我有個朋友叫大路,他滿世界「平事兒」不含糊
2018年秋,大理洱海邊。
幾十輛 Smart 整齊地停靠在路旁,戴眼鏡穿格子衫的男男女女從從汽車上下來,安靜地享受午後一塵不染的清冽空氣。
「大路特別喜歡旅行,所以你放心,咱們每年出來團建都是必不可少的節目。」一位小哥開心地給新同事介紹。
站在不遠處若有所思的就是楊大路。他是這家公司的創始人,大路不喜歡被叫做楊總或老闆,強烈要求大伙兒就喊他大路。他的信條是:凡事別搞那麼複雜,簡單才有真心朋友。
大路可謂知行合一,連公司的名字都被他取成了「交朋友」的姿勢—— 天際友盟——聽起來像個非政府組織。
突然,一聲電話鈴響劃破了洱海的寧靜。
你是大路嗎?我是一家網際網路金融公司的 CIO,有人仿冒了我們的網站進行詐騙,就在現在,好多人都上當了!可是網站架在境外,警察叔叔也很難處理。。。找了一圈朋友,最後才找到你的電話,他們說你能幫我們把仿冒網站關掉。請你一定要幫我們啊!
對方說話聲音都快哭了。
這個忙大路能不能幫呢?確實能。而且對方幸運地找對人了,整個中國境內能幹這事兒的,幾乎只有天際友盟。
可這是個急茬兒,這不公司大部分人都在洱海自駕呢麼。。。大路突然想到市場總監正好請假留守,趕緊打電話給他。這位同事參考著標準流程,爭分奪秒地跟對方要來了授權函、營業執照、註冊商標等等證明材料,打包同步給值守的售後服務人員,售後又聯繫到詐騙網站所在的歐洲數據中心,數據中心依據材料馬上強制關停了侵權網站。
從接到電話,到處理完畢,整個過程只用了幾個小時。
就在全世界N個機構通力協作關閉這家詐騙網站的時候,大路早就深藏功與名,跟同事們繼續開車上路了。洱海邊如過去的每天一樣重歸寂靜,殘陽倒影在湖面上緩緩搖曳。
天空海闊,總有人 自由自我,永遠高唱我歌。
(一)無能狂怒
2013年,楊大路還不是創業者,他是國家電網安全運營中心負責人。
講真,作為央企,國家電網做事兒是非常講究的。那年頭,他們已經建立了一套完備的信息收集通路——集團幾十個下屬公司每天的 「網絡日誌」都會彙集到大路他們的手上。(當時這種能力已經足夠讓一票兄弟企業羨慕了。)
啥是日誌嘞?如果把公司龐大的網絡比作咱們的城市街道,那麼日常網絡里傳輸的信息就好比車輛行人。這些日誌就如同街道上的監控攝像頭拍到的畫面——大部分平平無奇,看起來讓人昏昏欲睡;但想都不用想,裡面肯定混雜了 小偷、騙子的蹤跡。
把這些壞人揪出來,並且督促同事們修補網絡中的各種缺陷,就是大路的職責所在。
楊大路
注意,這裡有個小小的技術問題,也是一切故事的原點:
一個城市每天的監控視頻量必然非常大,同理,大公司的網絡日誌量也是嚇人的,每天恨不得上億條。如果僅僅靠人來審看,看瞎了眼也甭想發現壞人。
那怎麼辦嘞?解藥就是技術。只有依靠計算機的熊熊算力,加上近幾年才出現的大數據挖掘技術,才有希望在億萬人海里鎖定壞人的面孔。
大路愛鑽研,很早之前就他就組織同事們嘗試了挺多種系統和架構來做大數據挖掘,可是受限於當時技術發展的歷史階段,始終是霧裡看花不得要領。
本以為能這樣
結果是這樣
倒真不是大路水平不行,其他企業也是這德行。當時有一個著名的段子很說明問題:「大數據」就像中學生的性——大家聚在一起各種姿勢都聊得明明白白,結果私底下誰都沒真操作過。
不過,歷史的車輪滾滾向前,事情很快就要出現轉機了。就在2013年,發生了兩件足以改變大路人生軌跡的大事。
第一件事,就是 RSA 信息安全大會。
RSA 可是鼎鼎大名,相當於信息安全界的「世博會」,每年全世界最騷的新安全技術都會在那裡展示。大路雖然只是雲參會,但在螢幕前看到了一個詞——威脅情報技術。他猛然眼前一亮,這不就是通過大數據分析來找到壞人的技術麼??
