創(chuàng)辦白帽匯的趙武摘掉了他的帽子。

他站在自家區(qū)塊鏈安全報(bào)告發(fā)布現(xiàn)場(chǎng)的舞臺(tái)上，沒有戴那款標(biāo)志性的鴨舌帽。就連其定向邀請(qǐng)的圈內(nèi)嘉賓，定了定神，才認(rèn)出他來。

一個(gè)月前，趙武也摘掉了“白帽匯”的“帽子”，他注冊(cè)了一家名為“華順信安”的公司，接受了丹華資本幾千萬的投資，但“白帽匯”沒有消失，成了華順信安旗下的技術(shù)研究院。

有些領(lǐng)域?qū)Α鞍酌弊印比后w認(rèn)識(shí)不同，為了避免這種“不信任的錯(cuò)覺”，讓公司走得更遠(yuǎn)，趙武干脆做出了上述舉動(dòng)。

他還摘掉了第三頂帽子。

這個(gè)趙武不再是用幾十行代碼就能黑掉中國(guó)大半網(wǎng)站的黑客“zwell”。兩年前，他就逼迫自己一步一步成了技術(shù)商人“趙武”。

文|雷鋒網(wǎng)李勤

他曾想改變世界

趙武有一個(gè)改變世界的夢(mèng)想。

為了實(shí)現(xiàn)這個(gè)夢(mèng)想，他嘗試了第一步：自己先成為一個(gè)牛逼哄哄的黑客。

于是，他創(chuàng)建了一個(gè)全球日活十萬的黑客滲透工具 Pangolin，隨后，又做出了漏洞掃描軟件 JSky、SaaS 漏洞掃描平臺(tái) iiScan 。但他很快發(fā)現(xiàn)，靠一個(gè)黑客不足以改變世界，因?yàn)椤耙粋€(gè)人的思維模式或者目標(biāo)決定了他只能在某一方面是比較領(lǐng)先的，這是一個(gè)很大的問題”。

趙武決定加入一家公司試試。

2011 年，他加入了 360，并創(chuàng)立了補(bǔ)天平臺(tái)。但他又發(fā)現(xiàn)，任何一個(gè)獨(dú)立的安全公司，雖然手握很多技術(shù)人員，卻不會(huì)產(chǎn)生更多價(jià)值，因?yàn)樗荒茉诩?xì)分領(lǐng)域賺很多錢。

“TK 是挖漏洞的頂級(jí)人才，但 TK 想的不是你能挖出多少漏洞，基于這個(gè)假設(shè)，我當(dāng)時(shí)想著，能不能把白帽子這個(gè)群體積累起來，再做點(diǎn)什么，達(dá)到一個(gè)更大的效果？”趙武說，這是他創(chuàng)建白帽匯的核心價(jià)值觀，而且一直未曾改變。

他聚集了幾萬白帽子，但這些白帽子如何才能影響世界？

趙武想了兩條路。

第一，讓白帽子合法地為企業(yè)挖掘和修復(fù)漏洞；

第二，現(xiàn)在人們對(duì)物理空間的測(cè)繪已經(jīng)比較完整，比如，出現(xiàn)了道路、施工建筑測(cè)量?jī)x表等，之后繪制了精準(zhǔn)的世界地圖，但在虛擬空間里，還沒有一套精準(zhǔn)的虛擬網(wǎng)絡(luò)資產(chǎn)地圖。

比如，生產(chǎn)攝像頭的企業(yè)并不知道自己的攝像頭在哪些領(lǐng)域被啟用，一旦發(fā)現(xiàn)安全風(fēng)險(xiǎn)，設(shè)備生產(chǎn)商也鞭長(zhǎng)莫及。但是，一旦一個(gè)漏洞被黑客盯上，也許他只要花一個(gè)小時(shí)“掃描一下”，就可以發(fā)現(xiàn)待挖掘的脆弱的“寶藏”，與此同時(shí)，廠商的修補(bǔ)期可能是一個(gè)月，甚至一個(gè)季度。

這種“時(shí)間差”攻擊往往能帶來災(zāi)難性后果。

不過，這兩件事情本質(zhì)上可以關(guān)聯(lián)起來，而且后者一旦實(shí)現(xiàn)，前者的努力將事半功倍?！霸谌珳y(cè)繪的基礎(chǔ)上，才能進(jìn)行精準(zhǔn)的攻擊和防護(hù)。”趙武說。

突然發(fā)現(xiàn)：我不賺錢？

剛開始，他只想通了上面第一件事，但第二件事所需的技術(shù)也想得差不多了。

即使身居 CEO 高位，技術(shù)狂人趙武依然醉心于一線開發(fā)，有時(shí)，他甚至不能理解，為什么有些事情自己可以在兩個(gè)小時(shí)內(nèi)完成，其他人卻要花上一個(gè)星期也無果。

