引言
2 月 15 日是自己 40 岁生日,我从未觉得眼前和当下是如此珍贵,人生最大的遗憾是“所爱隔山海,山海不可平”,后来才知道“海有舟可渡,山有路可行。山海皆可平,难平是人心”。愿我们的生命永远没有遗憾,爱你所爱,行你所行,愿我们是家人彼此的海。夕阳披上金色的光斑,在波光粼粼的风景中走完这短暂又漫长的一生。
0x1 业绩情况
2023 年是知其安成立第二年,业绩情况如下:
1.业绩数字:合同、确收:数千万、数千万;
2.业绩增速:合同、确收:102%,105%
3.客户质量:服务客户:500+,售后客户:80+,复购率90%;
金融为主:国有政策性大行、国有大行、股份制银行、城商行、券商、基金、保险、消费金融公司
开拓其他:能源央企、高端制造、互联网公司
4.客户服务:收到 10+客户感谢信,客户口碑保持
5.产品研发:离朱、陆吾两大平台,专注于安全运营工具赛道。两大平台均实现了诸多国内首创功能,建立了核心功能护城河,落地甲方运营场景,这是和以往安全建设赛道不同的思路和打法
6.资质荣誉:国家高新技术企业、北京市专精特新中小企业
7.表彰奖励:
-
《安全运维实施指南》国标
-
《证券期货业信息安全运营管理指南》行标
-
Gartner《2023年中国网络安全技术成熟度曲线》报告””入侵与攻击模拟””领域代表厂商
-
“金融网络安全实验室”成员单位
-
证券期货业网络和数据安全实验室安全合作伙伴
-
2023网信自主创新尖峰榜:金远见奖、金风帆奖、突出贡献奖
小结:业绩数字、业绩增速都不错,客户质量很高,确保增速的同时,服务质量得到了保障。
0x2 不足与收获
其实创业中我遇到了非常多的新问题,基本都是之前的技能盲区,也没有处理过的经验。难度也远非打工干活时可比,需要不断用自己的逆足挑战射门…怎么说呢,能看到以前看不到的另外一个自己,有点像一个人被扔到荒野,荒野求生的感觉。
主要有三个不足:认知需要提高、情绪管理需要提高、技能需要提高。
我们只能在认知范围内成事,具体是:真切的明白自己对于人性洞察的不足、对可能遇到的困难和形势预判不足。过去二十年的工作经历都在甲方和大平台,虽然自己有心理建设和预期,并在很多方面快速转变心态,但在人性洞察的认知上远远不够,这也导致了一些团队搭建和管理的问题,某些问题还对公司目标达成造成了比较大的影响,也让我不得不花很大精力去学习和弥补。疫情放开之初,团队对大环境预期很好,年中回顾赶紧下调年度目标预期,这也客观增加了下半年为完成目标大家都付出了更多更艰巨的努力。对困难和形势的预判不足,会传导到资源分配、计划实施、策略决策等很多方面,归根结底还是认知不足。
情绪管理需要提高:这是我的首次创业,步入了技能盲区,不可避免的对面临的各类新问题第一反应是手足无措、焦虑不安,想尽快解决,在动作上就会变形,这些或多或少的影响了我的情绪。情绪管理的不足,会让我需要花很多时间去做团队的工作,这点感谢整个团队对我的包容和理解。
管理技能需要提高:之前我带的团队,大部分是单一型技术团队,没有混合型团队管理经验。创业之后,产研技术、销售市场、售前售后、职能团队,都面临很多管理问题。而面对问题,我下意识的选择自己干,没有充分的授权,效果并不好。下君尽己之能,中君尽人之力,上君尽人之智。
过程中也有很多收获。因为每天都可能遇到新的问题,但同时每天也都在解决这些新的问题,感觉自己的各方面的能力经验都在增长。虽然解决这些问题,甚至当听到这些新的问题的时候,自己确实也感觉到有一些痛苦有一些烦躁,但仔细想一想,没有哪次成长是快乐而且顺利的。
最大的收获是我们的团队,年轻的团队经受住了挑战,也成长了很多。有很多志同道合的同学加入我们,比如郭威,他是我们团队合伙人。他在腾讯的经历是独特的,他的经历可以看这篇:《辞别腾讯,下一站知其安》。
我们每个人工作到最后,就是决定和什么样的人一起做事,做什么不那么重要,这件不成还有下一件,未来在知其安,希望能找到我们每个人最巅峰的时刻。
聂君
