访谈|梆梆安全CEO阚志刚

作者:星期一, 十一月 14, 20160
分享:

移动互联网时代的发展和物联网时代的即将到来,推动了移动安全领域的蓬勃发展,并催生出一大批专注移动安全领域的企业。其中,在移动应用加固领域迅速崛起的梆梆安全,一直得到安全牛的关注,并于近日采访了梆梆安全CEO阚志刚先生,得以近距离了解这家企业走过的道路和即将踏上的征程。

%e6%a2%86%e6%a2%86%e5%ae%89%e5%85%a8ceo

阚志刚

个人简介

阚志刚,梆梆安全创始人、董事长兼首CEO,在移动通信和移动安全领域拥有10余年技术管理经验,曾在赛门铁克、诺基亚、索尼、爱立信等公司担任技术总监、首席软件架构师等职务,并拥有20项自主知识产权发明专利,30项软件著作权,发表学术论文60多篇,著有5本移动通信领域著作。

一、定位的差异化是成功的关键

安全牛:梆梆安全的定位是移动安全,在这个领域做的非常早,能否介绍一下当初的创业想法么?

阚志刚:梆梆安全于2011年10月8号成立的公司,核心研发人员是赛门铁克的团队。当时赛门铁克在中国有一些移动安全的核心技术研发,就是诺顿的移动版,类似于360手机卫士和腾讯手机管家等,我就是赛门铁克移动安全事业部的负责人。

出来创业时,在移动安全领域有两个大的方向,一个是终端安全,主要功能就是杀病毒、反垃圾邮件、垃圾短信、电信诈骗等,靠免费服务获取大量用户,然后去做流量、广告等增值业务。

另一个方向就是APP(移动应用)安全,当时做这个领域的人还很少,但是我们感觉到它是一个趋势,因此我们当时就选择了APP保护作为公司的定位。公司成立六年来,一直以这个方向为核心去做。这与360、腾讯、百度他们是有区别的,他们是to C的,而我们的商业模式是to B和to D(开发)的,是为企业或开发者来提供安全服务。

安全牛:这就是定位的差异化。

阚志刚:是的,一个公司的定位太重要了,定位不准就很难在互联网巨头的铁蹄下生存。有了差异化,则令这些巨头整整给了我们三年的时间。当然,to B也的确不是互联网公司的主要战略方向,这属于竞争格局的问题。

一个技术公司要生存,除了把研发工作做好,同样重要的是抓住需求,要商业化并能够变现,这样才能拿到不断的投资,才能够健康的发展。

安全牛:梆梆安全的商业模式是怎样的?

阚志刚:我们有两大类客户,一类是收费客户。覆盖了10大行业,如金融、运营商、游戏、政府、军方、公安、能源、交通、电力等。可以说,只要使用APP就会是我们潜在的客户。

安全牛:如何收费呢?

阚志刚:30万是最低的,然后是50万,最高到几百万一年。

免费客户则是针对初期创业的开发者,这些人没有多少钱,但是他们需要保护自己的知识产权。梆梆安全免费为这些开发者提供安全保护,到现在为止梆梆安全将近保护了80多万种APP。但是一旦(创业者开始)挣钱的时候,比如说开发出某个爆款游戏,那么客户隐私的保护、支付信息的保护等需求就会强烈起来,这时我们再(考虑启动)收费(合作),即所谓的销售漏斗,这就是我们的商业模式。

安全牛:这里所说的保护主要是指APP加固技术吗?

阚志刚:APP加固的确是我们的核心技术,但围绕着这个技术我们已经形成了20项服务,APP加固或说加壳只是其中的一项。但仅此一项服务,就已经安装在了近8亿部手机里。

安全牛:8亿?这个数字非常惊人了,怎么算的?

阚志刚:我们有将近700家企业级收费客户,其中仅一个12306就覆盖2亿手机用户,再加上几十万免费客户,覆盖范围非常广泛,从老年人到少年儿童。实际上我们是站在了应用巨人的肩膀上,而相关的大数据具体怎么用,怎么去保护用户隐私,这块资源我们现在还没有去开辟。

二、商业模式的服务化趋势

安全牛:梆梆安全的企业发展战略是怎样的呢?

