一
十几年前,和朋友一起比武对于风宁来说是件很重要的事。现在不了。
风宁今年34岁,中等身材,长相朴实,说话谦虚而有条理,他的声音温和而平稳,带有中原地区的口音,如果是初次见他,他并不难描述,因为用来描述他这个年纪的男人的那些话基本都是合适的,但了解他以后,你又不得不重新考虑该如何描述他。
风宁的少年时代是在河南洛阳度过的,那个离少林寺没多远,曾经无比辉煌、后来落寞寂静的千年古都,少年经历构成他生活中“温柔的部分”——与荣耀相比,更亲近贫乏。
少年时代的风宁聪慧过人,记忆力惊人,看东西看一遍就能记住,许多年后他特意去测了自己的智商,147的分数足以让很多人惊叹。初中的时候,他发现自己经常用功学习了超过一个小时就头痛,后来学业基本上难以为继,去医院一诊断:脑神经衰弱。
洛阳离少林寺很近,民间习武风气日盛,为了自己的身体,风宁考虑再三后,决定辍学去少林寺学武。
在武校学武之余,他第一次接触了电脑。
与很多安全大牛一样,风宁接触计算机也是从打游戏机开始的,从游戏机到街机,再到后来的电脑单机游戏。有一次,风宁看到了从外面回来的大学生熟练的操作电脑,很是羡慕。正好当时在武术学校也有电脑培训班,就参加了电脑培训,在接触的过程当中开始接触网络及网络安全。
那时候网络安全知识很少,安全的圈子也很小,所以很容易就能找到有共同爱好的人,在绿色兵团、网络力量等小组里,风宁认识了SUNX、龚蔚(龚蔚,一个理想主义者的潜行)、赵伟、coolfrog等中国网络安全的最早的那群爱好者。
二
二十岁的时候,风宁离开家乡,去广州开始工作,因为自己已经学习安全好几年,而且兴趣不减,是时机把这个当做自己未来的事业了。
一开始,风宁的职业生涯并不稳定,先是在广州给政府机构和事业单位做点外包项目,三年后,又跑去深圳在企业做了三年的IT管理。后来又去了杭州,在他朋友的游戏公司做安全运维和技术,做了半年,得益于多年的Linux经验和资深RHCE功底,日常工作中通过自己编写的大量安全和运维自动化脚本,实现了工作中的自动化运维,后面工作事情越来越少,到最后,发现不用做什么事情了,服务器他写好了自动脚本,让他引以为傲的是他离开两年后那个服务器也没出现什么问题。
后来,之前的同事,也包括网上上结识的几个朋友正好北京一个安全公司想组建一个偏安全外包的独立运营的安全团队,重点偏重于服务涉密军工内网和政府部门的安全开发和运维、攻防项目。考虑良久,也和自己的爱好,以及以前的工作内容相似,便组建安全团队,开始了独立运作团队,算是最早踏入了创业的历程。
那时团队偏重于给涉密军工内网和政府部门做技术支撑,有开发有安全渗透,也有些定制开发,利润较比较客观。
“因为之前的一些客户关系,还有服务的独立运营性,每年团队也做不少安全项目,比较早就实现了人均收入过百万,圈里很多人都不知道我具体在做什么,只是疯传我很有钱。”风宁笑言。
2003年左右的时候,风宁在IRC聊天室里认识了张福(青藤云安全张福:3年融了6000万,他到底在打磨什么?)、laowang、cnhawk、小白等一批上海老一代黑客。当时还在大学读书的张福,毕业选择工作的时候,也曾向风宁做过咨询,当时绿盟和九城都向他抛出了橄榄枝(当时绿盟是安全行业从业者的理想就业公司,因为公司有一大帮技术大牛),风宁给张福客观的分析了一下:绿盟上海分公司只是个外地分公司,技术重心不在上海,相同情况下,建议他选择一家可以长远发展的公司,后来张福去了九城,再后面到盛大、昆仑,一直在做游戏行业。
2013年,游戏行业会遇到国际winnti针对游戏刷库,窃取代码等安全事故。正好风宁和张福在交流安全改进和应对方案的时候,两人思路火花碰撞,感觉这个行业的安全解决方案是非常有市场前景的。2013年 到2014年初, 两个人一直在沟通磨合,并商讨未来产品和公司方向。
谈及后来的离开,风宁坦言:“离开青藤很大的原因是因为俩人之前从业经历导致理念差异太大,基于前些年的客户资源,我个人更想把青藤的解决方案更切合公司发展情况下快速做到军工、政府相关领域来落地,但张福更倾向于互联网公司来做纯互联网模式。”