踏破鐵鞋王秘書,得來全不費工夫。更厲害的是,看來一些前沿的美國公司已經開始利用 分布式計算框架(Hadoop、Spark)和 非關係型資料庫(MangoDB)把這個存在於想像中多年的神獸真正造出來了!
既然老外能幹出來,那我們中國人肯定(早晚)能幹出來。大路一瞬間信心滿懷,心裡別提多舒暢了。
RSA 長這樣,你感受一下。
RSA 之後沒幾個月,第二件事就發生了:一個名叫斯諾登的精神小伙兒跳反了。
CIA 的外包工程師斯諾登向全世界坦白,美國正在用全世界聞所未聞的尖端技術竊取各個國家政府、大企業的機密。(這個故事告訴我們永遠不要得罪外包商。)坐在螢幕前刷著斯諾登爆料的入侵方法,大路後背都濕透了。
斯諾登
那種感覺就像自己刻苦練了半輩子劍法,結果對面的老哥不慌不忙掏出加特林機槍。。。
我從來沒想到,網絡攻擊能做到這麼隱蔽、這麼複雜、這麼全方位、這麼長周期。後來網上還陸續泄露出美國攻擊使用的具體黑客工具,我們在系統里驗證了一下,儘管已經恨不得是十年前的武器,仍然是有效的。。。
現在回憶,大路仍然是一臉不可思議。
這個海怪在對海底光纜進行竊聽
世界就是這麼殘酷,面對比自己強大一個世代的對手,我們只剩下無能狂怒。
大路腦海翻湧,突然聯想到不久前剛接觸到的「威脅情報」技術。既然兵對兵將對將我們干不過對方,那我們可不可以通過情報來暫時彌補硬實力的差距呢?
換句話說,就好像一個商場總有小偷出沒,但他們的安保力量比較弱,抓不住小偷的現行。那就搞點「諜戰情報」,探聽一下附近遊手好閒、信譽差、有前科的人都有哪些,管你是不是來偷東西,門口保安一概不讓他們進來就完事了。
這事兒聽起來相當靠譜。大路決定趕緊在國家電網內部建立一整套「威脅情報系統」。然而悲催的是,他的想法太超前,又需要調動很多資源,其他部門聽他忽悠得雲里霧裡,總覺得這哥們有點「被害妄想症」,不願意配合。。。
大路咬牙堅持了兩年,他明知道一些賊就在眼皮子底下偷東西,但就是沒辦法推動一個頂尖情報體系的建立,別提多憋屈了。最終他忍無可忍——倒我不如趕緊自己創業做一套威脅情報系統,然後生成了情報再賣回給企業!
這才有了天際友盟。
(二)找啊找啊找朋友
從一畢業就在央企乾了十年,突然創業,你說大路緊張嗎?
說不緊張那是騙人的。不過我問你個問題,你知道背包旅行最難的是什麼嗎?其實就是出發。旅行了這麼多次,我發現只要敢出發,後面的困難大多都能克服。當時我就是這樣給自己壯膽的。
大路笑。
旅行確實讓大路結識了生命中很多重要的人。
比如他媳婦,就是2010年從拉薩回北京的火車上認識的。48小時的車程,女孩跑也跑不掉,只能任憑大路各種討好壁咚獻殷勤。
幸虧有個好媳婦,創業的辦公室有著落了。
大路媳婦是北京人,從小在虎坊橋的平房長大。這不,老房子都扔在那好多年了,正好直接「徵用」當成辦公室,累了還能去對面著名的老北京澡堂子華清池泡個澡,煩了就去旁邊的湖廣會館聽相聲。
房子有了,接下來就差人了。
這些年,大路把自己 「凡事簡單」的原則貫徹得很徹底,無論是對自己的同事還是合作夥伴都一樣——用技術說話。所以,凡是認真對待技術的同事,最後都能成為大路的知心朋友。
想不到,這票朋友如今都成了絕佳的創業夥伴。
大路想起來,過去在國家電網的時候,有一位非常靠譜的研發同事李衍,他比大路更早辭職,彼時已經回到老家石家莊發展。李衍接到電話,聽說是老領導大路想搞事情,二話沒說就答應了——公司沒兩個半人,倒先在石家莊成立了研發中心。
