最近的熱門話題國內是衆志成城,全面抗疫,國際上則非俄烏戰爭莫屬了。
俄烏戰爭將像海灣戰爭一樣,成爲新的現代戰爭範式。這其中當屬網絡戰最爲受人矚目,雙方在網絡空間互有攻守,烏克蘭在網絡戰上與俄羅斯不分伯仲,甚至處于優勢,從而影響戰爭局勢,主要還是得益于美國及北約的支持,所以網絡領域的戰爭本質上還是俄美對抗、尤其以北約爲主。
對此,賽甯網安的CEO謝峥在日前舉辦的“更安全,向世界”圓桌論壇上表示:“西方爲應對網絡領域的沖突做了多年的實戰演練,如北約合作網絡防禦卓越中心(CCDCOE)的‘鎖盾’演習、美國國土安全部(DHS)的網絡風暴演習等各種大規模軍事化演練,我國雖然近年來越來越重視實戰演練,但相較于西方國家的技術及經驗積累,還需要努力追趕。我們要清楚地認識到,合規時代已是過去,2017年後網絡安全的本質就是對抗!”
“賽甯網安是最早將CTF攻防比賽模式引入國內的公司,公司創立的目的就是爲了迎接對抗時代的到來,在不斷的實戰中去提升人的能力、防禦能力和系統的安全性,能夠讓我們在未來充滿複雜和不確定的國際競爭中占據主動。”
這段訪談漸漸讓筆者看到了這個時代網絡安全從業者身上的激情和時代賦予的責任感。
與安全結緣
2000年初,隨著“七國八制”格局被打破,通信行業進入蓬勃發展期,國內一批優秀企業如華爲、中興紛紛進入發展快車道,謝峥西安交大計算機碩士畢業後便就職于中興通訊,一路從研發工程師走向海外市場一線。五年的時間,謝峥的足迹遍布東南亞、非洲、歐洲、中東等40多個國家。在海外市場長期的摸爬滾打,使他認識到,中國企業若想站上國際舞台,擁有國際話語權,必須要掌握核心技術,同時具備“走出去”,與西方強勁對手一決高下的勇氣。技術出身的謝峥對極客文化有著很大的興趣,他認爲黑客技術的神秘感是自己對信息行業著迷的主要原因。“無論是從國家戰略層面,還是行業發展來看,網絡安全已經走進了公衆的視野。2013年,安全行業並不廣爲人知。誰也無法預測一個行業的發展和前景,只是因爲對技術癡迷,我就做出了創辦公司的決定。”
2013年,機緣巧合之下,謝峥結識了段海新、諸葛建偉兩位清華大學的教授,從此踏上安全行業之路。同年,由兩位教授發起並帶領的藍蓮花戰隊首次走出國門,在被譽爲“黑客世界杯”的DEF CON CTF比賽中嶄露頭角。2016年,藍蓮花戰隊榮獲DEF CON CTF比賽世界第二,亞洲第一的好成績,轟動國內黑客圈。讓人們激動不已的是,曾經默默無聞的中國戰隊,終于在頂尖高手雲集的國際大舞台上贏得了世界級的榮譽!
