分享

［编者注： 原文来源于新浪微博http://www.weibo.com/u/1401461852  作者微博地址@皮克斯007。文中观点不代表弯曲评论观点］

今年的RSA2014终于落下了帷幕，又见到了很多老朋友，认识很多新朋友，幸甚至哉。

各大安全公司一如既往的挥金如土，占据最好的展台，聘请最漂亮的mm吸引眼球。大公司的展台策略都是大而全，网络到终端，盒子到云端，俺们啥都有。OneStopShop是也。 新技术方面，很多大公司们基本上都是在跟进PANW和FEYE的技术，争先恐后的表达着我们没有停滞不前，什么流行我们也都玩什么的思路，Fortinet，Intel Security，Trend等等都出了基于虚拟技术的安全方案，虽然技术上是初代产品，但也给了自己的客户一个定心丸。

今年可能是巧合，PANW和FEEYE的展台和演讲不约而同的都没有提任何评测的东西，基本上都当评测机构不存在。PANW和FEYE都是出了名的把用户体验放在第一位的企业安全厂商，也许这也多少说明了他们对评测的看法。

其实评测这种东西对于小公司的市场宣传是很有意义的。但是现如今评测陷入了一个怪圈。很多大公司都在专门为了评测做优化，设立了专门的团队， 甚至用评测来指导产品开发的方向，这个就变成了舍本逐末，把整个研发的团队都投入到评测这种假的不能再假的东西上面换取一张废纸文凭，实在是令人扼腕叹息。

评测机构也要反省自己。当现在0day泛滥，攻击猖獗，木马挂马满天飞，人人都觉得现在的企业安全技术已经无法适应新型攻击的时候，你出来说厂商的IPS检测率是99.6%，你是当用户是白痴还是厂商是白痴。测试的最大问题是都是replay，没有什么人用真正的攻击做测试，说到底还是测试厂商的技术功底不够。自己的声誉被糟蹋的差不多的时候，也就是整个评测产业凤凰涅磐的时候了。

今年令人眼睛一亮的东西，还是在小公司扎堆的南区。

开会前我就说过大家要关注小公司。安全业主要的创新都是来自小公司。这要归功于硅谷的创业文化，而且另外一方面也是大公司的大企业病导致了他们做大做强之后就变得步履蹒跚。

第一要讲的就是Shape Security.

这家公司有着一个一流创业公司的几大要素。 第一，他的创业团队很好很强大。CEO是安全界的牛人Derek Smith。此公有强大的政府安全背景，早年曾经创立了Oakley Systems，专做政府生意，于2007年卖给了Ratheon，这个20B年销售额的巨无霸。Derek之后做投资人，投资了几个不错的小公司。创始人好多都是NSA的人。其中他投资的Morta Networks被安全界的高大上PANW看中于2013年年底收购。Derek带着自己的老部下创立了Shape Security，里面包括了几个响当当的牛人。随便说几个：前ZScaler的VP Engineering，前PANW里面虚拟安全的技术和市场的负责人，google的大牛等等。

第二，他们的技术独一无二，非常新颖。他们解决的问题是针对网站的自动化的攻击。主要的思路是对网页内容的随机化。具体技术细节他们已经放在他们的网站上。他们承认他们不能解决所有的攻击问题，但是他们的技术可以极大的增加敌人攻击的难度。而且他们的技术不需要做检测，就是那种一招鲜，吃遍天的全自动防御。

第三，他们的VC很不错。这个不需要多说，看看他们两年拿了三次钱，6千6百万美金就知道那帮子土财主不差钱呀不差钱。。。

明星的创业团队，独特的技术和极强的专利壁垒，强大的VC，都让人无法忽视这个公司。

接下来的挑战很明显，就是，呃，做出产品来。。。是的，你没有听错，他们的最终产品还没有出来呢。目前铺天盖地的只不过是他们的市场宣传。他们的Marketing团队是当年的PANW的老班底。顺便说一下，当年PANW在Fortinet和其他防火墙厂商的层层绞杀下，定义出了整个一个NGFW市场并且杀出一个50亿美金的巨无霸出来，当年的marketing 团队绝对是功不可没，希望这个团队可以在Shape再创辉煌。

我个人认为他们的技术很有新意，但是产品需要把性能做好需要一个真正懂企业级高性能网络设备的牛人。最近他们刚刚重金请到了一个Aruba的研发总监加盟。此人乃当年Netscreen创业团队里面的清华牛人，当年PANW捧着金闪闪的Offer都挖不动， 一路辅佐Aruba上市并且一手开创了Aruba中国公司。这个人的到来相信Shape的老总们做梦都要笑醒，希望他丰富的经验可以帮助他们解决这个短板。

