知道创宇CTO杨冀龙：用SaaS模式做互联网安全

从一名黑客到公司技术人员再到创业者，他是中国网络安全行业发展的见证者，更是一个“老兵”。从业几十年，他从黑客BBS到绿盟再到知道创宇，时代再变，但“大侠精神没变”。他就是知道创宇CTO兼COO杨冀龙。

他的其他身份有TGO鲲鹏会北京董事会服务委员。中国民间著名白帽黑客团队“安全焦点”核心成员；《网络渗透技术》作者之一；兰州大学荣誉教授。

在2019 ArchSummit全球架构师峰会（北京站）上，InfoQ技术编辑对杨冀龙进行了独家专访。两人聊了很多话题，包括黑客是一群什么样的人？黑产是怎样发展起来的？如何看待现在频发的数据泄露事件？为什么去创业？知道创宇怎样布局互联网安全？…

黑客的“两种精神”

在国内，“黑客”一词有时会被误解，他们被视为一群干坏事的人。但是，杨冀龙在一些公共场合演讲，经常称自己是一名黑客。

在他眼中，极端追求技术的人，叫极客，极客包括黑客的一部分。黑客是极端追求技术，追求到极致，“他甚至反向来看整个技术，有没有错误，有没有安全问题。如果有的话，把问题修复过来”。

杨冀龙说，“黑客一方面代表了技术，另外还代表了一种精神。这种精神是一种正义的力量。”

什么叫正义的力量？他举了斯诺登的例子。“像斯诺登这种，他就看不惯美国政府干监控全球，他要站出来，向社会、全世界去揭露，传达这种公平正义。”他补充说。

黑客代表两种精神，一是技术精神，一是思想精神。

2000亿 VS 400亿

这种黑客精神与中国古代的“大侠精神”有类似之处。2007年，杨冀龙被朋友赵伟拉着一起创立知道创宇，确定公司的一个使命是“侠之大者，为国为民”。

他这样解释这个使命。“我比较喜欢引用爱因斯坦的一句话。爱因斯坦说过，‘这个世界是一个危险的地方，不是因为那些邪恶的人，而是那些无动于衷的人。”杨冀龙说。

据悉，中国黑产的产值每年是2000亿（注：中国网络安全产业规模2018年仅为393亿），“我们是能看到很多黑产在洗劫中国老百姓的’网上财产‘”，这对社会是巨大的损失。

“而且，我们知道他们的手段、方法。如果我们不站出来保护人民（网民）、保护群众，我们就是属于’那些无动于衷的人‘。”他强调。

或许，正是这种想法驱动着杨冀龙出来创业。创业前，他任职于绿盟科技（前身是绿色兵团），亲眼见证了一个小team十来个人一直发展到上千人的过程。

但是，问题是绿盟科技主要是卖标准安全设备，面向大型企业。

杨冀龙说：“但其实我们看到，当时整个民间的黑产发展起来，黑产洗劫整个网民。这个时候要出来保护网民的话，以前的那些设备和产品，没有面向网民和互联网。因此，我们当时想做一个服务的形式，来保护整个互联网。”

比如，黑产干的最多的事就是薅羊毛，像2019年初，黑产利用某电商巨头的系统bug，一夜盗取数亿元平台优惠券，“举世震惊”。

那么，黑产是通过怎样的手段“薅羊毛”？薅羊毛有三个环节：第一是注册，注册时需要手机信息、身份信息。因为要用实名制，不实名无法实施。第二个环节是通过技术手段，将里面的一些钱财进行挪用、占用或窃取。第三个环节，把这些钱财洗成“真金白银”。

据杨冀龙透露，黑产薅羊毛早期有一个技术资源。早期的话，来自运营商。因为如果黑产没有手机号、身份证号和实名的银行卡号，薅羊毛很难实施。

“以前，各个管理环节出问题了，就有非实名的（账号）’流露出来‘。黑产有这些账号在，最后的变现途径还是通过手机、银行卡或身份证，这个环节没卡住，后端就都能出来。“他说。好在现在国家重视了，这块管理非常严格了。

