大家好~我是史中，我的日常生活是开撩五湖四海的科技大牛，我会尝试各种姿势，把他们的无边脑洞和温情故事讲给你听。如果你特别想听到谁的故事，不妨加微信（微信号：shizhongst）告诉我，反正我也不一定撩得到。

重返聚光灯，绿盟做对了什么？

文 | 史中@浅黑科技

在我眼里，曾聚集了中国最顶尖黑客的绿盟已经沉默了很久。想到它，我脑海中就浮现出一个透明的绿巨人，坐在桌边喃喃自语。

讲道理，这和它的传奇过往显得并不搭配。（有关绿盟的传奇往事，中哥以后开贴专门聊，有想听的童鞋举个爪）但这个世界的善良之处就在于，它经常猝不及防地给你一些温情反转。

2018年元旦开始，绿盟股价结束了两年半的下跌，从不到9块上升到13，比最低点回升 50%。也几乎是同时，他们的声音在嘈杂的舆论背景声中重新变得清晰。高管出街和发布行业报告的密度陡然提高，存在感一波高过一波。

比起那些闷头赚钱（或者闷头没赚钱）的老哥们，“重返聚光灯”这五个字送给绿盟，应该是没毛病。

归来的历程，绿盟冷暖自知。而从旁观者的角度看，他们一定是做对了什么。

我关心两个问题：

1、作为公司，能否从绿盟身上学到传统安全企业转型的“标准姿势”？

2、作为个体，能否从绿盟的转身中获得经验：一个沉默许久的人，应该如何重返战场？

我把绿盟的操作总结成三招，希望对你也有帮助：

Let's Rock !

第一招：精选一首“主打歌”

在很多人心中，绿盟以安全产品见长，擅长造“工具”。它的各种产品就像刀枪剑戟一样，十八般兵刃可以挂满一面墙，让人眩晕。

然而，就像某些电视剧片尾曲歌手，唱功人人挑大拇哥，但就是不温不火。原因就在于没有一个“主打歌”把它的形象钉在观众的脑子里。

所以，绿盟返回战场前，迫切需要一个“主打歌”。这个主打歌会是绿盟诸多硬件之一吗？显然不是。

执着于工具本身，并不一定带来生存优势。

我想到一个小栗子：

解放战争时期，国民党军配置重型美式装备，解放军大多是一些从日本缴获的轻型武器。

但是，标准美式装备有两个巨大的弱点：

1、对道路的平整度要求非常高。

2、需要耗费大量能源。

而小米加步枪却非常好地适应了中国一穷二白破破烂烂的现实情况，机动性爆棚。

战争的结果人尽皆知。解放军胜利的一个巨大原因就是：看到了战争的“终点”是“消灭对手”，而不是“使用先进的武器”。

作为战争在赛博世界的翻版，网络安全同样是如此。

企业用户想要看到的终点是“解决安全问题”，而不是“拥有安全产品”。

从这个终点反推，绿盟找到的“主打歌”就是——威胁情报。

打个小比方：

硬件端就像一个人的四肢、胸肌、腹肌；

而威胁情报就是一个人的认知（注意不是大脑，也不是智商）。

绿盟的硬件端是它的最强优势，这是路人甲都知道的事实。但我想说，强壮的身躯，并不意味着打架一定能赢。看过《霍元甲》你就能体会这种感觉。

更为重要的是，你要知道对方会怎样出拳，甚至要知道不同的格斗拳路和风格，这就是“认知”。当你的大脑可以判断出对手下一拳会打到哪里，此时你就能优雅地调动全身肌肉躲闪，然后给对手致命一击。

