本月初，一家西安的網絡安全公司獲得超過三千萬人民幣Pre-A輪融資的消息刷遍了網絡安全從業者們的朋友圈，這家公司就是四葉草安全。就國內網絡安全環境來說在資本寒冬拿到如此金額融資的團隊實屬少見，這離不開四葉草安全的領袖——馬坤。

從安全小白到滲透高手

日歷翻回到14年前

2001年4月1日發生中美撞機事件后，中美兩國的黑客之間爆發了看不見的戰爭，兩國網站上的黑客攻擊事件每天都要發生40到50起。馬坤就是這場中美黑客大戰當中的一員，彼時，他化名為某ID，以HUC（中國紅客聯盟）成員的身份在一個個美國網站上掛上了五星紅旗。

馬坤與安全行業結緣還要從他那次并不算成功的高考說起，由于發揮失常，本可以去到頂尖大學的他被調配到了一所較為普通的一本類理工院校，學習測控技術與儀器專業。

看著平日一起玩耍的小伙伴一個個都踏進了心儀的學府，一向要強的馬坤心里滿是失落，他漸漸開始不去上課，與曾經的自己背道而馳。

可以說是緣分奇妙，也可以說是命運使然，馬坤就在那時接觸到了網絡安全，并從那次中美黑客大戰后開始慢慢的迷上這個行業。當時在安全行業根本沒有當今各種各樣的培訓，馬坤全憑著熱愛兩字到處看各種教程，擺弄一些黑客小工具，從QQ號相關技術開始熟悉遠程控制、木馬、鍵盤記錄等技術。

為了炫耀技術在大一通過IPC共享的漏洞控制了整個機房的電腦，讓它們彈出一些恐怖嚇人的網頁；為了找失聯的同學，滲透進某整個省的高校，在網站的js文件中掛出尋人啟事，“做過很多這種無厘頭的事情，就是因為喜歡”，馬坤說，“最后還真把人找到了?！?/p>

馬坤在其中越鉆越深，天天在網吧跟同學一塊通宵，同學玩游戲，馬坤玩一會游戲看一會黑客相關的東西。從一些國內黑客社區學的東西已經不能滿足他的獵奇心，逐漸他與國外的滲透好手們切磋技藝，在滲透領域掌握了很多經驗，2005年已經是滲透領域高手的馬坤作以核心成員的身份加入了FST（火狐技術聯盟），他的ID是cnfjhh，圈內人稱cn。

“因為這方面比較神秘，而我是一個對未知領域很有興趣的人。但當真正接觸到這個行業以后，我才發現有很多很多東西等著去學，越學越覺得自己很淺薄，所以從03年感覺真正入門到07年一直在學習各種知識，到后來有的網站我大概看幾眼就知道能不能搞定，而網站本身只是打開滲透之路的門，后面的路還很長，能不能拿下目標，靠的是經驗、思路和耐心”，馬坤說。

2006年，網游《魔獸世界》火爆全球，美國的暴雪公司也名聲大噪，當時馬坤受到了朋友的鼓動：“聽說你能力很強，有本事把暴雪黑了”。要強的馬坤聽了之后比較受刺激，于是就摩拳擦掌準備堵住朋友的嘴，但沒想到過程卻意外地輕松。

“那就試一下，沒想成無意中發現一個簡單的漏洞很快就搞進去了”，馬坤說，“發現web有負載均衡，整個滲透持續了好幾天，終于進到內網，在整個滲透過程中并沒有改對方的東西，也沒有留任何后門，我滲透喜歡記錄管理的習慣，日志痕跡也不留，碰到一些審計設備也會想辦法繞過他們，后來只在暴雪官方主頁留下一個‘Test by cnfjhh’的文本。我對安全是很喜歡的，我要得只是證明自己行，絕不因為別的誘惑去玷污愛好?！?/p>

因為熱愛，所以回程

滲透暴雪事件結束后，馬坤受到很多外界的干擾就沒有繼續他的黑客事業，去了當地市工商局工作，一年后又去一家百年外企從事與大學專業相關的工作。在外企5年的時間里，馬坤已經把技術慢慢的放下了，雖然外企的待遇比較好，但是找不到存在感，他依然向往著網絡世界的明槍暗箭，向往著滲透成功的歡呼雀躍。

“可能就是因為在黑客這個興趣上投入的太多，這個領域已經和我已經融合在一塊了。當時看到好幾個哥們都在創業，自己也有了這個念頭。”

讓馬坤正式有了創辦公司的念頭是在2012年，與MS等幾個多年兄弟組了團隊，為CNCERT檢查全國多個省運營商網絡漏洞和問題。這個契機使得馬坤覺得安全領域還是有所可為的，并且以后會逐漸變成一個需求更多的行業。

