重返聚光燈，綠盟做對了什麼？

GIF

重返聚光燈，綠盟做對了什麼？

文 | 史中@淺黑科技

在我眼裡，曾聚集了中國最頂尖黑客的綠盟已經沉默了很久。想到它，我腦海中就浮現出一個透明的綠巨人，坐在桌邊喃喃自語。

講道理，這和它的傳奇過往顯得並不搭配。（有關綠盟的傳奇往事，中哥以後開貼專門聊，有想聽的童鞋舉個爪）但這個世界的善良之處就在於，它經常猝不及防地給你一些溫情反轉。

2018年元旦開始，綠盟股價結束了兩年半的下跌，從不到9塊上升到13，比最低點回升 50%。也幾乎是同時，他們的聲音在嘈雜的輿論背景聲中重新變得清晰。高管出街和發布行業報告的密度陡然提高，存在感一波高過一波。

比起那些悶頭賺錢（或者悶頭沒賺錢）的老哥們，「重返聚光燈」這五個字送給綠盟，應該是沒毛病。

歸來的歷程，綠盟冷暖自知。而從旁觀者的角度看，他們一定是做對了什麼。

我關心兩個問題：

1、作為公司，能否從綠盟身上學到傳統安全企業轉型的「標準姿勢」？

2、作為個體，能否從綠盟的轉身中獲得經驗：一個沉默許久的人，應該如何重返戰場？

我把綠盟的操作總結成三招，希望對你也有幫助：

Let"s Rock !

第一招：精選一首「主打歌」

在很多人心中，綠盟以安全產品見長，擅長造「工具」。它的各種產品就像刀槍劍戟一樣，十八般兵刃可以掛滿一面牆，讓人眩暈。

然而，就像某些電視劇片尾曲歌手，唱功人人挑大拇哥，但就是不溫不火。原因就在於沒有一個「主打歌」把它的形象釘在觀眾的腦子裡。

所以，綠盟返回戰場前，迫切需要一個「主打歌」。這個主打歌會是綠盟諸多硬體之一嗎？顯然不是。

執著於工具本身，並不一定帶來生存優勢。

我想到一個小栗子：

解放戰爭時期，國民黨軍配置重型美式裝備，解放軍大多是一些從日本繳獲的輕型武器。

但是，標準美式裝備有兩個巨大的弱點：

1、對道路的平整度要求非常高。

2、需要耗費大量能源。

而小米加步槍卻非常好地適應了中國一窮二白破破爛爛的現實情況，機動性爆棚。

戰爭的結果人盡皆知。解放軍勝利的一個巨大原因就是：看到了戰爭的「終點」是「消滅對手」，而不是「使用先進的武器」。

作為戰爭在賽博世界的翻版，網路安全同樣是如此。

企業用戶想要看到的終點是「解決安全問題」，而不是「擁有安全產品」。

從這個終點反推，綠盟找到的「主打歌」就是——威脅情報。

打個小比方：

硬體端就像一個人的四肢、胸肌、腹肌；

而威脅情報就是一個人的認知（注意不是大腦，也不是智商）。

綠盟的硬體端是它的最強優勢，這是路人甲都知道的事實。但我想說，強壯的身軀，並不意味著打架一定能贏。看過《霍元甲》你就能體會這種感覺。

更為重要的是，你要知道對方會怎樣出拳，甚至要知道不同的格鬥拳路和風格，這就是「認知」。當你的大腦可以判斷出對手下一拳會打到哪裡，此時你就能優雅地調動全身肌肉躲閃，然後給對手致命一擊。