另一家Derek投资的小公司是SynAck。估计明年就可以在RSA看到他们了。

前文讲了Shape以及Derek系的几个创业公司。其实硅谷里面安全圈子说大不大，说小不小。既然开始讲系列了，我们就索性说个痛快。

今天谈谈Fengmin系。如果说Derek是政府圈里的高大上（当然不只他一个，其他的日后再说），Fengmin绝对是近几年工业界里面最德高望重的技术领袖之一。Fengmin不仅自己成功，而且为安全界培养了无数的人才，下面我们来细数Fengmin系的创业公司。

Fengmin最早的成功始于Intruvert。这家公司创造了安全界多项纪录。他于2000年初创，是业界第一个基于协议解析技术的硬件IPS，而且是第一个千兆的IPS。整个创业团队，就只有Fengmin是真真正正的安全专家，其他人都是做系统和做应用软件的。Fengmin抛弃了美国东部的汽车洋房和高薪教职，不远万里来到硅谷这个什么都贵的离谱的地方来作Intruvert的首席科学家，这是什么精神？（旁白:显然是做死的精神啊。）那时候正是。com泡沫，硅谷一片哀鸿遍野，要是为了钱谁也不会来这种地方啊。

话说回来了，当时正是ISS和Snort这两个 IDS 红火的时候。ISS是软件协议解析，而Snort是简单的模式匹配。Fengmin坚信IPS一定会替代IDS这种陈旧迂腐的旧概念，大旗一招立志挑战所有权威。Intruvert是业界第一个硬件协议解析的千兆IPS，2002年成功做出产品，2003年就被NetworkAssociate相中收入旗下。2004年DCERPC下的漏洞大爆发，硬件协议解析下的IPS技术立刻体现出绝佳的优势，可以不用任何新规则，成功阻断所有利用同一漏洞的变种蠕虫。从而一举成为入侵防御的标准技术。美国著名分析商Gartner甚至说出IDS已死，有事烧纸的话来，实际上宣判了IDS技术的死刑。

Intruvert产品的体系结构和实现也极为优异。一方面有Fengmin这个总架构师，另外当时有几个技术牛人（后来这几人都在硅谷最火的创业公司里面担任核心位置，当时这些人能聚在一起也真是机缘巧合）把握细节，整套体系结构基本上工作了10年没有大的变化而且稳坐业界IPS第一的宝座，在硅谷这种竞争环境下也真是难得。

Fengmin对攻防技术的前瞻性判断能力，以及对系统架构的总体把握能力，在这一役得到了充分的体现。

当时投身Fengmin旗下，和Fengmin一起创业的人，日后都各创辉煌。硅谷目前炙手可热的创业公司和成功公司里面，基本上都有Fengmin系的人马。

Fengmin系下的公司，每一个都是一个长篇传奇，本系列里面没法写了，待我日后有空再写上几个回合。简单列个表吧：

Palo Alto Networks，（PANW)，江湖戏称平底锅。市值50亿。

FireEye， FEYE，火眼公司 ，市值100亿。

Bromium， 目前最火的初创安全公司之一。

ArcSight，上市后被HP收购。

Cyphort，今年的RSA Sandbox Finalist。

其他还有三个Fengmin投资的小公司，都是他以前的老部下开的。

好了，言归正传，下面我来八卦一下目前Fengmin创立的公司， Cyphort。

大家可能还记得我在讲Shape的时候，谈到一个好的初创公司的三个要素：团队，技术和VC。很多人下面问我为什么团队第一位而把VC放在最后面。这里有一个很重要的前提我没有讲，就是这个三要素主要针对的是那种有成熟的创业团队的情况。创业大体上有两个黄金期，一个是20岁出头，年轻力壮，血气方刚，除了热情和时间啥也没有，另一个是40岁左右，比较成熟，经验丰富，年富力强。

硅谷是创业者的天堂。互联网圈子里面，第一类很多。企业安全市场里面，基本上创业的都是第二类。在这种情况下，团队的好坏就基本上是决定性的。如果你有一个明星团队，主要成员都有比较强大的经验背景和成功经验，基本上拿到钱都是不成问题的，其实好的VC在日后的公司发展中是相当关键的，我这里基本上就是假设了最好的团队一定是拿到最好的VC。在很多时候，大公司在买小公司的时候，其实不是买技术，而是买人买团队。举个例子，当年Facebook收购FriendFeed，主要就是为了把Paul Buchheit，这个google第23位员工，Gmail的发明人揽入旗下。

