楊坤是一個有技術的男人。他和幾位同樣技術高超的青年男女愉快地生活在一起。他們的技術是：從看似平靜如水的網(wǎng)站環(huán)境中找到漏洞的暗流。

目前楊坤有三個身份：

• 藍蓮花網(wǎng)絡安全競技戰(zhàn)隊隊長

  
  

  
  

• 清華大學計算機系在讀博士

  
  

  
  

• 安全公司長亭科技創(chuàng)始人之一

這三個頭銜聽起來不甚性感，不過這幾個身份之下，隱藏著一個相同的任務——撕開面前的網(wǎng)絡結(jié)構，在黑暗森林般的賽博世界擎起火把，開啟“為所欲為”的上帝模式。眼前這個吃吃笑著的童鞋竟然是能夠在虛擬世界縱橫捭闔的“諸神”之一。意識到這個事實，讓人頓感神清氣爽。

【長亭科技創(chuàng)始人全家福  劉超 楊坤  朱文雷 陳宇森】

根正苗紅的藍蓮花

“我對于網(wǎng)絡安全的認識，都是通過黑客大賽得來的?！奔词挂呀?jīng)創(chuàng)業(yè)一年，楊坤仍然對自己“藍蓮花隊長”這個身份非?？粗?。

藍蓮花，這個聽起來素雅且超然的組織，主要任務是和各國黑客撕逼。這種撕逼采取了一種相對友好的方式，名曰“CTF”。CTF是很多國內(nèi)外黑客大賽的高潮環(huán)節(jié)。主辦方搭建好一個網(wǎng)絡環(huán)境，然后設定若干目標，讓戰(zhàn)隊們施展各自不同的姿勢進行滲透攻擊，最后以積分論英雄。

世界頂級黑客大會DefCon上的CTF是黑客界的“世界杯”。2012年楊坤加入藍蓮花之后，這支隊伍便成了“世界杯”上的常客。

2012年，藍蓮花以絲毫之差未能進入決賽。

2013年，藍蓮花殺進決賽，排名11位。

2014年，藍蓮花在總決賽中獲得第5名的成績。

這幾年間，戰(zhàn)隊還在各類國內(nèi)外的其他黑客大賽中獲得了好成績。雖然成績斐然，但說起來本科學電子的楊坤算是半路出家的黑客。在清華讀研究生的時候加入藍蓮花，是他接觸互聯(lián)網(wǎng)安全的開始。新兵干得比科班選手更加風生水起，這種事還挺讓人惱火的。

【藍蓮花戰(zhàn)隊在 2014年DefCon上的CTF比賽】

雖然是半路出家，但楊坤并不認為自己是“野路子”，相反，他對自己的計算機基礎知識有相當?shù)男判摹?/p>

像這種國際比賽，它的專業(yè)性就在于不可能用現(xiàn)成的工具破解。必須自己有著非常強的底層基礎知識。野路子不僅沒辦法做安全技術，也同樣沒辦法做產(chǎn)品開發(fā)。

在2014年取得Defcon CTF好成績的隊員中，楊坤和同樣來自清華的朱文雷、劉超，還有浙江大學的陳宇森是主力選手，這些原班人馬順理成章地成為了長亭科技的創(chuàng)始人。專業(yè)參賽選手自然水平了得，但這些“奧賽大咖”選擇面對企業(yè)安全的實戰(zhàn)，還是招來了不少人懷疑的目光。楊坤倒是一臉淡定?！案傎愖畲蟮囊饬x是開拓人的思維方式。”他相信這種思維方式在網(wǎng)絡世界里是通吃的。

但是由一群初出茅廬的學生組成的公司，真的會像許巍《藍蓮花》里唱的那樣，“沒有什么能夠阻擋”嗎？

人肉排雷的“手藝人”

長亭科技走上正軌，應該就是2015年中的事情。而且四個創(chuàng)始人基本都處于博士、碩士在讀狀態(tài)，足以說明隊伍有多年輕?；ヂ?lián)網(wǎng)“先烈”教育我們說，沒有經(jīng)歷十次失敗是不可能創(chuàng)業(yè)成功的。而讓人有些“失望”的是，這幾個學霸組建的公司，從第一年開始就不僅實現(xiàn)了收支平衡，還頗有盈利。