阚志刚:企业的发展是我一直都在思考的事情。去年我们分析了全世界近150家上市的安全公司,包括美国、欧洲和中国。

可以把这些比较成功的安全公司分为三类,第一是传统卖硬件的安全公司,即绿盟这类的设备厂商,俗称卖盒子的。第二类是卖软件的,如赛门铁克的安全软件,卖出之后就可以按License收钱。

我们认为,随着安全的发展,大数据、云、物联网到来之后,安全的边界逐渐变的混沌和模糊。这个时候,只有做服务才能将安全设备或(安全)系统的价值发挥到最大。这就是第三类公司,以卖服务为主,如美国的火眼、Palantir等公司。梆梆安全就是服务类型的公司,我们的商业模式也可以称为SaaS,但这里的第一个S是Security,SecaaS,安全即服务

这种模式有三个好处,第一个好处就是可以大幅度下降公司的边际成本。比如说我们为12306提供的服务,95%都是自动化的,只有5%是人工定制的,包括出报告和培训。但未来我觉得边际成本可以降低到零,为问题最多的大客户解决完问题,就有可能把经验和方法复用给其他用户。比如说我们的大客户明年扩展到3000家,就不用增加许多人,只需要增加后台的计算能力和服务能力就可以了。

第二个好处就是产品标准化,否则又做成项目了。这方面我们吃过亏,2012年公司就差点因此而倒掉,就是因为那个时候走错了方向。当时客户一提需求就帮他改,改来改去每增加一个项目就要增加相应的人,而且项目周期特别长,把公司拖的很惨。等拿到B轮投资之后,我们痛定思痛,订立了产品标准化的方向。

第三个就是社会成本集约化,使社会资源扩大化去做服务。安全到底算不算是一个产业?现在来看,最大的安全公司也就一二百亿美元,和苹果、阿里这种千亿美元级的公司没法比。

安全牛:作为信息安全咨询机构,我们始终认为,安全到现在为止还都是IT的附属,市场不仅小,而且还比较复杂,各个行业的安全都有着各自的特点,因此无法出现真正的巨头企业。

阚志刚:但有没有这种可能?如果我们解决了一个标准的普通需求,像社交之于腾讯,搜索之于百度,电商之于阿里,安全将来也会出现千亿级美元的公司?否则永远作为某个行业的附属,依附于行业,只能随着行业的发展而发展。

我认为安全未来会成为一个普遍的需求,安全将来能够变成一个通用的服务,所以梆梆安全才会选择SecaaS模式。也许大企业不太接受通用的服务,但千万个中小企业呢?亿万个家庭呢?

基于SecaaS的模式怎么收费?我们收费按照两个维度,一个维度是按照服务种类。梆梆安全现在有20项服务,覆盖了APP的整个生命周期,从需求分析到编码再到运行、发布和使用。另一个维度是装机量。收费模式采用的是年付费,按每年每个应用去收,而不是按企业法人单位去收。这就是卖服务的好处,持续性非常高。

三、技术价值观的坚守成就亿元级收入

安全牛:这种服务模式的关键基础是技术,梆梆安全的技术理念是怎样的?

阚志刚:安全技术更新的太快,如果老是追求一些新的方向,对个人的技能也许有用,但对企业来说则很难稳定成长。怎么样保证我们的研发人员坚定地朝着一个方向去走,而不至于被其他新的方向分心呢?这时候必须有技术价值观来指导能做什么和不能做什么了。

梆梆安全的技术价值观可以总结为两点。第一,安全有攻有防,我们是从保护的角度去做安全。而一些收集漏洞、传播黑客技术的公司则是从进攻的角度去做。保护又可以分为两种,一种保护就是边界防护,如防火墙、入侵检测等。我们的保护理念是让企业自身变得强壮,以及抵抗攻击。

第二点,我们希望从本质的层面去做安全。美国的IT业之所以发达,是因为掌握了核心技术,如芯片、操作系统、数据库等。所以在美国,很少有做系统集成的公司,厂商的产品基本上全行业全世界都在用。所以在移动互联网的领域里面,我们就找到了APP,这是一个最本质的东西。因为它改变了人类的生活,改变了你我。

对于APP来讲,不管是什么样的APP在技术研发人员看来都是一堆程序,包括源代码、SDK、输入、输出、加密的Key,还有通讯协议等,程序无非就是这样组成的,无论是银行的程序,还是游戏,还是新闻客户端都是一堆程序而已。因此,梆梆安全做的是APP系统的安全,不是业务的安全。

安全牛:也就是说是标准化的,非定制化的。

阚志刚:对,恰恰是这种技术价值观的坚守,使我们的产品标准化,服务标准化。从而在商业运营上非常顺利,梆梆安全的收入从去年的1.3亿到今年的将近3个亿,明年预计能到6个亿,后年我们的规划是冲击10亿,我想在中国一个公司只有做到10亿的销售额,才能够比较稳定,才能够在这个行业里有话语权。

梆梆安全才成立6年,我们还想用未来三年的时间把公司打造成一个十亿收入,两三亿利润的企业,才能算稳定。一个技术公司达到这样的目标,必须要有一个技术价值观,否则以梆梆安全现在将近300人的队伍,70%全是技术人员,思想都很活跃,没有一个价值观作为指引的话,很难取舍哪个该做,哪个不该做。

安全牛:那也就意味着梆梆安全基本不做项目制的单子?