但對(duì)“老板”這個(gè)角色而言，在初創(chuàng)階段親自上陣搞開發(fā)給整個(gè)公司帶來的影響不一定是“正面”的。趙武突然發(fā)現(xiàn)，自己這么拼，公司居然不賺錢。

“國(guó)家一些監(jiān)管體系對(duì)我們的技術(shù)非常認(rèn)可，我們拉投資，他們都幫我們說好話，但在這個(gè)過程中，我發(fā)現(xiàn)我不賺錢，我當(dāng)時(shí)從大廠出來時(shí)，就感覺自己很牛逼，自帶光環(huán)，個(gè)人平臺(tái)、技術(shù)也很牛，誰都看不起?！彼f。

這種狀態(tài)下，白帽匯挺過了兩年。發(fā)現(xiàn)自己不賺錢的趙武意識(shí)到了：“我的目的不是一定要賺錢，但是總不能讓兄弟們跟著你虧，不然怎么吸引人才進(jìn)來？這是個(gè)很大的問題。”

于是，他開始跟不同的人聊，期待搞定一筆投資，后來，他果真拿到了一筆天使輪投資。不過，這筆投資沒有很多錢，趙武甚至沒有對(duì)外披露過，以至于“華順信安”接受丹華資本的投資時(shí)，很多人以為，這才是第一筆。

趙武剛開始很開心，覺得“伺候一個(gè)金主爸爸”就可以了，接著他發(fā)現(xiàn)，和他同步開始創(chuàng)業(yè)的一些人竟然“融了很多輪，也賺了大錢”，搞不好哪天會(huì)來一句“我把你收了吧”。

“誰都看不起”的趙武不能接受這種局面。

還有一次，公司的財(cái)務(wù)把他刺激到了。

財(cái)務(wù)跟他說，國(guó)家回款比較慢，公司沒啥錢，要開始預(yù)警了。這句話把趙武嚇了一跳，以前他老想著躺著把錢賺了，后來發(fā)現(xiàn)不是這么回事，再“?！毕氯?，公司就沒了。

“為了兄弟們，就算要跪著把錢賺來，我也愿意，只有足夠多的資金和資源，才能實(shí)現(xiàn)你的理想?！?/p>

商人的進(jìn)擊

想通了趙武放下了“技術(shù)范”的身段，開始學(xué)習(xí)如何做一名商人。

他首先想明白了上面兩件事的實(shí)現(xiàn)路徑。

既然有些廠商對(duì)白帽子群體有偏見，那么就讓白帽子挖洞的成果“轉(zhuǎn)接”給國(guó)家級(jí)的權(quán)威漏洞平臺(tái)，其次，拿著自己的測(cè)繪系統(tǒng)“fofa”與政府部門合作，比如，他們與公安部一個(gè)研究所共同推出了一個(gè)安全盒子類產(chǎn)品，應(yīng)用了自己的網(wǎng)絡(luò)空間測(cè)繪技術(shù)。

隨后，通過上到下的輻射方式，為自家的產(chǎn)品和技術(shù)“蓋章”與推廣。

“這個(gè)理想很美好。我們最終想通過企業(yè)自身的學(xué)習(xí)層面幫助國(guó)家提升防護(hù)能力，這是我們的預(yù)期，但是過程中我們遇到了很大的問題，比如，如何讓白帽子持續(xù)提供價(jià)值；第二，我們產(chǎn)品已經(jīng)成型，如何在全國(guó)范圍快速鋪開，我們和公安部門合作，要在全國(guó)各個(gè)省份和地區(qū)建立自己的服務(wù)站、渠道，只有把服務(wù)體驗(yàn)做好了，后面的路才好走，但我們沒有足夠多的數(shù)據(jù)、人、錢來支援。”趙武說。

這種困境可能從 2018 年才開始得到緩解——他們從今年開始，才有第一個(gè)銷售人員。

除此之外，雖然自家的技術(shù)有一定前瞻性，但趙武不覺得這些技術(shù)都是走到頭了的“天下無敵”，為了繼續(xù)在技術(shù)上保持領(lǐng)先，他需要足夠的技術(shù)人員燃燒智慧和心力?，F(xiàn)在，趙武花了大把精力在招人，一周招進(jìn)來4個(gè)技術(shù)和銷售人員，都屬于正常的節(jié)奏。

【趙武和團(tuán)隊(duì)】

但是，這些都需要錢。

以前，趙武非常喜歡做研發(fā)，一天可能要花上七八個(gè)小時(shí)在技術(shù)開發(fā)上，意識(shí)到這一點(diǎn)后，他只敢每天出去跑累了回到公司后搞兩個(gè)小時(shí)開發(fā)“放松大腦”。兄弟們還在一旁催促著：“老板，你別搞了，專心找錢?！?/p>

2017年底，永信至誠(chéng)的老板蔡晶晶給趙武介紹了丹華資本的中國(guó)區(qū)合伙人許維婭。

機(jī)會(huì)來了。

丹華資本的創(chuàng)始人張首晟曾拿下歐洲物理學(xué)獎(jiǎng)，而且發(fā)現(xiàn)了“量子自旋霍爾效應(yīng)”。他告訴雷鋒網(wǎng)，丹華早已關(guān)注了好幾年區(qū)塊鏈技術(shù)，而且投資了很多區(qū)塊鏈公司。