相比以前，杨冀龙认为现在黑产状况有所改善。在他看来，最近几年，在工信部、网信办和公安部的联合打击下，黑产正在下降。

数据泄露和个人隐私—技术非全能

从业几十年，从黑客到技术人员再到创业者，这种身份的转变让杨冀龙对网络安全的看法影响很大。

在他看来，早期做安全的时候，只看到技术，一个技术的点。后来做产品，就看到社会责任，因为一个产品的确能解决很多社会问题，能帮一些有关部门或有关行业在一些环节加强它的安全性。比如，帮助一个大型国企解决一个安全问题，就能解决好多问题。

后来创业，他认为“很多问题不是靠技术就能解决的，必须靠政策法规来解决”。

“甚至有些年，我认为连法律都无法解决，必须靠道德。比如黑产里的一些事。”杨冀龙说。

事实上，今年有很多大数据公司因“爬虫业务”被查，有统计至少有15家公司，比如闹得沸沸扬扬的考拉征信一事。

这些公司被查，源于数据采集过程中的非法性。他认为，那些在公司里爬虫的技术人员，不一定知道爬虫最后用来干嘛。“这个时候，有些人可能要扪心自问，‘我干这件事是为什么？符不符合道德？而不是老板叫他干啥就干啥”。

实际上，现在好多公司打着大数据旗号搞诈骗，公然而然地抢劫公民的个人隐私数据。

杨冀龙表示，“公民数据，比如我在哪个地方注册我的信息，数据所有权是我的，不是那个公司的，但很多公司拿去买卖，而且卖很多遍。而且它又说你同意过，说注册时有个很长很长的授权协议书，其中有那么10个字说你同意，这个就是道德问题了。”

从法律上讲，用户确实点同意了，但不一定注意到。“你本来要用它的服务，怎么可能点否了。”他补充说。

对于数据泄露，杨冀龙认为这是个老话题了，（要解决）还是很难。据笔者统计，2019年总计发生43起数据泄露事件（从公开渠道统计得出）。“不过，现在国家有相关法律法规，（情况）已经好多了。比如’等级保护法‘要求，有公民隐私数据的企业必须过等保安检，必须保护数据。”

无论是欧盟《GDPR》、美国加州《CCPA》，还是中国《网络安全法》，在他看来，这类法律的颁布和实施会产生两个大的影响： 第一，数据本地化。所有互联网服务商的数据不能跨国，这是为了保证国家安全； 第二，保护公民隐私。所有包含公民隐私的数据，它就不能进行买卖，或者说必须脱敏后才能进行交易，甚至脱敏后也只有在一定限定条件下能进行数据挖掘和使用。不能像以前一样，直接将原始数据卖给别人。

据杨冀龙透露，几年前个人数据或信息买卖非常猖獗，很多都是明码标价，比如手机号多少钱一个、身份证号多少钱一个、银行卡号多少钱一个，全部明码标价。

互联网安全的“打法”：SaaS化服务模式

从2007年创立公司至今，知道创宇快速发展，不仅成长为独角兽公司，而且拥有1600多名员工。在整个公司业务中，互联网安全占了一半。

那么，知道创宇是如何做互联网安全的？

据杨冀龙透露，知道创宇做了两个事。

第一个是云防御，即用云的弹性计算为客户提供防御。第二个是SaaS化的服务模式和收费模式。

举个例子。企业使用传统的防火墙产品，本来该防火墙的能力，它可以保护企业10个业务系统。“你给一个企业后，CPU跑不满，内存跑不满，它只能保护1个业务系统。这很浪费。那么现在，我一个系统可以服务十家，大家均摊成本，成本就低了。成本低了，大家就都能用得上。这样，初创企业也能用得上。”他说。

以前，初创企业不用这个东西，是因为它太专业或者太贵，超出它早期的承受能力。

“我们通过这种SaaS服务的模式将资源共享，把成本降低。”杨冀龙称。

并且，SaaS服务带来的第二个好处是弹性扩张。一旦客户需求量增加，可以用云技术随时扩展所需资源。假如你现在需要一个防火墙的性能，过一段时间后，你可能需要十个。从后端角度而言，可以弹性计算，扩展方便，很容易解决问题。相对小企业的发展，安全建设也很容易实施。

此外，通过SaaS的服务，也能提供更有效的安全防护。在他看来，最终的攻击来自人，黑客是有限的。“既然黑客有限，他会攻击这个电商，也会攻击那个电商；既会攻击这个游戏，也会攻击那个游戏。它的攻击手段、作息时间、使用的工具都是一致的。”杨冀龙表示。

