清初，天山七劍飛紅巾、武瓊瑤、桂仲明、冒浣蓮、易蘭珠、張華昭、凌未風(fēng)以天山為家，仗義行俠。飄零慣，金戈鐵馬，拼葬荒丘。

而今，青蓮云也有七人執(zhí)劍，直指物聯(lián)網(wǎng)安全江山。

這七人的為首之人是CEO董方。

口述：董方  文：又田

（一）

我開始接觸安全是在2003年，正值大二，通過一個十幾人的線上聊天室開始自學(xué)網(wǎng)絡(luò)安全，里面的人大多都是學(xué)生，全憑著興趣一門心思的做研究。之后我們幾個人成立了一個民間的網(wǎng)絡(luò)安全組織：80SEC，專注于Web安全方向的攻防技術(shù)研究。

畢業(yè)后我進(jìn)入啟明星辰做了三年偏傳統(tǒng)的信息安全，之后又來到搜狐做了三年的甲方安全，但都圍繞著基于Web應(yīng)用的業(yè)務(wù)安全這條主線。

2011年底是我第一次創(chuàng)業(yè)，發(fā)布了一款叫做“日志寶”的數(shù)據(jù)分析產(chǎn)品，以SaaS服務(wù)的方式為企業(yè)客戶提供的日志進(jìn)行大數(shù)據(jù)安全分析?？蛻艨梢园逊?wù)器、網(wǎng)站日志傳到日志寶云端，通過云端安全引擎進(jìn)行安全分析和在線的免爬蟲漏洞掃描。

雖然日志寶是個免費(fèi)服務(wù)，效果卻意料之外的實(shí)用，可以精準(zhǔn)檢測到傳統(tǒng)基于規(guī)則分析所無法識別的黑客攻擊和后門文件，這家公司也就成了青蓮云的母公司。

但我第一次創(chuàng)業(yè)并不算順利。2011年，彼時底層的大數(shù)據(jù)分析平臺技術(shù)并不完善，也缺乏基于流處理的數(shù)據(jù)分析引擎，日志寶在短期內(nèi)匯聚了上百億條數(shù)據(jù)，底層的數(shù)據(jù)存儲和分析效率已成問題。

2013年初，機(jī)緣巧合下我們的產(chǎn)品和團(tuán)隊(duì)被360所收購，團(tuán)隊(duì)的研發(fā)方向演變?yōu)樵瓢踩霸粕系臉I(yè)務(wù)安全，團(tuán)隊(duì)輸出的產(chǎn)品包括云WAF、安全CDN、高防IP等云安全技術(shù)。

隨著物聯(lián)網(wǎng)市場的興起，360以“兒童手表”首次踏足智能硬件領(lǐng)域，從此開始一路征戰(zhàn)智能硬件市場。2014年，360成立云事業(yè)部，我出任云事業(yè)部產(chǎn)品總監(jiān)。

實(shí)際上我們整個團(tuán)隊(duì)不僅僅要負(fù)責(zé)360云的產(chǎn)品化相關(guān)工作，同時也需要針對智能硬件云平臺和IoT安全進(jìn)行技術(shù)預(yù)研究。當(dāng)時360信息安全部的頂尖黑客們負(fù)責(zé)尋找各類智能硬件設(shè)備的安全漏洞，但我們團(tuán)隊(duì)更多的思考在于：如何實(shí)現(xiàn)一種低成本、輕量級、普適性的后端安全技術(shù)架構(gòu)來解決聯(lián)網(wǎng)設(shè)備的安全隱患。

在這一過程中，我發(fā)現(xiàn)了一個問題。

360匯集了一群業(yè)界頂尖黑客，投入了非常多的人力和研發(fā)成本才能把產(chǎn)品做得足夠安全，但是外面林林總總的智能硬件產(chǎn)品，誰來保證他們的安全？誰又應(yīng)該是他們的安全團(tuán)隊(duì)？這一瞬間的思考讓我萌生了二次創(chuàng)業(yè)的想法。

時間行至2016年，360調(diào)整組織結(jié)構(gòu)將企業(yè)安全與智能硬件分開來。此時我們團(tuán)隊(duì)無論跟隨哪一方向團(tuán)隊(duì)價值都不能最大化輸出，我決定離職創(chuàng)業(yè)，云事業(yè)部團(tuán)隊(duì)的七位同事也跟隨我集體辭職創(chuàng)業(yè)。

這7位就是青蓮云的核心創(chuàng)始團(tuán)隊(duì)，7人“各懷絕技”，有的擅長嵌入式開發(fā)，有的擅長云端高性能計(jì)算，有的專注黑客攻防對抗，有的擅長APP的安全檢測和加固等等。

