四葉草安全度過了自己的十周歲生日。在周年慶上，創始人馬坤說，十年是四葉草安全的風雨漫漫創業路，是無數小草凝聚心血、揮灑汗水的十年陳釀。

　　十年有多久？是三千六百五十天、八萬七千六百七十二小時、五百二十六萬零三百二十分鐘。對于尚且年輕的網絡安全行業來說，這番歷程已不算短暫。

　　相比位于北上廣深的企業來說，從西安生根發芽的四葉草安全或許天然缺少豐富的資源和高調的舞臺，但這并未阻攔他們的江湖地位。馬坤作為白帽安全圈的老炮，書寫過濃墨重彩的攻防對抗，引起過圈子大范圍的轟動，創辦四葉草安全后，他帶領公司成為立足西安網絡安全的一張名片，并進一步發展為行業中輻射西北、面向全國的一塊磐石。

　　一枚小草看似飄搖，四百多小草實則強韌，站在十歲的臺階上，回頭與向前，都是故事。馬坤卻說，十年，這才剛開始！我們找到這位桀驁的黑客，和他聊聊起伏的過往，和不可知的未來。

　　正義與破壞 只在一念之間

　　學生時代的馬坤原本是一個妥妥的學霸，高考失利是他人生中的第一次打擊。在與之向往的名校失之交臂后，巨大的落差讓他一度消沉，在一所普通一本理工院校變成了游離課堂之外的“怪”學生。天天泡在網吧，卻意外接觸到了“黑客”圈子。神秘、好奇，他開始對黑客的一切產生濃厚的興趣。

　　那是二十一世紀初，哪有什么現成的網安人才培養體系，憑著一腔熱情，馬坤的學霸基因重啟，開啟瘋狂輸入模式，往返于圖書館與網吧之間，查閱書籍、觀看教程，自學摸索各類遠程控制、木馬、鍵盤記錄等技術。

　　紙上談兵算不得熱愛，實踐出真知是成為黑客的必經之路。在大學期間，馬坤干了許多看起來“離經叛道”的事兒，比如，通過IPC共享的漏洞控制機房電腦發布恐怖網頁；黑掉學校網站，控制辦公系統拿到幾份試卷的樣卷；滲透進某整個省的高校，在網站的js文件中掛出尋人啟事尋找失聯同學……

　　在2001年中美撞機事件發生后，民間爆發了中美黑客大戰，轟動一時。出于樸素的愛國正義感，馬坤作為組織者之一參與其中，化名為某ID，在短時間內成為了中國紅客聯盟核心成員。在歷時七天的較量中，他和盟友們將五星紅旗插遍美國各主流網站，這段頗為刺激的經歷，讓黑客圈子記住了馬坤的名字。

　　技能的逐步升級讓他不再滿足于僅從國內社區汲取養料，他開始與國際上的同行們交流切磋，掌握了更多滲透實戰經驗。2005年，馬坤以核心成員的身份加入了火狐技術聯盟FST，ID為cnfjhh，圈內人稱cn。

　　當時就有朋友鼓動馬坤，“聽說你能力很強，有本事把暴雪黑了。”那是《魔獸世界》（暴雪公司出品的網絡游戲）風靡全球的2006年，年輕氣盛的黑客絕不服氣，當即就磨刀霍霍，在滲透中發現了漏洞并潛入內網，在官方主頁留下了一句「Test by cnfjhh」。

　　這場到此一游的打卡，馬坤并沒有改動任何東西，也沒有留下任何后門。在他還并不算長的黑客經歷中，雖然有入侵的能力，但他從未破壞過任何他人網絡。

　　炫技，或許是很多黑客在網絡世界中證明自己的方式，馬坤說，“我干這個事是因為我喜歡，我想證明我可以。正義，應該成為能力的一個底線，絕不因誘惑去污損自己的愛好。”

　　不當藥販子 要當良醫

　　一直以來，黑客技術在馬坤心里就是一個純粹的愛好，大學畢業后，他走上了常規的職場之路，先后在政府單位和一家百年外企工作。在外企的五年里，雖然待遇豐厚，但看著技藝逐漸塵封，他還是充滿了失落。身邊的朋友們在陸續熱火朝天地創業，馬坤不禁心動，“我在黑客這個事兒上投入了這么多，能不能讓興趣和事業產生結合呢？”

　　舉棋不定之間，有朋友給馬坤介紹了一個外包項目，他與黑客圈子的幾位朋友完成交付后，看到了希望——興趣能力也可以用來工作。于是，他與幾個兄弟組隊，為CNCERT檢查全國多個省運營商網絡漏洞問題，這再次印證了他的希望——這項技能不僅可以是一份工作，網絡安全未來會逐漸成為一個具有市場需求的行業，自己的技術是可以有所作為的。