收获的其次是找到了做自己最喜欢的事情方式:通过安全运营系列工具,构建精细化安全运营体系,为安全行业持续贡献微小价值。
-
2015年前,我主要是技术工程师角色,吸取各类安全知识和技能作为养料,特别是从 2009 年建设 SOC 平台和安全运营体系,2012 年写脚本做安全验证、红蓝对抗,逐步成长,过程中获得了很多前辈的大佬的指点与帮助。详细见:《金融行业企业安全运营之路》。
-
2016 年,我开通了本公众号,倡导安全运营,将过去在银行做安全运营的实践分享出来,2018年底,《企业安全建设指南:金融行业安全架构与技术实践》上市,将安全运营和金融行业安全特点结合起来,帮助新加入金融行业的安全从业人员更快熟悉企业安全建设工作,很多金融机构也将该书作为新员工入职推荐学习书籍。该书上市以来多次再版,将近 10 万册销量,在网络安全小众领域算是一本不错的畅销书。
-
2022 年加入知其安,开始通过安全运营系列工具,构建精细化安全运营体系。网络安全已经加速迈入安全运营时代,但当下安全运营的问题是没有标准,大部分通过人工来完成安全运营工作,安全运营标准化和自动化程度比较低。通过离朱-安全验证平台,我们累计完成了 500+PoC 测试,有 80+选择了我们作为精细化安全运营工具提供商,看着我们的验证平台帮助甲方提高了安全运营水位,充满了价值成就感。
-
安全运营的本质是最佳实践的复制,所以这里有巨大的从业门槛和技术壁垒。
安全行业还存在很多问题,但如果你还热爱这个行业,那就去建设和完善它,为行业做微小的贡献。工作和创业我感受到的最大困难是什么?是各种各样深深的傲慢。
我们内心都会有个朴素的愿望,总想改变一点什么,这种改变不是靠说教别人来实现,而是自己努力做去实现。我们缺的真不是理论和方法论,缺的是真的去做。一万条推荐和建议,不如一次失败的尝试,更比不上 99 次失败后一次成功的尝试。
收获的第三条是各类微小的成长。2018年我在安信证券时牵头起草证券期货业安全运营行标,2023.10.23这个行标终于正式发布了(我和知其安另外一位创始人孟繁强忝列文件主要起草人名单),该指南每个细分领域,提出了“同步建设、同步运营、同步验证”的三同步思想,每项安全措施都强调通过有效性验证,实现安全措施的运营闭环,并单独设置安全有效性验证领域章节(12.2.3.、12.3)。指南发布也意味着:金融行业安全运营全面迈入安全有效性验证发展阶段。这可能就是乔布斯说的,你以前做过的事情,在很多年后才会联系起来,虽然你做的时候并不知道这会有什么意义和价值。标准立项是2018年,已经过去了5年多。
做一件事最好的时机是X年前,其次是现在。
聂君
通过 5 年+的周期我收获了一份我最喜欢的安全运营领域行标,以及怎么做标准的体验和经历,这些体验和经历构成了你独特的人生。
这么多年比较幸运(自豪)的一点是,一直在经历自己以前没做过的事情,无论顺境逆境,总能找到让自己愿意为之努力和兴奋的内容。
0x3 生活与成长
2023 年是自己有史以来最忙的一年,但陪孩子的时间反而有所增加,平时我很少有时间能够参与顶妙的学习,小敏认为:没有参与顶妙的学习和成长,损失最大的是你自己,我深以为然,所以顶妙期末考试前两周的一天,日程安排是这样的:
-
6:45 起床,7:15 出发送妙妙上学,8 点到校
-
9:30 到工银科技技术交流,11 点结束
-
12 点到xxx汇报,14:30 结束(中间没吃饭,xxx领导也挺拼的)
-
15:30 回家,让阿姨煮碗面,开始给妙妙复习数学
-
17:00 出发去xxx,晚上有个饭局
-
23:00,回到家,极度疲惫,换了睡衣就睡了
-
半夜 1:30 起来上卫生间回了五条信息,把两个公司审批单审批了
和之前日程安排的差异是:孩子备考周期内,下午没有安排工作,回家陪孩子复习,也不耽误上午和晚上的工作安排。孩子们还给我一个惊喜:有一天顶顶妙妙说最想吃我做的红烧排骨。这时候小敏说,爸爸的心在家里了。