2016年初,风宁认识了通付盾的创始人汪德嘉博士,他也有着技术派的直爽和理想主义,了解了风宁的情况后,遂极力邀请加入公司,组建攻防实验室,并计划花三年时间把攻防实验室打造成国际上一流梯队。风宁带领团队欣然加入,但仅仅到9月份就离开了,蜜月期仅短短半年,问及原因,风宁说,离开通付盾 ,主要是公司发展方向重心转移到金融领域,攻防承载的能力和影响力相对有限,还有就是本身一个创业公司,大资金投入做一个不产出的实验室性质的部门,也面临业绩和成本压力。
在通付盾期间,风宁也经历了通付盾和同盾的那场纠葛,风宁说多有无奈,此事和自己无关,但当时因为还在通付盾,所以不好说什么。但在他个人看来,设备指纹是一种通用技术,就好像多因素认证一样,不是说这种概念就是专属,重点还要看各自怎么去实现。
三
2016年下半年,风宁下了决心,要自己创业。
很难划分一个关节点或者关键性的时刻,促使他从技术研究者的道路转向创业者。
回头去看,青藤云和通付盾这两段经历给了他很大的帮助。
“让我从一个黑客或者说黑客leader到了解一个企业到底真正该怎么做的一个转型。也是这两段经历让我在创业初期去避免踩同样的坑。”
风宁同时意识到,做产品一定要专注,产品太多分散精力,协助体系很难去建立。产品简单的话,培训的成本是很低的,可以快速建立,面临的竞争对手就少。产品太重,表面可以解决所有的安全问题,但在市场口碑等等都很难做好。他下决心做专而精的东西。
创业初期,因为公司研究机器学习和人工智能的安全能力输出,团队自身也有原来在运营商、华为、中兴等大型通信公司的经验,通过和运营商合作对接,基于自身研发的能力,对羊毛党做机器学习清洗出来了三千万的明确标签的羊毛党手机号名单,此产品最终命名号安。
风宁告诉安在,虽然实名制之后一个人只能有五个手机号,但黑产也有应对渠道的,他们就把这些行为,建了两个模型,抽取出来,然后再通过甲方提供一批已知道是黑的,然后通过模型匹配发现相似点的逐步完善,现在基本上能做到精确匹配度在99%以上,基本上就是一万个人里面也就是5个是有可能会误判的。
“黑灰产里面终究是逃不掉这么一个名单库的。除此之外他们还会不断的充实,不断更新。因为有些号码他们可能用一段时间就不用了,运营商在回收的时候我们再会去运营商那里批量统计之后删掉。”
风宁的团队目前已经在和很多甲方接触,接触下来,损失也是触目惊心,他们了解到,很多大的电商公司前几年只是在这个方面业务领域损失就是上十亿。
“这个不像传统的网络安全,传统的网络安全,在事件未发生的时候看不到你投入的产出,而这个业务安全,一旦投入就能马上看到效果,虽然不可能全部防范,但可以马上看到很明显的效果”
而随后,基于多年的攻防经验,对行业发展的趋势的判断,风宁特别提到了百度无人车安全专家云朋带来给他新的安全视野,深感基于人工智能、机器学习来解决安全问题是未来很大的空间和机会。同时也了解到behaviosec、UnifyID等基于用户行业来解决身份识别、安全管理的国外先行者。深思熟虑后,他决定做基于人工智能、机器学习来感知人的行为从而进行安全身份管理,做到无密码登陆,安全可控管理,并将产品命名为SecID。
而且在SecID开发过程中,Unifyid基于人工智能在做的感知用户身份的产品获得了RSA 2017创新沙盒冠军,这和SecID的最初创业理念不谋二合。
SecID是一个企业的安全登陆管理平台,用户的app或者企业的app嵌入后会初次对手机(像国外的uniformID)进行验证,比如说设备串号、手机号码以及个人信息等等,将app与之进行初次绑定,绑定之后后台的认证系统就会接入,也就是做了一个二次交互认证,然后在使用过程中进行机器学习,对每一个使用人进行建模,最终模型匹配本人相似度,后台AI可以直接判定就是本人在做登陆行为,直接放行。最终做到完全抛弃密码,只用输入手机号码或者凭证ID。
