一次持续 15 年的网络安全“攻防之战”

2003 年 7-8 月，冲击波病毒爆发，对网络安全造成严重影响，尤其是校园网。冲击波病毒不仅使得校园网变得卡顿，还会在学生电脑上强制弹出一个倒计时窗口，60 秒后自动关机，给学生正常使用电脑和网络造成了极大不便。正值学生时代的邓欣通过第三方工具帮助同学查杀病毒，周围同学电脑上的冲击波病毒在他的帮助下被顺利清除，也让年轻的邓欣与网络安全结下了不解之缘。

大学毕业后，邓欣加入了腾讯，开始了网络安全的从业生涯。

结缘网络安全

在邓欣加入腾讯初期的那个年代，QQ 木马盗号的情况时有发生。在这背后，其实隐藏着的是一个巨大的黑色产业链，不法分子通过病毒木马盗取大量 QQ 号再进行转卖变现，整个过程可以获得上千万的利益。因为巨大利益的存在，黑客团体也有组织地开发木马、传播木马，以非法盗取用户 QQ。

在这一严峻形势下，腾讯成立专项组反击病毒木马，打击盗取 QQ 的不法行为，邓欣团队通过对病毒的精准识别，对其进行有效查杀；并且通过腾讯电脑管家和 QQ 联动，为 QQ 增加多重防护，这些举措使得 QQ 的安全性显著提升；同时通过溯源定位盗号团伙并进行法务打击，盗取 QQ 的案件量不断下降。

在专注于网络安全防护的同时，邓欣也在研究新型的网络攻击技术，做到攻防一体，不断提升自己对于网络安全的专业能力。而其团队也通过深入研究新型的网络攻击技术，反其道而行，开发对应的防御产品，整体提升团队对于网络攻防的理解和认知。

腾讯的工作经历让邓欣在网络安全领域积累了丰富的实践经验，在系统漏洞攻防和业务风险控制等领域构建起完善的知识体系。在腾讯期间，邓欣团队也曾于 Pwn2Own[1] 大赛斩获冠军头筹。

回望腾讯的 11 年工作历程，邓欣坦言，这段经历对其专业技术能力上的提升夯实了基础。作为中国最早一批发展起来的互联网公司——腾讯也是最早面临安全问题的企业之一。如前面提到的 QQ 账号安防事件，这个业务的体量足够大，系统的复杂程度足够高，安全技术人员在这里得到的锻炼也就很多。这样的背景，能够让邓欣这样一群人有机会不断的提升自己的专业能力。

安全事业上的新征程

在腾讯的工作期间，为邓欣构筑起完善的网络安全理论体系。

不论是技术团队管理还是整个公司的管理框架上，腾讯的经历都让邓欣成长了许多。随着对网络安全认知的加深，邓欣开始谋求一个跳出舒适区，寻找更好体现自身价值的机会。在采访中，邓欣提到，技术人员不能只是埋头做技术，而是应该聚焦于技术能用在什么地方，挖掘技术的实用价值。

在一颗“不安分”的心的驱动下，邓欣选择进入到一家创业公司——永安在线（原威胁猎人），并依然在他喜爱的网络安全领域下继续发力。

在国内，黑灰色产业链发展非常成熟，无孔不入。比如，网络营销活动中使用虚假账号薅羊毛、直播/ 短视频软件上刷点击量和刷粉丝、电商平台刷单、出行平台刷单、游戏刷道具和刷金币……这些问题需要通过构建网络安全体系去限制和解决。

中国的互联网行业的发展伴随着互联网黑灰产行业的发展，在某种程度上来说，两者是同时并存的。

其一，中国的互联网行业发展是最迅速的，不管是从移动支付还是其他层面来看，中国互联网行业都处于领先地位。如果互联网发展基础薄弱，互联网黑灰产也会没有太多发展基础；其二，如今很多传统企业都在大力发展互联网业务，或是通过互联网进行营销活动拓展客户，但相对缺乏网络安全的全面认知，网络安全建设工作也并不健全，导致被黑灰产利用；其三，中国在网络安全技术上的发展是比较快的，年轻人也有很多机会接触和学习到各种黑客知识、技术和工具，在巨大的利益诱惑面前，有不少人误入歧途从事黑灰产行业。

邓欣希望能解决这些问题。而解决这类问题的源点在于，你得知道“根源”在哪里。

用他自己的话说，即“安全的工作是攻防一体的事，如果你只做防御，而不知道攻击者怎么攻击你，就像当年法国军队构筑的马奇诺防线，虽然做了层层防御，攻击者却可以绕道而行”。这也是邓欣团队为何热衷于参与 Pwn2Own、GeekPwn 等黑客大赛的重要原因之一。

目前永安在线的技术团队成员加起来三四十人有余，其中一部分人员主要负责产品的研发，另一部分主要负责研究黑灰产。通过深入挖掘黑灰产业链，探索更好满足客户需求，解决客户问题的产品。黑灰产是一个完整和成熟的产业链，有自己的上游、中游和下游，这个链条上存在着一些比较核心的节点，为黑灰产从业人员提供关键的资源支持和技术支持。永安在线现在的主要工作就是抓住这些核心节点，对节点进行感知和布控，从而准确发现通过这些节点进行的恶意攻击行为和数据，比如：发现恶意注册手机号，恶意攻击使用的 IP 地址等。

无论是从人员规模上，还是业务体量上，永安在线都仍属于上升与扩增阶段。在这个过程中，既需要技术团队管理者能抬头看路，把控业务战略的前进方向，也需要适时地“低头走路”，了解产品和技术的细节。这两方面的兼顾与平衡并不是一件易事。相信有不少创业者都会面对这样的难题。

