我认为网络安全工具的未来:开篇

渗透技巧 2年前 (2022) admin
1,315 0 0
带队封闭开发了一个月,终于输出了一个版本,把规划的几个目标都实现了,准备对外开始试用。整体过程一波三折,如果没有外部经济形势导致行业收入的断崖式下降,如果没有内部产品团队陷入了“需求永远开发不完”的困境,我觉得我可能不会这么早启动fofahub的研发。

八年前花一个月做了FOFA,三年前花一个月做了Goby,它们都有着自己生存的细分领域,比如FOFA的使命是完成最全最快最准最深入的互联网资产元数据的问题,比如Goby的使命是完成单机实战化入门网络资产与漏洞的问题。但是,显而易见的事情是,即便是我们每年花了那么多资金投入服务器带宽,以及投入那么多工程师,它们并没有完成产业和技术的升级,大家做了一些小点的改善,但是都不足以让公司体面的活下去。大家不是没有需求,而是几乎每一个需求可能都是定制化的,无法复制,开发不完,最终也就导致不能可持续化发展。

中国软件产业的发展正在经历这种困境,甲方的需求乙方永远不知道是什么,很有可能甲方都还没有明白自己玩什么。很可能是甲方看到了国外或者其他友商的界面,突然一下被触动了,于是说,我就是要这个。你知道男人选老婆最初就是选择性感漂亮的,后来才发现,油盐柴米的事情太多,光漂亮可能跟你的预期不一致,所以你又会不满意,准备离婚再找一个。人生伴侣尚且如此,更何况是一个产品或者工具呢。最初你以为你要那个,后来发现不是,你要的需求其实还挺多的,于是尝试往里面加东西,然后矛盾就出来了。乙方为了防止甲方无限制扩散需求,就希望甲方约定,按指标交付就要验收通过,甲方还担心呢,于是也在早期能多写一点就多写一点。

结果可想而知,两个没有想清楚要什么的合作方达成了一致的交付意见,验收了钱付了,过了一年,甲方说“我怎么买了这么个垃圾玩意”。交付是交付了,甲方不满意,想要改,乙方说可不能改了,做你这个项目都亏不少了,甲方憋着气明年又来建设一次。当然,也有双边都比较满意的,甲方说这就是我要的,这里有一个前提,千万不要国外或者友商退出了一个亮点功能,否则全部推倒从来。实际上,用户想要的不是他告诉你他今天想要的东西,而是期望得到一个你能够帮助他持续保持行业领先的东西。不幸的是,要么你不够了解用户的场景和痛点自己需求,要么用户自己也只是一时兴起或者过于乐观,总之,总会有很多修改的地方,会导致双方都陷入泥潭。

所以国内做软件产品,是需要有一个行业共识和认知的最佳实践,才有可能快速达成一致意见的。比如说光刻机这种东西,大家就不会乱提意见了,技术门槛在那,行业共识了很长时间,越小的体积越高的性能越低的能耗,做出来了就不愁卖,大家皆大欢喜。大部分情况下,甲方希望乙方能告知他行业最好的是什么,用什么方式去实现,而乙方苦于没有那么多人才并发支持那么多项目需求,于是也期望于甲方能够在招标参数就能自己明白做出来就是行业最好的技术,于是相互观望相互期待,相爱相杀。

相比其他的通用技术(数据库操作系统中间件之类的),网络安全更细分技术参数更多,所以相互间也就更难形成行业最好的认知,反正每一家都会说自己是最好的技术,客户不被骗个七八回是形成不了正确的认知的。火眼晶晶好是好,就是稍微费一点钱耽误一点时间。创业几年下来,我越发形成了一种认知:你永远不可能做出让用户满意能够跨行业可持续化发展的产品。用户抱怨最多的永远是怎么你们永远不懂我们的需求和场景呢?就这样这样再这样就好了,我都说了多少次了,猪都会了。我觉得越是基础技术越是要乙方多思考,越是业务场景越需要听甲方使用过程中的理解。最怕的就是甲方指导底层实现,乙方拍脑袋自嗨输出了一堆产品界面和流程。

要尊重用户尤其是用户对场景和痛点的理解,能感同身受的乙方人才太少了,这方面基本上不可能完成替代,尤其是面对不同行业不同客户的情况,完全考量一个企业的人才密度,少之又少。所以,解题思路有两种:要么证明你的技术和产品是行业内最好的,是公认的最佳实践,比如intel和大疆以及oracle这种;要么让用户自己去定义自己的场景,再在他们的行业内形成一种互相学习和共享的机智,像GitHub/vscode这种。

