北京知其安科技有限公司创立于2021年8月,业务专注于网络安全运营,知其安从BAS入手,催化了国内安全有效性验证市场从0-1的突破。本期#老谭煮酒会英雄,老谭为我们采访到了知其安的创始人聂君,让我们一起听听他创业的故事,以及知其安靓丽业绩的背后都做对了哪些决策。
受访者简介:聂君,清华大学在读博士。曾任职招商银行总行信息技术部安全处长、安信证券技术部副总经理、京东集团信息安全部高级总监。曾为深圳金融科技协会主任委员,牵头制定多项金融行业安全标准,并担任多家大型金融机构特聘专家顾问,是国内安全运营最早的提出者和实践者,被誉为“安全运营四杰”之一。其搭建的“企业安全运营实践群”,已成为国内最大、价值最高的甲方安全社群之一。著有网络安全十大畅销书《企业安全建设指南:金融行业安全架构与技术实践》。
一、靓丽的业绩与背后的原因
老谭:大家好,今天我们来到了知其安位于超极合生汇的新办公室,来采访一下创始人聂君。2024年知其安的业绩有一个非常大幅的增长,聂君能不能给大家分享一下知其安过去的两年的业绩情况?
聂君:去年公司的营收增长了140%以上,2023年比2022年增长了120%以上,所以过去两年我们每年都保持在了100%以上的增长。这主要还是得益于近期甲方在我们选的赛道上出现了爆发性的需求。
老谭:能否透露一下具体数字?
聂君:2024年我们做到了5,100万营收,其中盈利了大概500多万。
老谭:创业3年,每年可以实现100%以上的业绩增长,并且3年内就实现盈利,这在安全公司中是非常少见的,特别是现在网络安全产业总体萎缩的环境之下。知其安做BAS起家,获得如此靓丽的成绩的背景是什么?可否聊一聊?
聂君:谢谢谭总,我觉得主要有两方面原因。
第一,在过去20多年的时间里,我们国家网络安全的主要工作是在计算机的各个层级上做建设,通过单点的防御来构建纵深防御。但到今天,绝大多数的大中型甲方在运营方面出现了比较强的需求:采购来的安全设备是不是有效的发挥了作用?是否产生了实际的安全效果?是不是在面临攻击勒索和数据泄露的时候,能够进行有效的拦截、告警和处置?我们把这部分的需求叫做安全运营需求。
而安全运营的第一个课题就是如何有效的发现我在面临这些真实攻击的时候有哪些短板,哪些失效点,我们把这叫做有效性验证。通过BAS这类真实攻击模拟的技术,我们可以去解决这个问题, BAS这个业务方向正顺应了这个大势。
第二个业绩能够增长的原因是知其安的创始团队绝大多数是甲方背景,我们在甲方的需求把握上投入了大量的精力,从基础安全到云安全、数据安全等场景,都能够比较好的适配甲方在各个方面的需求。
二、创业赛道的选择
老谭:当初你创办知其安的初心是什么,为什么选择这个赛道?
聂君:我过去20年的工作经历是在金融、银行、证券和互联网公司等机构做网络安全的甲方,那时工作的职责是将安全设备、安全措施应用在企业业务中去对抗攻击,保护企业资产免受威胁,为业务保驾护航。在过去20年的工作中我发现存在一些遗憾,就是很多安全产品和措施没有起到好的效果的原因是我们没有用好这些东西,或者说缺乏比较好的运营工具去协助我们更好地使用安全产品,导致已经购买的安全投资实际发挥的效果和使用率只有应有的20%。所以我们在创业的方向上选择了安全运营。
老谭:“验证”这个产品的品类之前是没有的,是由Gartner最先定义了它,你应该是在国内第一个从事BAS类这种产品开发和应用的。一个安全产品从无到有的成长之路比较艰难,现在我们也能看到知其安已经有了大量的金融、运营商客户。这个从0-1的过程,知其安是如何去实现的?你是怎么来说服用户去采用验证类的产品?
