今年我看网安行业的创业者们或多或少有些抑郁或者焦虑,据说这是因为疫情俄乌中美等等各类国际形势带来的“政治性抑郁”。其实那些都是虚的调侃,但是眼跟前的事实是网络安全企业不管上不上市,财报展示大多都在亏损的路上前仆后继。
当你自己是一个创业者的时候,你就能很清楚地看明白,那些所谓的合同收入甚至是利润增长都是自欺欺人的,只是一种财务统计方法,企业活不活得下来只有一条,那就是现金流。企业就跟革命先辈们抗战时的军队是一样的,要生存下来就要确保进来的比损耗的要多,才能确保可持续发展。如果把目光盯着那些数字增长,而没有解决损耗的问题,那么信号就比较危险。我们的业务也在持续增长,但是损耗的速度增长超过了收益的增长,比如人多了人均成本增加了,回款慢了,这就需要我们去思考,这种增长是否是对的,是否可持续。
当年教员提出“独立自主的山地游击战”,就是发展群众,减少损耗,确保可持续发展,等待合适的时机,确保胜利那一天的到来。运动战还是要打,但不能老打,实际上是伤敌一百自损三百,脱离群众没有新鲜血液的注入,这么下去撑不了太长时间。不要急于一时,要耐得住性子,还没到决战的时候。我们马后炮来看,确实可以学习的有很多很多。
我们今年犯的错误就是过于乐观,急于求成,打了几场小胜仗人就飘了,感觉机会很多,都能把握住。大家都把精力花在了做事,而没有思考如何做成一件事,回头一看,队伍走的七扭八歪,看似很长,但作战力不强,环境稍微恶劣一点,这些战斗力拿回的战利品还不够分的。在野外生存哲学有一个观点:如果你获取某种食物得到的热量并你消耗的要多,你就不要动。看似大家都知道,实际上大家面对一种“诱惑”时,很难分辨出来是陷进还是机会。看不清楚的情况下,冒进就是一种机会主义。
目前来看,机会肯定是存在的,胜利一定会有的,这是基于两个大前提:一是在美国跟中国的科技封锁注定了科技兴国的必然路径;二是国际大形势也提出了网络安全作为国家安全宏观的一部分必须做好保障。我个人认为,科技应该没有国界,因为科技应该是造福全人类的,允许竞争但不要搞针对性对抗性的封锁,现在世界一团糟,连民间科技都变成了制约的武器。国家安全没有退路,不容讨论,匹夫有责。
历史上几次大的格局变化,都是由科技推动的生产力变化导致的。从工业革命开始,每一次对世界带来的影响都太大了,现在的主流是芯片,是底层系统平台,是数据是生态。正常情况下你可以跟着主流进化走,不要重复造一些很劣质的轮子,一旦当这个主流被抽空的时候,不得已的推倒重建未必是坏事。
就网络安全行业而言,我觉得大量的资源人力物力都存在极大地浪费。大家做得事情千篇一律,同质化明显,效率低效果差,所以客户觉得不值钱,大部分技术产品做到最后都做成了商务活动和人工服务,赚不到钱得不到尊重。这种体力活动再干十年,这个行业也不会有任何本质的改变,一个新人不管能力多强,很快就可能会被同化。大家得出一个结论是:这个行业就应该这么去发展,赚不到大钱是对的,公司不赚钱个人赚钱是对的,交付不好是对的因为换个团队也交付不好,新概念一天一个样是对的……
就目前这样的市场,我估计用不了这么多人,绝大部分的人是在做重复劳动,而且这种重复劳动并不是最佳实践,他们仅仅是因为需要有人做,具体是哪个人做以及是否是有提升空间的,这些问题在大量的人头堆积下,已经被掩盖的无影无踪。这种模式想科技兴国怕是很难有所突破。把大量重复工作的人用自动化的技术释放出来,让一批能力过硬的人寻找不同行业的安全场景,再寻找出来行业内的最佳实践,在此基础上进行固化和优化,才能保障行业的快速进步。