下面说说Cyphort。在开始的时候，Cyphort的创始团队非常的一般。创始人阿里同学很有想法，可是就是一个毛头小伙子，很长时间搞不到正八经儿的钱。当时的几个元老，一个一个都离开了公司。Cyphort的转折点就在于Fengmin的加盟。

现在你去Cyphort的主页看看，就会有一种明星团队的感觉了。当前的CEO Manoj是Juniper的元老，曾经的Junos的当家人，在Juniper里面多个岗位历练多年。当年Cyphort找他的时候，他和我聊过。我当时和他说的很清楚这个公司就是因为Fengmin所以才有意义。 此人思路很清楚，做事也很有章法。上任之后重建了整个团队。

VP Engineering是Cisco来的，此人有很多有意思的八卦，其中最有趣的是他在McAfee的时候的。下面这个传说来自单一信息源，无法保证真伪。据说McAfee当时人员流失很严重，很多人都去了小公司创业，当时作为外来的和尚，把他从Cisco请来之后，就让他去分析一下大家为什么走，如果才能提高企业凝聚力。他深入基层，走家串巷的成天在各个Cube里面溜达，最后发现确实很多问题，但是积重难返，恐怕无力回天。最后他提交了一个报告，内容翔实的指出了各个毛病，说如果不改进的话恐怕大船要沉的妥妥的。高潮在最后，报告附带了他自己的一纸辞职信，显然经过调查，他意识到自己上错了船，立刻辞职，一流青烟直奔Cyphort去也。

下面说技术，Cyphort目前被看作是FireEye技术的一个类似产品。基本上也是用虚拟技术来做高级攻击的检测。其中一个显著的区别是他们走的是Software Appliance的思路。他们的技术，因为有了Fengmin, 肯定不会差。再加上整个Cyphort的产品管理团队都是从FireEye来的，目前业界对他们是非常看好的。

讲了这么多网络安全的公司，顺带涉及了Derek系和Fengmin系。其实Fengmin系才开了个头就结束，听众表示很不过瘾。刚才敲诈勒索PANW的某猥琐VP，怎奈此人一副死猪不怕开水烫的架子，遂决定跳过PANW的八卦，进入新的环节。

下面该讲讲主机安全的小公司了。头一个就是Cylance和Foundstone系。

这么多年来，现在是做漏洞分析和利用技术研究人员的最好的时光。因为重视这个的人越来越多了。其实，现在基本上攻防对抗，防守方最薄弱的地方就是这一块了。那这也就意味着攻的一方最大的突破口就是这里，那一定是痛打落水狗。现在外面爆出来的0day都是相对很简单的初级货。那只是冰山的一角。真正的高级APT里面用的东西，很多人看了都会不寒而栗，那差距是非常大的。

这个现状，很可惜很多安全公司还没有意识到。这其实是整个全球安全形势的变化，攻防在进步，可是传统安全公司还没有跟进。在传统的安全公司里面，尤其是做防火墙，防病毒，安全网关的公司管理层里面，觉得exploit只是一个小小的addon。 很多人至今不理解FireEye到底为什么这么火，也不理解野火对于PANW的重要战略意义。做这块的人在公司里面还是二等公民，被人当作一帮写签名的初级垃圾兵成天使唤来使唤去，想法和做的东西其实得不到高层的认可，更不用说影响公司的产品技术革新的路线图了。

我简单说一下困境在什么地方。举个例子。在一个防火墙厂商，最大的优先级一定是性能，稳定性和策略管理。你要加新的检测模块，对不起，不行。现有的东西不是已经可以工作了吗？你为什么不能就写个签名糊弄一下呢？什么？签名可以被绕过？一定要有复杂的模拟器？你别逗了，有了这个东西我们的performance会下降多少？ 或者，你说ROP的shellcode是大势所趋？提出证据来？什么？你有你自己写的exploitcode？你有多少例子啊？没有这个东西我们的检测率会下降多少？评测没有了你的东西会不会有质的区别？你没有答案，哦我没有功夫看你的whitepaper，你把这些东西搞清楚了再回来吧。顺便产品经理还要再恶心你一把，提醒你上次你的NSS labs测试结果只有可怜的97%的检测率，而SourceFire都是99%了，你还是先把你屁股上的shit擦干净再来跟我要东西吧。。。。。。