聂君:其实用户现在的业务成熟度已经到达要做安全运营这个阶段了,就像我们国家在城市基建上已经完成了建设,就要开始做绿色、节能、低碳这样的城市运营工作。网络安全的甲方也是这样,他们已经积累了很多安全设备,如果要把设备的效果发挥出来,安全运营是他们现在的核心诉求。
第二我们会给一些头部的大中型企业去做测试,帮助企业去发现平时看不到的安全盲点,或者叫失效点,这个过程也能让用户意识到他整个企业的安全防护水平并不像他们预估的那样稳定。
老谭:你总共给多少家企业做过POC?
聂君:我们至少做过600家企业的POC测试,没有一家是没有失效点的。
老谭:那么现在客户对BAS的接受程度如何?我记得2023年年底金融系统的相关文件里对BAS是有明确描述的,其他行业有类似这样的合规性规定吗?
聂君:监管层面有几个趋势,首先监管机构对漏洞的定义开始扩展了,以前我们对漏洞的认知是资产的漏洞,比如未授权访问、弱口令或者组件级别的。现在监管机构认为,防御体系没有生效、没有起到应有的效果也算是一种漏洞。所以除了金融系统,其他行业也都相继出台了一些正向防御措施叠加反向安全验证的规定,针对在网在运的安全设备进行实用化水平的检查评估,现在各个行业都在根据自己的行业体系特点开展一系列的反向安全验证工作。
另一个趋势是大家现在越来注重网络安全的效果,所以监管部门或集团级的企业会用“有效性验证”作为一个检查工具来督导,确保安全要求、规范和措施能够落到实处。
老谭:是的,其实“漏洞”这个词翻译成中文是有些丧失原意的,更准确的原意应该是vulnerability,就是脆弱性。
聂君:对,确实叫脆弱性更合适。
三、AI如何辅助安全验证?
老谭:最近这两年AI特别火,对于AI的脆弱性验证咱们有做哪些工作吗?
聂君:在AI方面我们做了两点研究,第一是用大模型去自动化生成验证里面的用例,这可以大幅降低用例生成的成本。AI在策略的优化等方面能够提供非常好的使用效果。第二就是在我们的安全运营工作中,大模型可以代替很多人力工作,特别是智能研判方面。例如钓鱼攻击的判定、webshell的误报研判、流量RCE攻击是否失陷等方面,通过大模型辅助安全人员去做智能研判,已经取得了非常好的效果。
在恶意研判上,大模型的误报率基本等于0,准确度更高,速度更快。我们看到有的客户过去一线值班人员是10个,现在已经缩到了2个人,人可以把精力用到其他更有价值的工作当中。
老谭:你刚刚讲的是如何用AI去做研判,那在研判大模型本身的一些安全问题(比如提示词注入、大模型幻觉)上,你们有相关的验证方案吗?
聂君:我们目前正在做这方面的工作,很快就会正式推出大模型安全验证这个典型的场景。
四、S-CMDB业务发展情况
老谭:验证是知其安的第一条产品线,第二条产品线S-CMDB发展的如何了?两条产品线的规划思路是怎么样的?
聂君:在安全域里面有前、中、后三大工具,前是安全资产的运营和管理;中是下一代安全运营平台,后是安全有效验证。在刚创业的时候,我们选择先做有效性验证,随后S-CMDB的需求开始爆发。
老谭:S-CMDB是一个比较难啃的硬骨头,你们有什么不同的策略来做这个?
聂君:过去用户在安全建设的过程中积累了很多安全资产信息,这部分信息并没有被充分的用起来。我们通过多元数据融合的思路,从流量端、主机侧、端侧、应用侧甚至代码仓库里把安全资产相关信息采集起来,通过多元数据融合去做数据清洗和数据的消费,比如应急响应和无主资产的查询,都是一些典型的场景。
老谭:这确实是一个用户的大痛点,记得在十年前我刚开始管360的网络安全业务的时候碰到一个安全事件,一个大客户的一台设备花了几天时间都找不到具体是谁的以及具体在哪里。知其安S-CMDB现在的客户都有哪些?
聂君:目前仍然是金融和制造业为主。这两个行业对资产的需求比较强,而且也比较愿意尝试一些新的领域和方向。
五、创业的经历和收获
老谭:你当初想从甲方出来创业的初心是什么?