　　拿出工作攢下的微薄積蓄，幾個志同道合的朋友，一間辦公室，2012年，西安四葉草信息技術有限公司誕生了。

　　攜攻防技術而入行的四葉草安全，立志要成為網絡安全解決方案提供商，但是初入商業市場，第一課就是顛覆技術發燒友的理想化認知。

　　“我們就是個沒活、沒客戶、沒人的三無團隊”，馬坤回憶說，“當時的大環境，客戶認為做安全等于買設備，他們的合作伙伴，就是安全設備銷售商，不是我們這種徒有技術的正義黑客。”

　　商業的本質是趨利，標新立異并不是問題，但沒有競爭力、沒有探索出商業模式只能被火速淘汰。馬坤在理想與現實中彎腰，為了保證生存，轉變為銷售角色賣了十余單安全設備。

　　在這個過程中，他卻越發肯定了自己最初的判斷。“安全行業需要解決的問題，跟生病就醫是一樣的，身體不舒服，首先應該做診斷，因此發現用戶的漏洞和缺陷是第一步，然后再對癥治療，而不是不管緣由直接賣藥。”

　　病人不清楚自己哪里有問題，醫生只關注藥品的銷量和利潤，這種頭痛醫腳的怪圈是不健康的。診斷不賺錢，所以沒人重視，但馬坤覺得，該走的路，一步也不能少。

　　于是，馬坤帶領團隊嘗試著新的模式，在售賣設備之前先給客戶做安全評估，拿到授權后模擬攻擊者的思路和行為進行滲透測試，發現存在的缺陷弱點。人工安全服務何其辛苦，沒有產品，就只能手動檢測每一臺機器、每一個網段、每一項配置，完全依靠專家知識和經驗，報酬卻非常微薄，公司發不出工資是經常的事。

　　以攻促防 把技術沉淀成產品和服務

　　財務上的窘迫驅使馬坤思考公司的發展方向，完全依靠人力去做安全服務，肯定不是長久之計。一方面，身處西安的四葉草安全在人才招募上面臨瓶頸，另一方面，要把攻防技術甚至是非常攻擊者視角的知識經驗沉淀為更普適的、適合防守方使用的安全產品并不容易。

　　馬坤認為，這需要把「人的能力」插件化，并且把讓「攻」和「防」都實現自動化。

　　他和團隊伙伴早年混社區的優勢，搭建了一個安全社區，集思而廣益，匯集了大量的、新的、高級的黑客思維、攻擊手法，再結合四葉草安全長期積累的一線經驗和精湛技術，梳理進行數據建模并輸入到產品頂層，發布了國內首款基于社區的分布式漏洞掃描平臺——Bugscan。

　　在后續的產品設計中，馬坤解釋道，“我們有個內網探針，可以抓獲內網流量，以便快速學習其中的行為特征，并將其形成類似于規章制度一樣的規則。產品部署比較靈活，可以旁錄進去，也可以串聯進去，一旦發現異常，串聯進去可以做攔截處理，旁錄進去也可以做預警處理。”

　　下一步是自動化的防御，“黑客入侵的思路通常是通過工具暴力枚舉、或者是對某個SQL注入點不斷進行嘗試拆解，包括數據庫字段、表段等，從而暴露更多的敏感信息。而我們會部署動態混淆加密技術的前置產品，一旦黑客訪問，URL會在一次訪問后自動加密，待第二次訪問同一個URL時就已經失效了。這步操作就可以抵御絕大部分工具類的黑客。”

　　這樣就形成了從內網到外網的防范機制，實踐中會根據客戶體量，部署數量相匹配的探針及外網軟硬件。這套從感知、監測到防御的安全產品+服務的體系被命名為感洞Bugfeel，在落地實踐中取得了良好的反饋。同時，隨著服務客戶的增多，團隊體會到不同行業需求和場景的天差地別，四葉草安全開始從通用安全服務往細分行業發力，定制出面向金融、運營商等行業的綜合安全解決方案。

　　從2017年起，四葉草安全與螞蟻金服達成戰略合作，為其平臺商戶提供全面全時段的安全檢測和監測服務。這輪合作不僅讓四葉草安全真正面向大型互聯網企業積累經驗，也讓馬坤看到螞蟻生態中更多的中小企業面臨的安全困境——總是被攻擊被勒索，卻不知道哪里有風險，不知道怎么做防御。

　　馬坤意識到，安全不能只是行業頭部才能享受的服務，中小企業的安全需求同樣是普遍而急迫的。他們將旗下產品與服務進行整合，推出了SaaS化智能化服務平臺凌洞，提供一站式的安全產品服務，可以幫助用戶用更低的成本、更高的效率建立起安全屏障。

　　做正確的事 市場會給你答案

　　如果完全從商業的角度考慮，服務中小企業可能并不是最上乘的選擇。目光拉長，我們回望四葉草安全的十年，會發現馬坤的選擇與答案。

　　就像創業之初大家都在賣盒子的時候，他也知道做安全檢測不賺錢、做安全服務很累人，但該走的路還是要走的。就像還作為獨立黑客的時候，擁有高超技術要想變現并不是太難的事情，但輕松的選擇不等于就是對的。