阚志刚:确切的说,梆梆安全不做业务相关的项目。哪怕千万上亿的项目也不会做,因为一个亿可能需要投入几百人历经很长一段时期才能做的下来。与其增加人力时间成本做一个客户,不如形成统一标准、统一产品,为一个大客户提供多种标准服务,或为大量的客户提供标准服务。这就是梆梆安全的技术价值观,并在此基础上形成的商业发展模式。

中国有将近2300万家比较稳定的中小企业,这里面大约有500万家是靠互联网和移动互联网为生存工具的,我们的目标是在2018年的时候,为10万中小企业提供安全服务。每年收费1、2万的话就是10个亿。

四、新方向是物联网安全

安全牛:除了原有的业务,听说梆梆安全已经开拓了新的发展方向,物联网安全?

阚志刚:APP的增长速度正在趋于平缓,梆梆安全要长期发展就需要开辟一个新的方向。因此,在今年初D轮拿到5个亿的融资之后,一部分用于继续扩大原有移动APP业务的增长,另一大部分则用于开辟物联网的安全。

与梆梆安全做APP安全的价值观一样,在物联网的领域里也要找到一种本质的东西。物联网设备包括各种智能终端、汽车、门锁、电视、冰箱、家居等,这些全是将来影响大众生活的产品,那么这些智能硬件中最本质的东西是什么?不是硬件,而是控制系统。

比如无人机,它的飞行控制系统必须解决两个方面的安全问题,一不让竞争对手复制走,二防止黑客破解以控制。所有厂商的智能硬件控制系统都面临这两个问题。但实际上这个系统,也是程序,也是APP,区别无非是运行在安卓或是其他操作系统上而已。因此,在物联网的领域里面,还是延续了我们的技术价值观,让程序更加强壮安全,从本质的角度去做安全。

程序安全是将来智能世界的基础,只有程序化才是智能化的体现。

程序的安全包含源代码的审计、评估、加固、混淆、加密等,这些都是梆梆安全最擅长的技术,在这个基础上我们目前已经签了50多家客户,包括车联网、智能家居、平衡车、智能门锁等,而且还在智能自行车领域谈合作。

此外,在物联网方面我们还设想了一个新的商业模式,to H(Business-to-Home),就是家庭。因为当大量家庭进入智能生活时代后,安全服务很可能成为家庭的需求,梆梆安全的使命就是保护智能生活,这是我们的企业愿景。

安全牛:to h 这块有没有具体的规划或想法?

阚志刚:有的,目前计划实验性地在物联网设备使用比较普遍的高档小区建立一种宣传安全意识,提供个人安全咨询和安全服务的场所,包括网络资产的保险对接,这个场所我们叫做梆梆安全之家。

当然,这个事情谈收入为时尚早,但至少起到了增强品牌认知度和社会效应的宣传作用。因为我们明年一个很重要的事情,就是要建设企业文化。除了挣钱之外,我们还要有核心理念,就是要把梆梆安全的安全服务输送到全中国,甚至是为全世界提供安全服务。

五、微边界安全

安全牛:之前听您的演讲中提到过一个微边界的概念,能否解释一下?

阚志刚:从某种角度来讲,安全的发展可以看做是从有边界到无边界,再到微边界,就是指每一个物联网设备的边界。微边界的安全与主机电脑不一样,后者可以方便的更换操作系统,安装应用程序。而物联网设备上面的程序更新是一个很大的问题,比如最近爆发的Mirai僵尸网络就是由于大量的家庭路由器、摄像头的安全问题引起的。有许多设备,可能十年八年也得不到更新。

之前说过,其实程序的安全,无非源代码、SDK、资源文件、输入输出、协议等组成部分的安全。而梆梆安全就是把程序分解,并提供相应的保护。物联网设备中的程序安全也是一样。

物联网安全是一个很广阔的领域,有做操作系统安全的像谷歌做,也有做芯片安全的像ARM,还有做智能硬件防火墙的,在设备里面形成一个小的内网。梆梆安全还是延续了自己的基因,聚焦于程序安全。物联网时代是一个微边界的时代,每一个个体都必需是强壮的、安全的,而前提就是程序安全。很多公司都在研究态势感知、大数据安全,这是宏观层面的,而梆梆安全则往微观上走。

六、第五代加固技术

安全牛:在物联网安全这个领域,如何看待国际厂商在国内的竞争?