李衍的媳婦也是優秀的程式設計師。舉賢不避親嘛。後來,他們兩口子都進入了公司。白天幹活,晚上吃完飯一邊洗碗一邊探討技術問題。。。
大路笑。
大路又想到了多年的好友秦哲。秦哲一直在各大網絡安全公司工作,當年就是因為服務國家電網認識了大路。這倆人都愛旅行,又脾氣相投:秦哲做乙方一點兒不慣著甲方,就拿技術說事兒,桑拿按摩一律沒有,逢年過節了不得也就給甲方送箱水果,不超過100塊錢;大路也是這樣,別整用不著的,你技術好我就用你。
2015年,秦哲已經在綠盟做到了中層,手握技術、銷售、架構三條線,目之所及仕途一片光明,但他也同樣二話沒說就答應了大路「銷售合伙人」的邀請。只不過他想了想:「現在你產品還沒做出來,我去了不也沒事兒幹麼,等你產品出來,我立刻辭職過來!」
其他幾位初創的兄弟,也大多都是類似的情況——威脅情報這個事兒靠不靠譜咱不知道,但你大路這個人靠譜就行了。就這樣,能來的就來,不能來的就「君子協定」過兩年來,第一次創業的大路努著勁兒可算是把公司架子給搭起來了。
最早的幾名員工的合影
北京的一間平房裡,五六個人開始琢磨改變世界這塊兒事情。
大路要做的東西,核心的模塊就叫做 「威脅情報生成引擎」。它的職責就如我們前面所說—— 從海量的數據里挖掘出壞人的蛛絲馬跡。
可是,這第一步就卡住了。。。
(三)最精密的機器——威脅情報引擎
要挖掘,得先有數據。幾個人大眼瞪小眼:這數據去哪兒找呢?
原來在國家電網,分公司的日誌數據每天都自己哭著喊著送上門,不要都不行。現在創業了,總不能回老東家要數據吧?
活人不能讓尿憋死。
大路發現,其實在世界上有很多組織在運營著 「開源數據」。
這些數據會免費提供給全球的情報研究者,有點像世界各地的「公共攝像頭」,每天都免費廣播給全世界看。當然,既然是免費,圖像的清晰度,攝像頭的角度、位置您就別挑了,啥樣的都有。
開源數據就像這樣
這麼說吧,開源情報數據就像野果子,漫山遍野數量很多,但是收成不穩定,而且質量參差不齊,最好還有一些其他數據的補充。
大路又去自己的「朋友庫」里搜索一番。
想當年,全中國優秀的網絡安全公司基本上都服務過國家電網,作為甲方,大路當然和他們很熟悉。很多安全公司都會「賣盒子」——把自己的安全硬體(例如防火牆,入侵檢測系統)部署在客戶的系統里,就像一個保安公司把自己的保安隊派遣到客戶的園區里那樣。由於部署在客戶內部,這些盒子當然可以接觸很多一手數據。
大路想到了一個好辦法: 「交換數據」。
具體操作方法是醬的:建立一個聯盟,安全公司們把他們收集到的數據脫敏之後以合規的方式傳給天際友盟,天際友盟根據這些數據改進自己的情報,再交回給這些安全設備使用,提高他們的防禦水準。
這種操作就好像:一位好學的保安每天都給一個「神探情報官」講述自己白天碰見了哪些人,而情報官分析一番後告訴保安,其實那個誰誰誰很可能是個壞人,下次別讓他進來了。
這個點子可謂兩全其美。
2015年,在北京著名的「3W咖啡」里, 「烽火台聯盟」正式成立。(後來證明,烽火台聯盟確實幫助很多安全企業把水平提升了一大截。)
有了技術大牛,又有了開源和交換的數據,天際友盟可算是能開張了。
接下來到了你喜聞樂見的硬核科普時間。 天際友盟的獨門絕技——威脅情報生成技術——到底是個啥原理?