結論是：

只有你具備了「認知」（威脅情報）這個前提，你發達的肱二頭肌（硬體產品）才能被正確運用。

GIF

綠盟的官方說法，把這種「腦手協作」叫做「雲地協同」，這背後的台詞是：

肌肉發達的綠巨人試圖克制自己的「優勢依賴」，慢慢學會有收有放。用認知來控制強壯的身體，而不是把傳統優勢榨乾到極限。

找到主打歌，只是第一步。接下來就要把整個專輯賣出去。

既然企業的終極要求是「解決安全問題」，那麼大多企業都需要網路安全提供商回答下列問題：

1、你能解決我的什麼問題？

2、你用什麼方法，什麼技術解決我的問題？

3、你是否能提供一個客觀的標準，讓我能夠獨立比對你和同類產品？

於是，綠盟羅列了幾個企業最需要自己的場景，舉幾個例子：

1、企業安全平台：解決「誰在搞我？」的問題。

2、安全態勢感知方案：解決「誰想搞我？」的問題。

3、威脅分析系統：解決「誰搞了我？」的問題。

4、威脅情報中心：解決「黑客怎麼搞的我？」的問題。

等等等等，還有不少。

這就像孫思邈把諸味道草藥組合成固定的藥方，恰能對症治疾一般。

這是一種比較務實的心態：你有病。我有葯。你關心我的葯是什麼成分，我也可以解釋清楚；你不關心我葯的成分也沒問題，不看廣告看療效。

好了，總結一下綠盟的第一招：

企業安全的終點是「遠離風險」，盯著這個目標，盤算自己的「主打歌」；

「主打歌」應該是「威脅情報」，用「威脅情報」支配優異的「硬體產品」；

主打歌 Ready，然後尋找用戶的痛點，為這些痛點設計具體的「全套服務」。

從終點反推路徑，從路徑反推方案。一目了然。

套用綠盟科技副總裁宮智的話說就是：「從被動響應變成主動出擊。」至此，「掙扎」終於變成了「奮鬥」。一切開始順理成章了。

第二招：讓別人感受到你的「神操作」

就像一把芭蕉扇。「威脅情報」是扇柄，處在樞紐位置。「硬體產品」是扇骨，給人帶來最直接的效果。

然而，這把芭蕉扇能扇滅火焰山的前提是，扇骨要足夠堅硬。也就是說，綠盟的威脅情報能力起碼要及格。

那麼，綠盟的威脅情報能力到底行不行？

之前一些網路安全業內人士對我表達了這樣的觀點：綠盟「端」的數量不夠，且分布不均，沒有強大的威脅情報收集能力。

開始我覺得好有道理，你看人家XXX，那麼多端，收集那麼多海量數據。但是和更多大牛聊過之後，我覺得不能這樣簡單地理解。

要想說明什麼樣的威脅情報是好情報，還得回到企業面臨的威脅，我粗暴地把威脅分為兩類：

已知威脅（主要由在全球普遍爆發的漏洞引起）

未知威脅（主要由 APT 這類針對性攻擊引起）

這兩類威脅看起來平分秋色，在數量上卻比例懸殊：絕大多數企業最緊迫要解決的問題，是已知威脅。目測佔到了所有威脅的90%。

再來說一下綠盟的威脅情報的主要來源：

部署在企業端里採集的數據

合作運營商流量數據

安全研究員成果

網路空間探測器 SEER（類似於空間探測引擎 Shodan）和蜜罐系統

交換/購買/合作夥伴數據

根據一些企業安全大牛告訴我的經驗：

1、解決已知威脅，用「交換/購買/合作夥伴的威脅情報數據」就可以作為主力；

2、解決未知威脅，情報數據所能派上的用場，沒有想像中那麼大。

從這個角度來看，綠盟的威脅情報數據，應該可以打到80分。（當然每個人的評價參數不同，但我認為超越及格線肯定是沒問題的）

所以，又回到綠盟所說的「雲地協同」：威脅情報數據夠用，再配合傳統優勢的硬體端能力，就可以比較好地解決已知威脅。

那麼，怎麼評價問題解決得好不好呢？

我先給你大概描述一下企業面對已知威脅時的一個經典場景：

一個漏洞在全球爆發，如果企業沒有在十個小時之內「亡羊補牢」修補漏洞，那麼基本上你就不用補了。。。因為羊應該已經亡得差不多了。黑客已經入侵完畢，植入後門，拿到你的數據，回家吃雞去了。

（當然這種說法有點極端，看到漏洞爆發，無論經歷多久都一定要把自家企業的系統修復，這才是正確的人生觀世界觀。只是如果拖得時間越長，黑客就會越深入，損失就會指數級增長。）

