Kate Li (Taiwan)的部落格

首頁

安識科技殷曉明:道阻且長,欣然前往

作者 sebastiani 時間 2020-03-31
all

殷曉明,江湖人稱四爺。初見殷曉明本人,讓安在(anzer_sh)吃了一驚:這與“四爺”這個稱呼差距太大了吧?架著半框眼鏡,溫文爾雅,帶絲書生氣息。語速不快,卻字字有力。

他曾是各大互聯網安全應急回應中心和漏洞眾測平臺的知名白帽子,是安全社區安全脈搏的發起者;而他堅持科技的純粹性,自詡為安全從業者、安全研究員。如今,他又多了一個身份:安全初創公司安識科技的聯合創始人。這麼多標籤於一身的他,如何從容變換?他又是如何成為安全圈裏的“四爺”?

創業前,殷曉明一度活躍在先知、sobug等平臺,每個平臺上的ID不盡相同,卻都帶著個“4”。“那陣子挖洞比較多,會刷刷榜。”一度穩坐榜單TOP的他,可謂霸氣十足,白帽圈兒內的小生們於是就喊他四爺。

殷曉明的工作經歷,完成了一次閉環:最初是乙方的安全工程師,而後從乙方去甲方負責安全防護建設,最終回歸到自己做乙方。他說在任何洽談和合作途中,乙方都應該有足够的自信,讓甲乙雙方站在平等、公正、友好地環境下交流和合作。

關於甲方乙方工作的不同感受,他總結了三小點:首先,甲方待遇要比乙方偏好,這個眾所周知;然後,甲方工作——比如滲透測試方面——相對會比較單調,因為只對著一個目標重複嘗試多種姿勢,可能已經試了無數遍,需要不斷改變自己的思維,但一個人的思維變化起來很困難,而乙方會更有新鮮感,客戶的案例各不相同、有挑戰也有成就感。單純學習鍛煉科技,乙方是個非常好的平臺,可能發展規劃方面沒有甲方的寬,甲方的職業規劃可以更明晰和理性,可塑性强。

當問到四爺喜歡甲方還是乙方,他笑著告訴安在(anzer_sh):“這還真不好說。不過我個人內心比較放蕩不羈、熱愛自由,即便是相對的自由,無需太冗長的流程,無需太教條的約束,做一些自己熱愛的事情。其實我從最初幾家大型互聯網甲方公司出來的時候,待遇和頭銜都很不錯,還有為數不少的股票,出來創業這些都是沒有的。我相信這些只是短暫的,同時會逼迫自己更努力,我也非常相信我的合夥人和我的同事們,公司是大家的。”

“另外,我在甲方做了很久安全,也會思考很多,我想不僅僅服務於一家企業,成千上萬家企業都可能需要我們這樣的安全團隊保障,比如中小型企業,因為他們的安全相對很薄弱,他們又很難承擔安全團隊的人力成本,如果有一個協力廠商可靠的安全公司為他們提供全方位的安全服務和安全解决方案,確實是一件非常好的事情,所以我們就出來創業了。”

從2008年來到上海,到2016年創辦安識科技。殷曉明在安全這條道路上已經摸爬滾打了好幾年,創業之路本來就不會一帆風順,三個科技出身的創始人,在第一年裏“東倒西歪”。有的在研發安全產品,有的則硬著頭皮外面跑。“沒有設計師,我們就自己上,樣式出來也就沒那麼美觀,4月份入職了專業設計師,真感覺這塊的煩惱再也沒了,特別給力。在起初沒有銷售團隊的時候,合夥人老大要求大家都去跑跑,與客戶多接觸多溝通,也就是那個時候,科技出身的殷曉明也常常把客戶的公司當成了自己的公司,聊需求,做實事,解决實際問題。公司將來也會有更多的人做更多的事,專業的人做專業的事。”

殷曉明告訴安在,安識科技中“安識”意為安全識別,公司創辦初衷是為了解决企業身份統一認證和帳號安全問題,這是安全分支裡面的一個基礎入口。

說到這裡,殷曉明提到了一個釣魚案例,他的一些客戶企業有次讓做人員安全意識測試,於是他精心構造了幾份郵件範本、偽裝成IT部門的身份發送了釣魚郵件,其中有一個員工回復了,並且把用戶名和密碼都透露給了他。通過這個帳號登入郵箱,收集資訊找到VPN等入口成功進入公司內網,引發域滲透。其實是很常規的手段,波詭雲譎的互聯網下麵不乏大量這類成功的攻擊案例,或邪或正。

從整個攻擊流程看起來,一個員工的密碼安全和安全意識影響到了整個公司的安全,大企業面對數萬或者數十萬的員工,管理上難免會有疏忽。現在有好多公司都在說去密碼化,但國內還沒有一個明確的標準。傳統的硬體權杖價格昂貴、不便於保管,SAAS的公有化是個趨勢,我們稱之為IDaas。