阚志刚:梆梆安全在APP安全这个领域,对标的主要有两家公司,一个是美国的Intertrust,另一家是荷兰的Irdeto(爱迪德),但梆梆安全做起来之后,他们在中国的市场基本就没有了。这是因为我们的国产化先机,加密算法全部都有国密的算法。

不仅如此,我们的基础技术研究方向很重要的一部分就是研究高级算法。今年梆梆安全就招了两个纯粹研究数学的高级人才,专门研究算法。因为在手机上可运行的白盒算法,在内存非常小的物联网硬件上就变得不可行。想可行的话,就必须大幅下降内存占用,而且安全性不能打折扣。

目前,我们正在研究用VMP(虚拟指令集)来攻克程序加密在内存中需要dump还原的技术难题。比如说在内存中执行的指令是虚拟后的,是我们自己定义的,随时可变,破解者或黑客根本无从得知其中的含义。除此之外,现在我们还正在研究更先进的高级算法,同态加密。

安全牛:同态加密在国际上都是领先的加解密技术,而且还只是论文状态,尚未进入应用,能否介绍一下它的原理呢?

阚志刚:同态加密最早是由IBM几个科学家提出来的,说通俗些就是从加密的数据里面得到有用的信息。用技术的语言简单讲,就是程序在加密的状态下,还能够去运行。而其他的加密技术都需要先在内存里面解密还原,之后才能运行。

同态加密的核心问题,要通过多项式变化、数学算法来解决。技术理论是有的,现在要解决的就是性能问题。但我们的目标是不解决整个程序的同态,只解决核心的一段就行了。这也是梆梆安全加固的第五代技术,理论上可以做到无法破解,一劳永逸的解决程序被修改的问题。当然这里的无法破解只是阶段性的,信息安全没有绝对。

从技术能力上来讲,包括我们的CTO,原来就在Intel做最底层的编译器,做底层的虚机,在中国很少有人自己能写编译器和解释器驱动的。从虚拟机到VMP再到加密算法,梆梆安全不断的在技术领域往前走。至少在源代码加密这个领域,梆梆安全真的可以排到世界前三。

七、发展战略与企业文化

安全牛:梆梆安全的几轮融资都比较顺畅,营利模式也非常稳定,下一步企业的发展规划是怎样呢?

阚志刚:梆梆安全的市场规模和效益已经到了下一个发展阶段的时候,今年的净利润能做到六到八千万,并购或者上创业板都是非常有可能的。

但在独立IPO还是被人收购的选择中,我个人还是希望前者,这样可以自己说了算,自己把握控制方向,否则不可避免的就会受到收购方的影响,可能会很难坚持自己看准的方向。因此,我会尽量在保持公司的利益性和独立性的情况下往前走。

安全牛:随着企业的发展壮大,战略方向愈发显得重要,梆梆安全在企业发展战略上是怎样考虑的呢?

阚志刚:去年我们主要完成两个目标,一个是品牌,一个是资本。今年也也定了两个目标,一个是战略,一个是流程。前者是发展方向,后者是发展的保证,而后者我觉得是公司的核心竞争力。

安全牛:而且这个东西是抄不走的。

阚志刚:对,适合自己的才是最好的。我们的流程建设是三化,专业化、国际化和正规化。一个公司最关键是两个流,一个是现金流,一个是信息流。现金流保证企业的正常运转,信息流保证运营的工作效率,流程优化可以节约很多的成本。

另外说说战略,它是一种不到某种阶段考虑也没有用的东西。以前刚创业的时候,我觉得讲战略就是在忽悠。但企业发展到了一定地步,战略的重要性就自然而然地显现出来。比如公司未来两年往什么方向发展?2018年能不能完成10亿的销售额?如何疏通和完善市场、销售、研发、人才等流程,来达成这一目标?

战略是一种学问,定战略的过程最重要的不是拿出多少文档,而是能够让中高层学会系统化的思考,用统一的语言去思考问题。这里面梆梆安全采用了两种方法,一种是平衡积分卡,另一种是IBM的领导力模型。

其实战略就是三个关键元素,目标、成功路径加上资源配置。

战略流程打造好了,明年我们就正式开始打造企业文化,梆梆安全的愿景是成为全球安全服务的领跑者。

安全牛:之前您谈到了梆梆安全的技术价值观,这就是企业文化的重要组成部分吧?

阚志刚:是的,但我们的愿景是为全球提供安全服务,因此除了技术价值观,还需要强调做人的价值观。这里面包括四点:

第一是诚信,安全公司尤其要注重这一点。第二是简单,无论对企业客户还是个人客户都要简单,做人简单,提供的服务也要简单。第三是包容,不管你的背景如何,资历如何,公司想要整体发展必须包容、协同。第四是善良,安全从业者有时就像医生,要非常善良。在客户出了安全问题之后,必须在第一时间帮助客户,哪怕不给钱都没关系。不能说患者受伤了,还要看有没有钱,否则不给治病。

最后总结一下,梆梆安全提供的是类似于网络保镖的服务。作为一个守卫者,必须忠于其主、以命相守,才能够做好保镖的本质工作。打造这样的服务团队,诚信越来越好,用户对优质服务的依赖性就会越强,这就是梆梆安全的企业文化!

 

分享:

相关文章

写一条评论

 

 

0条评论