殷晓明,江湖人称四爷。初见殷晓明本人,让
安在(anzer_sh)
吃了一惊:这与“四爷”这个称呼差距太大了吧?架着半框眼镜,温文尔雅,带丝书生气息。语速不快,却字字有力。
他曾是各大互联网安全应急响应中心和漏洞众测平台的知名白帽子,是安全社区安全脉搏的发起者;而他坚持技术的纯粹性,自诩为安全从业者、安全研究员。如今,他又多了一个身份:安全初创公司安识科技的联合创始人。这么多标签于一身的他,如何从容变换?他又是如何成为安全圈里的
“
四爷
”
?
创业前,殷晓明一度活跃在先知、
sobug等平台,每个平台上的ID不尽相同,却都带着个“4”。“那阵子挖洞比较多,会刷刷榜。”一度稳坐榜单TOP的他,可谓霸气十足,白帽圈儿内的小生们于是就喊他
四爷。
殷晓明的工作经历,完成了一次闭环:最初是乙方的安全工程师,而后从乙方去甲方负责安全防护建设,最终回归到自己做乙方。他说在任何洽谈和合作途中,乙方都应该有足够的自信,让甲乙双方站在平等、公正、友好地环境下交流和合作。
关于甲方乙方工作的不同感受,他总结了三小点:首先,甲方待遇要比乙方偏好,这个众所周知;然后,甲方工作
——比如渗透
测试方面
——相对会比较单调,因为只对着一个目标
重复尝试多种姿势,可能已经试了无数遍,需要不断改变自己的思维,但一个人的思维变化起来很困难,而乙方会更有新鲜感,客户的案例各不相同、有挑战也有成就感。单纯学习锻炼技术,乙方是个非常好的平台,可能发展规划方面没有甲方的宽,甲方的职业规划可以更明晰和理性,可塑性强。
当问到四爷喜欢甲方还是乙方,他笑着告诉
安在(
anzer_sh
)
:“这还真不好说。
不过我个人内心比较放荡不羁、热爱自由,即便是相对的自由,无需太冗长的流程,无需太教条的约束,做一些自己热爱的事情。其实我从最初几家大型互联网甲方公司出来的时候,待遇和头衔都很不错,还有为数不少的股票,出来创业这些都是没有的。我相信这些只是短暂的,同时会逼迫自己更努力,我也非常相信我的合伙人和我的同事们,公司是大家的。
”
“另外,我在甲方做了很久
安全,也会思考很多,我想不仅仅服务于一家企业,成千上万家企业都可能需要我们这样的安全团队保障,比如中小型企业,因为他们的安全相对很薄弱,他们又很难承担安全团队的人力成本,如果有一个第三方靠谱的安全公司为他们提供全方位的安全服务和安全解决方案,确实是一件非常好的事情,所以我们就出来创业了。
”
从
2008年来到上海,到2016年创办安识科技。殷晓明在安全
这条道路上已经摸爬滚打了好几年,创业之路本来就不会一帆风顺,三个技术出身的创始人,在第一年里
“东倒西歪”。有的在研发
安全产品,有的则硬着头皮外面跑。
“没有设计师,我们就自己
上,样式出来也就没那么美观,
4月份入职了专业
设计师,真感觉这块的烦恼再也没了,特别给力。在起初没有销售团队的时候,合伙人老大要求大家都去跑跑,与客户多接触多沟通,也就是那个时候,技术出身的殷晓明也常常把客户的公司当成了自己的公司,聊需求,做实事,解决实际问题。公司将来也会有更多的人做更多的事,专业的人做专业的事。
”
殷晓明告诉安在,安识科技中
“安识”意为安全识别,公司创办初衷是
为了解决企业身份统一认证和账号安全问题,这是安全分支里面的一个基础入口。
说到这里,殷晓明提到了一个钓鱼案例,他的一些客户企业有次让做人员安全意识测试,于是他精心构造了几份邮件模板、伪装成
IT部门的