结论是：

只有你具备了“认知”（威胁情报）这个前提，你发达的肱二头肌（硬件产品）才能被正确运用。

绿盟的官方说法，把这种“脑手协作”叫做“云地协同”，这背后的台词是：

肌肉发达的绿巨人试图克制自己的“优势依赖”，慢慢学会有收有放。用认知来控制强壮的身体，而不是把传统优势榨干到极限。

找到主打歌，只是第一步。接下来就要把整个专辑卖出去。

既然企业的终极要求是“解决安全问题”，那么大多企业都需要网络安全提供商回答下列问题：

1、你能解决我的什么问题？

2、你用什么方法，什么技术解决我的问题？

3、你是否能提供一个客观的标准，让我能够独立比对你和同类产品？

于是，绿盟罗列了几个企业最需要自己的场景，举几个例子：

1、企业安全平台：解决“谁在搞我？”的问题。

2、安全态势感知方案：解决“谁想搞我？”的问题。

3、威胁分析系统：解决“谁搞了我？”的问题。

4、威胁情报中心：解决“黑客怎么搞的我？”的问题。

等等等等，还有不少。

这就像孙思邈把诸味道草药组合成固定的药方，恰能对症治疾一般。

这是一种比较务实的心态：你有病。我有药。你关心我的药是什么成分，我也可以解释清楚；你不关心我药的成分也没问题，不看广告看疗效。

好了，总结一下绿盟的第一招：

企业安全的终点是“远离风险”，盯着这个目标，盘算自己的“主打歌”；

“主打歌”应该是“威胁情报”，用“威胁情报”支配优异的“硬件产品”；

主打歌 Ready，然后寻找用户的痛点，为这些痛点设计具体的“全套服务”。

从终点反推路径，从路径反推方案。一目了然。

套用绿盟科技副总裁宫智的话说就是：“从被动响应变成主动出击。”至此，“挣扎”终于变成了“奋斗”。一切开始顺理成章了。

第二招：让别人感受到你的“神操作”

就像一把芭蕉扇。“威胁情报”是扇柄，处在枢纽位置。“硬件产品”是扇骨，给人带来最直接的效果。

然而，这把芭蕉扇能扇灭火焰山的前提是，扇骨要足够坚硬。也就是说，绿盟的威胁情报能力起码要及格。

那么，绿盟的威胁情报能力到底行不行？

之前一些网络安全业内人士对我表达了这样的观点：绿盟“端”的数量不够，且分布不均，没有强大的威胁情报收集能力。

开始我觉得好有道理，你看人家XXX，那么多端，收集那么多海量数据。但是和更多大牛聊过之后，我觉得不能这样简单地理解。

要想说明什么样的威胁情报是好情报，还得回到企业面临的威胁，我粗暴地把威胁分为两类：

已知威胁（主要由在全球普遍爆发的漏洞引起）

未知威胁（主要由 APT 这类针对性攻击引起）

这两类威胁看起来平分秋色，在数量上却比例悬殊：绝大多数企业最紧迫要解决的问题，是已知威胁。目测占到了所有威胁的90%。

再来说一下绿盟的威胁情报的主要来源：

部署在企业端里采集的数据

合作运营商流量数据

安全研究员成果

网络空间探测器 SEER（类似于空间探测引擎 Shodan）和蜜罐系统

交换/购买/合作伙伴数据

根据一些企业安全大牛告诉我的经验：

1、解决已知威胁，用“交换/购买/合作伙伴的威胁情报数据”就可以作为主力；

2、解决未知威胁，情报数据所能派上的用场，没有想象中那么大。

从这个角度来看，绿盟的威胁情报数据，应该可以打到80分。（当然每个人的评价参数不同，但我认为超越及格线肯定是没问题的）

所以，又回到绿盟所说的“云地协同”：威胁情报数据够用，再配合传统优势的硬件端能力，就可以比较好地解决已知威胁。

那么，怎么评价问题解决得好不好呢？

我先给你大概描述一下企业面对已知威胁时的一个经典场景：

一个漏洞在全球爆发，如果企业没有在十个小时之内“亡羊补牢”修补漏洞，那么基本上你就不用补了。。。因为羊应该已经亡得差不多了。黑客已经入侵完毕，植入后门，拿到你的数据，回家吃鸡去了。

（当然这种说法有点极端，看到漏洞爆发，无论经历多久都一定要把自家企业的系统修复，这才是正确的人生观世界观。只是如果拖得时间越长，黑客就会越深入，损失就会指数级增长。）

