2011 年底，黑產(chǎn)年收入已經(jīng)到了 900 萬時，抗擊黑產(chǎn)的老畢在金山干了一年，月薪從 4500 元漲到了8000元。

老畢傻了眼。

2010 年 8 月之前，老畢（畢裕）還是沈陽小村里的“小畢”，那時月薪不到 3000 的他，夢想是在沈陽獲得一份月薪 5000 的工作。直到 8 月，在著名安全社區(qū)看雪論壇上闖出了一些名聲的小畢接到了自稱金山公司“老銘”的電話，對方邀請他到珠海工作。

那時，金山尚未遭遇勁敵 360 免費(fèi)殺毒策略的無情掃蕩，在小畢心中，是現(xiàn)在 facebook 一樣的存在。

“呵呵，都說南方電信詐騙騙死人不償命，這個騙子還挺有意思的?！毙‘叢铧c(diǎn)掛了電話。

但是，將信將疑的他還是通過了金山的兩輪電話面試，背著包，弄了一個行李箱，坐了 40 多個小時的綠皮火車從沈陽到了廣州，再坐大巴到了珠海。

【畢裕，人稱“老畢”，安全公司威脅獵人創(chuàng)始人】

本文作者：李勤，雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄主筆 | 微信號：qinqin0511

初識黑灰產(chǎn)

初到金山時，小畢干的屬于“苦累活”，分析病毒行為、注冊表之類。慢慢的，他接觸到了對黑灰產(chǎn)的數(shù)據(jù)分析。

2010 年之前，黑灰產(chǎn)還沒有“猛如虎”。黑灰產(chǎn)交易網(wǎng)站通過搜索引擎優(yōu)化尋找潛在受害者，比如，針對某一個關(guān)鍵詞的排名，調(diào)取目標(biāo)人群。

相應(yīng)的，攻防對抗的節(jié)奏沒那么快，一個黑灰產(chǎn)域名的有效時長都不到一天，這種交易網(wǎng)站延續(xù)了以前傳統(tǒng)殺毒軟件的機(jī)制，只尋找首例受害人，一個交易網(wǎng)站整個全網(wǎng)覆蓋的用戶不到 2 個人，但到達(dá)率是100%，也就是說，一定有人受害。

因此，防護(hù)工作比較簡單，小畢和同事要做的是，把這種網(wǎng)站識別出來，列到黑名單，再實(shí)施攔截，搞定?！绊憫?yīng)大概在10秒內(nèi)，潛在受害者可能還沒填完身份證號、銀行卡號，我們就能返回結(jié)果，直接攔截。”小畢說。

這種愜意的日子沒有維持多久。

很快，小畢發(fā)現(xiàn)自己多了項(xiàng)工作。他們的注意力從圍繞網(wǎng)址本身做快速鑒定與響應(yīng)轉(zhuǎn)移到了背后的關(guān)聯(lián)情報，比如黑灰產(chǎn)域名背后注冊的郵箱、IP、DNS 的解析服務(wù)過程。

對黑灰產(chǎn)而言，域名便宜，被打掉一個，大不了再換一個，但其掛靠的服務(wù)器屬于重資產(chǎn)，不會輕易變動。如果要一針見血地解決問題，除了對淺層服務(wù)器表征進(jìn)行分析，最好的方法莫過于研究服務(wù)器本身的特征。就像一個擅長易容裝扮的罪犯，有時裝成耄耋老人，有時是待產(chǎn)孕婦，但小畢們的任務(wù)就是，發(fā)現(xiàn)他是他。

這一年里，小畢尚未有機(jī)會像同事一樣協(xié)助警方在一線將黑灰產(chǎn)從業(yè)者繩之以法，就遭遇了安全行業(yè)的動蕩。

2011年年初，360 宣布旗下所有基礎(chǔ)信息安全產(chǎn)品均實(shí)行免費(fèi)策略，此舉導(dǎo)致中國信息安全行業(yè)“靠收費(fèi)賺錢”的方法瞬間失去效應(yīng)。

整個免費(fèi)戰(zhàn)爭打完之后，老金山的整個營收和商業(yè)模式全被打穿，傅盛進(jìn)來后，金山也宣布免費(fèi)了，在沒有營收的環(huán)境下，金山形勢非常不好，大量員工出走。此時，360 和騰訊的“3Q”大戰(zhàn)正如火如荼。彼時的 QQ 醫(yī)生直接變成了 QQ 電腦管家，并成立了一個部門。小畢稱，騰訊一下子在安全人員上產(chǎn)生了巨大的缺口。