為了讓你更明白,先花一分鐘跟中哥複習一個基本知識。
網絡世界裡的基本身份叫做「IP 地址」。
啥是 IP 地址呢?你就可以把它當做現實世界的一個個房屋地址。在真實世界中,每天你都會從自己的屋子出來,進入另外的屋子,可能是學校,可能是辦公室,可能是商場。這些行為的本質是:從一個地址到另一個地址的訪問。
網際網路上所有的行為,也都是「IP 地址」之間的相互訪問。
如果能判斷出某個 IP 里住著壞人,那麼被訪問的地址就可以採取行動——不讓這個 IP 連接自己,必要的話也可以讓警察叔叔順著網線去抓他。
複習完畢。
威脅情報技術具體怎麼判斷出一個 IP 里住著好人還是壞人呢?究其根本無外乎就是兩個字: 循證。
這個世界不是非黑即白的。就像大街上的人,百分百是壞人的很少,百分百是好人的也很少。大部分人是介於中間的「灰色人」。我們先依靠安全專家的經驗確定什麼樣的 IP 是「黑 IP」,什麼樣的 IP 是「白 IP」,然後再用這個標準來「面試」其他 IP, 把 IP 的行為數據綜合起來算出一個分數,也就是這個 IP 是壞人的可能性是多少。
例如絕對是個好人就打0分,絕對是個壞人就打100分,80%是個壞蛋就打80分。
每個 IP 都有了分數,接下來就好辦了:企業根據自己的需要進行設置,可以規定超過80分的 IP 不許連接我,也可以規定超過50分的 IP 不許連接我。總之,有了情報,部署在企業內網的具體安全設備只需要執行報警、阻斷、反查這些動作就好了。
大路說。
把不同 IP 按照黑白灰打分,大概就是醬。
別看基礎原理就這麼簡單,可實際上循證這個事兒絕對是個技術活兒。
老刑警盯著嫌疑人的眼神兒分分鐘就能看透整個案件來龍去脈,新警察擺一桌子資料有時候也研究不明白這些人之間的關係。
那你說老刑警和新警察差在哪兒了呢?
(四)「循證」是個技術活兒
細節,是細節。
一個威脅情報系統好壞由很多細節決定,最重要的是兩個:
第一個,是情報的精確度。
之前說過,數據量像海洋一樣,必須用「分布式的大數據計算框架」代替人來做分析,也就是 把人類的經驗教給大數據和人工智慧系統。這裡就出現了兩大考驗:第一,考驗團隊里安全專家本身的水平有多高;第二,考驗算法工程師把人類經驗復刻到機器上的能力有多強。
整個系統就像萬丈高樓層層堆疊,每一層的毫釐之差,都會決定這座大廈最終的完美度。
這裡重要的細節是,情報系統需要不斷「進化」。如果在實際工作中發現人工智出現了誤判——例如被機器判斷為100分的「黑IP」最終被證明是個「白IP」——就要把這個案例拿回來,研究問題到底出在了哪,好讓人工智慧「知錯就改」。這樣循環往復,情報引擎生成的威脅情報才會越來越準確。
這就是一個人工智慧自進化的例子。注意,上方的油門剎車是根據遊戲人物死活的結果來調整的。
第二個,是情報生命的周期管理。
情報的有效性往往是很短的。
剛才說過,一個 IP 就像一個房間。但壞人不會總待在同一間房子裡等你去抓。如果一個 IP 被全網拉黑,誰都不跟他來往了,壞人還呆在這裡幹嘛呢?他一定會離開。假如壞人已經離開了這個房子,後來住進來的是一個好人。那麼此時再對這個房子全網拉黑就不合適了。
你可能會說,這個簡單,每隔一段時間把所有的房子重新檢查一遍不就行了?這個方法當然可行,卻是一種站著說話不腰疼的方法。
全網的 IP 非常非常多,僅僅是被標黑的 IP 就已經非常多了。哪怕每隔三天就把所有「黑 IP」都複查一遍,都需要極大的計算力資源,成本實在是擔不起。所以,這裡又需要一個關鍵的細節技術: 如何智能判斷哪個房間是需要重新查詢的。
這背後具體的技術有些繁雜,中哥就舉一個簡單的例子你感受一下。
在現實生活中,如果一個房子產權變動了,也就是房子被交易了,那裡面住的人很可能發生變化。
同理,網絡世界中,一個 IP 所對應的網站所有權發生了變化,用專業術語講就是網站的「Who is」信息發生了變化,那很可能使用這個 IP 背後的使用者就發生了變化。這個時候,就有必要重新檢查一遍它的黑白。
然鵝,問題來了。世界上那麼多房子,你怎麼知道今天有哪些房子被交易了呢?世界上那麼多網站,你怎麼知道哪個網站今天換主人了呢?