对此，邓欣的经验和建议是：逐渐把低头做事的比例降低，将具体的业务细节交给有能力或有潜力的员工完成，管理层则聚焦于抬头看路，制定公司的未来发展方向。安全行业技术迭代非常快，技术管理者应时刻关注技术发展的动态，同时结合行业现状和公司实际情况，参与制定公司的发展战略。

当前，永安在线的技术团队管理比较灵活，也会参考和借鉴一些腾讯的成熟管理经验，比如会将产品研发人员和安全研究人员划分开，产品研发人员需要具备良好的编码能力和工程化能力，能够打造完备、成熟和稳定的产品。目前邓欣将研发团队交给了值得信任的研发主管来管理。同时，永安在线设有专门负责安全研究的“鬼谷实验室”，邓欣带领实验室的发展。这些研究人员会负责黑灰产的挖掘、威胁情报的收集、反欺诈模型的建设等工作，很多时候邓欣只需要设定目标和执行路径，具体的执行完全交给他们来完成。邓欣相信在他的带领下，这些年轻人会像以前的自己一样，很快的成长起来。

带团队打胜仗的三件最重要事

邓欣认为，带领技术团队打胜仗的过程中，有三点非常重要。

第一点，创业公司的技术团队就要有创业精神，和部分大公司技术团队按部就班的感觉不同，很多事就得不断尝试不断向前冲，冲过去才有回报，管理者还要冲在最前面；第二点，互联网的发展是非常迅速的，黑灰产也在不断的发展和迭代，技术团队需要保持空杯心态，不断学习新的知识和技术；第三点，公司的核心在于人才，团队应该不断地吸纳优秀的人才加入。对于人才而言，一方面悉心教导和培养有潜力的年轻人，让他们成长起来并最终能承担重任，另一方面给予他们足够多的成长和施展才能的空间和机会，必要时可以放权。总的来说，就是要不断提升团队的战斗力！

邓欣坦言，人才是对于创业公司而言是最核心的。相对于整个行业而言，网络安全的人才还是很匮乏的。永安在线对于网络安全方面的人才重视程度非常高，在腾讯的工作经历，使得邓欣对网络安全人才有了自己的衡量标准，出来后也依照这个标准去招聘员工或开展工作。

邓欣认为，选人的标准首先需要对网络安全抱有极大的热情，其次需要有良好的学习能力。学习能力体现在员工自身的工作实践中，在完成了公司安排的工作之后，还主动去了解和学习其它东西，并尝试用于实践。另外，邓欣还非常看重员工的一个素质，就是执行力，即能够将计划的任务快速高效的落实，并及时汇报进度，而不需要别人从旁推动。

Q&A

TGO 鲲鹏会：在企业互联网转型或上云的过程当中，网络安全往往不在优先级那么高的事项当中。那其中很重要的原因是什么？因为安全成本吗？

邓欣：主要是因为安全自身无法带来收益。在企业发展初期往往更注重于业务规模的增长，这个合情合理。当安全成为限制企业发展的瓶颈时，才会引起重视。以社交软件为例，在业务快速发展时，一般会容忍黑灰产注册的小号或机器人账号，但是当这些账号发布太多垃圾和不良信息充斥平台时，严重影响到平台合规性和用户体验时，就会引起重视，采取措施进行治理。因此网络安全的建设存在一定的滞后性。

TGO 鲲鹏会：网络安全该投入多少您有什么建议吗？

邓欣：投入多少还是要取决于业务发展的情况，但是业务发展早期管理者应该有基本的网络安全意识，并且知道什么时候该投入。网络安全的最理想状况是甲方乙方的联防联控，共同推进网络安全体系的构建，但是这在实际的推进过程中会有较大难度。另外，在系统框架搭建的早期，技术人员就应该考虑到安全因素，同时在设计业务逻辑的时候设置一道底线，避免系统发生失控的状态。

TGO 鲲鹏会：网络安全领域是攻与防的博弈，同时也是投入与产出的博弈。在两种博弈中，您认为最重要的是做到什么？技术管理人员有网络安全领域的认知吗？

邓欣：从攻防的角度来看，尽量做到 “知己知彼”。从投入的角度来看，在企业发展早期，业务规模并不大，安全上的投入自然也要谨慎；当业务规模起来以后，安全问题就显得日渐重要起来，这时候技术管理人员应该对网络安全问题引起足够的重视，才能保证业务的健康有序发展。

TGO 鲲鹏会：网络安全市场的人才缺口比较大，腾讯和 360 这样的大厂往往更受人才的青睐，您怎么看待这种现象？

邓欣：对于一些优秀人才而言，他们会优先选择大厂，因为在大厂里工作更有保障，而且腾讯这样的大公司业务结构复杂，新人能够接触到小厂接触不到的东西。不过，大公司发展成熟分工明确，每个人基本只会负责一小块业务。长期来看也许会接触到其他业务，但短期内一般都会将新人固定在一个岗位上，得到的锻炼机会并不多。另外大公司的网络安全体系建设已经比较成熟和完备了，很多东西前人都已经打造好了，新人很难有机会经历一个东西从 0 到 1 的建设历程。

[1]Pwn2Own，世界著名的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下 TippingPoint 的项目组 ZDI（Zero Day Initiative）主办，谷歌、微软、苹果、Adobe 等互联网和软件巨头都对比赛提供支持，通过黑客攻击挑战来完善自身产品。