電腦管家的人給小畢打了兩個電話，心里正慌張的他接下了這個 offer，跳槽到了騰訊。

掙脫賽博世界的 0 與 1 

小畢花了四年時間成了“老畢”。

小畢在騰訊做的依舊是業(yè)務(wù)安全與數(shù)據(jù)分析，金山打開的洞悉黑灰產(chǎn)的大門沒有關(guān)閉，相反，由于騰訊業(yè)務(wù)眾多，場景豐富，小畢有了更多的積累空間，最重要的是，他花了兩年多的時間，協(xié)助一線警方抓捕黑灰產(chǎn)犯罪嫌疑人，像剝洋蔥一般，慢慢探尋到關(guān)于這個產(chǎn)業(yè)更多的真相。

警方的現(xiàn)場抓捕震撼了這個之前只在賽博世界的 0 與 1 之間與對手過招的他。

“砰”的一聲，海口一棟別墅門被警察踹開后，是一個 19 歲的小孩開的黑產(chǎn)工作室，里面有一個周末跑過來兼職的員工，一查竟然還是某大公司的技術(shù)骨干，別墅里藏了好幾把打獵的霰彈槍。小孩慌了：“別殺我，我給你錢”。再后來一看，這個黑產(chǎn)工作室竟還有 10 幾個不到 20 歲的年輕人，一個黑產(chǎn)團(tuán)伙的年收入到了幾千萬。

黑灰產(chǎn)的成長速度讓小畢驚訝，“那時候，在技術(shù)水平上，黑灰產(chǎn)毫無疑問地超過了我們?！?strong>黑產(chǎn)從以前的小作坊、干點(diǎn)臟活，發(fā)展成了可逆向一些非常有深度的協(xié)議，比如自動模擬受害者的 QQ，在 QQ 群發(fā)送文件，自動傳播，期間不需要受害者進(jìn)行任何操作。

黑產(chǎn)還有厲害的變現(xiàn)路徑，把有 Q 幣的號盜走，登陸，把Q幣充值給另外一個人，完成變現(xiàn)交易。當(dāng)時，騰訊的風(fēng)控策略是，如果受害者的登陸常用地在北京，突然有一天變成了在深圳登陸，而且登陸完之后馬上充值，他們將這種行為判定為異常。

沒有什么風(fēng)控策略可以讓防守方一直處于上風(fēng)，安全守衛(wèi)者和黑產(chǎn)從業(yè)者往往處于螺旋式上升的你爭我奪的狀態(tài)。

不久后，黑產(chǎn)不再需要盜號，而是在受害者本地種上木馬，登陸 QQ，黑產(chǎn)直接模擬受害者一方的協(xié)議，在本地直接發(fā)起充值行為，對受害者而言，還沒明白怎么回事，莫名其妙錢就沒了。

“從協(xié)議上看操作，就是受害者本人操作。所以這種方式對風(fēng)控來講，挑戰(zhàn)是極大的?！毙‘呎f。

防守者發(fā)現(xiàn)了新的攻擊方式，只能馬上跟上。

這時，數(shù)據(jù)能力發(fā)揮出強(qiáng)大的效應(yīng)。小畢說：“我們在 QQ上做了一個叫 Q 盾的東西，可以抓取端上的一些特征和行為，監(jiān)控第三方進(jìn)入。然后，我們就能知道端上面大概發(fā)生了什么。我們還得分析這種木馬的技術(shù)路徑、特征，這樣在端上的進(jìn)程中，才能做識別。到后面，無外乎就是把運(yùn)營體系打通。因?yàn)檎麄€騰訊在端上有全量用戶，只要超過一兩千個用戶中毒，絕對有用戶會落到監(jiān)控里?！?/p>

他也漸漸發(fā)現(xiàn)，在端上做了非常強(qiáng)的監(jiān)控，一旦出現(xiàn)一個新的木馬，及時發(fā)現(xiàn)后，防守者提取特征，及時防護(hù)，整個攻防效率非常高。小畢向老板匯報成果時，老板不再注重“你防護(hù)了多少用戶”，而是沒防住多少。守方的關(guān)注點(diǎn)從攻防數(shù)量轉(zhuǎn)移到了攻防效率上。

