四葉草安全度過了自己的十周歲生日。在周年慶上，創(chuàng)始人馬坤說，十年是四葉草安全的風雨漫漫創(chuàng)業(yè)路，是無數(shù)小草凝聚心血、揮灑汗水的十年陳釀。

　　十年有多久？是三千六百五十天、八萬七千六百七十二小時、五百二十六萬零三百二十分鐘。對于尚且年輕的網(wǎng)絡安全行業(yè)來說，這番歷程已不算短暫。

　　相比位于北上廣深的企業(yè)來說，從西安生根發(fā)芽的四葉草安全或許天然缺少豐富的資源和高調的舞臺，但這并未阻攔他們的江湖地位。馬坤作為白帽安全圈的老炮，書寫過濃墨重彩的攻防對抗，引起過圈子大范圍的轟動，創(chuàng)辦四葉草安全后，他帶領公司成為立足西安網(wǎng)絡安全的一張名片，并進一步發(fā)展為行業(yè)中輻射西北、面向全國的一塊磐石。

　　一枚小草看似飄搖，四百多小草實則強韌，站在十歲的臺階上，回頭與向前，都是故事。馬坤卻說，十年，這才剛開始！我們找到這位桀驁的黑客，和他聊聊起伏的過往，和不可知的未來。

　　正義與破壞 只在一念之間

　　學生時代的馬坤原本是一個妥妥的學霸，高考失利是他人生中的第一次打擊。在與之向往的名校失之交臂后，巨大的落差讓他一度消沉，在一所普通一本理工院校變成了游離課堂之外的“怪”學生。天天泡在網(wǎng)吧，卻意外接觸到了“黑客”圈子。神秘、好奇，他開始對黑客的一切產生濃厚的興趣。

　　那是二十一世紀初，哪有什么現(xiàn)成的網(wǎng)安人才培養(yǎng)體系，憑著一腔熱情，馬坤的學霸基因重啟，開啟瘋狂輸入模式，往返于圖書館與網(wǎng)吧之間，查閱書籍、觀看教程，自學摸索各類遠程控制、木馬、鍵盤記錄等技術。

　　紙上談兵算不得熱愛，實踐出真知是成為黑客的必經(jīng)之路。在大學期間，馬坤干了許多看起來“離經(jīng)叛道”的事兒，比如，通過IPC共享的漏洞控制機房電腦發(fā)布恐怖網(wǎng)頁；黑掉學校網(wǎng)站，控制辦公系統(tǒng)拿到幾份試卷的樣卷；滲透進某整個省的高校，在網(wǎng)站的js文件中掛出尋人啟事尋找失聯(lián)同學……

　　在2001年中美撞機事件發(fā)生后，民間爆發(fā)了中美黑客大戰(zhàn)，轟動一時。出于樸素的愛國正義感，馬坤作為組織者之一參與其中，化名為某ID，在短時間內成為了中國紅客聯(lián)盟核心成員。在歷時七天的較量中，他和盟友們將五星紅旗插遍美國各主流網(wǎng)站，這段頗為刺激的經(jīng)歷，讓黑客圈子記住了馬坤的名字。

　　技能的逐步升級讓他不再滿足于僅從國內社區(qū)汲取養(yǎng)料，他開始與國際上的同行們交流切磋，掌握了更多滲透實戰(zhàn)經(jīng)驗。2005年，馬坤以核心成員的身份加入了火狐技術聯(lián)盟FST，ID為cnfjhh，圈內人稱cn。

　　當時就有朋友鼓動馬坤，“聽說你能力很強，有本事把暴雪黑了。”那是《魔獸世界》（暴雪公司出品的網(wǎng)絡游戲）風靡全球的2006年，年輕氣盛的黑客絕不服氣，當即就磨刀霍霍，在滲透中發(fā)現(xiàn)了漏洞并潛入內網(wǎng)，在官方主頁留下了一句「Test by cnfjhh」。

　　這場到此一游的打卡，馬坤并沒有改動任何東西，也沒有留下任何后門。在他還并不算長的黑客經(jīng)歷中，雖然有入侵的能力，但他從未破壞過任何他人網(wǎng)絡。

　　炫技，或許是很多黑客在網(wǎng)絡世界中證明自己的方式，馬坤說，“我干這個事是因為我喜歡，我想證明我可以。正義，應該成為能力的一個底線，絕不因誘惑去污損自己的愛好。”

　　不當藥販子 要當良醫(yī)