不同于路人的視角,作爲參與者,謝峥發現這樣相互切磋、PK的形式可以激發人們對安全行業的興趣,同時也有益于安全人才的培養。
“國內高校的傳統授課模式偏重理論輸出,而安全行業對實踐性要求很高。即使行業內也有相關的競賽,也大多是搶答、填空這種偏向于知識問答的形式。我和行內專家探討後認爲,像美國奪旗賽這樣的模式會更有利于國內安全行業的發展。這就是賽甯網安的創業之路,從舉辦各式各樣的CTF比賽開始。”
2014年,“賽甯三駕馬車”創建了中國國內第一個CTF品牌賽事“XCTF”。該賽事目前已舉辦過七屆,是僅次于美國DEF CON CTF、全球第二大的賽事。
賽甯的由來
訪談至此,筆者對上文中多有提及的諸葛建偉有了好奇。謝峥的一席話,爲筆者解了惑。
“作爲諸葛家族的正統後嗣,諸葛老師可說的上是繼往開來,聰明、博學是必然的。而我個人則覺得,他是特別偏技術性的人物,可能對部分人而言他不善溝通,但如果我們選擇一個技術性的話題讓他進行解讀,那他一定可以做到讓人昭聾發聩。”
諸葛建偉,清華大學副研究員、藍蓮花戰隊發起者、賽甯網安創始人之一,業內赫赫有名的導師和傳承者。
“一次我與段海新教授、謝峥在實驗室裏攀談,三個人對國內網安行業發展方向都有相同的思考,于是就決定在中國也打造一個類似于DEF CON CTF這樣的比賽。”諸葛建偉回憶道。
所有卓越的事業在成功之前,必然會有一個偉大的目標,就好比賽甯網安的開端,它的創建立意並不在于商業貿易,而是由一群對安全、對計算機無比熱衷的學者立志要爲祖國帶來發展和革新後應運而生的。因此,諸葛建偉在面對“創業賽道上什麽最讓您看重”的問題時,才會說道:社會責任感!
諸葛建偉指出,當初大家聚在一起就只有一個目標,創建一個具有國際影響力的比賽,這份含義也能夠通過“賽甯”二字傳遞給外界。賽事是賽甯的立身之本,所以公司的名字裏取了一個“賽”字,甯指的是南京,因爲公司是從南京起步的。我們能看到,賽甯網安舉辦的每一屆XCTF的比賽都是爲了更多地提高國際影響力,從南京到北京,從北京到新加坡、到阿姆斯特丹、到迪拜等等,就這麽一步一步地走出國門,走向世界,同時又在全國各地巡回舉辦,爲的是能讓更多的安全人才參與進來。因此,“賽甯”這個名字的第二層含義又被引申出來。
賽代表著賽博空間,英文爲Cyberspace,即網絡空間,而甯代表著和平,英文爲Peace。用諸葛建偉的話來說:“通過我們對攻防技術的研究、對人才的培養,其最後的目的就是希望可以通過安全人才、攻防技術來抵禦外部威脅,守護網絡世界安甯。”這也恰恰和我們國家領導人所提的“構建網絡空間命運共同體”不謀而合。
謝峥與諸葛建偉對推動國家安全行業發展飽含熱情,這份擔當映射出賽甯創始團隊每一位參與者的純粹初心。
賽甯網安之一雲六系
2014、2015、2016這三年,賽甯網安的業務主要以運營賽事爲主,直到2016年下半年完成第一輪融資之後,公司才加入了産品化的主營業務。謝峥表示,賽甯網安的核心技術源自于藍蓮花,而公司的産品開發人員主要來自于中興、華爲等企業,因此,無論是從技術還是産品的角度來看,賽甯網安都無可挑剔。
基于這樣的綜合實力,賽甯網安深耕軍工、服務于部隊,這是對于其他企業而言難以把控的領域。部隊要求非常嚴苛,好在過硬的實力讓賽甯網安順利過關,2017年的賽事服務供應使得賽甯網安和部隊結下了不解之緣。
在政府和民用市場,賽甯的産品和服務也有著廣泛的應用,覆蓋金融、電力、能源、運營商、公安、教育等多個領域。
說到産品,謝峥分享了對于賽甯數字化靶場的戰略性思考,國際上對數字化靶場的主要應用分爲訓練、競賽、演練、測評、認證這五個方向,賽甯近兩年在研發上做了非常大的投入,構建了數字化靶場通用私有雲底層,賽甯靶場體系的所有應用都基于這個統一底層及中台系統,極大地提高了産品的開發效率和標准化交付。
數字化靶場技術發展可以分爲這三個階段:超逼真仿真階段、看得清數據階段、AI預測階段。AI預測非常有價值,就好比《複聯3》電影裏的設定,一千萬個平行宇宙中,只有一個最優解。到了AI階段,靶場會不斷地做各種嘗試,時刻告訴你當前的最優解是什麽。簡單說就是:靶場–讓用戶的決策更正確。
賽甯網安將其命名爲“一雲六系”,即圍繞賽甯雲有六個體系可供使用,分別爲學、賽、演、評、攻、防,從大的方向可以分爲演練類、主動防禦類、攻擊類三大系列産品,安全服務也是非常重要的,除“一雲六系”産品體系外,賽甯網安還有人才訓練服務、比武競賽服務、攻防演練服務、X生態服務結合能爲客戶提供全方位的安全保障。
知曉了這些産品的具體作用後,筆者不禁對謝峥問道:“哪個産品最讓您滿意?”