從黑產的角度看，他們已經形成了分工明確的產業鏈：

「漏洞黑客」專門研究各大系統，一旦發現漏洞，第一時間發布到黑市；

「開發者」買來這些漏洞，開發成自動化攻擊工具，然後第一時間發布到黑市；

「攻擊者」原本就長期盯著一些公司，公司裡面有什麼系統，攻擊者甚至比公司內部人員還了解。它會經常瀏覽黑市網站，一旦發現可利用的攻擊工具，馬上購買，開干。

從漏洞研究者發布漏洞，到攻擊者實施攻擊，整個流程下來也就幾個小時。

所以，從攻擊者開始進攻，到企業開始進行防護，中間有一個時間差。

綠盟和其他安全公司要做的，就是盡量縮短這個「時間差」，最好讓它為零，或者為負數。

舉個栗子：

海嘯爆發，衛星預警五小時後到達海岸。如果你可以讓遊客在五小時之內全部撤離，那邊此次海嘯就不會造成傷亡。如果海嘯到達的時候，已經撤離了大部分，只有少數財物還未來得及撤走，造成的損失也是可控的。

根據綠盟科技高級副總裁葉曉虎的說法，整合新的技術策略以後，「綠盟已經把以前需要數天的響應周期，縮短到了幾個小時。」

如果果真可以達到這個數據，就可以說是讓人眼前一亮的「神操作」。

總結一下：

綠盟的」主戰技能「——威脅情報得分並不低，只有在這樣的情況下，分散在企業中的」特色技能「——各路硬體才能充分發揮作用。

第三招：老司機帶帶你

如果把網路安全企業比作保鏢，那麼保鏢大哥不僅要幹掉明火執仗的敵人，也要幹掉放冷槍的狙擊手。也就是說，解決了已知威脅，還要解決未知威脅。

如果有人得了常見病，醫生就會非常精準地拿出治療方案。但如果得了罕見病，醫生就要一點一點幫你體檢，嘗試不同的治療方法。就是因為這種病是你獨有的，幾乎沒有前例可遵循。

綠盟做了什麼特別的工作呢？

隨便舉兩個例子：

前置化安全：在企業開發系統的最開始，就把安全的模塊和安全的理念嵌入進去。這樣開發出來的系統，自然免疫力強健，不太會生病。

紅藍軍對抗：和軍事演習類似，一邊組織藍軍對系統進行攻擊，另一邊幫助企業的紅軍對抗攻擊。

你有沒有發現，這些工作， 與其說是在幫助用戶搞安全，不如說是在幫助用戶提高自己的安全能力。有種「老司機帶帶你，一起去飆車」的感覺。

為什麼會是這樣呢？

還是用醫生治病來舉例子：面對未知的疾病，治療固然重要，但是即使華佗在世也往往只能事後補救。而最好的方法，是靠自身的免疫系統。

幫助企業建設安全能力，等企業一起成長，顯然不如直接賣產品收益來得快。聽起來綠盟像是在做公益。他們也學老羅賣情懷嗎？

我倒覺得不是。

簡單說來，雖然企業建設安全能力，短期來看成本巨大，而且不利於銷售更多的安全產品。但是長遠來看，幫助比給予更重要：

1、如果一味為客戶，就會讓客戶成為依賴極強的「巨嬰」，永遠無法長大，也就沒辦法用成長來回饋安全企業。

2、市場盤子做不大，你的市場份額再高，也永遠是小孩過家家。（其實中國幾百億的安全市場， 和其他行業比起來，就是過家家。過去十年都在過家家，如果未來還過家家，就真的要過一輩子家家了。。。）

這和談戀愛的道理一樣，

一個老司機和一個弱雞怎麼可能沒羞沒臊地在一起？

看清這一點之後，

老司機是不是應該帶帶你？

---

曾經的綠色兵團，是黑客精神的旗手，它讓一代黑客相信了某種東西。站在此地回望，和綠盟同時代創業的其他黑客們，有的和綠盟一樣仍在堅持，有的已經累了，走散在這個時代里，杳無音信。

穿過二十年塵埃，我猜無論是曾經的夥伴還是對手，此刻看到綠盟的肩上還扛著那桿大旗，他們都會覺得釋然。

如果在理想主義的時代，能扛起理想的大旗；

而在商業主義的時代，還能扛起商業的大旗，

這事兒多他喵的酷。

在我眼裡，綠盟給出的商業答案還遠遠遠遠不完美，但是，它比過去的自己更好。

而如何成為更好的自己，才是每個人都可以借鑒的「標準答案」。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！