导读:对于很多人来说,黑客是一个既炫酷又神秘的行业,很多人穷其一生希望成为一个黑客,在互联网上攻城略地。而就在很多人想着怎么攻破互联网安全墙的时候,有这么一群正面黑客正在帮助人们维护互联网安全,我们把他们称为白帽。本期话题我们就将接触到这样一群白帽,向大家讲述他们的创业历程。
一、宁做兴趣的主人,不做成功的俘虏
其实我的创业经历要追溯到05年的时候,那时候对互联网音乐领域比较感兴趣,所以就做了一个互联网音乐平台,不温不火的过了几年,最终关闭了。这是我第一次尝试去做一份自己的事业,无所谓成功或者失败,当然,这几年的互联网创业经历也让我对互联网产品有了更深入的认识。
而我真正意义上的创业应该算是建立中国煤炭机械网,这是我在11年的时候开发的第一个面向企业的产品。
11年我开始创业建立网络尖刀团队的同时,在煤机之城鸡西,与另外几位合伙人建立了中国煤炭机械网,定位垂直领域的煤机电商。
经营了两年,产品实现赢利后,就留给合伙人去经营了。随后我在13年夏天加入知道创宇,负责安全联盟站长平台,同时也在负责SCANV扫描引擎一些事情。
很多人问我为什么选择在网站走上正轨实现盈利的时候离开。
对我来说,我是那种适合冲刺的人,带团队,组团队,快速赢利商业化。但是在黑龙江鸡西这样的城市来讲,平台确实有点小,资源什么的也不如一线城市充足。所以当和知道创宇接触上之后,聊了很多关于互联网安全玩法,这让我非常着迷,所以就离开了自己的公司,成了知道创宇的员工。
二、网络尖刀——兴趣范的互联网圈子
网络尖刀其实是一个非企运营的互联网虚拟团队,目的是把一些垂直领域的人,聚集在一起,在互联网上成为一把尖刀。当初的构想是建立安全、产品、运营、公关四个团队,算是一个互联网社区,其实说成圈子更适合一些吧。我们原本是通过一个社区BBS交流,后来发现用QQ群更直观,所以就改用了四个群来完成这个共同成长和交流的圈子。这方面安全团队氛围搞的最好,所以接触到我们的人,就把网络尖刀定位成了一个互联网安全品牌。
平时主要是安全方面交流的居多,比如我们去挖掘哪个厂商的漏洞,一个人搞不定了,一群人去研究;哪个在做产品 一群人去完善规则。我们为这些企业都提供安全支撑及服务。在网络尖刀这个团队,我们达成的共识就是:兴趣范不该夹杂商业价值,团队个人是有直接的收入的,团队不需要。
三、做懂得分享与分担的网络尖刀
我们是一群有共同兴趣和爱好的人,一起做一些不赚钱,但是能一起开心的事情,传播一些我们认为对的精神和思想。金钱冲刺的时代,让交流、共享的精神慢慢变的少了,人们只在乎别人给的分享,却很少愿意一起分担。我们只是希望能在这个小圈子里,做好分享和分担这两件事。
其实分享和分担在一个团队里是相辅相成的,有好的思维、好的心得体会、学会了新的技能,要沉淀下来成为教程,做到可复制化,让团队里的大部分人都能具备这种技能。我想这就是分享了,不吝啬自己得到的好东西,懂得拿出来大家共享。
比如我们常说的0day这个概念吧,我们发现了,某个开源组件一个通用的漏洞,各个大厂商很多都有用这个组件的,他一个人可以拿这个0day去刷很多漏洞出来,变成礼品或者钱。但是在尖刀里很多人是选择把这个漏洞公开,小伙伴们分工,你去哪个,我去哪个。谁搞不定,那就一起研究为什么没搞定,遇到事情一起解决问题的过程,也自然就是分担。
四、Sobug众测——做安全测试领域的桥梁
关于加入Sobug,主要是因为和Sobug创始人的做事风格以及对互联网安全的理解有着共同的思想,大家兴趣相投,就加入进来一起做好这件事。
相对于部分现有众测平台由白帽自主发现漏洞再分散提交而将甲方摆在相对被动位置的模式,Sobug 有着相反的思路。
我们对 Sobug 的理想定位是这样的:让甲方采取主动权,由公司主动在平台发布众包测试请求,再由白帽接单开始为其提供测试结果和漏洞报告,最后由甲方向白帽和平台付费。
这其中有几个众测平台容易碰到的问题要解决:
首先是民间白帽的潜在风险:甲方往往难以对民间白帽付诸信任而将产品交给他们测试,与此同时平台也很难保证这些白帽测试后的漏洞走向。信任是众测的根本,否则这个市场需求就不成立。对此,Sobug 采用了堡垒机的解决方案。通过在 Sobug 向白帽提供的堡垒机中模拟甲方申测产品环境,从而将参与测试的黑客其行为限制在可控范围内,同时将对堡垒机的远程操作进行录屏以监控他们的行为。
其次是报酬:报酬是驱动白帽参与测试并最终报告给厂商的直接因素。如果报酬不合理,白帽测试的动力就无法保证,更坏的情况可能导致漏洞流入其它渠道。Sobug 的做法是有平台建立定价体系和定价标准,再交由厂商选择接受或进一步与白帽商讨,从而保障白帽的收入同时让漏洞价格更公开透明。
接着是与传统安全厂商的共生关系:众测平台理论上与传统安全厂商存在竞争关系,而且会压低传统安全厂商服务的价格。冷焰决定将竞争转化为合作。现在传统安全厂商有很大一部分支出用在市场和销售,如果和平台互相做信誉背书,传统安全厂商在平台领取甲方发放的高端测试需求,就能极大地减少技术之外的成本。
五、传递正能量——网络尖刀校园行
网络尖刀在线上已经做了两年了,线上的圈子已经相对成熟,后面想做一些线下的交流。所以我们又在一些学校成立了校园行计划,免费在学校内开展差不多安全培训模式的课程,普及安全能力的同时树立正确的信息安全价值。在校园内由网络尖刀成员自发,组建校园信息安全社团。定期在校园举办小型课程,一节节课程去给感兴趣的学生讲课。
目前开展了5个学校:西安电子科技大学、杭州电子科技大学、上海复旦大学、福建泉州师范学院、北京现代管理大学。
这五个学校里有我们的核心成员,所以由他们发起。北京现代管理大学那里已经有了线下社团30人的规模了,后面我们还会在更多城市,更多学校做更多的交流,希望能通过我们这个圈子对互联网安全的理解,帮助更多的年轻人树立正确的互联网安全方面的价值观。
结语:对于未知的领域,很多人都保持着敬畏的态度,而深入了解之后,你就会发现生活一样很平淡,在小编看来,传奇也不过是能够把一件平淡的事情一直坚持做下去。
原文刊载:创业早报,QQ:1071803295/微信:s1071803295
网友评论