青蓮云的來龍去脈即是如此，一切的機(jī)緣巧合，都始于我們趕上了智能硬件產(chǎn)業(yè)發(fā)展的熱潮。

（二）

還在360工作時，我曾走訪過多家智能硬件生產(chǎn)商，用一句話概括多數(shù)廠商的技術(shù)架構(gòu)是：上行下行，能通就行。

很通俗的一句話，什么意思？

設(shè)計(jì)一個智能硬件背后需要有云服務(wù)的支撐，要考慮多活、災(zāi)備、冗余、負(fù)載、擴(kuò)容等，以及各種來自網(wǎng)絡(luò)的黑客攻擊行為的檢測和防御。而大部分廠商出于成本考慮和缺乏安全經(jīng)驗(yàn)積累，在最基礎(chǔ)的硬件架構(gòu)和后端服務(wù)架構(gòu)上都不會考慮安全問題，買上幾臺阿里云服務(wù)器開始調(diào)試，能通就開始量產(chǎn)。

但這種圖快的打法終不是長久之計(jì)，所以在2016年青蓮云成立之初，我們的打法是給用戶提供一套將物聯(lián)網(wǎng)安全防御策略融合在內(nèi)的云產(chǎn)品，即我們第一個產(chǎn)品青蓮云，一套穩(wěn)定的物聯(lián)網(wǎng)后端云。

2016年的國內(nèi)物聯(lián)網(wǎng)仍處于萌芽期，各大廠商埋頭做產(chǎn)品，做體驗(yàn)，構(gòu)想各種不確定的用戶需求。此時提供以安全為核心的一整套物聯(lián)網(wǎng)服務(wù)顯然不合適，未解決溫飽問題，誰會買豪車呢？

在推出青蓮云后，2016年底我們開始深度拜訪客戶，傾聽客戶產(chǎn)品的市場反饋。卻在此時發(fā)現(xiàn)一個現(xiàn)象，一些長尾客戶對青蓮云產(chǎn)品的接受度較高，但對于如美的、海爾等頭部客戶來說，其自身的研發(fā)能力較強(qiáng)，往往會選擇購買阿里云、亞馬遜服務(wù)器，并在其上自主研發(fā)企業(yè)物聯(lián)網(wǎng)云平臺。

此時，青蓮云的產(chǎn)品形態(tài)就處于一個尷尬的定位。

如何能夠拿到這些金字塔尖的客戶？云和云安全的關(guān)系給了我們很大的啟發(fā)。

舉個例子：云盾作為阿里的安全部門很早就存在其中，為阿里云提供安全解決方案，直到后來，阿里云產(chǎn)品和云盾的技術(shù)積累陸續(xù)成熟后，云盾才獨(dú)立商業(yè)化運(yùn)行，無論客戶使用亞馬遜或是微軟的云，都可以使用阿里云盾的安全服務(wù)。

回到青蓮云，我們是否能遵循云和云安全的思路，將本就融合在青蓮云中的安全防御策略與后端云引擎分離開來呢？

如果客戶有自己的云平臺，那我們提供物聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)，如果客戶什么都沒有，那我們就提供一整套的解決方案，幫助客戶安全且快速的落地產(chǎn)品。這也是2017年我們所做的。

（三）

實(shí)際上我們每次與客戶接觸都是從科普開始，物聯(lián)網(wǎng)如何不安全了？為什么會不安全？怎么能做到相對安全？

“No More Free Bugs”，我開始考慮將多年的物聯(lián)網(wǎng)安全經(jīng)攻防和研發(fā)經(jīng)驗(yàn)提煉成物聯(lián)網(wǎng)安全培訓(xùn)體系，以物聯(lián)網(wǎng)安全10堂課的形式輸出給客戶。這10堂課覆蓋嵌入式安全研發(fā)，云端安全研發(fā)，引擎安全研發(fā)，核心通信技術(shù)、APP安全研發(fā)5個維度，每堂課售價從8000到1.5萬不等。

在貫穿物聯(lián)網(wǎng)安全10堂課培訓(xùn)之后，另一個切入點(diǎn)也隨之而來，即物聯(lián)網(wǎng)安全測評服務(wù)。也就是通過團(tuán)隊(duì)自研的內(nèi)部安全測試工具集加上額外的黑客手段向客戶證明其產(chǎn)品是存在安全隱患的。