老的安全公司，如果还抱着陈旧的思路，陈旧的产品技术不放，只是满足于修修补补，一定会在这次技术革新的浪潮里面败下阵来，最后形神俱灭。新兴的安全公司，如果能够在这新一轮的攻防对抗中证明自己的实力，必可取而代之。

番外一篇，写在FireEye的SPO之前。

书归正传，我们来看看Cylance以及FoundStone系。Cylance的团队是技术性明星团队。放眼在当前的世界范围的漏洞研究和利用技术研究领域，这个团队的整体实力绝对是世界前几名的。技术上有当年eeye的几个当红炸子鸡，Ryan Permah，Derek Soeder坐镇。如果你不知道Ryan，你应该记得CodeRed。CodeRed是一个病毒历史上一个里程碑式的经典。Ryan@eeye当年是第一个发布对CodeRed的分析报告的人，eeye因此成名。而且他当时就已经非常有把握的知道，谁是CodeRed的作者。无他，实在是因为他对当时写exploit的那几个人的代码特点都分析的很透彻了。Ryan是我共事过的研究人员中少有的技术精湛，又有很强的大局观的人。他为人极为谦和，人品很好。作为Cylance的CoFounder和首席科学家，是技术线的灵魂。

这个团队的灵魂当然是Stuart McClure，他是我见过的最有魅力的技术人员。他天生就是一个技术性CEO的样本。当年他是FoundStone的两大创始人之一，2003年被Network Associate收购，之后执掌McAfee Labs. 前面说过的大牛Fengmin当年都是向他汇报，其江湖地位可想而知。后来Stuart一路官拜到McAfee的CTO，风光无两。但是他深感陈旧的防病毒体系结构已经不能适应新的攻防发展，就算身为CTO也无法把这个陈旧的大机器扭转过来。在CEO David DeWalt走了以后，他也出来创业，成立了Cylance。

他创立Cylance的过程堪称神话。Khosla Venture是硅谷的一线VC之一，Khosla本人，是Sun的起家元老，是在美印度人之中柳传志/任正非级别的人物。连个demo都没有，Stuart只用了一个PowerPoint deck就赢得了Khosla的巨额投资，可见业界对他的认可和信任程度。另外，他提出的问题和解决方案也确实是针砭时弊，切中要害。

去年Blackhat的时候Ryan给我做过一次PrivateDemo。当时确实给我一种惊艳的感觉。他们的产品技术就像他们在网站上讲的，我就不重复了。网站上没讲的我也不能在这里讲。我可以说的是他们确实是对现有技术的一个颠覆，值得大家跟踪学习。希望他们可以在各大防病毒巨头的层层绞杀中杀出一条血路。

再说说FoundStone系。FoundStone的商业模式很特别，因为他们很多人有政府背景，所以他们的创业公司都是同时有服务和产品两条线。服务线是赚钱的，但是没法大发展，服务线挣得钱拿来养产品开发。最后公司大发展靠的是产品。FoundStone的老人出来开了很多公司，最有名的当然是下面这三家：CrowdStrike（George Kurtz），Cylance（Stuart)，还有就是目前最火热的Mandiant（Kevin Mandia）。这三家公司都是一模一样的商业模式。就是服务和产品并举，服务养产品，最后靠产品实现价值。Mandiant10亿美金卖给了FireEye，创始人Kevin如今身价3亿美金。可以说是非常成功的一次变现。

顺便八卦一句，绿盟也是这么走过来的。冥冥中很多事情回过头去看仿佛是经典教科书的东西，其实是当时各种错综复杂的事情的角力结果。那是唯一一条活路，让绿盟的人找出来了。

绿盟当年一群青春热血的年轻人，在一个还算靠谱的大哥的带领下，摸索着走出了一条属于自己的创业模式。回过头来看，当年的竞争对手大多烟消云散。带头大哥说过一句话，钱离你的脑袋越远，就离你的钱包越近。如果当年大家做事是为了钱，是绝对绝对走不到今天70亿市值的。能够活下来完全的源于信仰和坚持。

跟着看我这个系列的人，我希望你可以了解一点，那就是所有的这些所谓的成功的创业明星，技术牛人，他们都是从基本的程序猿攻城狮起步的。牛人都是从平凡中诞生的，关键是对新技术的热爱和对解决实际问题的执着。那么你呢？保持对技术的积累，保持对做出有用的东西的渴望，哪怕你在做一份你不喜欢的工作，也不要虚度你的时光，千万不要为了钱打工，更千万不要为了钱而放弃那些你引以为傲的原则和道德底线。永不放弃。

Stay Hungry, Stay Foolish.

分享