说到身份认证,不得不说洋葱,风宁很为洋葱感到惋惜,倒在了黎明前最黑暗的时刻。洋葱本身的二次认证机制也确实是个市场上好的产品,像国外的duo,okta都做的不错,但国内市场还没有培养起来。SecID和洋葱不一样的是,尽可能减少用户的交互行为,在确保安全的基础上,让用户无感知的登陆各种业务场景,做到无密码可信登陆。
“我们现在做的这种产品,我不管他是撞库还是中了木马密码被别人记住了,或者在连钓鱼WiFi被别人嗅探到了,我不管他怎么登陆,反正到了最后一步即可,因为产品是基于人工智能处理人的行为特征来做判断,后台AI感知到当前登陆不是可信的使用在操作就直接拦截。”
今年RSA创新沙盒UnifyID能脱颖而出,证明大家对这个需求点已经摆出来了。后续可能会一窝蜂的出现很多类似的团队,但一个好的产品,从来就不应该惧怕这种竞争,从林法则,适者生存,提到这点,风宁非常有自信的表示。
“我们的产品会比国内市场上的同类型产品有超过半年的领先期,因为我之前就是黑客逆向思维,所以在设计产品的时候,我就把我能想到的问题,让我们研发的团队去解决弥补一些。现在很多做身份认证的还停留在二次认证,证书,动态口令这一步,我们现在做的是基于AI、机器学习来做行为识别的无密码输入,相当于领先了一代。”
而对于两款产品的盈利模式,风宁说,手机黑名单可以saas,也可以独立部署。身份识别产品这里就说基于市场还有待考量,今年重心会找一些客户做试用和完善,商业模式有初步规划,真正实施还要待看客户反应而进调整和实施。
四
自己创业后的风宁,比任何时候都小心谨慎,公司成立后,前期都是依靠自己的积蓄在运营,号安产品推出后,开始有了盈利能力。
“想真正把一个产品打磨好,就要做3~5年的心里准备。值得欣慰的是,我们公司发展初期算比较顺利,号安开始商业销售后,一直有收入,相对于其它创业公司的路会好走很多。”
安全这个行业,风投的退出机制是很长的。不像摩拜单车这样的互联网公司,他们推出了三年,马上就能做大,就能退出。而做安全行业的投资,一般要5到8年,而且收益比还比较低,所以在资本市场,安全的创业项目虽然是风投热点,但是大家也比较谨慎。
谈到融资,风宁显得尤为谨慎,据他透露,融资计划是有的,也有几家投资机构一直在找他谈。但现在做的产品相对整个国内市场,有点太超前,领先有时候也意味着商业上不太可能快速成功,这种情况下,融资就是个弊端。虽然公司也需要扩招开发人员,特别今年人工智能领域火热,导致人员待遇翻倍上涨。但考虑公司长远健康发展,风宁更想找理解公司产品,了解未来安全大方向、趋势的基金或机构来接触投资。
现在,风宁公司团队的核心成员都是和他一起共事多年的同事,有两个做APT检测和攻防渗透的同事跟他一起工作已经超过十年了,一个研发的主管也是十年就已经在一起了工作了。而这也是风宁引以为傲的地方,这些年,不管是给政府服务或者是给客户做定制开发都是技术积累的过程。
谈及未来,风宁说他更着眼于把当下的事情做好,理想的话,未来三到五年希望自己的产品可以做到智能类的身份ID认证,适用于IoT身份认证应用场景。并和厂商一起来推动这个标准,不管是协议还是设备,能在智能化智能识别之后做一个管控。想做IoT领域的认证中心。让用户在使用IoT的时候不会质疑IoT的安全。简单举例来说,安全隔离区或车辆要开门时,物联网装置(门禁、车锁)将要求用户认证进行开门,但利用此技术可直接感知到是使用人接近直接使用人体行为认证,不再需要输入账号密码或其它交互。
创业后,风宁的生活状态反而归于简单,举家迁到苏州,每天两点一线。从少林习武,到安全创业,风宁仿佛又回归到背上行囊,专心习武的那些时光。
采访结束时,问他现在还有时间练武吗?他说:“一直在练,其实想想,习武和创业,有很多相通之处,都需要心静而专注”。
武术,上武得道,平天下;中武入喆,安身心;下武精技,防侵害。曾经的武术少年,开始在安全领域探寻自己的上武之道。