謝峥回道:“應該是數字化靶場。原因很簡單,因爲無論國內市場的競爭有多激烈,我們産品的質量從技術、仿真程度、資源、場景數量,包括課程體系上來看,都是業界最好的。之所以稱它爲數字化靶場,是因爲網絡和工控我們都有所涉足,而無論是哪一板塊,我們技術方面都具備最領先的,能爲客戶提供全流程的解決方案。”
同時謝峥還補充道,賽甯網安的網絡靶場系列也是唯一一家能夠走出國門的産品,是唯一一家能夠媲美國際各大廠家、在PK中能夠獲勝的産品。在南亞、中東、非洲甚至南美都有賽甯網安的業務,而他們的對手往往會是來自于俄羅斯、土耳其、法國,甚至是以色列和美國的公司,因此用謝峥的話來說:“賽甯網安的産品能力是接受過國際化的檢驗的。”
戰略布局
2021年年底賽甯網安進行了C輪和C+融資,謝峥表示,以此爲分割線,公司的戰略布局將有所改變。“在這之前,公司是以聚焦爆款單品爲主,比如繼續細分數字化靶場等。但現在的話,我們的願景是‘重新去定義一個時代’。”
謝峥解釋道,我們的網絡安全其實分爲兩個時代,在2016年之前被稱爲合規時代,即從大的方面只要滿足于監管所下達的要求,企業就能安然度日。而在2016年後,網絡安全被上升爲了國家戰略,同時諸多攻擊現象表明過去的合規手段已不足以應對各種威脅,安全團隊需要加強演練,需要提升個人的安全能力,需要在實戰中去發現問題,因此2016年、2017年後我們稱其爲“對抗時代”。
“藍蓮花戰隊是一路打過來的!其意義在于需要以‘攻’的視角去促進整個安全水平的提升,又以‘攻’的視角來促進防禦能力的提升,有了這樣的理念,我們才能引領這全新的對抗時代!”
當前我們的很多演練還處在“入侵就得分”的階段,還沒有做到足夠的還原,或說足夠的逼真、現實和殘酷。真正戰爭到來之時,一定都是無底線無差別的攻擊,而只有在高壓的方式下,一輪輪地去演練,才能使得安全人員的防禦水平、防禦意識不斷提高,這才是提高安全人員能力最好的途徑。
“所以我認爲,最好的應對方式就是組織實網演練。我們是有時間去改進的,但要抓緊每一次機會,在反複的實戰演練中去發現新漏洞、新攻擊方式、新問題,然後針對性地去提升我們的應對能力,升級系統,引入新技術新産品去提升防禦能力。”謝峥說道。
對此,諸葛建偉從XCTF比賽的角度又補充了些許概念:“我們的戰隊雖然在國際上越來越有聲望,成績也越來越好,前1000、前100裏我們都占據了相當的數量,僅次于美國,但我們就比賽方面的影響力還是有很長的路要走。比起DEF CON CTF,無論是在技術水平還是參與度,我們都有不小的差距,因此,接下去我們肯定會更多地往‘提升人員安全能力’這個方向入手,包括影響力、內容、範疇等。總之,一定會想辦法趕超美國,這是毋庸置疑的。”
諸葛建偉重點指出,我國安全人才雖然在成績上有所突破,在國際上也是聞名于世,但只是“以量取勝”並不是最理想的結果。“DEF CON CTF的比賽沒有人數限制,所以我們往往會用到人海戰術,但這對個人能力的突破並不能起到很好的作用,像美國、韓國都會有那種‘一夫當關,萬夫莫開’的人物存在,而我們在‘個人能力’或說‘單兵技能’上就會比較欠缺。”
