0
2009 年,35 岁的刘永波决定结束 10 多年的华为生涯,他租了间 20 平米的办公室,只招了1个人,开始创业。
当时,原先在华为的老朋友去看他,然后神色凝重的离开。多年之后,那位朋友才告诉他,当年觉得他特别凄惨,搞不明白为何他要这样“虐”自己,以他的情况去创业,好歹应该租个差不多的办公室,招一波精英程序员才对,这起点也太低了。
其实,在离开华为之前,刘永波的职位已经是华赛(华为和赛门铁克)安全产品线的研发 VP,曾管理着2000 多人的研发团队,在华为做出过销量超 100 亿的产品,早已实现财务自由的他,本不应该如此“寒酸”。
更让周围人搞不明白的,是他要去做市场前景还不那么明朗的数据安全,在10年之前,数据安全远没有今天这么受重视,安全市场的主流还是防火墙、入侵检测和防病毒的安全产品,专门做数据安全的公司非常少。
实际上,刘永波自己内心也在打鼓,他虽然能感觉到客户对数据安全的需求越来越多,但这个市场到底有多大?他们迫切需要解决的问题是什么?究竟需要什么样的数据安全产品?
在这些“谜题”没解开之前,他没有马上把摊子铺开,而是选择了一条“曲线救国”的道路。
在华为干了多年技术的刘永波,创业之初反而想去掉一些华为化的东西,把自己迅速变成一个既懂技术又懂销售的人,这是破解“谜题”的第一步。
之前在华为,他服务的都是一些例如“英国电信”等国际大客户,但对于一家刚刚起步的小公司而言,一上马就搞定这样的客户显然不现实,所以,他首先把目光放在了深圳各个工业园区中的企业。
“当时我和另外一个小伙子以做代理的名义一起跑市场,前前后后跑了几百家企业,向他们了解市场对安全产品的需求是什么,比如对于 DLP(数据泄漏防护系统)、UTM(安全网关)包括邮件安全的需求等。”刘永波告诉雷锋网,虽然很多人喊创业起步难,但对他来讲,这第一年的体验反而不错。
没有原来在华为那么高的强度和压力,两个人还通过代理多种产品了解了市场的行情和用户的需求,挺有成就感,年底一算,没把赚钱当成主要目标的他们,还挣了几十万。
更加重要的是,通过代理 IBM 、思科还有老东家华赛等厂家的产品,让他更全面的了解了各类用户的需求,坚定了之前想做数据安全的想法。
我在华为曾经做过通信、电信方面的业务,后来转到华赛做安全后,我发现后者更多的时候像是一个辅助的东西。简单来说,我原来卖设备是给电信运营商赚钱的,而后来做安全只是为了辅助这些赚钱的设备,安全本身很难赚钱。
不过,做了一圈市场调查后,刘永波觉得这种现象在数据安全方面可能会有改观,安全同样也可以赚钱。
“我那时就发现越来越多的安全问题,是防火墙或 IDS 等传统手段解决不了的,必须要数据安全来解决。”在调查这些软件厂商时,刘永波发现很多医院对于数据安全的需求非常大。
以前医院考虑的是“小偷”或者“强盗”,采取的方案是为了电脑不要被种下木马、病毒,门不要被人家攻破,所以用的是防火墙。简单来说,医院原先策略是“御敌于国门之外”:只要把坏人挡到外面了,里面的数据就是安全的。
但实际情况是,堡垒很多时候是从内部攻破的,坏人可以通过渗透内部人非法获取数据。比如,雷锋网曾在去年9月报道过一起孕妇信息被泄漏的事件(点这里),当时,至少有上千名曾在深圳市妇幼保健院做过产检或分娩的女性,接到过母婴护理(俗称月嫂)或婴儿纪念品等公司的骚扰电话或是短信。
这些骚扰电话和短信的背后,是每一条泄露的孕妇信息都被明码标价,少则一元,信息越精确,价格越高,甚至有高达百元一条的信息,可以精确到孕妇的具体分娩日期。
事后警方公布的调查结果是,曾任妇幼保健院保安的杨某,买通了医院的护士,多次出入医院下载了这些信息。
这也从另一方面说明了,安全防的已经不仅仅是黑客,还有内鬼。它需要深入业务流程中的具体环节,运用技术手段来制约什么人能使用哪些数据,如果发生泄密,如何最快的定位到那个人?这时安全的角色,已经不仅仅只是一个辅助的功能,而是成为整个业务流程中的重要角色。
它所起的作用,不仅仅只是一个事后抓坏人的作用,还有像监控摄像头一样对坏人的“震慑”作用。
定好大方向后,就是脚踏实地的往前走。
在昂楷科技的客户名单中,雷锋网发现医疗行业的客户所占的比重非常大,刘永波透露,医疗行业的营收在全部营收中占比超过40%。
其实,在各个行业中,金融和电信行业是对数据库安全最为重视的两个行业,长久以来,他们也是数据安全产品的主要使用者,比如几乎垄断了银行 IT 业务的 IBM ,就以重金收购了一家名为“gardium”的数据安全公司。
但对于像昂楷一样的创业公司而言,要想拿到金融和电信行业的客户,几乎不可能。在考察完市场后,刘永波决定暂时放弃服务这两类“金主爸爸”。
电信和金融行业对于安全公司的资质有非常高的要求,比如你成立的时间、是否具有各种资质,而且这些用户的数量其实并不多,比如金融行业真正能采购数据安全类产品的,可能只有200家,但我发现,在医疗行业却有20000多家,而且医疗用户对于数据安全产品的需求更加迫切。
刘永波所说的“迫切”其实很大程度上来源于近些年来大家都非常痛恨的“非法统方”,换句话说,就是医生为了利益给患者开某种能让自己获得回扣的药。