其實還是有辦法的。房子有沒有被交易,房管局當然知道。同理,在網絡世界中,域名服務商就很了解下屬的域名有沒有被交易。只不過,他們不會主動向社會公開這些信息,想要也可以,拿鈔票來買。這就叫做 「商業數據」。
可以提高威脅情報準確度的商業數據還有很多,各個都需要真金白銀。可見,要想做出高水平的威脅情報,花錢是在所難免的。
把這些細節一個個搞定,天際友盟的威脅情報終於問世了:
2016年,第一個威脅情報平台 Alice 上線,如果你想知道某個IP(或者和這個IP相關的網站)是不是壞人,就可以登錄去查詢。
2017年,大企業專用私有情報平台 SIC 也推出了,這東西是一個大盒子,可以放在企業內部,自動為他們整理各個來源(包括但不限於天際友盟)的情報。
這個是RedQueen的截圖,你感受一下。
這些產品的姿勢各有不同,你可以簡單地認為他們都是給企業輸送情報的方法。
產品有了。不知道你還記得不,之前有一位秦哲同學,他答應大路產品一出來他就會義無反顧地從綠盟辭職加入天際友盟。
可是,意想不到的事情發生了。。。
(五)生產子彈的工廠要不要生產槍?
秦哲由於在綠盟發揮得太好,一年多時間過去了,此時已經升職加薪成為了高管。。。
不過別怕,秦哲是個言而有信的北京爺們,吐吐沫就是釘子。既然答應了大路,沒說的,就算已經當了 CEO 也必須走。只不過,高管辭職需要考慮對企業的影響,必須進行業務平穩交接。秦哲花了半年時間才辭職成功,真正來到天際友盟時, 已經是2017年夏天了。
秦哲加盟前,大路只好硬著頭皮自己賣貨。
別說,大路賣起貨來也是有模有樣,畢竟是前國家電網的安全專家,到中航信、網際網路應急中心這樣的大衙門口刷臉大家都買帳。
大路的策略是:先給大公司做一套專業極了的安全規劃,別緊張,免費的。當然,這些規劃里自然有「威脅情報」的一席之地。如果您認可我的規劃,那情報這塊兒咱這有現成的!
大路這樣苦苦支撐了半年,秦哲終於恢復了自由身,他倆就順著趟出來的路一點點地打配合,用了一年時間,天際友盟的威脅情報就進入了不少大企業。
秦哲
天際友盟的威脅情報好不好使呢?
那段時間,一個反覆出現的劇情就是:威脅情報加持之後,企業猛然發現自己的系統里已經潛伏了一百多個病毒木馬,對外連接著上百個黑IP。這像極了電影里的場景:一個漆黑的屋子突然打開燈,周遭已經排排站著一百多惡鬼。主角嗷一嗓子劃破天際。。。
雖說安全形勢不容樂觀,但大路長長地出了一口氣。
產品有效果,那至少威脅情報這件事兒就能做下去了,這麼多兄弟撇家舍業跟著自己,總算能有個小交代。創業之初縈繞在他身邊好幾年的緊張感漸漸消失,那個簡單純粹勇猛精進的大路又回來了。
天際友盟在行業里站穩名號,融資也很順利,當然是個值得慶祝的好事,但這卻給大路帶來了新的糾結。
經常有朋友、客戶在楊大路耳邊吹風:
「你們技術不錯,為啥只做藏在後面的威脅情報呢?你們直接做終端安全產品豈不賺大錢?」
「圈子裡有很多新技術方向最近特別火,你們要不要試著做蜜罐?要不要做靶場?」
這些人說得有道理,威脅情報只是一份情報,是安全產品的一個「核心配件」,就像子彈對於槍來說是一個核心配件那樣。做子彈的廠商去做機槍,似乎是合情合理的。
畢竟多一條產品線就多一份兒收入,酒白紅人面,財色動人心。大路也不是聖人,有點心旌搖盪。
那時候,我們內部討論特別激烈,甚至很多新產品都做出了原型。但是在推出的前一刻,我突然覺得不對勁兒,還是喊停了。
大路說。
同事們都說,大路是個想當 CTO 的 CEO。對於技術這件事兒本身,他還是有自己的原則和堅守的。