聂君:我的创业初心其实没有很复杂,在过去20年里我职业生涯更多的经历是做甲方安全,我希望自己接下来的10年可以去经历一些不同的东西,我想有没有可能去做一两个好的产品来获得行业的认可。我是一个需要更大的刺激才能让自己获得成就感的人,无论是写书、做甲方社区运营、还是提出一些安全运营的理念,都是我的成就感在驱动我。而做出一款爆款产品,能够真正对行业产生一些积极地促进作用,会让我产生很强的成就感。
老谭:创业后你的目标实现了吗?
聂君:毫无疑问创业的这几年在经历的密度上是远超过以前的。创业像是荒野求生,过程中面临的绝大多数问题不是以前的经验可以解决的,找怎么样的合伙人和员工,如何做融资,如何看财务报表,以及销售、交付、实施,还有行业生态、市场宣传、产品规划等等一系列的工作都是我之前没接触到的。
以前是甲方身份的时候,可能会得到一些溢价的赞扬,而在创业这个充分竞争的自由市场上,要尊重市场规律,如果不能建立这样的认知那就会被打得很惨。这几年我对市场运行的规律,经济运行的规律有了更多、更深入、更全面的了解,这对我来说是一个很宝贵的财富。
六、知其安的用人策略
老谭:我和你前员工聊天,发现大家给你的普遍反馈是说你的要求比较高。你如何看待他们对你的这个评价?
聂君:先PUA一下自己,我觉得这可能是一个比较正面的评价。创业公司的第一性原理是大家的目标究竟是什么?我们创业并不是为了过一把瘾,而是真正的想做成事情,让公司健康的存续甚至盈利,所以我觉得必须要对自己和团队要求高一些,否则难以成功。而且我首先是严以律己,在要求员工的同时我更会和员工谈他的目标和愿望,如果我们的目标是一致的,我会支持他在我们这个平台上实现自己的理想。
老谭:知其安在用人策略上有什么理念?
聂君:我们认为人多不解决问题,所以我们的用人策略是精兵策略,减政运营。
老谭:那你挑人的标准有哪些?
聂君:首先我会去了解他的价值观和目标,我们的管理策略是走近员工、理解员工和帮助员工,帮助员工实现他的渴望,尊重他的诉求,为他提供平台。在能力上我倾向于勤奋,再加上一定正确的认知,首先他要认知到在知其安这个平台他能获得多少,要付出多少努力。
老谭:是的,在工作上面其实认知能力也是特别重要的,比如做销售,对销售的这个本质认知有多深,做技术对技术的认知有多深是工作能否做好的一个关键因素。现在知其安还在招人吗?
聂君:我们今年预计可能还会有80%-100%的增长,所以目前也在招人,包括售前、销售、解决方案、研发、交付都在招募相关的人才。
七:对网络安全产业格局的看法
老谭:2023年和2024年网络安全产业甲方投入都在下降,产业面临了比较大的压力。AI的兴起也引起了一场网络安全行业潜在的技术革命。这种情况下未来网络安全产业格局会是什么样子,你有什么看法?
聂君:首先我觉得人工智能很适合网络安全,特别是安全运营这个领域。AI和大模型可以大大提高人效,在智能分析研判、规则处置水平等方面都带来了不同程度的进步,所以我们也会持续在这方面做投入。安全运营是未来,用大模型来做安全运营可以降本增效提高质量,这是一个趋势。
第二,过去网络安全领域比较碎片化,有三、四千家网络安全公司,未来可能因为大模型带来的质量上的提升,会让安全公司逐渐趋向于整合。
所以总的来说我认为人工智能对整个网络安全产业是一个促进作用,对于甲方使用侧来说也是一个做好网络安全防御的机遇。
老谭:非常感谢聂君,咱们是老朋友,也很荣幸能够成为知其安的股东和董事,我看到知其安过去三年的发展真的感觉非常的欣慰。今天通过跟你的聊天也觉得你确实具备了非常优秀的企业家素质,希望今后知其安在我们国家网络安全产业,尤其是网络安全的运营方面能够做得更好。
评论