　　在2015年拿到Pre-A 輪融資之前，四葉草安全出現過幾次發不出工資的情況，直到2017年，公司才開始走出虧損實現盈利。“持續的投入、長久的蟄伏確實是熬人的，但堅持做正確的事，市場是會看到的。”馬坤表示，“我們總是在說安全行業要守護國家數字經濟建設的安全底線，這么多中小企業的安全缺陷不就是底線嗎？安全不應該讓他們望而生畏，我們有能力和經驗，服務中小企業是非常適宜非常應該的。”

　　其實，堅持本心不是為了感動自己，作為一個企業家，對員工、對行業、對股東都負有重要的責任。馬坤認為，走正確的路，不僅是贏得自我尊重和旁人喝彩，哪怕是最世俗的財務回報，也會在正確的道路上悉數回饋。

　　他表示，能夠在資源無法抗衡一線城市、經營狀況欠佳的境遇中獲得資本支持，更多就是對團隊理念和價值觀的認可。此后，他們幾乎保持著每兩年一輪的融資節奏，其中包括螞蟻金服的巨額注資，客戶和市場當然不是用腳投票的。截至目前，四葉草安全已累計為6100多個用戶項目提供技術服務和安全保障，同時旗下的感洞平臺為1700多萬互聯網企業的資產安全風險持續保駕護航。這些成果，是十年的堅持帶來的。

　　馬坤的赤子之心不僅體現在做產品服務客戶上，他們還一手搭建了網絡安全人才培養體系。自學成才的他深諳技術人才對于行業發展的重要性，安全公司不能沒有人，但是如何挖掘理想的人才、如何培養出技術精湛的人才，一直存在很大的市場缺口。

　　早期的安全社區和Bugscan為喜愛或從事安全工作的技術人員提供了學習與交流的陣地，自此，他們基于自身的攻防實戰基因打造了網絡攻防實訓平臺、網絡攻防競賽平臺，并從2015年開始舉辦SSCTF網絡安全技能大賽，開鑿安全從業者水平縱向成長路徑。

　　如今，公司已經成立了網絡安全人才培養專屬部門——四葉草網絡安全人才培養與創研中心，提供數字時代下的安全學習產品、靶場產品、安全保障服務、安全競賽服務、認證培訓服務等，形成人才培養、技術創新、產業發展的良性生態。

　　回過頭看，四葉草安全的業務覆蓋了漏洞風險發現、安全防御體系建設和攻防實戰型人才培養，始終是圍繞著其提倡的「以攻促防」理念來為行業提供服務和價值。

　　行業逐漸細分 搞安全從來都不容易

　　這十年不僅是四葉草安全從無到有的十年，網絡安全行業也從不完全成體系到如今細分領域眾多、參與者眾多，整體呈現蓬勃向上的大好發展之勢。

　　馬坤認為，現在的安全創業起步或許會變得更加簡單，但實現安全本質、滿足安全需求也會變得更難。

　　行業起步階段，傳統安全廠商傾向于做大而全的業務，但實際上，用戶并不是需要一個全家桶，只是基于一些客觀現實環境，用戶可能并不希望引入很多的安全服務商，他會希望有一個服務商來解決所有的安全問題。這導致了安全行業中一個很現實的痛點——同質化嚴重。

　　往后發展，安全需要能真正解決問題，行業必然會趨于細分。雖然底層技術——無論是操作系統、協議或是算法是通用的，但是賦予到上層應用時，面臨的是不同的業務場景，會促使針對性更強的、聚焦細分領域的安全解決方案的出現。同時，在面向的客戶行業也會趨于細分。比如，運營商會有自己的政策和訴求，金融行業有相應的標準和等級，甲方對于安全的需求越來越旺盛、同時也越來越精細。

　　反映到如今的安全創業生態中，資本市場和創業企業都會去瞄準一些細分的安全理念、技術趨勢，比如專注于數據安全、業務安全、交付安全等等，設計出能與大廠同臺競爭的方案和服務，滿足對口客戶的需求。

　　對于創業者來說，無論是投資環境還是國家政策和客戶意識，無疑是比十年前健全很多的，創業不再那么舉步維艱。但與之相對應的，安全技術和客戶業務的融合要求變得更高，不懂業務很難能把安全做好，各行各業的信息化依賴程度只會越來越高，一旦發生安全事故往往都是大事，滿足合規和保障安全都不可掉以輕心，雖然政策東風頻吹、資本信息高漲、市場在持續擴大，看似無限機會在前方，想要活下去、立得住，需要有真功夫。

　　談到四葉草安全的下一個十年，馬坤表現得非常理性，“按照現在的速度，無論是技術變革還是市場需求，十年足以翻天覆地，我不想去吹牛。但我們希望，未來三年內努力讓公司上市，讓更多的人能知道我們四葉草安全。每個人的精力有限，企業也一樣，我們也需要專注，我們會繼續致力于‘先于黑客發現并解決問題’的思路，在安全攻防領域為大家保駕護航，獲得行業和市場的認可。下一個十年究竟會是什么樣，我們一起拭目以待。”

更多信息可以來這里獲取==>>電子技術應用-AET<<