　　一直以來，黑客技術在馬坤心里就是一個純粹的愛好，大學畢業(yè)后，他走上了常規(guī)的職場之路，先后在政府單位和一家百年外企工作。在外企的五年里，雖然待遇豐厚，但看著技藝逐漸塵封，他還是充滿了失落。身邊的朋友們在陸續(xù)熱火朝天地創(chuàng)業(yè)，馬坤不禁心動，“我在黑客這個事兒上投入了這么多，能不能讓興趣和事業(yè)產生結合呢？”

　　舉棋不定之間，有朋友給馬坤介紹了一個外包項目，他與黑客圈子的幾位朋友完成交付后，看到了希望——興趣能力也可以用來工作。于是，他與幾個兄弟組隊，為CNCERT檢查全國多個省運營商網(wǎng)絡漏洞問題，這再次印證了他的希望——這項技能不僅可以是一份工作，網(wǎng)絡安全未來會逐漸成為一個具有市場需求的行業(yè)，自己的技術是可以有所作為的。

　　拿出工作攢下的微薄積蓄，幾個志同道合的朋友，一間辦公室，2012年，西安四葉草信息技術有限公司誕生了。

　　攜攻防技術而入行的四葉草安全，立志要成為網(wǎng)絡安全解決方案提供商，但是初入商業(yè)市場，第一課就是顛覆技術發(fā)燒友的理想化認知。

　　“我們就是個沒活、沒客戶、沒人的三無團隊”，馬坤回憶說，“當時的大環(huán)境，客戶認為做安全等于買設備，他們的合作伙伴，就是安全設備銷售商，不是我們這種徒有技術的正義黑客。”

　　商業(yè)的本質是趨利，標新立異并不是問題，但沒有競爭力、沒有探索出商業(yè)模式只能被火速淘汰。馬坤在理想與現(xiàn)實中彎腰，為了保證生存，轉變?yōu)殇N售角色賣了十余單安全設備。

　　在這個過程中，他卻越發(fā)肯定了自己最初的判斷。“安全行業(yè)需要解決的問題，跟生病就醫(yī)是一樣的，身體不舒服，首先應該做診斷，因此發(fā)現(xiàn)用戶的漏洞和缺陷是第一步，然后再對癥治療，而不是不管緣由直接賣藥。”

　　病人不清楚自己哪里有問題，醫(yī)生只關注藥品的銷量和利潤，這種頭痛醫(yī)腳的怪圈是不健康的。診斷不賺錢，所以沒人重視，但馬坤覺得，該走的路，一步也不能少。

　　于是，馬坤帶領團隊嘗試著新的模式，在售賣設備之前先給客戶做安全評估，拿到授權后模擬攻擊者的思路和行為進行滲透測試，發(fā)現(xiàn)存在的缺陷弱點。人工安全服務何其辛苦，沒有產品，就只能手動檢測每一臺機器、每一個網(wǎng)段、每一項配置，完全依靠專家知識和經(jīng)驗，報酬卻非常微薄，公司發(fā)不出工資是經(jīng)常的事。

　　以攻促防 把技術沉淀成產品和服務

　　財務上的窘迫驅使馬坤思考公司的發(fā)展方向，完全依靠人力去做安全服務，肯定不是長久之計。一方面，身處西安的四葉草安全在人才招募上面臨瓶頸，另一方面，要把攻防技術甚至是非常攻擊者視角的知識經(jīng)驗沉淀為更普適的、適合防守方使用的安全產品并不容易。

　　馬坤認為，這需要把「人的能力」插件化，并且把讓「攻」和「防」都實現(xiàn)自動化。

　　他和團隊伙伴早年混社區(qū)的優(yōu)勢，搭建了一個安全社區(qū)，集思而廣益，匯集了大量的、新的、高級的黑客思維、攻擊手法，再結合四葉草安全長期積累的一線經(jīng)驗和精湛技術，梳理進行數(shù)據(jù)建模并輸入到產品頂層，發(fā)布了國內首款基于社區(qū)的分布式漏洞掃描平臺——Bugscan。

　　在后續(xù)的產品設計中，馬坤解釋道，“我們有個內網(wǎng)探針，可以抓獲內網(wǎng)流量，以便快速學習其中的行為特征，并將其形成類似于規(guī)章制度一樣的規(guī)則。產品部署比較靈活，可以旁錄進去，也可以串聯(lián)進去，一旦發(fā)現(xiàn)異常，串聯(lián)進去可以做攔截處理，旁錄進去也可以做預警處理。”