與此同時，安全人員也在經(jīng)歷成長。一個明顯的變化是，風(fēng)控的“黑盒子”在逐漸打開。

打開黑盒子前，一般公司的風(fēng)控人員可能是這樣對話的：

A：今天我做了數(shù)據(jù)分析，發(fā)現(xiàn)有幾十萬個賬號在登陸后的立馬進(jìn)行了資產(chǎn)查詢，奇怪的是，它們還調(diào)用了另外一個接口，我覺得這個東西不太正常?。?/p>

B：一定是惡意的嗎？我也不確定。不過，我覺得有點(diǎn)意思。

A：我也覺得是，咱們就封號吧，封三天行不行？

B：行，差不多封吧，就封三天，就這樣。

可能性1客服團(tuán)隊反饋 ：沒有誤報，挺好的

可能性2客服團(tuán)隊反饋：有誤報，趕緊改。

為什么會有這種現(xiàn)象？業(yè)務(wù)安全的客觀現(xiàn)實(shí)是，大部分早期公司的業(yè)務(wù)安全團(tuán)隊都是研發(fā)出身。以前只有一個業(yè)務(wù)體系，突然之間，出現(xiàn)了一種風(fēng)險，研發(fā)人員自然會被叫過來寫一個規(guī)則。然后，研發(fā)人員慢慢變成了一個規(guī)則運(yùn)營工程師，在數(shù)據(jù)能力、分析能力、算法能力、畫像能力等方面就強(qiáng)了，技術(shù)底層的基礎(chǔ)素質(zhì)非常高。

但是，已是中年的老畢回過頭來看當(dāng)初，發(fā)現(xiàn)這樣對黑產(chǎn)其實(shí)是不了解的。“木馬是什么？有哪些木馬？通過什么渠道傳播？怎么到的這？到了之后又干了什么？有什么影響？我們需要從一個完整的攻防角度考慮，逆向分析這種風(fēng)險。”歷經(jīng)滄桑的老畢說。

按下了暫停鍵  原來沒有白費(fèi)

2013年，老畢突然不想做安全了。

他感受到了 PC 端安全正走向落寞。“我們早些年做安全時，大家會追求一些極致的技術(shù)，比如檢錯率。但到了2012、2013年，已經(jīng)沒有人關(guān)注什么檢錯率。你說你 95%，我 96%，那個東西落地到業(yè)務(wù)上，實(shí)際產(chǎn)生的價值幾乎是可以忽略。大家開始在C端玩品牌、商業(yè)、渠道，這些跟安全技術(shù)人員不太相關(guān)，技術(shù)承載的價值已沒有那么大，我當(dāng)時處于了一個非?？只?，被動的狀態(tài)?！?/p>

在這種焦慮的狀態(tài)下，老畢的第一個念頭是轉(zhuǎn)型。恰逢當(dāng)時騰訊內(nèi)部有孵化器機(jī)制，老畢提出了一個現(xiàn)在看起來匪夷所思的拼車項(xiàng)目。

當(dāng)時老畢的領(lǐng)導(dǎo)方斌眉頭皺了皺，沒說不能做，但也不支持。于是，給已是組長的老畢一個態(tài)度：你可以折騰，鑒于和電腦管家的大方向不符合，所以你的待遇也只能維持現(xiàn)狀。

現(xiàn)在回想起來，老畢覺得，方斌其實(shí)給了自己足夠的寬容和機(jī)會試錯，沒有直接說出來：你這是在瞎搞。

老畢在這個項(xiàng)目上做了9個月，摔得特別重。

當(dāng)時騰訊內(nèi)部的孵化器每周有一個評審會，項(xiàng)目負(fù)責(zé)人要做個 PPT，跟產(chǎn)品的大佬、公司的領(lǐng)導(dǎo)去講想法、計劃、需要什么資源。老畢回憶，自己當(dāng)初寫的那個 PPT，其實(shí)根本什么都沒講，就講了說，拼車出行是人類的未來。“特別虛，講的什么亂七八糟的環(huán)保、節(jié)碳。就是賊虛，講了半天，領(lǐng)導(dǎo)說，老畢，你想想，你自己要是有100萬，會花錢干這個事嗎？我義憤填膺，說我絕對干，為什么不干？一定要干。”