其实大家对最佳实践有很多误解,好像一定要多么高大上才是最佳实践,实际上任何一个细分的场景,就在我们例行的动作中,都是大量可以固化的实践。只不过考虑是不是最佳,必须有对比。对比可以是内部的对比,也可以是行业内的对比,总有好坏优劣之分,这种优劣好坏在不同的环境下可能是截然不同的相反面。
最近我老是拿我们公司的安全部门和产品部门举例,比如安全从业人员都会做资产梳理工作,输入的是企业名称,输出的是互联网暴露面清单;还比如说做IP情报画像(溯源反制),输入的是IP列表,输出的是IP对应的价值情报信息。这是基础的不能再基础的工作内容,我相信这不仅仅是我们公司的工作,而几乎是所以安全行业甲乙方都必须具备的基础技能。一方面它们实在太简单了,没有人没做过也没有人不会,另一方面它们实在太难了,同一个工作不同的人来做,效果天地之别。为什么呢?是因为似乎做了就算有交付,除非你有行之有效的对比方法,否则很有可能一个实习生在几次忐忑交付没人提出反对意见之后,都敢于提出老子天下无敌的口号。
没有总结没有对比没有固化,那就是同样的基础工作,明明可以自动化的非得人工,明明可以做到更好的非要交付的稀巴烂,明明可以更加高效的非得拖延很长时间,明明可以成本很低的非得签出一堆人头……你还别说,谁你都还动不了,这么多项目开发,你抽走一个人,项目就死给你看。于是乎人头越来越多,效果却完全没有提升,而是往失控的深渊奔去。
也不是所有人都是这样,任何团队任何环境都有牛人,他们充满了能量和智慧,总能输出高质量的交付。只是那种体系和智慧,并没有很好的移交和传承,比如随着公司的发展,只靠一个牛人肯定不行了,不能保证大批量的高质量交付,所以必须招人过来,这批人需要学习和总结,需要指导。即便抛开那种“教会徒弟饿死师傅”的因素,我们也可以看到老师傅苦心专研十余年,岂是你一朝一夕可以学得会的呢?那么是不是都是一个一个口口相传呢?等十年?
这些都是行业内的大问题。答案当然不是等在那里。让大家成长是一个企业必须完成的动作,是企业做大做强的根本,只是如果任何一项基本动作都需要重新学习,等待那么长的时间,这个企业怕是很难成为伟大的企业了。你要把一个应届毕业生带成专家,少不了一万个小时。我们这么举例,一个专家是10分,一个应届生是1分,不会每个人都成为专家,世界上也没有那么多专家(必须要热爱和好奇心),大部分的人都是挨着及格线来的,那么我们提升生产力的方式是根据专家的经验找到快速输出8分的方式,固化成自动化,这样就能保证一定时间内的质量,以及并发的效率。
听起来有点莫名其妙,实际上没那么复杂,工业革命就是让大家进入机器时代,纺织的不用学几年了,机器自动化。小时候在村里见过杀猪的,几个身强力壮的小伙跑过去按住猪的四肢,大汗淋漓,一刀进去呼天喊地,庖丁解牛似的切个几百刀。那时候杀猪跟过年似的,一群人站在旁边待一个小时看着,那时候没觉得耽误事,今天再来看,除了仪式感以外,实在是低效。现代的屠宰场,你把猪推进去,十几分钟后出来的是瘦肉五花肉猪蹄猪肝猪血……
当你花了大量时间在做一件重复工作时,并且这个工作需要较长时间锻炼才能保证效果时,那就是我们需要提取最佳实践的最佳时刻。这些最佳实践在不同的公司被视为核心竞争力,密不外传,因为想保证自己的持续领先地位。其实这些担心但是不必要的,特斯拉把所有技术开放,谷歌把核心技术思维发论文才有了后来的Hadoop等等。核心竞争力是我告诉你方法,但你短时间又学不会,比如芯片。实际上,一个更加开放的技术环境能够让国家让人类科技加速发展。你以为的最佳实践也还是最佳实践,但凡你敢拿出来秀,总有人做得比你更好,只是值不值得的问题。
