解决更高难度的事情。所以我们想试着打造一个能够防0Day漏洞攻击的安全产品,早期我们公司选型也是往这个方向走的,但后面才慢慢发现这其实是我们的一个思维误区。”
他谈到,在接触到越来越多的客户之后,虽然大家都十分认可这样一款能够防0Day的安全产品,但在客户侧却听到了不一样的声音:虽然0Day漏洞带来的安全威胁十分严峻,但当下摆在用户自身面前的问题是,有大量的NDay(已被公布的漏洞,官方已经提供安全补丁)漏洞都尚未解决。
“后来我们发现的确是这样,很多客户的重要安全补丁都还差好几年的没有打上,因为当前行业里没有厂商真正帮他们去做修复漏洞这样的事情,大家只会说,发现客户有这样那样的高危漏洞、中危漏洞,但是却没有告知客户要从哪里开始做修复,会不会对业务造成影响,这些NDay漏洞就变成了留给客户自己琢磨的烂摊子和隐患。”
MJ表示,NDay漏洞也分为两类,第一类像log4J这样被他称为“明星漏洞”,此类漏洞虽然很多企业当前尚未解决完善,但已经在企业内部引起了足够高的重视。第二类则是非知名的漏洞,但其或许比之明星漏洞们要威力更大。当前有大量的非知名漏洞正在实际的攻防事件中被利用,但这类漏洞可能包括软件厂商、安全厂商和企业自己的安全团队都并未对其提起足够的重视。
在他看来,当前业内做漏洞管理的主流厂商的做法是,及时跟踪各家软件厂商月度安全公告,将漏洞信息补充到自家的漏洞扫描平台中。事实上,做漏洞管理的厂商并非都具备漏洞复现研究的能力,在漏洞评级方面只能参考软件厂商发布的官方信息以及CVSS这样的简单评分,这也就导致业内的许多漏洞扫描产品并不能达到客户预期的效果,甚至一些漏洞的危害程度都被严重低估或高估了。
“一些安全厂商在给客户做完一次漏洞扫描后,甚至会报告出上万个高危漏洞,或许针对客户体量来说这个数据听起来是合理的,但是这么多高危漏洞让客户怎么解决?如果追求绝对安全的话,每一个漏洞都需要打上补丁,但实际上客户是做不到的。安全不能够以牺牲业务为代价,除了可能影响到业务效率外,打补丁本身也是一件很要命的事儿,很可能打完补丁之后一些配套的业务和产品反而会出现更多问题,甚至业务整个都跑不了了也是有可能的,这也是很多企业不去修复这些NDay的原因。”
在看到企业遇到的这些现实问题后,MJ很快带领团队做出了调整。“在刚开始创业的时候,我们是站在安全技术的角度来思考业务方向,但后面我们发现还是要立足产业需求,先去把大家的安全水平提到60分的及格线上来,再去做后面更高水平的事情。我们最早的定位是用自己的漏洞研究能力去做一款直接防0Day的产品出来,但现在我们做了一些业务上的调整,除了防0Day之外,我们更多地开始帮大家先解决NDay的问题,帮助用户在不打补丁的情况下也能做好安全防护。”
谈及当前赛博昆仑的具体产品情况,MJ提到,虽然当前赛博昆仑已经推出了几款成型的产品,并已经在多家客户场景中落地了,但当下这个时间点用一个已有的概念或名词来描述赛博昆仑所做的事情并不容易。“我们在全新和未知的领域”,MJ表示。
“现在行业内很多人都觉得我们很神秘,一方面是说我们在做一个很新的方向,它既不是流行的XDR、零信任也不是传统的漏洞管理,而是探索一种利用我们的漏洞研究能力和漏洞知识,来为客户定制打造一款防0Day和NDay漏洞攻击的产品。我们暂时还不想给自己打上标签,只想告诉大家我们在脚踏实地的研究整个产业和生态,在利用自己的能力解决大家在漏洞方面遇到的现实问题,这就足够了。”
(图:赛博昆仑官网产品相关介绍)
“漏洞之上有着更多商业价值尚未被挖掘
我想带着漏洞研究员们去找到一条新出路”
安全419发现,当前业内许多技术型创业者通常会选择一些火热的新兴赛道,比如数据安全、软件开发安全、零信任安全等,或是聚焦在一些更热门的技术方向上,如XDR、SOAR等,但为何像MJ这样一位行业顶级技术大牛,创业后仍然会选择专攻“漏洞”这一更为传统的安全命题?
针对这一话题,MJ认为,虽然漏洞并不是一个新概念,但漏洞本身其实是安全的另外一个维度,漏洞之上有着更多的商业价值并未被挖掘出来。“今天大家做的安全大多数都是toB的,会更偏向客户的应用和实际业务场景,但漏洞其实更像是基础设施一样的事情,它要更加底层。”
他表示,当前安全行业中碎片化十分严重,细分领域甚至需要十几张行业全景图才能够完全放得下,但赛博昆仑在做的事情却能够将整个安全行业都打通。“之所以行业这样碎片化,是将客户的业务场景、应用场景切割而来的,但底层漏洞的研究反而可以重新把这些碎片化的场景重新连接起来,我们当前关注的漏洞大部分都是用户量级规模上亿的系统漏洞,或是像linux这样很底层的漏洞研究,它可能影响的整个产业链、整个生态,所以这也是漏洞这件事情背后的商业价值。”
从另一个角度来看,对企业而言,安全的价值也不仅仅体现在业务层面。在智能手机领域,大家有一个很明确的认知是,苹果设备要比安卓设备更安全。除了说苹果的生态更加封闭之外,苹果的产品实际上在安全方面也下足了功夫,这一举措为苹果带来了很好的用户口碑,为苹果的商业价值做出了很大的贡献。
MJ谈到,“除了toB的商业价值层面,当前随着安全形势的日趋严峻,漏洞在国家安全、大国博弈的维度,在云和互联网创新技术竞争的维度,其重要性也已不言而喻。纵观整个安全行业,当前赛博昆仑是唯一能够将漏洞的商业价值最大程度发挥出来的公司,这也是投资机构们看好我们的一个重要原因。”
据他透露,当前除了业内公认的漏洞大神古河( Yuki Chen)外,已有一大批来自业界知名互联网和安全公司的业内顶尖漏洞研究员加入了赛博昆仑。
在接下来很长的一段时间里,这些顶尖的漏洞研究员们会继续负责“打穿”微软、谷歌以及那些看起来牢不可破的系统,而MJ自己将会和研发团队坐在一起,去扮演好桥梁的角色,把这些行业顶尖的漏洞研究成果变成产业能够消化的东西,与这些天才黑客们一同实现商业价值。
针对高端的研究成果难以转化为商业产品的问题,MJ期望在一开始就通过公司架构设计来集中解决。他透露,除了漏洞研究团队外,赛博昆仑组建了包括实战攻防、威胁情报等在内实战、研究转化和研发团队,来专门思考如何将漏洞研究技术在客户场景下落地的问题。
“赛博昆仑会成为一个帮助这些业内顶尖的漏洞研究员们发挥自我价值的平台,在这些高阶的研究员们走出大厂后,带领他们一同去寻找一条新出路”,MJ最后谈道。
THE END
// 推荐阅读