物聯(lián)網(wǎng)安全與網(wǎng)絡(luò)安全的最大區(qū)別，是一旦產(chǎn)品出現(xiàn)漏洞很難通過遠(yuǎn)程打補(bǔ)丁的方式修補(bǔ)，銷售量越高的產(chǎn)品一旦出現(xiàn)問題相應(yīng)修復(fù)成本會越高。所以在產(chǎn)品還沒有走出家門的時候進(jìn)行測評，相當(dāng)于全身體檢，一旦出現(xiàn)病癥可以對癥下藥。

比如鏈路層出現(xiàn)漏洞，可能受到設(shè)備重放或設(shè)備偽造攻擊，我們會提供針對鏈路層安全的整套解決方案；如果是安裝了有漏洞的第三方軟件，出現(xiàn)弱口令以及系統(tǒng)層面的配置安全問題，我們會拿出針對嵌入式操作系統(tǒng)的安全解決方案。

物聯(lián)網(wǎng)安全主要分為端管云三個層面的安全，在端的層面我們有針對通信鏈路的獨(dú)立安全解決方案，在云的層面我們有一個完整的物聯(lián)網(wǎng)安全云平臺。此外，云上基于物聯(lián)網(wǎng)硬件設(shè)備的數(shù)據(jù)安全分析更是我們的優(yōu)勢，由于移動互聯(lián)網(wǎng)的成熟度已經(jīng)非常高，所以目前對APP安全則相對涉足較少，所謂術(shù)業(yè)有專攻即是如此。

也就是說，青蓮云給客戶享受的是“4+1”全套大保健，1就是安全咨詢服務(wù)，將測評與培訓(xùn)打包在一起，將不同客戶測評報告中的漏洞原因編寫到安全培訓(xùn)中，使培訓(xùn)更加具體，更接地氣。4就是我們有四套物聯(lián)網(wǎng)安全產(chǎn)品，哪疼治哪。

實(shí)際上，我們扮演的是《星球大戰(zhàn)》中安納金的角色，身處光明時，他是絕地武士會天賦異稟的武士安納金·天行者，墜落黑暗則化身屠夫達(dá)斯·維德，青蓮云團(tuán)隊(duì)同時兼?zhèn)淞宋锫?lián)網(wǎng)安全的攻防兩端能力。

（四）

很多人會問我，安全公司賺錢嗎？

這需要分長短期來看，安全行業(yè)永遠(yuǎn)不存在一夜暴富。無論是1998年成立的啟明星辰，還是上市又退市的360，不難發(fā)現(xiàn)安全公司很少有泡沫，每家都在踏實(shí)做事，逐步成長。這是一個慢熱的市場，物聯(lián)網(wǎng)安全更是如此，它并非ofo、團(tuán)購，它不是一個產(chǎn)品模式的變化，也不是消費(fèi)習(xí)慣的變化，而是一個網(wǎng)絡(luò)時代的變遷。

物聯(lián)網(wǎng)安全的發(fā)展除了需要時間的沉淀更需要與企業(yè)建立長期信任感，只有對方充分信任安全公司才會把最敏感的東西交給對方。在這其中安全公司需要做的就是向企業(yè)證明你懂安全、懂業(yè)務(wù)、懂體系建設(shè)，但這并不是一件容易的事情，還需要一個周期。

因此物聯(lián)網(wǎng)廠商對于安全的支出仍處于緩慢上升的趨勢，畢竟一下割肉太多誰都會疼。相應(yīng)的，安全公司賺錢也是隨著物聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展，量不會一次太大。

對于青蓮云來說，我們已經(jīng)有了穩(wěn)定的收入，但創(chuàng)業(yè)嘛，早期肯定是虧損的。只要有收入就足以證明當(dāng)前的模式是可延續(xù)的，而我們2018年的目標(biāo)就是希望把盈虧做平。

后記

董方并沒有自己的獨(dú)立辦公室，他覺得這些沒什么必要。

這位黑客出身的CEO格外有俠客精神，他把自己當(dāng)成傳教士，覺得承載著責(zé)任與義務(wù)去告訴別人真實(shí)的物聯(lián)網(wǎng)，物聯(lián)網(wǎng)攻擊更非天方夜譚，而是近在身邊。

采訪最后，董方告訴雷鋒網(wǎng)，他與跟隨他的七位“劍客”的初心很簡單：我們每服務(wù)一個客戶，就讓這個物聯(lián)網(wǎng)世界更安全了一點(diǎn)，這種成就感讓大家非常滿足。

但這看上去簡單的夢想，也許承載了一份很重的重量。

雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），專注先鋒科技領(lǐng)域，講述黑客背后的故事，歡迎關(guān)注雷鋒網(wǎng)宅客頻道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。