1月30日,福布斯2012年“中国30位30岁以下创业者”获选者——北京知道创宇信息技术有限公司董事长赵伟,在接受本刊回访时,分享了其对国内互联网安全发展趋势、市场前景、商业模式的看法,以及他在这一领域创业多年的心得体会。
作为知道创宇这家互联网安全公司的创始人兼CEO,赵伟更响的名头其实是黑客圈里流传的IC。在互联网安全领域创业8年多,这位国内第一代黑客的代表人物,认为国内网络安全市场正在从合规性转向实战性,正在朝国家安全层面转变,与其他互联网行业不同,网络安全已经直接关系到国家安全,甚至需要国家大力扶持才有未来。
赵伟认为,过去5-10年是国内网络安全的断档期,从国家、行业到网民都存在意识的混乱,不了解对手与自身的能力,“看不清,防不住,攻不克”。创业8年多,赵伟深知要把网络安全做好,必须是很偏执的人,是用生命战斗的人。以下为对话实录:
问:你如何看待国内网络安全市场这几年的变化?
答:目前,整个国内网络安全市场主要在朝国家安全层面发展,比如说反恐、网络空间战等。斯诺登事件以后,政府意识到“没有网络安全,就没有国家安全”,并且提出“网络空间立国”的思路,也就是说,我们之前在网络空间还没有立国。在这种环境下,我们对网络空间的安全要求会比较高,从以前的合规性变成实战性。下一代网络安全,完全是解决用户的刚性需求,真正的安全需求,而不是合规性的需求。这些最朴素的需求,体现为解决国家在网络空间上“看不清、防不住、攻不克”的问题。
问:网络安全企业应该如何看待与应对这种变化?
答:我发现网络安全的市场在国家,不在于企业。有些国内安全企业虽然上市了,但每年利润特别低,几千人规模的团队,利润才几千万元,其中一半三千多万元还是退税。以前一些朋友问我安全行业里最大的企业发展怎样,我说,说起来都丢人,好几千人企业,每年收入不到10亿元,他们觉得这是要饭,哪是开企业?
所以中国的网络安全行业很可悲,但现在国家重视以后会不一样。其实现在美国很多百亿级的网络安全上市公司,也是国家买单。网络安全与别的互联网行业完全不同,有点像军工企业,要靠国家买单,才有未来。
问:知道创宇从2007年成立以来,从网页漏洞监测平台、云防御到网络空间搜索引擎ZoomEye,有很多业内领先之举,在国内网络安全市场的环境下,我们的商业模式是如何搭建的?
答:我们现在有很多国家级的客户,像人民银行、公安部、国务院等。企业安全我们做得比较少,其中金融企业多一些,毕竟哪里最有需求,哪里才有市场。我们做网络安全的,用一句话来形容就是“面朝黄土,脸要望着天”,节气影响收成,首先得把天先看了,接着再把面朝黄土的事情做好。
面朝黄土,就是要帮用户解决一些对它们来说真正核心的问题。我们有两大支柱,一是最底层的安全漏洞的研究能力;一是大数据分析能力。我把漏洞研究叫微观研究能力,就是把一个个漏洞抠到代码级别;大数据是一个宏观能力,我们在统计分析很多数据后,得出一些知识,从数据变成知识很重要。
然后我们又把这种微观和宏观能力相结合,输送到三个地方:
a.网络空间,要看得清。因为它是一个地图,就像日本人打我们的时候,他们的地图比我们的还详细;
b.我们要防得住,像《文汇报》在这次“香港占中”事件中,刚一发声,就被黑客攻击了。其实占中事件中,咱们很受伤很委屈,没干什么就被人家摊牌,想发声,马上就被人家攻击了。用上我们的防御系统后,马上好了。
C.攻得克,就是帮助解决社会上各种案件,各种疑难杂症,比如现在的网络钓鱼欺诈,还有恐怖分子,都是高科技犯罪,怎么解决他们的问题?
我们利用自己的微观(漏洞分析能力)与宏观(大数据分析能力)两个支柱,解决“看得清、防得住、攻得克”三个问题。最外层我们做了很多可视化的东西,安全一定要可见,才能引起大家的重视。
问:按照我们的理解,国家安全当然重要,但作为企业来说能承担和支撑的毕竟有限。未来企业的数据与安全越来越重要,我们将在这块如何布局?
答:to B的市场是我们的一个重点,维护国家安全也是一个催化技术、催化市场,然后面向to B的过程。因为目前整个中国缺少风险意识,为什么缺乏?因为大家都没有资产,资产还不够多。举个例子,像我们这些70后80后,真正能做到有很多资产的很少,因为这个社会变化太快;我们的父辈又是在文革期间“上山下乡”;我们的父辈又是搞国共内战、抗战;再往上他们的父辈又在民国清末,更是乱七八糟。整个一两百年,国人没有任何资产积累,所以什么贵族精神,对资产的风险控制,还谈不上,除非对他们做一些强制的要求。欧美则不同,许多企业包括个人,会拿出固定的收入比例,投入到安全方面,他们从小就有这种意识。
问:我们与安全领域的一些代表公司,比如360的做法有何不同?