趙介紹了自家的技術(shù)后，雙方一拍即合，融資敲定。隨后，他們?cè)跍贤ㄖ邪l(fā)現(xiàn)，區(qū)塊鏈公司有強(qiáng)烈的安全需求，張建議趙帶著白帽匯鋪開區(qū)塊鏈安全的業(yè)務(wù)。

于是，有了文頭的區(qū)塊鏈安全白皮書發(fā)布會(huì)及白帽匯的區(qū)塊鏈安全解決方案介紹。

區(qū)塊鏈安全涉及三層安全：底層的結(jié)構(gòu)安全、業(yè)務(wù)安全以及上層的智能合約安全以及衍生的其它安全問題。

趙武是這樣考慮的：自家的網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)涉及到很多領(lǐng)域，區(qū)塊鏈?zhǔn)瞧渲幸粋€(gè)，而區(qū)塊鏈的上層安全將是著力點(diǎn)，這一部分就是他們的優(yōu)勢(shì)所在——“國(guó)家安全平臺(tái)上的漏洞 CVE 都是我們的聯(lián)合實(shí)驗(yàn)室一起去發(fā)的，這塊是行業(yè)內(nèi)最頂級(jí)的，我們還發(fā)現(xiàn)了很多衍生的 0day，有 80 多個(gè)跟幣和交易平臺(tái)相關(guān)?！?/p>

除此之外，他們還可以在相關(guān)解決方案中加入針對(duì)業(yè)務(wù)安全的服務(wù)，對(duì)網(wǎng)站安全、數(shù)據(jù)庫(kù)安全、終端安全、代碼安全、移動(dòng)端安全提出評(píng)估、審計(jì)與防護(hù)建議。

不過，趙武看得很清楚，區(qū)塊鏈安全業(yè)務(wù)處于早期，不是自家的主營(yíng)業(yè)務(wù)。他開始站在一個(gè)真正的決策者角度布局——“我想拿區(qū)塊鏈安全的收益去補(bǔ)貼我們鋪開的這個(gè)局面，我也跟投資商商量，實(shí)現(xiàn)規(guī)?；呛苤匾?，要把我們技術(shù)推廣出去，注重好的產(chǎn)品體驗(yàn)，解決了問題，以后賺錢就不是問題?！?/p>

潛臺(tái)詞也是，既然一個(gè)分支的案例可以搞成，那么白帽匯網(wǎng)絡(luò)空間測(cè)繪業(yè)務(wù)涉及的其他分支一個(gè)一個(gè)復(fù)制起來完全不是問題。

黑客趙武化身“趙總”，還學(xué)會(huì)了妥協(xié)與人員布局。

他不再怕和非技術(shù)型主管尬聊，接受了“不是全天下人都要按照他的想法走”，如果突發(fā)事故太多導(dǎo)致自己的規(guī)劃完全失控，那就接受吧——畢竟自己的客戶以中小型企業(yè)居多，這就是常態(tài)。這樣想著，再安排好應(yīng)急團(tuán)隊(duì)，他就沒那么抓狂了。

他也懂得找人來彌補(bǔ)自己的“短板”。他挖來了曾在瑞星銷售部門任一把手、連續(xù)創(chuàng)造了 5 年銷售神話的鄭政，讓對(duì)方擔(dān)任公司的銷售副總裁與合伙人。“我想通了，得讓專業(yè)的人干專業(yè)的事，放手讓他帶這個(gè)團(tuán)隊(duì)?！?/p>

放開了這些事的趙武，變得更從容了。他成了意氣風(fēng)發(fā)的“趙總”，指點(diǎn)江山，帶領(lǐng)白帽子的千軍萬馬，馳騁在自己夢(mèng)想的疆場(chǎng)。

但另一個(gè)夢(mèng)想泄露了他的秘密。

“現(xiàn)在不是我最舒服的狀態(tài)，我是沒辦法，我真的最舒服的時(shí)候，會(huì)找一個(gè)與世隔絕的地方，帶著老婆孩子，搭一個(gè)小木屋，通過我的技術(shù)黑遍全天下，也許我還會(huì)做一些劫富濟(jì)貧的事情，這時(shí)，人不再需要太多外部的認(rèn)可，這才是一個(gè)黑客與世界結(jié)合的最終形式?！?/strong>

你看，也許趙武從未摘掉他的帽子。

【趙武的朋友圈截圖，他發(fā)布了很多張帶小孩去野外的照片，他鏡頭里戴著帽子的小小孩也許也是“他自己”吧】

歡迎關(guān)注雷鋒網(wǎng)旗下微信公眾號(hào)“宅客頻道”，獲取更多網(wǎng)絡(luò)安全信息。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。