三年级妙妙开始竞选大队委了。先要家长写推荐,然后还要做一个手抄报放学校宣传栏公示一周,最后给她准备一个2分钟的演讲,学校还全校视频直播,当场全校学生投票,选举出来,好正式,就是家长很累。
这期间我们大手牵小手,一起去了:青海甘南、应县木塔、武汉和长江三峡、哈尔滨和伊春、坝上草原、昆明和西双版纳,留下了很多欢乐的故事。
上学期顶顶数学考的不是太好,自信心有一些影响。这个学期快结束的时候,我专门花了两周的下每个下午时间帮助顶顶建立复习的习惯,并把每个单元知识点复习一遍,考试前回顾了一遍错题本,语文也是如法炮制,最终顶顶期末考试数学、语文、英语考试都很不错,顶顶拿到成绩时说:用爸爸的方法确实有效果。
其实孩子的学习成绩跟他们未来的关联最多有1/10,1/5就到顶了,剩下的他们怎么做人,怎么为人处世,是不是有跟人共同相处的能力,有没有乐观积极的个性,能不能克服人生困难,有没有人生的成长目标等,这些东西反而和孩子的幸福健康有更重大的关系。我只是通过这个学期的经历,让他学会怎么去复习,同时通过成绩建立自信。
2023 年12 月 31 日,我和小敏带顶妙去北京郊区的光爱学校,捐赠了一批物资和资金,让顶妙和孩子们互动交流,以有意义的一件事情结尾,让顶顶妙妙明白有很多需要帮助的人,也让他们亲身经历和体验,用光温暖生活,用爱教育一生。
顶妙上小学后,问的最多的问题是:为什么我们要上学写作业,你们大人不用?后来我经过两年考上了清华大学计算机系工程博士,目前已经修完了全部学分,正在开题答辩。我以自己的亲身经历告诉顶妙,大人也需要上课学习,也需要写作业和考试,学习是终身的,与年龄无关,每个阶段就要做每个阶段的事情。
一到暑假的时候,我会兼职家族驻京办主任,负责接待大家,借此机会我可以和长辈晚辈平辈交流见面,叫我一句姑父,舅舅,姨父,我会非常开心,我喜欢家族赋予我的责任。
2023 年还有一件让我印象深刻的事情。有一位产品经理候选人面试没有通过,给我写了一封很长的邮件,详细分享了他的一些经历、特长和想法。我单独约了给我发邮件的同学,做了一个小时的深入交流(而非面试,我尊重部门负责人的专业判断),我们交流了很多关于安全和产品的看法,以及对职业生涯发展和选择的话题。最后我也给了唯一的一个完善建议,总之每一个努力的人都值得被关注到。他写这封邮件的时候,花费了很多时间和心思,我也很有必要尊重。毕竟,肯花时间的,才是最珍贵的。
积极主动的态度,我一向都认为是成功的必要条件之一。但愿每一位同学,都能够被世界温柔以待。
过去的一年,我开始跑步了。由于周六也经常需要安排工作,我很少踢足球了。跑步挺枯燥的,一直都不喜欢,奈何足球对各方面条件要求太高,就跑跑步吧,毕竟已经有体重焦虑了。羡慕 20 多岁时的新陈代谢能力,怎么吃都不胖,可惜体重一直控制的不太好。
唯二的爱好足球和电影,也很久没有走进电影院,好好看一场电影了。
0x4 体会
体会一:网络安全行业,绝大多数从业人员是甲方企业的安全团队人员,但由于诸多主客观条件限制,这个最大的群体成为了“沉默的大多数”,但这部分沉默的大多数的心声,才是网安行业最应该被聆听的声音,这部分群体的需求和意见,才是促进网络安全行业前进的最大动力,可惜市场上没有这部分最有力量和最有价值的声音,甚至被很多乙方安全公司选择性忽略了。绝大多数安全公司是从产品功能维度去满足客户需求,上来就讲自己有八大功能、十大亮点。大部分安全公司的产品经理、解决方案专家,也并没有丰富的甲方实践经验,甚至没有修过一个漏洞、处理过一次安全事件,就在指导甲方做企业安全。好比没有养育过孩子的人,在教我们怎么教育自己的孩子,这其实是个很大的问题。
体会二:甲方安全有50%以上时间都在组织,架构,职责分工,管理制度,流程,考核评价,突发事件协调,监管沟通与汇报。谁帮甲方降低这50%工作成本,谁就有了价值。