其實，長亭科技能夠自負盈虧的關鍵法寶在于“省錢”。楊坤回憶：“我們幾個創(chuàng)始人每個月就領1000塊的生活費。”一間民居、除了創(chuàng)始人之外的幾個人員工資，就構成了這家公司初創(chuàng)期間的所有支出。不需要大量的金錢投入，這算是靠技術吃飯的“手藝人”的先天優(yōu)勢。

經(jīng)歷了“只要給錢什么活都干”的原始時期，長亭科技把業(yè)務聚焦在了企業(yè)安全上。專門為企業(yè)排查漏洞風險，避免重要資料被竊取、網(wǎng)站被攻擊等安全問題。他們的產(chǎn)品特點就是，全人工安全排查。他們對企業(yè)的服務可以理解為以企業(yè)為目標進行“CTF”，把自己在CTF中積累的滲透經(jīng)驗全部用于測試企業(yè)的安全性?！皠e人能發(fā)現(xiàn)的問題，我們一定能發(fā)現(xiàn)；我們發(fā)現(xiàn)的問題，別人不一定能發(fā)現(xiàn)。”楊坤如此概括長亭的優(yōu)勢。

【長亭科技的童鞋在進行漏洞排查】

即便是支出較小，實現(xiàn)盈虧平衡也遠沒有說起來那么簡單。本以為藍蓮花的巨大光環(huán)可以加持長亭科技所向披靡，但是四處談客戶的楊坤被問到的最多的問題，就是：“藍蓮花戰(zhàn)隊是什么？”

現(xiàn)實世界比網(wǎng)絡世界沉重得多，不可能輕易玩轉(zhuǎn)。長亭科技經(jīng)歷的坑大概分為如下幾種類型：

1、刷臉失敗型。生于1989年的楊坤是團隊里年齡最大的一個，而正因為他這個老人存在，才把團隊的平均出生年份拉到了1990年。面對一群嘴上沒毛稚氣未脫的年輕人，要把十幾萬甚至幾十萬的單子交給他們，還真的需要好好說服自己。

2、報完價后悔型。咬牙報價十幾萬之后，發(fā)現(xiàn)對方爽快地答應。回過頭來研究同類服務的時候，才發(fā)現(xiàn)友商們的報價都是自己的三四倍。而實際操作的過程中，他們才發(fā)現(xiàn)所花的人力成本和時間成本要遠遠高于預計。

3、要賬無門型。此處省略一萬字。

面對很多客戶不了解長亭科技這樣一個“悲傷的現(xiàn)實”，團隊推出了“免費安全測試”的業(yè)務。只要企業(yè)提交申請，并且授權給長亭科技，他們就會對企業(yè)進行滲透測試，進而出具一份40頁以上詳盡的檢測報告。如果企業(yè)選擇進一步修復，再來談收費的問題。這種“先嘗后買”的模式勾勒出了“手藝人”的技術自信，也隱隱展現(xiàn)出新興安全公司爭奪市場過程中所面臨的血雨腥風。

用老羅的話來說，“跟前輩企業(yè)家們比，我們的創(chuàng)業(yè)過程只有些磨難，遠談不上血淚?！遍L亭科技大抵如此。雷鋒網(wǎng)探訪時，他們剛剛從民居搬到了新的辦公地點——某餐館的二樓空間。這個看起來絕談不上體面的辦公環(huán)境里聚集了列位創(chuàng)始人，還有團隊挖來的各路大牛，以及少許經(jīng)過審核的慕名而來的熱血青年。幾位創(chuàng)始人白天承擔CXO的角色，到了晚上基本上全部變身碼農(nóng)。

