2009 年,35 歲的劉永波決定結束 10 多年的華為生涯,他租了間 20 平米的辦公室,只招了1個人,開始創業。
當時,原先在華為的老朋友去看他,然后神色凝重的離開。多年之后,那位朋友才告訴他,當年覺得他特別凄慘,搞不明白為何他要這樣“虐”自己,以他的情況去創業,好歹應該租個差不多的辦公室,招一波精英程序員才對,這起點也太低了。
其實,在離開華為之前,劉永波的職位已經是華賽(華為和賽門鐵克)安全產品線的研發 VP,曾管理著2000 多人的研發團隊,在華為做出過銷量超 100 億的產品,早已實現財務自由的他,本不應該如此“寒酸”。
更讓周圍人搞不明白的,是他要去做市場前景還不那么明朗的數據安全,在10年之前,數據安全遠沒有今天這么受重視,安全市場的主流還是防火墻、入侵檢測和防病毒的安全產品,專門做數據安全的公司非常少。
實際上,劉永波自己內心也在打鼓,他雖然能感覺到客戶對數據安全的需求越來越多,但這個市場到底有多大?他們迫切需要解決的問題是什么?究竟需要什么樣的數據安全產品?
在這些“謎題”沒解開之前,他沒有馬上把攤子鋪開,而是選擇了一條“曲線救國”的道路。
“離開華為后,我先去干了代理銷售”
在華為干了多年技術的劉永波,創業之初反而想去掉一些華為化的東西,把自己迅速變成一個既懂技術又懂銷售的人,這是破解“謎題”的第一步。
之前在華為,他服務的都是一些例如“英國電信”等國際大客戶,但對于一家剛剛起步的小公司而言,一上馬就搞定這樣的客戶顯然不現實,所以,他首先把目光放在了深圳各個工業園區中的企業。
“當時我和另外一個小伙子以做代理的名義一起跑市場,前前后后跑了幾百家企業,向他們了解市場對安全產品的需求是什么,比如對于 DLP(數據泄漏防護系統)、UTM(安全網關)包括郵件安全的需求等。”劉永波告訴雷鋒網,雖然很多人喊創業起步難,但對他來講,這第一年的體驗反而不錯。
沒有原來在華為那么高的強度和壓力,兩個人還通過代理多種產品了解了市場的行情和用戶的需求,挺有成就感,年底一算,沒把賺錢當成主要目標的他們,還掙了幾十萬。
更加重要的是,通過代理 IBM 、思科還有老東家華賽等廠家的產品,讓他更全面的了解了各類用戶的需求,堅定了之前想做數據安全的想法。
我在華為曾經做過通信、電信方面的業務,后來轉到華賽做安全后,我發現后者更多的時候像是一個輔助的東西。簡單來說,我原來賣設備是給電信運營商賺錢的,而后來做安全只是為了輔助這些賺錢的設備,安全本身很難賺錢。
不過,做了一圈市場調查后,劉永波覺得這種現象在數據安全方面可能會有改觀,安全同樣也可以賺錢。
“我那時就發現越來越多的安全問題,是防火墻或 IDS 等傳統手段解決不了的,必須要數據安全來解決。”在調查這些軟件廠商時,劉永波發現很多醫院對于數據安全的需求非常大。
以前醫院考慮的是“小偷”或者“強盜”,采取的方案是為了電腦不要被種下木馬、病毒,門不要被人家攻破,所以用的是防火墻。簡單來說,醫院原先策略是“御敵于國門之外”:只要把壞人擋到外面了,里面的數據就是安全的。
但實際情況是,堡壘很多時候是從內部攻破的,壞人可以通過滲透內部人非法獲取數據。比如,雷鋒網曾在去年9月報道過一起孕婦信息被泄漏的事件(點這里),當時,至少有上千名曾在深圳市婦幼保健院做過產檢或分娩的女性,接到過母嬰護理(俗稱月嫂)或嬰兒紀念品等公司的騷擾電話或是短信。
