以担责之心“折腾” 用精进技术安众
——访北京众安天下科技有限公司总经理杨蔚
2021-04-04
本刊记者 王 超
初次见到杨蔚,他那年轻、坦率、执着的形象让人印象深刻。刚过而立之年的他有着曲折丰富的人生履历——从谷安天下高级安全顾问,到乌云众测平台负责人,再到众安天下CEO——无论哪个角色,他都在竭尽全力扮演着,努力做好。
他的体内,藏着一颗“躁动”的心。他说:“生命不息、折腾不止。我天生喜欢创新,不设限,总想不断挑战自我,做出点成绩来。”
在安全的道路上,杨蔚“越走越远”。现在的众安天下,是一家专注于互联网安全众测服务领域、以业务安全为导向、为企业提供深度安全测试与安全运营服务的解决方案厂商。目前,众安天下已成为国内安全服务创新领导厂商。路途虽然曲折,但杨蔚也得到了应有的收获。
华丽转身——从网瘾少年到众安天下,筚路蓝缕逆袭蜕变
2014 年,一个电话让杨蔚的人生彻底发生转折,也与安全结下了不解之缘。打电话来的人被杨蔚亲切称为老马,也正是其慧眼识珠,让杨蔚有机会进入谷安天下,一家业内很有名气的安全咨询公司。初入安全圈,杨蔚称得上“拼命三郎”,夜以继日地工作学习,丝毫不知疲倦。在收入和职位不断上升的同时,杨蔚对安全服务体系也有了充分的认识和了解,经验也逐步积累起来。
随着在安全圈的名气“飙升”,2014 年3 月,杨蔚以合伙人的身份加入乌云,负责乌云众测平台运营和管理。
在管理乌云众测平台时,因其在咨询公司的积累以及做白帽子的经历,让杨蔚在平衡厂商和白帽子之间的关系时显得游刃有余。面对厂商,杨蔚底气十足,不断完善平台规则,尽可能给白帽子相对好的待遇,使得乌云众测平台有了无与伦比的凝聚力。在云集了几乎所有优秀白帽子的群里,杨蔚被白帽子们亲切地称之为“三哥”。杨蔚每年和近千家企业的VP 以上级别的人物进行沟通,开拓并覆盖了互联网几乎所有行业,极大地推动了平台发展和行业生态发展。
随着前期的积累越发深厚,2016 年4 月,秉承着“将众测服务产品化”的理念,杨蔚和另外两位志同道合的小伙伴一起创立了众安天下。
习近平总书记在2018 年全国网络安全和信息化工作会议上曾提出“网络空间竞争,归根到底是人才竞争。网信领域是技术密集型、创新密集型领域,千军易得、一将难求,必须聚天下英才而用之”。众安天下安全众测服务平台跨地域、跨行业聚合了国内网络安全攻防、渗透测试、漏洞挖掘等领域的顶级专家,推动网信领域人才发展体质机制改革。
公司取名“众安天下”,杨蔚希望通过聚合跨技术领域、跨业务领域的多方安全专家,让网信人才的创造力竞相迸发、安全能力充分涌流,从而不断为更多行业用户提供优质的安全服务和全方位的解决方案,本着“让客户的客户更加安全”的服务理念,最终达到“众安天下·天下众安”的美好愿景。
众安天下成立之初,杨蔚带领核心业务团队用长达半年时间,走访数十家互联网企业,从企业管理者、业务人员、开发人员、运维人员等不同岗位,分别进行以众测为基础的互联网化安全服务需求调研,展开业务访谈。
这其中覆盖了金融科技、移动支付、电商、O2O、社交媒体、云服务等多个行业。同时,众安天下核心技术团队持续与众多安全专家开展技术交流,了解从安全专家视角下的企业业务安全风险以及专家视角下对众测模式的优化建议。
基于多年在互联网众测和安全攻防、渗透测试等方面的经验积累和沉淀,2019 年,众安天下获得了贵阳市创业投资有限公司(简称“贵阳创投”)管理基金——贵阳大数据安全产业创业投资基金有限公司战略投资。同年成立贵阳众安天下科技有限公司,打造“双总部”,为贵阳当地监管单位提供安全技术支持,更好赋能国家大数据安全产业发展。针对安全服务行业目前并没有独角兽级别企业的现状,杨蔚的目标就是打破服务不可复制的魔咒,成为安全服务创新领导厂商,为推动行业发展贡献力量。