平均每次測試大概要花費兩個人一周的精力。

楊坤告訴雷鋒網(wǎng)，目前他們已經(jīng)服務了46家客戶，還有許多更大的業(yè)務在洽談中。而楊坤一眾并沒有拋棄藍蓮花的身份，在創(chuàng)業(yè)之余還繼續(xù)參加了2015年的DefCon CTF大賽，順便又拿了第五名的成績。一切看起來非常順利。讓楊坤引以為豪的是，公司里聚集了在他眼里最優(yōu)秀的一眾網(wǎng)絡安全大牛。這些“手藝人”在某些方面像極了村莊里的老泥瓦匠，對待自己熱愛的活計精益求精，不知疲倦。憑借旺盛的精力，這些年輕的網(wǎng)絡安全“匠人”可以整日馳騁在網(wǎng)絡空間中。

然而，老工匠難逃一個悲傷的現(xiàn)實——林立的工廠。這不禁讓人聯(lián)想：互聯(lián)網(wǎng)安全的“手藝人”是否更加速朽呢？在被贊嘆服務水平驚人的同時，長亭科技也不止一次面對行業(yè)觀察者對于“人工排雷”商業(yè)模式的殘酷吐槽：狀態(tài)不穩(wěn)定，不容易做大。

工具是美麗還是哀愁？

作為從各類CTF摸爬滾打成長起來的安全研究員，楊坤一眾比任何人都了解工具的魔力。然而他們的專業(yè)知識卻告訴自己，對待工具需要極為警惕。

很多時候我們也會用到工具，比如漏洞掃描器。但是它只能找到最簡單的漏洞。因為工具不智能，它不會思考。而且工具有時會產(chǎn)生很大的副作用，比如有些自動化檢測SQL注入的工具是會清空數(shù)據(jù)庫的。

對生產(chǎn)工具的崇拜和對工具智慧的不信任，構成了楊坤心中的矛盾。他并不是反對工具智慧的人，相反，他在熱切期盼“高度可用的”互聯(lián)網(wǎng)安全“機器大生產(chǎn)”時代。只不過在創(chuàng)業(yè)的階段，為了對客戶負責，他更愿意相信自己的大腦和雙手。

【長亭科技官網(wǎng)上的SQLChop 介紹頁面】

“SQLChop”是長亭科技推出的第一款工具。它的功能很簡潔，就是探測目標是否被SQL注入。出于謹慎，楊坤并沒有把它包裝成為產(chǎn)品，而是以技術引擎的方式提供服務。楊坤說，夠得上“產(chǎn)品”資格的成果，還在研發(fā)之中。

然而，時間并不等人。烏云團隊開發(fā)的漏洞檢測工具“TangScan”經(jīng)過半年的試運行，已經(jīng)在2015年12月發(fā)布正式商用。360等老牌廠商也大力宣傳自己的檢測工具。在漏洞檢測領域，智慧工具的市場爭奪初見雛形。

對于這款在研發(fā)中的產(chǎn)品，楊坤顯得異常謹慎。他透露，這款安全檢測產(chǎn)品主打“高度定制化”，相當于為每一家客戶單獨編寫程序。這種深度的安全介入自然需要摸清企業(yè)的網(wǎng)絡環(huán)境，進而根據(jù)獨特的企業(yè)環(huán)境去做定制化的工作。當然，在其中必然還會涉及到大量的人工工作。從描述來看，這款自動化產(chǎn)品因為需要深度人工適配而打上了“手藝人”的烙印，的確很有辨識度。至于這款產(chǎn)品的名字和技術細節(jié)，還要等到推出時才能知曉。

讓自己的技術智慧實現(xiàn)自動化，某種程度上說是黑客的自我顛覆。然而，對于自動化產(chǎn)品的無限期冀和對實際效果的謹慎，更多地融進了楊坤的欲說還休。不過，這看起來并不是壞事。認可長亭科技技術的人，覺得他們的謹慎中恰恰傳遞出了專業(yè)的氣質(zhì)。

安全界像是一個生命體。一旦進入，便成為了其中的一個器官。你的血管自動枝蔓縱橫，最終連通心跳，一舉一動，都可以感覺到實實在在的牽絆。如此深刻地嵌入中國安全的血肉之軀，恐怕是三年前在CTF上馳騁縱橫的楊坤沒有想到的。

（圖片來自錘子科技）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。