在医院中,“统方”是医院对医生用药单据的统计,属于医院的正常业务操作范畴,但如果这个单据落到了医药代表手中,他们就能按图索骥,找到行贿对象。
统方本来就是医院一个正常的流程,作为一家医院,总得知道哪位医生对哪位患者用了哪些药,而且这些信息在庞大的数据系统中,可能经过多人之手,在传统的数据系统中,即使最后统方信息被医药代表拿到了,也很难追溯出到底是哪个环节上的哪个人出现了问题。
比如,以下的这几类人,都有“作案”的可能。
医院工作者:利用工作便利,可直接在 HIS (Hospital Information System)系统上进行“统方”行为。
开发或维护人员:当他们对HIS系统进行开发调试、维护测试工作时,往往拥有 HIS 系统的最高权限,“统方”易如反掌。
数据库管理员:数据库管理员拥有数据库最高权限,可以对整个数据库进行备份与恢复操作,他们才是对“统方”有最大权利的人。
黑客:通过利用医院数据库系统、业务系统漏洞,利用黑客攻击技术从医院网络外部进行统方,其技术难度、“统方”成本均最高。
刘永波告诉雷锋网,由于近年来医院对治理非法“统方”的迫切需求,让医院对于数据安全产品的采购没金融和电信行业那么保守,医院在测试、试用之后,觉得好立刻就可以采购,决策链非常短,周期很快,所以更适合创业公司做,加之各种软件的要求很复杂,正好可以锤炼产品。
其实,对于非法“统方”的治理由来已久,一些传统的数据库审计技术在行业内的应用并不少见。
传统数据库审计技术主要是通过旁路镜像技术,将访问数据库的信息通过交换机镜像一份到数据库审计系统,再将这些信息进行深度解析,比如通过词法、语法等手段把这些信息解析成可识别的数据库结构化查询语言(SQL),再与“统方”规则进行匹配,抓出“嫌疑人”。比如某些非授权用户访问了用药信息;某些用户在一个时间周期内对用药信息持续查询;开发维护人员批量下载用药信息等。
其优点在于:
1.作为独立的审计平台,更具公正性。
2.通过底层信息进行全面的解析,不放过一个坏人。
3.因为是旁路部署,所以对数据库和业务“零”影响。
但这也决定了,这些主流的防“统方”技术,在实现过程中面临两个难点:
1.对医院业务流程必须深入了解,才能制定符合医院自身特点的防“统方”策略。
2.必须拥有针对不同医院不同类型 HIS 系统丰富的知识库,规则库,才能智能判断是否是“统方”行为,否则结果会是大量的误报,大大增加审计人员“统方”行为数据分析工作量。
由于医院业务的复杂性,传统的数据安全产品往往会遭遇“性能”问题和“误杀”问题,比如因为要适配多个端口而造成的性能问题,比如由于复杂的软件架构而遭遇的“误杀问题”,当发现数据窃密的时候,有可能是从程序发起的,有可能是从终端发起的,这个时候所有访问的方式都要精准地识别出来,不能漏过,但也不能冤枉好人。
要解决这个问题,没有别的捷径可走,就是要把医疗系统所使用的几千家软件厂商的数据库架构“吃透”。
虽然数量有几千家,但可以对这些软件应用的 API 来进行分类,分下来也就是几十种,而在这几十种之间,有的可能是天差地别,而有的差别只有10% 。
这就如同两个人都围绕某个主题看了100篇论文,有人只是简单的积累,而有的人能从中总结出相通和不同的地方,把这些论文“变薄”,内化为自己的理解。
刘永波把这称之为“行业知识库”,即把复杂的事情积累起来后,你自己进行了分析整理,从而让用户使用起来更加方便,比如对于不同产品的相同 API 进行匹配,想用哪类软件时,很多默认的规则就启动,从而能平衡“性能”和“误杀”的问题。
在啃完医疗系统的“骨头”后,他们在调查市场后发现,很多公检法的软件架构与医疗系统非常像,当年在医疗行业啃下的“硬骨头”,蓦然回首,发现在别的行业也能很快的派上用场。
雷锋网发现,目前,除了医疗行业的客户,其在公检法、工控、教育行业也有相应的客户。
而随着这些行业的业务逐渐迁移上云,他们也多了很多像阿里云、腾讯云等云服务商的客户。
虽然客户领域不同,但在刘永波看来,对于数据库审计和监控,有两点测试方法万变不离其宗:
第一,既然谈到监控,那就是要精细化,就是要严格做到不漏审、不误审,看得准,测试方法也很简单,在业务最繁忙时,将所有应用系统的流量全部镜像过来,然后在任何一个终端上进行正常操作,最后看数据库监控产品能不能准确的识别该操作。
第二,综合性能测试,当监控告警记录已经达到几亿条到数十亿条时,再来进行检索操作,观察分析结果准确性和出报表速度,以及是否跟其它安全设备进行了快速联动。
明年,就是刘永波离开华为的第10个年头,在他身上,依然能看出当年的“华为基因”。他屡次强调,只要能做出优质、符合客户需求的产品,公司就一定能成。
从创业初期起,写代码出身的他就坚定不做“关系型”产品,他要让技术人员看到自己的代码是怎样跑起来的,他要让市场给这些代码进行真实的反馈,而不是再像若干年前一样,一家安全公司仅仅靠着销售维护关系来生存。他坚信,随着云计算和大数据的爆发,数据安全市场的春天才刚刚开始。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。