如今,众安天下已服务企业客户800+,包括世界五百强客户10 余家,上市公司超过30 家,客户覆盖监管机构、央企、部委、互联网、金融、运营商、医疗、大数据、移动社交、互联网流媒体等。随着服务产品化机制的不断优化,未来企业规模再扩张,杨蔚也非常有信心能够认真精细化服务好每一个客户,不辜负客户的信任和行业的认可。
硕果累累——从精准定位到技术精进,不忘初心稳中求进
谈到企业定位时,杨蔚坚定而又沉着地告诉记者,众安天下作为安全服务创新领导者,将持续专注于安全众测服务领域并为企业提供全方位的安全服务解决方案,目前核心团队也都是安全众测模式的先行者和长期实践者。
对于这一点,杨蔚始终有着深刻的认知:要在自己擅长的互联网安全测试领域服务用户。杨蔚非常清楚众测的业务模式和执行细节,认为可以把它做得与别人不一样,做得更有特点,弥补众测领域一些可以优化的地方。
随着去年9 月份国内首个网络安全众测标准《网络安全众测平台技术要求》《网络安全众测服务管理要求》正式发布运行,众测被业界所熟知,进一步证明了安全众测模式的重要性,让众测更加合法合规,更加标准化。众安天下作为深度参与编制的单位和标准试点单位,先行先试,引领互联网众测行业发展。
杨蔚谈到,就这两项标准整体来看,其实还是安全能力服务化的趋势,包括远程服务和托管式的安全服务趋势以及民间安全专家能力的共享机制,如何通过可控、可靠的方式去给企业机构赋能?如何通过互联网平台挖掘民间安全专家资源赋能企业与机构?如何体现突出安全研究人员的价值?有待考量。
随着网络安全众测标准在国家监管、行业部委的逐步落地,让安全众测被行业所熟知,让网络安全专家“白帽子”的价值被高度认可。
回顾互联网众测发展历程,杨蔚提到:其实,2015 年、2016 年虽没有明确的政策文件,但是通过国家有关部门的声音,能看到安全实战化,常态化的重要性,同时能看到国家有关部门开始组织实战化的演练,通过竞争机制实现全面保障关键基础设施单位的安全,也需要更多市场化的技术团队驱动业务发展。杨蔚提到几个问题尤为明显:
首先,传统安全服务模式很难解决地域性人才矛盾;另外,互联网安全服务创新模式走得比较快,在互联网行业及其他垂直领域中敢于先行先试的企业逐步开始看到成果。同时,各众测运营平台自成一派,比较依赖于自制和运营机制及自身规范标准,没有明确的指引文件,安全责任边界模糊,很多安全研究人员处于观望状态。
杨蔚还谈到,从行业及技术趋势来看,各行业都在互联网化、业务云化,托管式与远程云安全服务成为主流。而且通过服务平台连接各个地区的安全专家资源,实现不受地域、不受时间及专业限制。快速响应,快速支撑,及时交付,高效协作。
安全众测行业需要一套合法合规的机制完成实名、风控、授权体系,这样更安全可控地保障托管企业与安全研究人员的可信连接。通过互联网平台实战连接,也可以快速提供实战经验,以实战的方式给企业赋能。在这部分,众安天下先行先试,深度参与国家和通信行业标准起草制定,作为国内首个实现线上签约的众测平台,众安天下保证项目人员身份可信,同时采用流量审计平台,保证项目人员行为可控。
总的来说,众安天下安全众测服务平台解决了行业内人才稀缺机制、激励措施机制(多劳多得)、挖掘民间安全人才(人才挖掘)等痛点难点,具有更具性价比的服务方案(多名专家远程问诊),更好地规范了安全众测市场,同时快速响应及支撑(解决企业资源分配难的问题),也能够与企业、安全厂商、第三方机构形成合作及协同互补机制。
2020 年,因疫情原因,线上教育、远程办公等各类远程服务得以高速发展,传统的线下组织模式受到严重影响,传统的线下安全服务模式由于严重受限于人力资源及环境条件的局限性,无法满足线上业务的常态化安全工作。而互联网安全服务模式的核心优势由此凸显,能满足短时间内快速响应及攻防渗透、安全检查任务等系列场景下众多企业的核心安全诉求。