這些騷擾電話和短信的背后,是每一條泄露的孕婦信息都被明碼標價,少則一元,信息越精確,價格越高,甚至有高達百元一條的信息,可以精確到孕婦的具體分娩日期。
事后警方公布的調查結果是,曾任婦幼保健院保安的楊某,買通了醫院的護士,多次出入醫院下載了這些信息。
這也從另一方面說明了,安全防的已經不僅僅是黑客,還有內鬼。它需要深入業務流程中的具體環節,運用技術手段來制約什么人能使用哪些數據,如果發生泄密,如何最快的定位到那個人?這時安全的角色,已經不僅僅只是一個輔助的功能,而是成為整個業務流程中的重要角色。
它所起的作用,不僅僅只是一個事后抓壞人的作用,還有像監控攝像頭一樣對壞人的“震懾”作用。
為什么要選擇以醫院為切入口
定好大方向后,就是腳踏實地的往前走。
在昂楷科技的客戶名單中,雷鋒網發現醫療行業的客戶所占的比重非常大,劉永波透露,醫療行業的營收在全部營收中占比超過40%。
其實,在各個行業中,金融和電信行業是對數據庫安全最為重視的兩個行業,長久以來,他們也是數據安全產品的主要使用者,比如幾乎壟斷了銀行 IT 業務的 IBM ,就以重金收購了一家名為“gardium”的數據安全公司。
但對于像昂楷一樣的創業公司而言,要想拿到金融和電信行業的客戶,幾乎不可能。在考察完市場后,劉永波決定暫時放棄服務這兩類“金主爸爸”。
電信和金融行業對于安全公司的資質有非常高的要求,比如你成立的時間、是否具有各種資質,而且這些用戶的數量其實并不多,比如金融行業真正能采購數據安全類產品的,可能只有200家,但我發現,在醫療行業卻有20000多家,而且醫療用戶對于數據安全產品的需求更加迫切。
劉永波所說的“迫切”其實很大程度上來源于近些年來大家都非常痛恨的“非法統方”,換句話說,就是醫生為了利益給患者開某種能讓自己獲得回扣的藥。
在醫院中,“統方”是醫院對醫生用藥單據的統計,屬于醫院的正常業務操作范疇,但如果這個單據落到了醫藥代表手中,他們就能按圖索驥,找到行賄對象。
統方本來就是醫院一個正常的流程,作為一家醫院,總得知道哪位醫生對哪位患者用了哪些藥,而且這些信息在龐大的數據系統中,可能經過多人之手,在傳統的數據系統中,即使最后統方信息被醫藥代表拿到了,也很難追溯出到底是哪個環節上的哪個人出現了問題。
比如,以下的這幾類人,都有“作案”的可能。
醫院工作者:利用工作便利,可直接在 HIS (Hospital Information System)系統上進行“統方”行為。
開發或維護人員:當他們對HIS系統進行開發調試、維護測試工作時,往往擁有 HIS 系統的最高權限,“統方”易如反掌。
數據庫管理員:數據庫管理員擁有數據庫最高權限,可以對整個數據庫進行備份與恢復操作,他們才是對“統方”有最大權利的人。
黑客:通過利用醫院數據庫系統、業務系統漏洞,利用黑客攻擊技術從醫院網絡外部進行統方,其技術難度、“統方”成本均最高。
劉永波告訴雷鋒網,由于近年來醫院對治理非法“統方”的迫切需求,讓醫院對于數據安全產品的采購沒金融和電信行業那么保守,醫院在測試、試用之后,覺得好立刻就可以采購,決策鏈非常短,周期很快,所以更適合創業公司做,加之各種軟件的要求很復雜,正好可以錘煉產品。
從醫療到公檢法、政府等行業,其實有相通之處
其實,對于非法“統方”的治理由來已久,一些傳統的數據庫審計技術在行業內的應用并不少見。