据他介绍，通过机器学习能很快定位到它们，这非常明显。通过大数据和人工智能技术，可以非常快速的调整规则。“像我们的规则都是这种系统自动调整，每10秒自动调整一次“。

基于收集的黑客线索数据，知道创宇的团队会使用深度学习和随机森林将样本标注出来，哪些是正常的，哪些是攻击的。利用深度学习技术，系统一直在调整，知道创宇（有个）机器学习的中心专门来调整算法。

系统每天会收到500亿次请求，它会时时刻刻处理所有请求。针对请求，它可以快速处理，进行分类，比如分成带攻击的、不带攻击的和疑似攻击的。在攻击中再细分，比如分成SQL注入、跨站脚本、CSRF（跨站请求伪造）的等。

还有一种分类器会划分黑客等级，分成黑客等级一、二、三、四、五、六、七、八；还有一种分类器会分工具名称，比如扫描工具，如果里面有一些未知攻击工具的，再让专家人工去看。人工查看后进行标注，再把样本返回给机器，机器进一步学习。

“这种人工智能的技术在未来的网络安全中可能成为必备手段。”他认为。

经过十几年的发展，杨冀龙总结出知道创宇在互联网安全方面积累的一些经验和能力。

第一是黑客的培训培养体系和招募体系，他将其称为公司的“一个核心能力”。第二是利用大数据进行深度学习和进行自动防御调整的体系。第三是网络空间测绘能力。第四是全球黑客组织的历史数据和黑客组织画像。

杨冀龙表示，“这些数据和能力支撑了我们很多业务。最后是对SaaS的理解。我们在外网布置了数千台服务器，分布于全球30个数据中心。这种SaaS的弹性计算、弹性调度和网络的分布式配置及管理也是一大优势。”

网络安全的发展机会在哪？

一般来说，网络安全行业可以分成两部分：传统安全和互联网安全。传统安全比较稳，市场有限，发展缓慢；而互联网安全则发展迅速，市场空间大，前景好。

在杨冀龙看来，无论是传统安全，还是互联网安全，发展潜力都很大。

为什么这么说？他解释，“传统安全上，第一是国家实行《网络安全法》，法律有规定，关键基础设施所在单位必须过等保。它必须加强安全。第二是很多互联网公司也被拉入等保范围，它也必须达到相应的安全等级。”

在中国，关键基础设施所在单位几乎大多是国企或央企，它们处于一个长期的战略性的地位，对民生影响很大。而新兴的互联网公司与人们生活息息相关，对民生也会产生重要影响，因此也很重要。

杨冀龙表示，“安全是受事件驱动和法规驱动的。安全，一般来说没什么法规强制，它说起来重要，做起来次要，一看预算砍掉。现在有了外部的法律法规要求后，最后想砍也不能砍掉。”

打个比方，一些传统安全行业，本质上是个“基建行业”。

比如新修建一栋楼，里面必须配备消防器材，还有消防控制室、火灾自动报警系统、固定喷淋系统、灭火器及相关辅助系统、消防联动控制设施和消防广播系统等。这些都是基础，属于“基建”。

传统安全行业更像是一个“基建公司”，任何一个公司部署网络信息化，必须采购其产品和设备。目前，信息化建设大潮还在推进、扩大，因此“基建行业的基础器材还会持续增加”。

并且，国家现在有要求，以前没有配备这些产品和设备的企业和公司如今必须有。比如，“等级保护法”规定，关键基础设施所在单位必须符合等保三级要求，存储公民大量隐私数据的企业也必须过等保三级。

“要过等保三级，你必须把这些安全产品配齐，因此这对网络安全公司是一个大机会。”他说。

第二个大机会就是服务。

服务是什么？如果你的“消防器材”已经配好，但真正救火还得消防人员来。我们知道，消防人员为社会提供公共服务，比如发生火灾或者消防检查，这些都是应急或临时服务。

但是在互联网时代，攻击无处不在，随时发生，这时企业就需要网络安全人员随时提供支持和服务。这种对服务的需求也是一种新的发展机会。

第三个是新技术趋势的到来。比如物联网安全，未来一定是个万物互联的时代。这个时候，面对千亿连接，安全是基础，自然对安全的需求也会不断增加。