技术的发展过程总会遭遇各种瓶颈,这是一场艰难的突破之战,战役悄无声息,却无比尖锐。正如创新理论之父Schumpeter所说:无论你把多少辆马车连续相加,也带不来一辆火车。创新大概可分为两类,一是迭代式创新(去解决一个没有被解决好的问题),二是突破式创新(去解决一个没被解决的问题)。无论哪种创新,其核心都是在实践中解决问题。
网络安全这个“战场”也不例外,每一年网络安全领域都会有很多新的技术与概念被提出,比如今年API安全、MSSP、SASE等各类技术开始崭露头角,它们在创新者的手中慢慢形成产品和解决方案,准备在攻防之战中发挥自己的价值。
而在落地层面,新技术真的能够快速被用户接受和使用吗?创新的价值是否真的能够给用户带来业务价值甚至是安全红利?
在当下的网络安全创新企业中,专注API安全防护的星阑科技成长迅猛,无论是在融资速度、团队规模、品牌知名度、还是产品研发进度上,都可以用“突飞猛进”来形容:成立3年,凭借一流的团队和过硬的技术在网络安全领域开辟出一条全新的赛道,一跃成为今年网络安全行业最受瞩目也最有价值的初创公司之一:获得4轮融资、赢得2021年ISC创新独角兽沙盒大赛冠军、发布"萤火"API安全解决方案并成功应用于多个行业头部用户。
有人说时代背景下的星阑是幸运的,但我们认为,这个世界上从来没有简单的幸运:所有把握机遇的人,是因为他们在机会来临前准备好了自己,每个瞬间的爆发,都源于过去的日积月累。今天,我们特邀星阑科技首席技术官徐越,来聊一聊他们是如何打破僵局、寻求创新、找到破局之道的。
星阑科技 CTO-徐越
前阿里云高级安全工程师,具有丰富的云与大数据安全实践经验。大数据威胁检测、云上0day监控、云原生漏洞研究等成果发表于BlackHat、HITB、BlueHat、XCon、KCon等国内外安全会议;发表国内首个容器安全ATT&CK矩阵;国际顶级CTF战队r3kapig成员,XCTF命题人,DataCon安全大数据分析竞赛续两届分别获得一、二名。
产品创新
数说安全:安全行业存在着非常众多的领域,你们选择研究API安全的最初动机是什么?
徐越:API安全是我们团队目前主要的战略方向。我们一直相信安全是依附于IT基础设施的,IT基础设施的发展必定会为安全带来增量市场。之前在云厂商的时候看到容器落地的趋势,推动了容器安全产品的从0到1,也是基于这个基本逻辑。而容器的下一站就是API,我们看到目前云计算、边缘计算、容器化等技术的落地,企业IT基础设施逐步由垂直中心化转向云边端的大规模分布式,这个过程中各个业务组件中需要数据传递,API在其中扮演了非常重要的角色。我们也从数据中找到了先验指标,API通信和API基础设施的增长非常迅速。尽管安全行业的推动力有很多,如国际形势、事件影响、热点概念、创新技术的应用等,但是基础设施发展的逻辑更加长期主义,因此我们选择了API安全这个新兴赛道。
数说安全:既然是新兴赛道,那么产品规划过程中,是以国外案例参考为主?还是根据客户需求导向为主?
徐越:我们更看重客户导向,尽管我们调研了很多国外产品,但是目前国内外API的应用情况差别较大,因此我们要开辟出一条自己的新道路,我认为这里的关键是做To B产品一定要两腿带泥,坚持和客户共创。研究客户究竟有什么需要,千万不能陷入技术思维,要在和客户不断交流的过程中完成产品规划。我们接触的客户中绝大部分都处理过API安全事件,我们首先会帮助客户明确自己要保护哪些API资产,从而制定战略规划,然后针对API的全生命周期提供高效的安全分析工具,解决API入侵、API数据泄露等风险。
数说安全:看来API安全应用面很广泛,那么如何让更多客户接受API安全产品,使用API安全产品?
徐越:技术产品化一定是需要解决问题并产生价值,这里的逻辑不是客户原本不需要API安全现在我设法让他需要;而是他原本就需要做这个事情,但是效率低,通过使用我们的方案,能够提高他们的效率。通过在一些典型场景里验证产品价值和商业逻辑,就可以让更多客户接受它带来的便利。
数说安全:API安全产品在国内做的人多么?在这之中,星阑科技自己的定位是什么?
徐越:API安全自2019年的RSAC创新沙盒中,API安全厂商Salt Security夺冠开始进入国内商业视线,但是国内API安全落地的Timing相对稍晚几年,今年已经看到业内多家厂商推出了API安全产品,相关新闻也逐渐丰富起来,但总体上API安全赛道仍然需要时间才能成熟,大家基本上处于探索阶段。
我们的目标是成为API安全赛道的引领者,目前我们正在进行落地实践。因为赛道相对较新,在这个过程中会一定遇到很多困难,但我们的态度就是,从“if”的不确定性,聚焦在“how”的如何做上,在行动中获得信息,不断优化调整。目前我们的核心目标是产品的快速go to market,同时提供全方位的服务保障,和用户站在一起就能get到接下来要突破的key points。
学习管理
数说安全:您今年26岁,但从履历上来看,技术经验非常丰富,成绩也十分优秀。想要成长为您这样优秀的技术人员,除了个人的技术能力之外,还需要具备哪些其他素质?
徐越:技术算不上优秀,牛人太多了,而且现在看到小伙伴们成长速度很恐怖。我个人觉得比较重要的一点是:学会如何学习。技术总会遇到坎,有些人过去了有些人没过去,这个不是个体差异,也跟耐力、意志力没太大关系,关键是方法的应用。梁宁在《产品思维》中提到过,游戏是如何让人上瘾的,为什么很多人学习上偷懒但是打游戏废寝忘食,核心原因在于游戏里每打一个怪、完成一个小任务,就立即得到正反馈,过程中角色不断变强,最终打败大Boss。我理解所谓持续的学习能力,就是自己给自己构建正反馈路径的能力,掌握了这种“让自己着迷”的方法,可以提升的很快。
数说安全:现在处于管理岗位跟以前做技术时会有哪些不一样?
徐越:做好技术需要理性,需要的是发现问题,解决问题,问题是比较具体的。而作为管理者需要的处理的问题复杂性通常较高,决策的时候要充分考虑团队与责任,站在理性客观的角度去理解人性与自我,并拿出清晰且可执行的方案。
技术积累
数说安全:AI、机器学习等新技术层出不穷,对行业来说是机会还是挑战?为什么呢?
徐越:我认为任何新兴技术的发展都值得关注,这些技术可能会给行业带来新的机遇。AI、机器学习等也不例外,数据驱动安全这个概念已经很普遍了,机器学习的出现使得某些领域经验问题转化成了数据和算力问题,在一些场景里投入产出比更高。AI与机器学习只是一个工具,能不能用,怎么用,达没达到最终效果,最终取决于解决问题的人对问题本身的理解,但毫无疑问新工具的出现带来了很多机会,新的技术发展也在酝酿着更大的商业价值,所以在这个方向我们一直在实践和探索。
从访谈中,我们可以看到徐越这位年轻的CTO身上,既有突破创新的勇气,也有冷静务实的思考。与此同时,我们也能看出星阑团队在创业过程中勇于探索、不断迭代的能力。愿星阑科技在创业的道路中能够不断实现新的突破。
评论