傳統數據庫審計技術主要是通過旁路鏡像技術,將訪問數據庫的信息通過交換機鏡像一份到數據庫審計系統,再將這些信息進行深度解析,比如通過詞法、語法等手段把這些信息解析成可識別的數據庫結構化查詢語言(SQL),再與“統方”規則進行匹配,抓出“嫌疑人”。比如某些非授權用戶訪問了用藥信息;某些用戶在一個時間周期內對用藥信息持續查詢;開發維護人員批量下載用藥信息等。
其優點在于:
1.作為獨立的審計平臺,更具公正性。
2.通過底層信息進行全面的解析,不放過一個壞人。
3.因為是旁路部署,所以對數據庫和業務“零”影響。
但這也決定了,這些主流的防“統方”技術,在實現過程中面臨兩個難點:
1.對醫院業務流程必須深入了解,才能制定符合醫院自身特點的防“統方”策略。
2.必須擁有針對不同醫院不同類型 HIS 系統豐富的知識庫,規則庫,才能智能判斷是否是“統方”行為,否則結果會是大量的誤報,大大增加審計人員“統方”行為數據分析工作量。
由于醫院業務的復雜性,傳統的數據安全產品往往會遭遇“性能”問題和“誤殺”問題,比如因為要適配多個端口而造成的性能問題,比如由于復雜的軟件架構而遭遇的“誤殺問題”,當發現數據竊密的時候,有可能是從程序發起的,有可能是從終端發起的,這個時候所有訪問的方式都要精準地識別出來,不能漏過,但也不能冤枉好人。
要解決這個問題,沒有別的捷徑可走,就是要把醫療系統所使用的幾千家軟件廠商的數據庫架構“吃透”。
雖然數量有幾千家,但可以對這些軟件應用的 API 來進行分類,分下來也就是幾十種,而在這幾十種之間,有的可能是天差地別,而有的差別只有10% 。
這就如同兩個人都圍繞某個主題看了100篇論文,有人只是簡單的積累,而有的人能從中總結出相通和不同的地方,把這些論文“變薄”,內化為自己的理解。
劉永波把這稱之為“行業知識庫”,即把復雜的事情積累起來后,你自己進行了分析整理,從而讓用戶使用起來更加方便,比如對于不同產品的相同 API 進行匹配,想用哪類軟件時,很多默認的規則就啟動,從而能平衡“性能”和“誤殺”的問題。
在啃完醫療系統的“骨頭”后,他們在調查市場后發現,很多公檢法的軟件架構與醫療系統非常像,當年在醫療行業啃下的“硬骨頭”,驀然回首,發現在別的行業也能很快的派上用場。
雷鋒網發現,目前,除了醫療行業的客戶,其在公檢法、工控、教育行業也有相應的客戶。
而隨著這些行業的業務逐漸遷移上云,他們也多了很多像阿里云、騰訊云等云服務商的客戶。
雖然客戶領域不同,但在劉永波看來,對于數據庫審計和監控,有兩點測試方法萬變不離其宗:
第一,既然談到監控,那就是要精細化,就是要嚴格做到不漏審、不誤審,看得準,測試方法也很簡單,在業務最繁忙時,將所有應用系統的流量全部鏡像過來,然后在任何一個終端上進行正常操作,最后看數據庫監控產品能不能準確的識別該操作。
第二,綜合性能測試,當監控告警記錄已經達到幾億條到數十億條時,再來進行檢索操作,觀察分析結果準確性和出報表速度,以及是否跟其它安全設備進行了快速聯動。
明年,就是劉永波離開華為的第10個年頭,在他身上,依然能看出當年的“華為基因”。他屢次強調,只要能做出優質、符合客戶需求的產品,公司就一定能成。
從創業初期起,寫代碼出身的他就堅定不做“關系型”產品,他要讓技術人員看到自己的代碼是怎樣跑起來的,他要讓市場給這些代碼進行真實的反饋,而不是再像若干年前一樣,一家安全公司僅僅靠著銷售維護關系來生存。他堅信,隨著云計算和大數據的爆發,數據安全市場的春天才剛剛開始。
評論
查看更多