由于在外企工作多年，自己慢慢也有了點小積蓄，于是在2012年底馬坤和他的朋友創辦了四葉草，公司是創辦了，然后呢？

沒有項目，沒有客戶，沒有人。

“當時很多客戶對安全的理解就是采購設備，這跟我最開始的觀點是格格不入的。我們是想做成一個方案解決商，而不是安全設備的銷售商。國內的安全行業絕大多數都是在做設備，可能是因為利潤來的快。發現用戶漏洞和缺陷是第一步，但第一步就沒有人重視，因為這一步不賺錢做的人就很少，大家都在趨利，要是格格不入的話就會逐漸被淘汰?！?/p>

韜光養晦，厚積薄發

情懷歸情懷，公司還是要生存下去的。馬坤認真的思考了幾個月后，覺得該走的路還是要走，開始親力親為跑客戶，在公司成立之初也賣過十余單的安全設備。

從一個技術發燒友的變成銷售的過程，馬坤坦言“內心很復雜，但為了公司活下去這又是不得不做的?！庇羞@些經歷更讓馬坤覺得安全市場的缺口是很大的。

“用戶解決安全問題這個過程，就好比一個人頭痛，并沒有人給他做診斷，讓他買了很多胃藥，這個過程中用戶并不知道痛點在哪，而對方只關心藥賣的如何”，馬坤在這個節骨眼上萌生了要幫用戶去發現問題的想法，“知道問題在哪，才能去解決?！?/p>

這時公司已經成立了多半年，公司開始嘗試去接一些安全廠家的外包，也就是賣設備之前的一些安全評估，在獲得授權的情況下完全模擬黑客的思路去發現用戶本身的安全缺陷。

這種事情很不賺錢，按每人每天計算，大部分就是幾百塊錢，好一點也就一千多塊。有時候只需要檢測一臺主機，而有時候是很多個網段，“這個情況沒法去計較工作量的問題了，有的工作量非常大，而且是純手工活，時間緊迫，你必須快速完成?！?/p>

“觸動最深的是一次去某用戶那干活，有三四百臺問題主機上千種應用擺到面前，需要一個一個去發現問題并處理問題。干兩個星期下來用戶說話沒算數只結算了幾百塊，我們還是硬著頭皮把事干完了，這不是為了盈利或怎樣，就是為了總結其中出現的問題便于給團隊增加經驗。由于項目都是背靠背，公司很多時候賬戶上沒錢發不起工資。”

這些經驗成為了他們寶貴的財富，也成為四葉草團隊承辦多個CTF比賽和完善分布式漏洞掃描平臺Bugscan等產品而厚積薄發的一部分。

專注服務，做透做深

Bugscan是面向安全領域的發燒友和極客們的免費漏洞掃描平臺，傳統的特征庫對比的方式查找漏洞因為缺少行為識別導致誤報比較多。它采用分布式漏洞掃描，可對目標快速準確的掃描，用戶也可制作上傳插件，通過模擬行為提高準確度。四葉草還采用與主框架相同的Python語言編寫了漏洞社區“圈子”，把安全圈的高手匯集到一起，由他們主動發現問題，相同的編寫語言可以讓愛好者們通過討論交流直接在社區中該進插件并讓主框架直接調用，“圈子”和Bugscan平臺之間產生了很深的紐帶。

馬坤表示Bugscan由同事小Z在2011年年底就開始做了，經過西瓜、老武和不流暢等同事多次代碼重構后已經非常完善了，他們于2015年2月份正式對外發布。

“在國內對漏洞有深刻理解，又有相關編程能力的人群大概不到兩萬。過去黑客技術只能靠自學，現在的孩子很幸福，可以有各種培訓機構和地方去學習，但是學習是需要時間的，所以這方面的人才補充會有一個醞釀期，在未來三到五年才會補充現在的需求缺口，所以現在局面很尷尬，國內目前安全行業很缺人，而我們做的事，能在一定程度上激發安全愛好者們水平的縱向成長。我們公司除了有做滲透測試、代碼審計、二進制領域的，還有做前端開發、底層模塊開發、固件開發、協議分析、ACM算法等領域的兄弟。”

直到去年年底，四葉草整個團隊還只有十幾個人，馬坤想拉以前玩滲透的高水平戰友入伙，他們水平雖高，但不屑于做安全行業，因為這個行業不賺錢，沒幾個人愿意來。安全公司不能沒有人，不能什么事都來自己干。為了有效地發現人才，四葉草安全從辦第一個CTF（SSCTF）到近期的華山杯比賽，中間陸陸續續的舉辦多場比賽，效果都非常好，讓更多黑客愛好者們知道了四葉草安全，很多比賽場景源自他們團隊這么幾年來在一線辛苦的摸爬滾打而積累的經驗。

現在四葉草安全整個團隊已經擴張到了四十多人，馬坤也在著手他們新產品Bugfeel（感洞）的推出。漏洞感知平臺Bugfeel不同于Bugscan的免費模式，它是一個較為商業化的服務，采用了雙引擎技術，可全方位的對云服務進行自動觸發式的漏洞發現，也可對App的服務端和通訊過程進行有效識別。Bugfeel（感洞）可通過與私有云服務商進行定制化服務實現商業化。目前Bugfeel（感洞）已完成兩輪功能測試，第三輪測試完成后會正式推向市場。