从黑产的角度看，他们已经形成了分工明确的产业链：

“漏洞黑客”专门研究各大系统，一旦发现漏洞，第一时间发布到黑市；

“开发者”买来这些漏洞，开发成自动化攻击工具，然后第一时间发布到黑市；

“攻击者”原本就长期盯着一些公司，公司里面有什么系统，攻击者甚至比公司内部人员还了解。它会经常浏览黑市网站，一旦发现可利用的攻击工具，马上购买，开干。

从漏洞研究者发布漏洞，到攻击者实施攻击，整个流程下来也就几个小时。

所以，从攻击者开始进攻，到企业开始进行防护，中间有一个时间差。

绿盟和其他安全公司要做的，就是尽量缩短这个“时间差”，最好让它为零，或者为负数。

举个栗子：

海啸爆发，卫星预警五小时后到达海岸。如果你可以让游客在五小时之内全部撤离，那边此次海啸就不会造成伤亡。如果海啸到达的时候，已经撤离了大部分，只有少数财物还未来得及撤走，造成的损失也是可控的。

根据绿盟科技高级副总裁叶晓虎的说法，整合新的技术策略以后，“绿盟已经把以前需要数天的响应周期，缩短到了几个小时。”

如果果真可以达到这个数据，就可以说是让人眼前一亮的“神操作”。

总结一下：

绿盟的”主战技能“——威胁情报得分并不低，只有在这样的情况下，分散在企业中的”特色技能“——各路硬件才能充分发挥作用。

第三招：老司机带带你

如果把网络安全企业比作保镖，那么保镖大哥不仅要干掉明火执仗的敌人，也要干掉放冷枪的狙击手。也就是说，解决了已知威胁，还要解决未知威胁。

如果有人得了常见病，医生就会非常精准地拿出治疗方案。但如果得了罕见病，医生就要一点一点帮你体检，尝试不同的治疗方法。就是因为这种病是你独有的，几乎没有前例可遵循。

绿盟做了什么特别的工作呢？

随便举两个例子：

前置化安全：在企业开发系统的最开始，就把安全的模块和安全的理念嵌入进去。这样开发出来的系统，自然免疫力强健，不太会生病。

红蓝军对抗：和军事演习类似，一边组织蓝军对系统进行攻击，另一边帮助企业的红军对抗攻击。

你有没有发现，这些工作， 与其说是在帮助用户搞安全，不如说是在帮助用户提高自己的安全能力。有种“老司机带带你，一起去飙车”的感觉。

为什么会是这样呢？

还是用医生治病来举例子：面对未知的疾病，治疗固然重要，但是即使华佗在世也往往只能事后补救。而最好的方法，是靠自身的免疫系统。

帮助企业建设安全能力，等企业一起成长，显然不如直接卖产品收益来得快。听起来绿盟像是在做公益。他们也学老罗卖情怀吗？

我倒觉得不是。

简单说来，虽然企业建设安全能力，短期来看成本巨大，而且不利于销售更多的安全产品。但是长远来看，帮助比给予更重要：

1、如果一味为客户，就会让客户成为依赖极强的“巨婴”，永远无法长大，也就没办法用成长来回馈安全企业。

2、市场盘子做不大，你的市场份额再高，也永远是小孩过家家。（其实中国几百亿的安全市场， 和其他行业比起来，就是过家家。过去十年都在过家家，如果未来还过家家，就真的要过一辈子家家了。。。）

这和谈恋爱的道理一样，

一个老司机和一个弱鸡怎么可能没羞没臊地在一起？

看清这一点之后，

老司机是不是应该带带你？

---

曾经的绿色兵团，是黑客精神的旗手，它让一代黑客相信了某种东西。站在此地回望，和绿盟同时代创业的其他黑客们，有的和绿盟一样仍在坚持，有的已经累了，走散在这个时代里，杳无音信。

穿过二十年尘埃，我猜无论是曾经的伙伴还是对手，此刻看到绿盟的肩上还扛着那杆大旗，他们都会觉得释然。

如果在理想主义的时代，能扛起理想的大旗；

而在商业主义的时代，还能扛起商业的大旗，

这事儿多他喵的酷。

在我眼里，绿盟给出的商业答案还远远远远不完美，但是，它比过去的自己更好。

而如何成为更好的自己，才是每个人都可以借鉴的“标准答案”。

再自我介绍一下吧。我叫史中，是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友，可以关注微博：@史中方枪枪，或者搜索微信：shizhongst。

不想走丢的话，你也可以关注我的自媒体公众号“浅黑科技”。