答:在我看来,360不是真正做安全的企业,他们真正的收入是在游戏、搜索引擎上的广告。它从来只说自己免费,但不说疗效,对吧?因为它不用在安全上面考虑太多,普通的小白用户,你告诉他安全就安全,不安全就不安全,因为它面对的敌人都是一些小黑客或者做黑产的人。但要真正做互联网安全的企业,面对的是斯诺登他们这些人,这种区别就像停车场的保安与特种部队,完全不一样。
二者的商业模式也完全不同。360从来没有把自己定义为做安全的公司,它是通过安全这个接口,最快地占领用户的桌面端与移动端。我们做的事情是最难的,一个是维护国家层面的安全,一个是挑战行业里的黑产,都是极其困难又不挣钱的事情。
360把其他安全企业干掉了,干掉以后可麻烦了,以前黑客要黑你的电脑,他不知道你用什么杀毒软件,所以为了被杀毒软件免杀,他得做瑞星、江民、金山、卡巴斯基、赛门铁克等一系列免杀,耗费巨大的能力和精力,而且不可能做到每个都免杀,可能只能免杀一半,另外一半还会防御,所以攻击的门槛很高。现在为什么病毒更多了呢?就是其他安全企业全死了,黑客只需要搞定360一道防线就行。安全不是硬碰硬,更像是塔防游戏,强调比较纵深的防御。360把安全变成一道防线:马其诺防线,这就麻烦了。
问:从商业角度看,我们公司目前做得怎么样?
答:我反正对中国比较有信心,我们要把最难的事情做到最好,如果我们还死了,活不下去的话,我们就认命了,说明真不是我们能控制的一些事。我们目前有接近400人,业务收支基本持平,能养活自己,比以前好多了。而且我们2015年预计将有亿元级别的投资进来。
问:未来我们的商业模式是否会有所调整,比如先去开拓一些更易产生回报的领域?
答:这要看情况,我们尽量不转变。
问:知道创宇成立8年,公司未来几年的发展定位是什么?
答:我觉得国家特别重视网络安全这块,我们的目标定位还是在解决国家与产业中用户的核心安全问题,非常刚性的需求。以前的安全市场是合规性市场,就是颁布个什么东西,大家都去买吧,买了放在那就行;现在是真正要使用、真正要解决问题、真正要对抗敌人。以前根本不知道敌人在哪,斯诺登事件后,大家都知道敌人在哪,有多强悍我们是多么弱了,所以我们有很明确的目标。
问:这个过程中最大的困难在哪?
答:最大的困难不在技术上,还是怎么更好地解决客户碰到的这些问题。我们看到的东西超前小10年吧,因为我从小跟国际黑客长大,我们知道他们的能力水平。
网络安全领域,知道创宇有能力看到和做到国际化的东西,可中国整体水平还集中在“经济建设层面”,相对厉害的对手,我们的落后至少在10年以上,以前我们还很自满,但是现在知道我们的对手已经进入了“上帝模式”,在同一纬度上你低别人一个维度,别人就能操控你的生死。
此外,国家对网络安全产业有投入,但往往看不到底层的技术与企业;产业的人才积累太差,有着10年以上底层安全技术经验的人才要么就是去大企业看家护院,要么出国谋求发展,还有好些人干脆转型做黑产。产业人才被抽干了,但是后续的人才培养却没跟上,新加坡为什么网络安全做得那么好,跟国家大力投入培养网络安全人才有很大关系。一说问题一堆,我都不想说问题。
问:知道创宇有一种黑客文化,你本人作为一名企业家黑客,个人时间怎么划分?
答:我也是尽量适应和学习公司的管理,黑客的能力就是迅速学习,现在还好吧。因为我一直是技术狂热的爱好与崇拜者,所以在任何时候都会搞一些技术的学习和积累,我尽量参与到一线攻防等事情。
问:在安全领域做了这么多年,你最深的感受是什么?
答:中国人做企业有时候带着一种仇恨,有些人总是利用人性的弱点去做很多事。有人说,“谁低估了中国人的智商,谁就能挣大钱。”中国民众特别容易被骗,或者总有一种爱占小便宜的毛病,就被很恶意地利用,而不是疏导。
问:这种恶意地利用,包装以后不就是大家说的“互联网思维”么?
答:哈哈,所以中国的互联网思维比较先进。我觉得互联网思维,要看本意与真正的目标,这些都是手段和技巧,慈悲心很重要。不要看他做的技巧,要看他成事以后在干啥?我们对技术的观测比较领先和深入,所以说话比较二。
问:你是否也受过一些做网络安全黑产的人的威胁?
答:是啊,现在我们做ZoomEye,还有人投诉我们,说我们威胁国家安全,成天想把我们搞掉。嫌我们检测出很多国家国际上的安全问题,很容易被黑客利用。我想说我们不展示,人家黑客照样利用!要把网络安全做好,必须是很偏执的人,都是用生命在战斗。
原文发布时间为:2015-03-10