　　下一步是自動化的防御，“黑客入侵的思路通常是通過工具暴力枚舉、或者是對某個SQL注入點不斷進行嘗試拆解，包括數(shù)據(jù)庫字段、表段等，從而暴露更多的敏感信息。而我們會部署動態(tài)混淆加密技術的前置產品，一旦黑客訪問，URL會在一次訪問后自動加密，待第二次訪問同一個URL時就已經(jīng)失效了。這步操作就可以抵御絕大部分工具類的黑客。”

　　這樣就形成了從內網(wǎng)到外網(wǎng)的防范機制，實踐中會根據(jù)客戶體量，部署數(shù)量相匹配的探針及外網(wǎng)軟硬件。這套從感知、監(jiān)測到防御的安全產品+服務的體系被命名為感洞Bugfeel，在落地實踐中取得了良好的反饋。同時，隨著服務客戶的增多，團隊體會到不同行業(yè)需求和場景的天差地別，四葉草安全開始從通用安全服務往細分行業(yè)發(fā)力，定制出面向金融、運營商等行業(yè)的綜合安全解決方案。

　　從2017年起，四葉草安全與螞蟻金服達成戰(zhàn)略合作，為其平臺商戶提供全面全時段的安全檢測和監(jiān)測服務。這輪合作不僅讓四葉草安全真正面向大型互聯(lián)網(wǎng)企業(yè)積累經(jīng)驗，也讓馬坤看到螞蟻生態(tài)中更多的中小企業(yè)面臨的安全困境——總是被攻擊被勒索，卻不知道哪里有風險，不知道怎么做防御。

　　馬坤意識到，安全不能只是行業(yè)頭部才能享受的服務，中小企業(yè)的安全需求同樣是普遍而急迫的。他們將旗下產品與服務進行整合，推出了SaaS化智能化服務平臺凌洞，提供一站式的安全產品服務，可以幫助用戶用更低的成本、更高的效率建立起安全屏障。

　　做正確的事 市場會給你答案

　　如果完全從商業(yè)的角度考慮，服務中小企業(yè)可能并不是最上乘的選擇。目光拉長，我們回望四葉草安全的十年，會發(fā)現(xiàn)馬坤的選擇與答案。

　　就像創(chuàng)業(yè)之初大家都在賣盒子的時候，他也知道做安全檢測不賺錢、做安全服務很累人，但該走的路還是要走的。就像還作為獨立黑客的時候，擁有高超技術要想變現(xiàn)并不是太難的事情，但輕松的選擇不等于就是對的。

　　在2015年拿到Pre-A 輪融資之前，四葉草安全出現(xiàn)過幾次發(fā)不出工資的情況，直到2017年，公司才開始走出虧損實現(xiàn)盈利。“持續(xù)的投入、長久的蟄伏確實是熬人的，但堅持做正確的事，市場是會看到的。”馬坤表示，“我們總是在說安全行業(yè)要守護國家數(shù)字經(jīng)濟建設的安全底線，這么多中小企業(yè)的安全缺陷不就是底線嗎？安全不應該讓他們望而生畏，我們有能力和經(jīng)驗，服務中小企業(yè)是非常適宜非常應該的。”

　　其實，堅持本心不是為了感動自己，作為一個企業(yè)家，對員工、對行業(yè)、對股東都負有重要的責任。馬坤認為，走正確的路，不僅是贏得自我尊重和旁人喝彩，哪怕是最世俗的財務回報，也會在正確的道路上悉數(shù)回饋。

　　他表示，能夠在資源無法抗衡一線城市、經(jīng)營狀況欠佳的境遇中獲得資本支持，更多就是對團隊理念和價值觀的認可。此后，他們幾乎保持著每兩年一輪的融資節(jié)奏，其中包括螞蟻金服的巨額注資，客戶和市場當然不是用腳投票的。截至目前，四葉草安全已累計為6100多個用戶項目提供技術服務和安全保障，同時旗下的感洞平臺為1700多萬互聯(lián)網(wǎng)企業(yè)的資產安全風險持續(xù)保駕護航。這些成果，是十年的堅持帶來的。

　　馬坤的赤子之心不僅體現(xiàn)在做產品服務客戶上，他們還一手搭建了網(wǎng)絡安全人才培養(yǎng)體系。自學成才的他深諳技術人才對于行業(yè)發(fā)展的重要性，安全公司不能沒有人，但是如何挖掘理想的人才、如何培養(yǎng)出技術精湛的人才，一直存在很大的市場缺口。