鉴于此,众安天下发布新一代SaaS 安全服务平台。希望能够与更多行业用户建立生态合作,有效地为更多行业客户提供优质、高效、可控的服务。通过远程SaaS 服务模式,实现与行业用户和安全专家的三方可信连接,最大化地将互联网安全漏洞风险降至最低,从而高效赋能企业业务安全发展,推动行业健康高效发展。
众安天下新一代SaaS 安全服务平台定位于连接企业端与安全专家之间的互信问题,作为独立第三方的服务平台,更好的服务于企业与白帽专家,平台提供的服务方向不仅限于安全测试领域,众安天下会通过互联网众包平台来解决多个安全场景的服务支撑,可针对安全需求场景进行定制,包含以下场景:
第一、支持企业用户特定漏洞场景及安全风险的快速响应排查。
第二、支持企业用户特定系统/产品的深度漏洞挖掘及风险分析。
第三、支持企业自身特定安全产品或者设备的安全规则/策略的检验。
第四、支持专项安全检查或者被检查前的快速风险排查。
第五、支持长期漏洞悬赏托管运营及漏洞奖励计划合作机制。
第六、支持安全防御体系的对抗验证及防护/防御规则完善。
在谈到平台的愿景时,杨蔚说道:“我们坚信通过安全技术力量可以温暖整个行业,通过健康有效的运营机制,赋能于安全生态,帮助更多怀揣安全梦想的新人。”
通过多年的安全服务创新积累,众安天下安全服务平台已实名签约安全专家2000 余位,大部分为互联网企业、安全厂商、第三方研究机构、知名高校、独立研究员等行业背景,并有着平均7 年以上的安全众测实战经验。长期在央企、金融、运营商、医疗、互联网、物联网等行业领域,为多行业领域企业机构及监管机构提供安全能力输出。
开疆拓土——从业务结合到服务产品化,勇于创新席卷八荒
“让客户的客户更具安全感”。采访中,杨蔚反复强调这句话。意味着做安全人员要了解客户的业务,而这一点恰恰是安全技术人员的短板。一般来说,众测平台只给客户提交漏洞,评估工作是客户自己完成的。而这也正是众安天下与其他企业不同的地方。
“如果学习能力不强,对业务不愿意去了解,是不可能把事情做好的。而且,现在的互联网公司或者各重点行业的大企业,安全能力非常强。如果做安全服务的公司对客户业务理解不够深入,发现不了新的问题,将无法与客户建立信任感。”
杨蔚在日常工作中,始终给员工强调要尽可能保证每个人除了擅长技术以外,还要了解客户的业务场景,要求众安天下服务团队的专家提高学习能力,能够在短时间内快速发现并解决很多严重漏洞问题。
杨蔚要求技术人员首先弄清楚的便是用户的核心业务是什么,最致命的安全问题是什么,以及业务和安全漏洞相关联的是什么。不仅如此,杨蔚还要求包括行政、财务在内的同事都必须要懂业务和客户场景,以便更好地去落地和解决问题,行业场景化和业务标准化。
事实上,众安天下一直在积累各个行业经验,深入分析场景痛点,力求在短时间内快速挖掘目标用户安全风险进行需求转化,通过对已知安全漏洞进行业务层分析,撬动企业管理者的重视程度。以服务撬动客户需求,实现安全精准营销。
随着云原生成为云计算发展的重要趋势,云原生重塑了应用的交付方式和交付流程。传统的应用安全模型在云原生环境面临诸多挑战,频繁更新迭代对软件的全链条安全提出新的要求、应用微服务化、大量使用第三方开源组件增加了应用安全漏洞风险和网络攻击面等。安全服务市场潜力凸显,安全服务能力在提升业务应用的迭代速度,赋能业务安全发展方面有重要价值,极大地提升了应用的交付方式和交付流程。
现在,众安天下结合行业发展趋势,聚焦典型行业场景深入分析研究,不仅帮客户解决技术上的安全问题,还站在用户的角度去分析场景,考虑业务层面的问题,每次测试深入了解用户的需求,实现项目交付跟目标需求高度贴合,为客户提供全方位定制化的安全解决方案。
一个人强烈的责任感和进取心是前进的内在动力。采访中,杨蔚一再强调要为国家网信事业贡献力量。杨蔚在不断“试错”中,靠着浓厚的兴趣和执着的追求,一次次挑战自己,不断创造出属于自己的天地。
我们在衷心祝愿杨蔚能够更好地带领企业驶向成功的彼岸、创造历史的同时,也祝愿我国网络安全事业的明天更加光辉灿烂。