你可以大骂全聚德的烤鸭不好吃,你可以同时说你半生不熟的蛋炒饭很好吃,这并不矛盾,因为蛋炒饭是你自己做的,但凡你没有夸自己做得世界第一,我觉得都是正常可接受的范围。这恰恰也是海底捞能快速崛起的原因:你很难说自己的配料是难吃的,一样的食材,一样的佐料,唯一的不同是蘸料是你自己配的,你总会觉得美味无比。每次去吃火锅,我媳妇换个花样就说“你尝尝你快尝尝,我这个好吃的很……”,如果不是看过她曾经一锅乌漆麻黑的“汤”,我还就真信了。那一大桌的物品,除了她手里那一小碗,其他的跟她都没有关系,这也丝毫不妨碍她认为是由她完成了这一大桌饭菜的认知。

我并没有在说海底捞是错的,恰恰相反,海底捞做得很对,为客户创造价值是企业生存的目的,尊重客户的体验是企业成功的依据。我们跑到海底捞去吃饭,就是为了解决我们的基础需求:美好的体验。我们不用洗碗,有明亮的灯光,有贴心的服务,遇到打架人家服务员还会帮你搬凳子让你看热闹顺便告诉你对方打架的原因。这些都是外围功夫,最本质的还是你吃饱了喝足了。

我们做产品的思路坏就坏在老是要用自己的固有浅陋的认知去帮助客户做决定,我们总尝试去做一个交钥匙工程,让用户足不出户就能够做到江山尽在掌握。就像上面说的那样,在你没有证明你是成功到光芒四射的行业最强之前,你做的所有输出很有可能变成社死现场。你不了解用户,怎么就能做出用户想要的价值呢?没有用户比用户更了解自己,我们要做的只不过是做好服务工作罢了,让用户自己参与进来才是更好的方案。你保障最好的技术,用户对流程和场景负责,双方发挥最大的优势,岂不美哉?

fofa是元数据平台,但是也有用户认为你做一点点的分析就能更好卖,我们的同事们也很为客户着想,心急如焚火急火燎地推动产品改进;同样的,也有很多客户希望goby稍微改一改变成协作平台,也能帮我们解决收入问题。直觉告诉我,这很有可能是一个美丽的陷阱,这并不是说客户想要给我们挖坑,他们毫无疑问是想帮助我们的,但是我知道,一旦开始做了很多业务层的逻辑,以我们的人力物力能力,可能连基本的优势都会被温水煮青蛙似的丢失掉了。稳中求发展,国内环境最缺的就是夯实地基的工作,你在一个点并没有证明自己的绝对优势之前,不管上层业务看起来发展多好,最终都会被市场打回原形,因为你没有足够的竞争优势,在绝对的技术要求面前,再便宜也不会有人买。我们一天不能跟国外的顶级技术pk,一天就不要放弃对基本功的持续打磨。

有意思是,国外的很多很多伟大的平台都给了大家很多成功的启示。毫无疑问,单点工具可以相对比较成功,但是脱离了场景和平台,它的威力都大打折扣。人类是群居的生物,协作是我们的本能。所以几乎所有成功的平台后面都能看到群体智慧的影子。无论是github还是vscode,以及chrome甚至是apple,最终都变成了一个生态。大家的共同点有两个:一是有一个行业内技术领先的基础技术底座,代码托管/编辑器/浏览器/操作系统等;二是后期的发展都依靠生态共同努力,形成更大的链条,再进行产业聚合,形成更大的生态,比如github从早期的代码托管到后来的issue/ci/wiki/actions等等。道理大家都懂,但是国内大部分企业都是没有完成第一步的基础工作而冒然进入第二个生态阶段,才不配位最终导致饮恨出局。不是金刚钻不揽瓷器活这个道理,说起来容易做起来很难。多少资本催生了一堆昙花一现的现象级产品,然后又快速的陨落,复盘来复盘去,无非是东施效颦。

时代带来了很大的机遇,即便是在经济大趋势下滑的情况下也同样如此,越是这种时刻,越需要基础技术的积累,是元数据,是漏洞库,是工具化。如果只是元数据,也无法完成技术的升级,更多地要依靠对海量的场景的梳理和落地。一个企业不要天真地认为就那几万人就能解决所有问题,几十万员工也不行,是因为在数字化的时代,每天衍生出的新场景可能远远超过我们的认知。所以,哪怕是若干年前大家说苹果封闭,今天看来封闭是假开放是真。当然我们也有微信这样的生态与之匹敌,只是技术基座还是有不小的差距。

我们今天的技术底座也还有一定的差距,按照我的预期,在科学家团队到位之前,我们还有很多的基础工作要做。好在我们前期积累的数据和能力,有了往前走一步的底气。所以才有了fofahub这个新的种子的诞生,我们又小心翼翼地播了一块地。下一篇我把fofahub的具体内容跟大家再汇报汇报,丑媳妇总得见公婆。

原文始发于微信公众号(赵武的自留地):我认为网络安全工具的未来:开篇

版权声明:admin 发表于 2022年7月18日 下午7:14。
转载请注明:我认为网络安全工具的未来:开篇 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...