爲此諸葛建偉提到,接下去賽甯舉辦的各種比賽裏會更多地設計“個人評分項”,旨在對每位選手在高對抗性場景裏的個人能力進行評估。目前XCTF組委會已經推出個人能力認證“獨星閃耀計劃”。可以在較短的時間內,考察選手能否在嚴格監管的情況下去有效地解決網絡安全問題。“我們希望,無論是高校去選擇一些實踐能力較強的學生,還是業內公司去招聘安全人才,這個認證都能讓他們作爲一個衡量參考。”
對行業的建議
謝峥對賽甯網安有足夠的信心、對國家建設有絕對的信念,同時他對安全行業也有真摯的期盼。面對當下的行業環境,他覺得雖然從輿論、制度、資本而言,都是在加強行業的規劃,但就從業人員的感受而言並不理想。
“一方面政策從執行到落實到每個企業、每個崗位,都需要時間,需要過程;另一方面,每個行業發展都會有一個規律,它是循序漸進的,因此在規模和環境上急于求成未必就是件好事。在國內市場,同質化競爭非常嚴重,最終形成的競爭並不會體現在技術上。”
謝峥認爲,諸多低價的惡性競爭會給行業帶來極大的破壞,沒有利潤甚至虧著本都做,這種互聯網跑馬圈地的做法對政企市場危害很大,最終結果是坑死甲方、餓死同行、累死自己,讓行業處于低水平化競爭,對我國整體網絡安全能力建設價值不大,要知道,網絡安全是國家戰略,我們的對手是國外頂級的黑客,甚至是國外正規化的網絡部隊。
謝峥呼籲國內廠家走出國門,去國際舞台上真正展示屬于我們中國的技術,而不是僅僅將國外的概念翻譯過來。爲了打磨出更好的産品、提高技術實力,我們需要有足夠的信心去將自己的産品展向更高、更大的舞台,這樣我們才能打造出符合我國特色的安全系統。
最後
專業領域以外,談到往事時,兩位賽甯網安的創始人都對彼此流露出了英雄惜英雄的感覺。謝峥敬重諸葛建偉的學識和育才能力,對諸葛建偉在技術上的造詣也是譽不絕口,他堅信自己所選擇的搭檔是無可挑剔的。
而形象常爲“沉默寡言”的諸葛建偉則表示:“謝峥是具有社會責任感的。我們藍蓮花成員都是從清華這樣的象牙塔裏出來的,可以說我們對商業一竅不通,但謝峥作爲一個多次創業的經營者,能和我們這些不谙商業的藍蓮花成員去合作,在初期毫無利益的情況下,始終在投入、在支持、在鼓勵,不得不說,他有這份擔當和操守,是不可多得的企業領軍人。”
那年,在賽甯網安的流動資金無法順利周轉,不足以發放當月工資之時,謝峥去銀行進行了個人房産的抵押,公司員工無人知曉,都沉浸在了對B輪投資的期待中;那年,公司團建,謝峥拿著全體員工的身份證一一去報備時,他說道:“賽甯網安多年輕啊,每個人都要比我小八到九歲。所以啊,我作爲他們的大哥,怎麽也得帶著大家攀得更高、走得更遠。”
謝峥或許覺得這些作爲和責任是理所當然的,但在諸葛建偉的眼裏,這卻是實實在在的感動和敬佩。
曾記否,公司團建,萬衆一心,登頂泰山,朝陽傾灑之下,處處都被點綴上了絢麗。那時諸葛建偉或許在感慨,賽甯應如這旭日東升,總有一天也會光芒四射。而在謝峥的心裏,此情此景之下又會有怎樣的起伏呢?