我们公司的会议室以安全工具命名的,比如burp代表web渗透最好的被动工具最佳实践,比如nmap作为端口扫描最好的最佳实践,ida作为逆向的最佳实践,metasploit是渗透框架的最佳实践,cs是渗透后的最佳实践。每一个都是,但是每一个其实又都不是,因为太小众了,市场就很小,让我来做,每一项都不是那么不了挑战,我总有信心能够完成一些超越,但是不值得。很多人总想基于这些来改动,为什么要改动?因为虽然是集大成者,虽然能覆盖绝大多数需求,但不是很满足他们的场景,而且很多点都明显可以做得更好。你看这些又都是机会,做好了都是市场,只是钱不多,市场没兴趣,技术人员自己学习研究而已,起不了大浪。也没必要把所有的市场都吃掉,最佳实践是有时间窗口的,花20%的时间完成80%的效果造福世界挺好,后面改进那20%的效果值不值得就需要讨论了。最佳实践就是效果和成本达到当前最佳平衡的点,两者都要考虑,单纯的只看效果或者只看成本都是不对的。
我要拿fofahub固化安全组的流程,要让研发工程师输出流程,然后跟安全组做对比。我们的CSO同学说不公平,他说安全部门总结的经验告诉研发,研发又能写工具,那么总会比现在的交付更好,双方合作就好不要对比。我听了先是一愣,然后觉得很有意思,这里面透露几个深层次的问题:一个是大家承认有很大的改进空间,无论是效果还是效率;二是对于交付到什么效果有没有尽力之前是没有做要求的;三是根本没有固化最佳实践,不同的人进来进行不同的思考,写不同的脚本工具,成长参差不齐监督效果也就参差不齐。
大家都觉得有更好的方式,但是大家都不觉得应该要做到最好的方式,因为投入成本太高。嘿,这个就有意思了,假如不让你投入这种思考和开发的成本呢?也不让你投入培养的成本呢?我们把别人的最佳实践固化下来给你用呢?让每一个新入职的都能点几个按钮输出80分,你要不要?
人类的每一次升级,就是有一些人发现了一种大家都大量遇到的场景,再结合一种成本可控的方式固化了下来,然后另一波人又找到了提升效果很多倍的方法,周而复始。每一个产品的使命如果不是某个场景下的对比最优解,那么它就是没有生存空间的。
这么说起来,这些产品就太多太多了,永远做不完。确实如此,几乎每个行业都存在大量的资源浪费,都存在着大量的内卷,大家叠罗汉似的一个堆着一个,谁也动不了。如果你选择的是一个小众市场大家不关注,小而美也是一种很好的活法,如果你选择的是一个竞争激烈的环境,你又不能证明你是好的(不要听用户说了什么,要看用户用不用,身体是实诚的),那么必然得你会希望别人也不要找到和固化最佳实践,否则你就得换个方向了。
网络安全细分领域太多,要识别主战场和枝节小插曲。与我们而言,fofa和goby都还不是主战场,我们希望fofahub能够做一些让行业提速的事情,让行业内的大量人力释放出来,去做优化升级的动作,去做更有创造性的工作。我们的使命就是找到尽可能多的各个场景的最佳实践,固化下来,传播出去,只有这样才能做到科技兴国。
最近的时间里我们做了一些事情,比我想象花的时间更长,难度更大,所以fofahub系列的第三篇一直拖在这里。还有很多基础工作要做,不过我感觉快了,还有一点时间我们再收拾收拾,就能跟大家见面了。我们的企业未来将只会为了这个目标生存下去。