身份发送了钓鱼邮件,其中有一个员工回复了,并且把用户名和密码都透露给了他。通过这个账号登录邮箱,收集信息找到
VPN等入口成功
进入公司内网,引发域渗透。其实是很常规的手段,波诡云谲的互联网下面不乏大量这类成功的攻击案例,或邪或正。
从整个攻击流程看起来,一个员工的密码安全和安全意识影响到了整个公司的安全,大企业面对数万或者数十万的员工,管理上难免会有疏忽。现在有好多公司都在说去密码化,但国内还没有一个明确的标准。传统的硬件令牌价格昂贵、不便于保管,
SAAS的公有化是个趋势,我们称之为IDaas。
于是安识科技
“多因素令牌”作为一款基于时间同步技术的双因子身份认证产品就应运而生
了。多因素令牌的主旨是为了保障用户的账号安全,防止如网络钓鱼、密码撞库或其他以非法手段获取用户密码后可能带来的后果。
从事多年甲方安全,也培训过多家大型互联网公司安全研发和编码,殷晓明深知甲方安全的痛点,深知
DevOps角色里面如何引入安全的参与,深知企业在践行SDL的难处。于是出品了主被动结合的多引擎扫描系统--伏特分布式漏洞扫描云平台,传统的功能测试人员只要挂上代理就能在测试功能时候把安全问题发现到,研发同事也无需在安全督促下,自主的发现自己代码的缺陷,毫无心里压力的修复,是一个不错的方式。
殷晓明告诉
安在(
anzer_sh
)
:安识的目标是服务于更多的中小型企业,他们可能没有自己的安全团队,但业务需要有这样的安全保障。他希望对安全行业做一些好的事情,给这些没有安全力量的公司带来一些帮助,得到客户的认可,这是安识最欣慰也最快乐的事。
年初拿到天使轮数百万融资的安识科技已经开始着手
Pre-A轮融资,这个仅仅10
个人的团队,已经开始努力把事业做的如火如荼。由于创始团队成员都是技术出身,在市场方面相对薄弱,
“
刚开始客户方面都是我们三个在安全行业的一些资源,一些成功的标杆企业觉得我们能力不错,为他们做了很多行之有效的保障措施,也会帮我们把产品和服务推往同行业。还有一些第三方的合作公司,比如阿里云先知也给了我们很大的支持和帮助。
”殷晓明说。
5月份wannacry
事件爆发后,阿里云为保障云上客户上线了安全管家应急响应服务,而安识科技是阿里云这个服务在上海的安全合作伙伴。谈及
Wannacry事件,殷晓明说到,每一次病毒事件的爆发
无形中都是对安全行业的推动,预估明年还会有一些大漏洞被曝出来,漏洞可能会隐藏的很深,但总有一天会被发掘出来。
作为初创型的公司,殷晓明坦言也遇到过一些瓶颈,公司正在拓展市场这一块,之前的销售方式比较被动,主要是合作伙伴的口碑相传,到后面公司有一两个销售,如何拓展市场又是他们目前比较关注的一个问题。谈及未来规划,殷晓明表示公司也引入了第三方销售渠道和销售集成捆绑模式,都是在探索着前行。
除了自己的销售渠道之外他们还倾向于向
“云”的方向去拓展,现在“云”的概念已经很成熟了,例如现在的阿里云、华为云等等。“我们需要的是把产品
优化到足够好,优化到能够放上去,让客户直接在云平台上购买和使用,这样更快速。
”殷晓明说到产品的扩展模式,眼神里多出了一丝期待。
说到更长远的规划,殷晓明告诉
安在(anzer_sh)
,公司有明确的目标,联合可联合的安全厂商,扩大整个安全行业市场,帮助更多的互联网企业实打实地解决安全问题,协助更多的安全创业公司或团队更好的往前发展。这些思路并行不悖,坚守初衷的殷晓明更希望的是把现有的产品打磨的足够好,同时也研究一些新的方向和产品思路,这里不便透露。