於是安識科技“多因素權杖”作為一款基於時間同步科技的雙因數身份認證產品就應運而生了。多因素權杖的主旨是為了保障用戶的帳號安全,防止如網路釣魚、密碼撞庫或其他以非法手段獲取使用者密碼後可能帶來的後果。

從事多年甲方安全,也培訓過多家大型互聯網公司安全研發和編碼,殷曉明深知甲方安全的痛點,深知DevOps角色裡面如何引入安全的參與,深知企業在踐行SDL的難處。於是出品了主被動結合的多引擎掃描系統--伏特分佈式漏洞掃描雲平臺,傳統的功能測試人員只要掛上代理就能在測試功能時候把安全問題發現到,研發同事也無需在安全督促下,自主的發現自己程式碼的缺陷,毫無心裡壓力的修復,是一個不錯的管道。

殷曉明告訴安在(anzer_sh):安識的目標是服務於更多的中小型企業,他們可能沒有自己的安全團隊,但業務需要有這樣的安全保障。他希望對安全行業做一些好的事情,給這些沒有安全力量的公司帶來一些幫助,得到客戶的認可,這是安識最欣慰也最快樂的事。 

道阻且長,行則將至

年初拿到天使輪數百萬融資的安識科技已經開始著手Pre-A輪融資,這個僅僅10個人的團隊,已經開始努力把事業做的如火如荼。由於創始團隊成員都是科技出身,在市場方面相對薄弱,“剛開始客戶方面都是我們三個在安全行業的一些資源,一些成功的標杆企業覺得我們能力不錯,為他們做了很多行之有效的保障措施,也會幫我們把產品和服務推往同行業。還有一些協力廠商的合作公司,比如阿裡雲先知也給了我們很大的支持和幫助。”殷曉明說。

5月份wannacry事件爆發後,阿裡雲為保障雲上客戶上線了安全管家應急回應服務,而安識科技是阿裡雲這個服務在上海的安全合作夥伴。談及Wannacry事件,殷曉明說到,每一次病毒事件的爆發無形中都是對安全行業的推動,預估明年還會有一些大漏洞被曝出來,漏洞可能會隱藏的很深,但總有一天會被發掘出來。

作為初創型的公司,殷曉明坦言也遇到過一些瓶頸,公司正在拓展市場這一塊,之前的銷售管道比較被動,主要是合作夥伴的口碑相傳,到後面公司有一兩個銷售,如何拓展市場又是他們現時比較關注的一個問題。談及未來規劃,殷曉明表示公司也引入了協力廠商銷售管道和銷售集成捆綁模式,都是在探索著前行。

除了自己的銷售管道之外他們還傾向於向“雲”的方向去拓展,現在“雲”的概念已經很成熟了,例如現在的阿裡雲、華為雲等等。“我們需要的是把產品優化到足够好,優化到能够放上去,讓客戶直接在雲平臺上購買和使用,這樣更快速。”殷曉明說到產品的擴展模式,眼神裏多出了一絲期待。

說到更長遠的規劃,殷曉明告訴安在(anzer_sh),公司有明確的目標,聯合可聯合的安全廠商,擴大整個安全行業市場,幫助更多的互聯網企業實打實地解决安全問題,協助更多的安全創業公司或團隊更好的往前發展。這些思路並行不悖,堅守初衷的殷曉明更希望的是把現有的產品打磨的足够好,同時也研究一些新的方向和產品思路,這裡不便透露。

說到榜樣,殷曉明告訴安在(anzer_sh):安識最早的方向是以“洋葱”作為對標公司,雖然“洋葱”很可惜沒有繼續走下去,但也是國內IDaas的佼佼者。而在安全服務這一塊對標的則是四葉草和長亭科技這樣的公司,他們起步的更早,做的也很棒,四葉草的服務做的很好,長亭科技的實力也很强,他們都是安識學習的榜樣。

殷曉明認為,作為創業型公司,努力務實之餘也應該跟各大安全廠商及安全創業公司聯合起來,在一個大的安全生態圈裡面合作共襄與資源置換,一個人走可能不會一帆風順,深度抱團發展才是王道。

採訪到最後,我們又回到“四爺”這個ID上,四爺這詞兒聽著挺橫,生活中的他卻是一個標準的艺文青年。工作之餘會捧上心愛的相機,四處記錄光影與感動;不忙的時候,也會時常圍起圍裙為愛妻下廚。

“她認識我的時候還不會做菜,現在廚藝已經高我一大截了。”聊起妻子,殷曉明笑意湧上眉梢。

“她也叫你四爺嗎?”“不不,她會叫四哥。”

【推薦閱讀】

◎◎◎◎◎