「雖然當時還確實看不清,但冥冥中我總覺得盲目擴大產品線會很危險。直覺告訴我,威脅情報技術如果做深做透,一定會有新的商業機會出來。我還是想走精專這條路。」他說。
大路決定了,既然要做配角,就把配角做到底——就把自己的威脅情報集成在其他公司的安全產品里,你賣槍的時候一定會順帶賣我的子彈。這樣一來,天際友盟和安全廠商之間就變得相親相愛,沒有競爭了。
這個戰略被他叫做「 Ti inside」。(Ti 就是威脅情報的英語簡寫,這個口號跟 intel 晶片的 intel inside 是一個意思)
我特別喜歡的一家公司是「博世」,一般人也許沒有聽過他們。他們從來不做整車,但是幾乎在所有的汽車裡都有他們的零配件。他們就是把配件這一件事做到了極致,他們是偉大的公司。
大路說。
放棄了激進的商業策略,大路內心無比平靜。他終於有機會退回到技術本身,坐在花園裡琢磨威脅情報的真諦。
一個大殺器,就在這時悄悄孕育。
大路和他的安全廠商胖友們。(這裡面有淺黑曾經寫過的大佬喲,找找看)
(六)「情報之網」
楊大路發現,威脅情報做到深入,免不了要和一些「數據中心」打交道。
啥是數據中心呢?沿用之前的比喻,如果把一個個 IP 比作一個個房間,那麼數據中心就相當於房間所在的小區。
剛才我們說過,有時候為了改進威脅情報引擎的準確度,天際友盟必須深入探究某個 IP 究竟是好是壞,這時候他們就會聯係數據中心,請求對方再多給一些這個 IP 的相關信息,例如註冊人的郵箱,例如還有沒有其他 IP 和這個人有關。
畢竟自己小區里住著壞人,於情於法都不是好事兒,所以只要天際友盟能拿出過硬的證據證明這個 IP 有嫌疑,數據中心還是願意在合法的情況下儘量配合的。
道理是這個道理,可實際操作起來卻經常不是這麼回事兒。
國內的數據中心還好,畢竟都是圈裡人,多多少少最後都能托朋友找到關係。可是國外的數據中心就難了,我們只能通過郵件跟人家溝通。可是外國公司,尤其是外國大公司,根本不把我們當回事兒,有時候發十封郵件,能收到一封回復就是謝天謝地了。。。
楊大路吐槽。
郵件不回,只能再去托關係找。最艱難的時候,大路通過外企中國總部的朋友找到國外總部,再通過國外總部的朋友試著聯繫目標數據中心的公司,來回來去繞三四層很正常,就這樣還經常十天半個月也聯繫不到人。
這個事兒困擾了大路很久。
這是全世界主要數據中心的分布情況。
愛交朋友的人運氣不會太差。就在大路一籌莫展的時候,又有一個神奇的朋友從天而降。
2016年底,在一次聚會中大路偶然結識了一位哥們,對方告訴他自己正定居澳大利亞,做一家IT公司,這次是回家過年。大路突然雙眼放光:「你願不願意加入天際友盟,成為我們的海外實驗室,凡是和外國對接的工作都交給你來完成?」
這個看似不靠譜的設想真就搞成了。
由於地處澳大利亞,熟悉西方的語境和文化,而且西方世界對於澳大利亞的認同感比對中國那強到不知哪裡去了,澳大利亞實驗室對接國外數據中心的工作異常順利。
沒用兩年,他們基本就和世界上主要國家地區的數據中心都建立了友好關係,有的數據中心建在太平洋的小島上,居然也被他們給聯繫到了——做情報做成了外交使團,這真是想不到的事情。
有了相互信任,那你來我往幫忙就順利多了。天際友盟發現一批 IP 有嫌疑,就直接通過數據接口發送給國內外數據中心,數據中心依據協議返回這些 IP 的相關信息供天際友盟查驗。一旦屬實,就一勺燴把這些違規操作的「住戶」都封禁了。