結(jié)局可想而知。

這個創(chuàng)業(yè)項(xiàng)目的失敗讓老畢反過頭來反思自己在商業(yè)上的無知：拼車本質(zhì)上是一個線下的東西，線上承載的東西在當(dāng)時處于早期。吃了挫折的他發(fā)誓，第一，自己以后絕對不會百分百認(rèn)定當(dāng)下的想法是正確的。以后去做其他的創(chuàng)業(yè)項(xiàng)目或新項(xiàng)目，一定會非常謹(jǐn)慎地用最好的預(yù)期思考路徑，但用最壞的打算來執(zhí)行。第二，一定要非常尊重前輩的想法。特別對于to B的創(chuàng)業(yè)者，絕對有一個什么東西成功概率大的邏輯在里面。

創(chuàng)業(yè)是有癮的，擅長總結(jié)經(jīng)驗(yàn)教訓(xùn)的人一定不會輕易善罷甘休。

2014 年下半年，老畢在孵化器里做了第二個創(chuàng)業(yè)項(xiàng)目：物聯(lián)網(wǎng)安全?！捌窜嚒表?xiàng)目失敗后，他做了兩個調(diào)整，一是發(fā)現(xiàn)自己其實(shí)是把拼車行業(yè)的專家能想到的坑重新踩了一遍，他決心回到自己擅長的領(lǐng)域上。二是謹(jǐn)慎試錯。老畢不再去做什么產(chǎn)品，而是先探索行業(yè)內(nèi)物聯(lián)網(wǎng)設(shè)備存在哪些安全問題，拿著這些問題和方案去碰用戶的需求。

領(lǐng)導(dǎo)的態(tài)度依舊是不支持和不阻攔。但事實(shí)上，操作這種項(xiàng)目至少要買一些設(shè)備，需要支持。老畢心里有數(shù)：自己做的項(xiàng)目與當(dāng)時部門、整個騰訊的業(yè)務(wù)發(fā)展方向不符。老板雖然沒有明說，老畢已經(jīng)懂了，大家全不聽領(lǐng)導(dǎo)指揮，自己在外面搞。要再多兩三個像自己這樣的人，這個團(tuán)隊還干不干了？

但第二次創(chuàng)業(yè)的老畢不甘心，覺得這事還沒搞起來不一定成不了，總要有試試的機(jī)會。于是，他選擇在 2015 年 3 月回到了金山的懷抱——獵豹。早期的獵豹重心放在了物聯(lián)網(wǎng)，給老畢批了預(yù)算和設(shè)備，兩方一拍即合。

這次，依舊是一個失敗的結(jié)局。

“我很快發(fā)現(xiàn)，這個其實(shí)在商業(yè)上面很難落地。這個行業(yè)有很多問題，有些在某個階段沒有商業(yè)價值。我接觸到這個行業(yè)，發(fā)現(xiàn)這個行業(yè)是很苦逼的狀態(tài)。很多公司拿了上百萬人民幣，這個產(chǎn)品能最終做出來，再賣那么一兩批，已經(jīng)不錯了。你跟他說加一個什么安全，他覺得你瘋了?！边@次創(chuàng)業(yè)又給老畢上了一課：時機(jī)和商業(yè)價值很重要。

黑產(chǎn)獵人  從撤退到出發(fā)

老畢不得已撤退了。

此時，獵豹在美國發(fā)布了一個安全軟件，在體量上做得不錯了，但是在安全口碑和能力提上做得還不夠。老板希望，老畢能想帶領(lǐng)一支團(tuán)隊到臺北把整個品牌、安全能力提升上來，沖擊美國等海外市場。

老畢發(fā)現(xiàn)回到了自己的老本行：黑產(chǎn)獵人。

美國購物網(wǎng)站 12 月份也有大促，這讓騙子有了可乘之機(jī)。當(dāng)時，出現(xiàn)了很多詐騙網(wǎng)站，謊稱某名牌鞋鞋子 2 折，LV包 1.5 折。

再往下，老畢發(fā)現(xiàn)了更大的錯綜復(fù)雜的環(huán)節(jié)，而且很多國外的黑灰產(chǎn)居然是中國人做的。這些人以前給大品牌做代工，失去代工后，開始賣 A 貨，然后他們又發(fā)現(xiàn)原來海外的 VISA 沒有密碼，從而產(chǎn)生了直接套現(xiàn)的思路。比如，這個產(chǎn)業(yè)在福建就相當(dāng)完善，從制作釣魚網(wǎng)站、傳播、獲取信用卡、信用卡套現(xiàn)，整個的產(chǎn)業(yè)鏈居然是代工行業(yè)的延展。在這段時間里，老畢對海外黑灰產(chǎn)進(jìn)行了詳盡的分析。