感觉最近几年,甲方安全越来越偏重合规,合规的动力是第一位的。那到底“合规”的规是什么?我以前的理解是规范、规章制度和监管要求。甲方安全,最重要的是解决风险和问题,至于你是花 1000 万通过技术和产品+人员解决,还是花 500 万搞定风险对手,都可以,而且500万的路线更优,这也是越来越多企业设置 GR的原因之一。合规的规,我现在理解是经济成本更好的综合解决方案。
体会三:有一天我送一个好朋友去高铁站,他说他才体会到我这创业的辛酸,我的回复是:挣钱嘛,不丢人,得有商业思维,做一个成功的商人。
相比打工时大几百万的年薪,我觉得这不是自己创造的价值,这是平台给自己的溢价,当我在大平台上拿着溢价高薪时,我会有不安全感,甚至有一种“混吃等死”的感觉。
自从创业后,反而内心有了安全感,我知道在每天有无数公司倒下的商场,我还活着,我挣得每分钱都是真实的能力和价值创造的。现在我的安全感只能来自于自己。
体会四:陈春花老师分享过一个经历:为了争取一个客户的时间,我不仅把他送到了机场,还买了一张飞上海的机票,一直跟客户同班机飞到上海,把他候机和在飞机上的时间都充分利用了一下。下飞机之后,我跟客户握手告别,没出机场直接飞回了北京。这个客户,至今跟我都是非常好的朋友。我自己也有过这样一段经历。
过去的一年,我的心态发生了很大变化,第一是尊重 ToB 商业规律,第二是认清自己的位置和优缺点,第三是用产品和服务去创造价值,赢得客户。不要我以为,而是重视客户和用户认为。
0x5 未来展望
从乙方视角来看,过去我们习惯了高收入,习惯了各种光环。现在心态要调整下来,过去能做很多,不是你的能力,而是我们时代的红利。这意味着商业逻辑发生了很大变化。过去我们做好了产品和服务,商业就基本能成功,但现在还要加上IP。
做公司终究要回到挣钱这个本质上来的。之前高度依赖 ToVC 的创业之路不是不可以,但很难走的通。所以回归做好产品、控制现金流,争取早日盈利是安全创业的最稳妥之路。
从甲方视角来看,安全价值可视化是企业安全高级需求。衡量企业安全控制措施的有效性,并证明其合理性,已成为企业的关键业务指标,也是CSO、CIO向CEO汇报的指标之一。
企业安全基础水位不断提升,企业安全下个热点和重心工作,除了安全运营之外,是安全架构和组织架构变革,这是甲方安全的内生需求,并且随着基础安全能力的不断完善后,企业安全体系和架构的不足随之显现,能否设计了科学且适配的网络安全架构,是安全负责人亟需补上的一课。
另外甲方安全负责人,会更关心失败的案例和实践中的坑点。之前甲方要调研,去找了宣传稿,别人发宣传稿,肯定是把好的写上去,但通常宣传稿里的事和结果并不见得有必然联系。如果计划照着做一遍,那大概率是失败的。所以现在大家越来越关心失败的案例和实践中的坑点,这才是常态,避开了这些才可能将项目做成功。
Talk is cheap,show me the “实践”
聂君
文章的最后,列上了我的 2024 计划,最难的是情绪管理,欢迎大家拍砖,批评指正。
我们的一生中,高光时刻屈指可数,绝大部分都是琐碎的、平庸的、艰难的甚至绝望的。必须有足够清醒的悲观主义,才能有足够热情的乐观主义。我们生活的每一天,构成我们的人生。不存在完美的人生,只存在认真生活的每一天。
莱布尼茨认为,时空是物质的内在关系,时空就是各个演员之间的关系,比如同学关系,情侣关系。没有舞台,只凭借演员之间的互动,也能上演一场精彩的小品。这时候如果演员都消失了,那演员之间的同学情侣关系也就不存在了。关系没了,时空也就不存在了。因此如果物质都消失了,牛顿认为时空还能继续存在,莱布尼茨认为时空也会跟着消失。牛顿把时空当做外部的背景,莱布尼茨把时空当做内部联系。
所以,没有体验和经历(内在关系),我们每个个体(时空)也不存在了。
体验和经历,才让我们每个个体真正存在。
附注:
-
聂君,北京知其安创始人,十余年金融行业信息安全从业经历。好读书,不求甚解。性格开朗,爱好足球。
-
本公众号是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。
原文始发于微信公众号(君哥的体历):一个网络安全创业者的2023 年总结