數據中心和天際友盟的合作關係,像極了非洲的鱷魚和小鳥。小鳥幫鱷魚剔牙,鱷魚給小鳥食物,兩全其美。
就這樣,一個遍及世界的情報收集和處置之網漸漸建立起來,越來越大,越來越強韌。
這個網絡的力量之強,連楊大路自己都驚呆了—— 天際友盟不僅能掌握哪些是「黑 IP」,甚至可以通過數據中心、域名服務商夥伴把「黑 IP」直接給幹掉,宛若一個國際刑警組織。
於是,大路這個「老中醫」決定: 以後天際友盟不僅幫人查病,還要幫人開方治病。
(七)「老中醫」保護你
能力大了,責任也就大了。
突然有一天,一個銀行客戶找到了大路:「我們的網站被人仿冒了,他們正在假借我們的名義詐騙,你能不能把他們的網站給幹掉呢?」
大路皺眉想了想,雖然天際友盟沒幹過這個業務,但好像也不是不可以。
他試著通過自己的情報查詢,發現這個釣魚網站肉身所處的機房在香港。天際友盟的同事趕緊聯繫到這個數據中心,結果對方馬上回覆:只要提供一些證明材料,這樣的仿冒網站他們是能關閉的。
就這樣,第一單生意就做成了。
這是一個釣魚網站的示意圖。
大路很開心,試著把這個業務跟其他銀行、證券、網際網路金融企業一聊,發現這些公司一直都深受假網站的困擾,早就恨不得把這些騙子開的網站揉碎撕爛。只是,沒想到這世界上還真有人能接這種活兒。
以前幫人開網站是一門生意,沒想到如今幫人關網站也成了一門生意。。。
這是一封來自國信證券的公開感謝信。
後來大路才知道,就在天際友盟探索這條商業路線的時候,國外已經有一些威脅情報公司也同步探索了這條路線,而且他們還給這種業務起了名字,叫做 「數字品牌保護」(DBP)。聽起來高大上。
沒辦法,國外的安全理論研究走得比較靠前,所以雖然天際友盟是獨立探索出這條路的,還是得跟著國外叫「DBP」。
有過幾次成功操作之後,大路他們馬上決定把這種侵權處理做成流程化——用標準格式收集資料,用提交工單的方式處理,甚至還能對客戶做出承諾:例如涉及刑事案件的100%可以在24小時內處理,涉及民事侵權的90%可以在48小時內處理。
隨著新業務發展,天際友盟對接的客戶部門也發生了變化:以前一家公司要和天際友盟合作威脅情報的業務,是安全部門出面;現在一家公司要和天際友盟合作數字品牌業務,得法務部出面。
「這有啥區別嗎?」我問。
「安全部門總是有預算上限的,但法務部門一般沒有預算上限。」大路笑。
前幾年放棄了那麼多機會,死死堅守威脅情報的天際友盟,終於走到了一片廣闊無比的商業新大陸。應了那句老話:沒有一種堅守會被辜負。
有了數字品牌保護的新業務,天際友盟以肉眼可見的速度「破圈」。
很多著名的外資銀行聞訊趕來請天際友盟幫忙做掉「李鬼」;三大虛擬幣交易所中的兩大也都來求關閉仿冒網站;還有央企找來請求幹掉 Github 上泄露的代碼。。。
這還沒完,還有知識付費公司求助關掉盜售他們課件的應用; 快遞公司也來要求關停仿冒他們的詐騙網站(這個事兒差評君曾經寫過一篇 《神文》 ); 甚至廣交會都找來求保駕護航。。。 每一個新的求助都讓大路他們大開眼界,果然賺錢的辦法都寫在《XX》里。
大路給我看了珍藏的榮譽證書。
即便以這樣的速度破圈,如今還是有很多公司並不知道天際友盟可以做「品牌保護」的業務。
大路告訴我,年初疫情期間,同事們看到美團聯合公安機關發布了警情通報,提醒全國人民有一個網站正在仿冒自己發布虛假的商家認證信息。
天際友盟趕緊聯繫美團,說警情通報不一定大家都能看到,不如我直接幫你把對方設在境外的網站關了吧。
幾個小時以後,仿冒網站被關停,美團的同事驚呆了,還有這種操作?