2016 年 5 月，老畢到 musical.ly（雷鋒網(wǎng)編者注：2017 年，今日頭條花了 10 億美元收購了這家短視頻公司）交流，后來又給嗶哩嗶哩的票務(wù)系統(tǒng)做安全咨詢后，忽然發(fā)現(xiàn)創(chuàng)業(yè)的窗口可能真的來了。

這些在移動互聯(lián)網(wǎng)時期崛起的企業(yè)在瘋狂生長，卻沒有同步打造互聯(lián)網(wǎng)公司早已積累的抗擊黑灰產(chǎn)的安全能力，一旦黑灰產(chǎn)如白蟻一般來襲，很可能遭遇滅頂之災(zāi)。

2016 年底，老畢帶了 4 個人回到深圳，開始第三次創(chuàng)業(yè)，決定專心做黑產(chǎn)獵人。

黑灰產(chǎn)依舊在迅猛進(jìn)化，老畢發(fā)現(xiàn)，自己面對的對手越來越多，因?yàn)檎麄€黑灰產(chǎn)已經(jīng)朝著低成本化發(fā)展。

比如，黑產(chǎn)會弄一批手機(jī)號。以前這些黑卡是這樣流動的：搞完一家后，把手機(jī)號賣給你。如果賣家在北京，買家在深圳，賣家要把設(shè)備、卡都郵到深圳。為了增強(qiáng)資源的流動性，提升流通效率，黑產(chǎn)做了一個平臺，給買家和賣家分配 SDK，直接對接到平臺，一插卡，這個卡號可以上報到平臺。買家可以在頁面上直接獲取號碼，打電話、接收短信。

黑產(chǎn)獲取 IP 的成本也在大幅降低，以前一個IP 要花 5 塊錢，現(xiàn)在可能 4 塊錢可以買 30 萬個 IP。通過運(yùn)營商，買 1000 個帳號，弄到虛擬機(jī)上。再給黑灰產(chǎn)提供虛擬化啟用，黑灰產(chǎn)花 4 塊錢買一天的服務(wù)，就可以無限撥號。

在對手作惡的成本越來越低，這意味著攻擊隨時可能發(fā)生時，老畢覺得，數(shù)據(jù)能力可能才是黑產(chǎn)獵人的抗擊利器。

所謂數(shù)據(jù)能力，第一，感知對手到底是誰，用什么方法，在什么時間，攻擊了什么業(yè)務(wù)，主動把控攻防節(jié)奏。第二，建立很強(qiáng)的風(fēng)險數(shù)據(jù)標(biāo)簽。比如說手機(jī)號、IP、帳號等，從監(jiān)控黑灰產(chǎn)團(tuán)隊、動向的方式構(gòu)造黑產(chǎn)畫像，提供給對方除自己數(shù)據(jù)外的數(shù)據(jù)標(biāo)簽?zāi)芰Α?/strong>

2017 年 1 月，老畢以此為出發(fā)點(diǎn)創(chuàng)建威脅獵人公司后，在 2017 年底達(dá)到了賬面盈利、實(shí)收略虧。目前，老畢正在為敲定 Pre-A 輪融資而奔走。

2018年 3 月 2 日，他坐在雷鋒網(wǎng)宅客頻道（微信ID：letshome）編輯對面，回憶起了一個故事。

初中時期的老畢已經(jīng)可以自己開發(fā)網(wǎng)頁，每個月差不多能掙 1000 塊錢，他洋洋得意，這和父親每個月掙的工資一樣多。于是，老畢覺得這樣就夠了，高中的各門功課亮起紅燈。

后來，他偶然看到一本名為《清華制造》的書，了解了五位學(xué)生如何組成團(tuán)隊進(jìn)行自主創(chuàng)業(yè)，最后成功創(chuàng)辦一家軟件公司的故事。這本書打碎了圍在他頭頂?shù)呐菽?，老畢突然意識到自己意識的狹隘，猶如井底之蛙，于是在高三奮起努力，考上了大學(xué)，走上了不一樣的路。

2016 年 12 月的某一天，老畢遞交了離職申請，這個曾只想要 5000 塊工資的人放棄了獵豹的 100 萬年薪，拾起年少的夢，再次出發(fā)。

本文為雷鋒網(wǎng)原創(chuàng)文章，未經(jīng)許可，禁止轉(zhuǎn)載。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。