　　早期的安全社區(qū)和Bugscan為喜愛或從事安全工作的技術人員提供了學習與交流的陣地，自此，他們基于自身的攻防實戰(zhàn)基因打造了網(wǎng)絡攻防實訓平臺、網(wǎng)絡攻防競賽平臺，并從2015年開始舉辦SSCTF網(wǎng)絡安全技能大賽，開鑿安全從業(yè)者水平縱向成長路徑。

　　如今，公司已經(jīng)成立了網(wǎng)絡安全人才培養(yǎng)專屬部門——四葉草網(wǎng)絡安全人才培養(yǎng)與創(chuàng)研中心，提供數(shù)字時代下的安全學習產品、靶場產品、安全保障服務、安全競賽服務、認證培訓服務等，形成人才培養(yǎng)、技術創(chuàng)新、產業(yè)發(fā)展的良性生態(tài)。

　　回過頭看，四葉草安全的業(yè)務覆蓋了漏洞風險發(fā)現(xiàn)、安全防御體系建設和攻防實戰(zhàn)型人才培養(yǎng)，始終是圍繞著其提倡的「以攻促防」理念來為行業(yè)提供服務和價值。

　　行業(yè)逐漸細分 搞安全從來都不容易

　　這十年不僅是四葉草安全從無到有的十年，網(wǎng)絡安全行業(yè)也從不完全成體系到如今細分領域眾多、參與者眾多，整體呈現(xiàn)蓬勃向上的大好發(fā)展之勢。

　　馬坤認為，現(xiàn)在的安全創(chuàng)業(yè)起步或許會變得更加簡單，但實現(xiàn)安全本質、滿足安全需求也會變得更難。

　　行業(yè)起步階段，傳統(tǒng)安全廠商傾向于做大而全的業(yè)務，但實際上，用戶并不是需要一個全家桶，只是基于一些客觀現(xiàn)實環(huán)境，用戶可能并不希望引入很多的安全服務商，他會希望有一個服務商來解決所有的安全問題。這導致了安全行業(yè)中一個很現(xiàn)實的痛點——同質化嚴重。

　　往后發(fā)展，安全需要能真正解決問題，行業(yè)必然會趨于細分。雖然底層技術——無論是操作系統(tǒng)、協(xié)議或是算法是通用的，但是賦予到上層應用時，面臨的是不同的業(yè)務場景，會促使針對性更強的、聚焦細分領域的安全解決方案的出現(xiàn)。同時，在面向的客戶行業(yè)也會趨于細分。比如，運營商會有自己的政策和訴求，金融行業(yè)有相應的標準和等級，甲方對于安全的需求越來越旺盛、同時也越來越精細。

　　反映到如今的安全創(chuàng)業(yè)生態(tài)中，資本市場和創(chuàng)業(yè)企業(yè)都會去瞄準一些細分的安全理念、技術趨勢，比如專注于數(shù)據(jù)安全、業(yè)務安全、交付安全等等，設計出能與大廠同臺競爭的方案和服務，滿足對口客戶的需求。

　　對于創(chuàng)業(yè)者來說，無論是投資環(huán)境還是國家政策和客戶意識，無疑是比十年前健全很多的，創(chuàng)業(yè)不再那么舉步維艱。但與之相對應的，安全技術和客戶業(yè)務的融合要求變得更高，不懂業(yè)務很難能把安全做好，各行各業(yè)的信息化依賴程度只會越來越高，一旦發(fā)生安全事故往往都是大事，滿足合規(guī)和保障安全都不可掉以輕心，雖然政策東風頻吹、資本信息高漲、市場在持續(xù)擴大，看似無限機會在前方，想要活下去、立得住，需要有真功夫。

　　談到四葉草安全的下一個十年，馬坤表現(xiàn)得非常理性，“按照現(xiàn)在的速度，無論是技術變革還是市場需求，十年足以翻天覆地，我不想去吹牛。但我們希望，未來三年內努力讓公司上市，讓更多的人能知道我們四葉草安全。每個人的精力有限，企業(yè)也一樣，我們也需要專注，我們會繼續(xù)致力于‘先于黑客發(fā)現(xiàn)并解決問題’的思路，在安全攻防領域為大家保駕護航，獲得行業(yè)和市場的認可。下一個十年究竟會是什么樣，我們一起拭目以待。”

更多信息可以來這里獲取==>>電子技術應用-AET<<