你看,即便是美團這樣最時髦的前沿公司,也有可能不知道天際友盟這個老中醫的存在。這一方面說明大路的宣傳工作任重道遠,另一方面也說明數字品牌保護的市場無限廣闊。
其實除了「品牌保護」,用同樣的招式還可以做「版權保護」。
那天,一個律師事務所來找天際友盟。一部獲獎影片近期就要登錄線院線,但正版還沒上,盜版已經泛濫了,版權方頭疼得不行。
「你們既然能打擊釣魚網站,能不能也幫忙打擊下盜版網站?」對方布置任務。
大路他們想了想,從技術上分析好像難度不大。得,這個忙幫了!沒多久盜版視頻下架。
乾淨利落。
這就是某個網站在播放盜版電影。
沒多久,律師、版權圈的人們也知道了這樣一家技術公司。他們也像數據中心一樣,給天際友盟提供了很多法律和版權方面的專業分析和案件線索,就這樣,版權圈子也同樣被納入天際友盟的「情報之網」。
「要是這樣延展下去,你們好像什麼都能做了。」我大驚。
「並不是,我們必須保證 『能發現』且『能處置』,才會列為自己的業務。例如不久前 LV 找到我們,說市面上假貨太多了,問我們能不能給把假貨下架。我說現實世界的事兒真是管不了,這個活兒我們不能接。」 大路笑。
從威脅情報到數字品牌保護,以上林林總總,在國際上被統稱為 「數字風險防護」(DRP:Digital Risk Protection)。
如今,我們的目標就是要做亞洲第一的數字風險防護公司。
大路說。
大路坐在我對面,喝了一口水,就把故事停到這裡。未來尚未發生,他也充滿期待。
在我的腦海里,出現一群賽博世界的背包客,他們就這樣頭也不回地向技術和商業的密林更深處挺近,每一步都是最遠的路。
(八)簡單是一種武器
遙想當年,斯諾登的爆料就像蝴蝶煽動翅膀,海對岸的楊大路從此走上了創業的不歸路。
兜兜轉轉歲月幾載,他越來越開掛——不僅高舉高打讓央企、國家機構、大中企業得到了威脅情報的金光護體,免遭異人攻擊;也貼地飛行幹掉了無數非法網站,保護了你我這樣的普通人免受詐騙和侵權。
他做著自己喜歡的事,仍然抽空去看流雲飛鳥,浪跡天涯。
告別楊大路,好幾天我都在思考一個問題:為什麼是他把這件事兒做成了?
想來想去,我還是沒有頭緒。這明明是一個非常簡單的人,做事風格一眼望穿,沒有什麼心機算計,也沒有什麼特異功能。
後來我突然明白,簡單本身恐怕就是一種鋒利的武器。
2017年底,天際友盟經歷了一次嚴重的青黃不接。當時有一兩個大客戶的款項本該到帳,結果因故延期;A輪融資本來也該到帳,結果因故鴿子。帳上的錢以肉眼可見的速度消耗,馬上見底。
有幾個月全員的工資都緩發,這對於很多創業公司來說幾乎就是關門的前奏。
可是楊大路愣是衝進天使投資人的辦公室借出來200萬,扛過了這次危機,等到了回款和融資,等到了春暖花開。要知道,這家天使投資人從來沒有借錢給過自己的投資公司,在大路之前沒有,在大路之後也沒有。
整個危機期間,天際友盟的同事沒有一個人辭職離開。
大路簡單到連被稱為楊總都很難受,同事們相信他不會耍心眼拋棄大伙兒;大路簡單到所有的經營清晰透明,投資人才會放心給他資金過橋;大路簡單到堅守自己威脅情報的陣地一步不逾,其他安全廠商才放心和他合作;大路簡單到一門心思優化情報引擎,才和全世界的數據中心交上了朋友,才有了後來對壞人「定點扼殺」的種種可能。
而在一個簡單的人看來,這一切被風吹拂的過往,都是陽光下輕盈的序章。
那天臨別前,我突發奇想問大路:你這麼熱愛旅行,有哪一次印象最深刻呢?
那年在尼泊爾,我去體驗滑翔傘。周圍雪山環繞,身旁鷹在翱翔,觸手可及。那一刻的畫面讓我難忘,好像有人在告訴我:只要你突破天際,新的世界就會向你徐徐展開。
這就是我的朋友楊大路,也許你也能和他成為好朋友。
簡單是一種鋒利