“其實一開始我是拒絕投資的”

隨著公司逐步走向正軌，安全行業內優秀公司的稀缺也使得一些投資機構主動找到馬坤談投資的相關事宜，但馬坤最初對此的態度卻是不當回事，用他的話來說是這個階段他們已經可以自給自足了。

“以前看過很多新聞，說有的公司拿了融資反而整個步伐往另外一個方向去走了，變得不做事了。所以在早期我對融資的態度是比較排斥的，雖然整個安全服務行業都不太盈利，可我們現階段可以養活自己了。但是和如山創投老總聊后改善了對投資的看法，他說現在國外的安全服務企業譬如Fire Eye，他們都是虧損的，所以他不害怕我們虧損，只需要把影響力做出來?！?/p>

馬坤透露這次投資方的股權只占到了很小的一部分，四葉草的估值是幾個億，他們沒有什么限制條件和對賭協議，最讓馬坤感受到誠意的還是一個字：快。

“從今年11月初他們過來找我們談到最終簽訂合同只花了不到兩周的時間，簽訂后一周錢就到賬了，總共也就20天左右的時間。因為很多同行現在也都在拿融資，發展速度很快，競爭激烈，經過思考，我覺得這個融資是可以拿的，但是我們把它要用到點上。”

于是四葉草在最近提出了一個“佰萬計劃”，拿出數百萬元去回饋圈子漏洞社區的愛好者們，給他們的貢獻進行補貼和激勵?！斑@是以前想去做但是沒有能力做的事情，可能這也是拿融資的一個好處吧”，馬坤笑道。

除了回饋安全愛好者、深化產品、擴張團隊，馬坤對這幾千萬怎么花暫時還未想好，不變的是未來四葉草還會繼續做服務，他覺得這只是剛剛開始，將漏洞發現這個細分領域做專，并逐漸把四葉草的新型模式推向全球市場。

要合作，要聯合

“現在安全行業說實話很小，大家都很艱苦，本身就是一個很小的行業再去互相擠兌，對行業對自己都沒有好處，還不如抱團取暖，共同進步，再說被模仿說明你選的路是對的”， 面對BAT等大公司在安全領域的快速布局和同行的模仿等壓力時，馬坤說。

目前BAT等大型互聯網公司旗下的安全團隊主要精力還是要放在內部公司系列產品的安全上，主要負責解決自己內部的安全問題。馬坤認為四葉草與他們之間是沒有業務沖突的，反而還會聯合起來，安全行業之間的協同合作很重要。

“有些時候大公司內部出現問題安全部門很難處理的面面俱到，可以用我們或同行的服務模式減輕他們的壓力。我們常聽說一個小黑客拿下某某大型系統，對此我覺得一點都不奇怪，一個用戶好比色子有很多點，攻擊的人只需要從一個點鉆進去，防御的人卻需要把所有的點都堵住，攻防本來就不對等，做安全的人很不容易，要耐得住性子，攻防之路還會很長很長，要抗衡就需要聯合更多有實力的安全力量，讓防御的效率和質量要跟得上趟才行?！?/p>

除了運營商、政府、能源、電力等等行業和BAT等大型互聯網公司，信息安全對中小型、小微型企業同樣重要，四葉草曾在2014年為某億級APP做的授權滲透測試，一個四葉草的技術人員用了一下午的時間就獲取了其內網的最高權限。

“如果這個人是個心懷不軌的黑客的話，滲透后可以拿到源代碼，所有的用戶數據，公司的資料包括在線支付系統等等，這種情況下后果會是什么樣子？數據會賣給同行，或者制造一個大新聞，這樣會讓競爭對手非常的開心，很有可能會讓這個新生而有錢的公司down掉?！?/p>

細分是行業大趨勢

馬坤表示安全行業的細分化會是一個趨勢，包括了不同領域的細分和不同服務的細分。

對于領域的細分，馬坤相信在不遠的未來，智能設備的普及、工業自動化控制以及移動端的安全這三個領域將會是發展的重中之重。同時他非常認同服務的細分，“安全領域里一個公司不可能做的面面俱到，只能去做自己擅長的，在一個領域做得足夠深，在市場上產生正向效應，這就很棒。”

天使惡魔，一念之間

“安全會是信息化的脊梁，協議、算法、系統的缺陷是會不斷的被發現，應用的多樣化會讓更多行業都離不開它，所以它會和信息化共存，這也是我把它堅持下去的原因之一。我們這個行業有很多人去做了黑色產業鏈，我一直都比較抵觸這些東西。不過這個世界上沒有太多壞人，更多的是迷茫的人，安全行業大有可為，他們是可以被慢慢引導的?！?/p>

對想要有在網絡安全行業從業或創業的人，馬坤給出了他的建議：“堅持和喜歡，這兩點非常重要，而最重要的是心存正義，要能夠抵御一些誘惑。在一個細分領域往深鉆，不要去做面面俱到的人。如果只是想賺錢來這個行業，那趁早到別的行業去，因為這個行業真的很苦。”

文/李澤辰