火绒安全创始人刘刚:安全行业商业逻辑的核心是如何解决安全问题

迈入2022年,火绒安全创始人刘刚在安全领域的从业时间就正式迈入第20个年头。7000多个日夜,他一直耕耘在安全行业,见证着行业的跌宕起伏。对于安全行业,刘刚有

迈入2022年,火绒安全创始人刘刚在安全领域的从业时间就正式迈入第20个年头。7000多个日夜,他一直耕耘在安全行业,见证着行业的跌宕起伏。对于安全行业,刘刚有一个朴素的坚持:安全行业的看家本领就是解决用户的安全问题。为此,他坚持技术自主研发,并自此开始了自己的十年创业路。

火绒安全创始人 刘刚

“技术员”的十年坚守

刘刚从当时知名的杀毒软件企业瑞星离职,在2011年创立火绒安全,他认为这个过程有些许无奈的成分在其中。“我们并不是看中了创业能挣大钱,更多的是希望能坚持做自己愿意做,喜欢做,擅长做,并且一直在做的事情”,据刘刚介绍,十多年前“互联网+”概念席卷了包括终端安全在内的很多行业,免费杀毒软件的出现直接搅动了整个行业的格局。

2008年第一款免费杀毒软件推出后,杀毒软件企业之间开始了一场持续多年的收费与免费竞争,这场竞争的直接结果是包括金山、瑞星在内的多家杀毒软件企业都加入免费阵营。作为一名技术研发负责人,看着竞争焦点开始偏离安全行业的核心—技术,刘刚倍感无力。

在他看来所谓免费与收费竞争,实际上是两种商业模式之间的竞争。互联网行业的商业模式是注意力经济,只要成功吸引用户就意味着有流量,企业通过流量变现。但刘刚认为,免费杀毒软件携带弹窗广告、捆绑软件的行为,这是与安全行业生存逻辑背道而驰的。“对于我们专门搞技术的人来说,无法理解这一套。安全行业更偏向于知识经济,在知识基础上形成的科技实力才是企业竞争力的来源。说白了就是,我为你解决安全问题,你为此付费。”所以,他带着有同样坚持的一批技术人员开启了创业之路,火绒安全由此而生。

靠安全技术能力赚钱

2018年5月,火绒安全正式发布首款企业级产品--"火绒终端安全管理系统V1.0",开启企业版盈利模式。在产品的试用阶段就收到不少企业订单,市场反馈超出团队预期,“据我们统计,有70%的企业订单来自于个人版用户”刘刚表示,创业前6年火绒安全的个人用户量就已经达到千万级,“专业、干净、轻巧”的产品特点积累了大量的用户口碑,个人版产品的商业价值也就承载了市场推广的作用。

如今,火绒安全已服务数万家企业用户,覆盖政企、医疗、制造、金融、IT互联网、能源、交通等众多领域,企业级业务量逐年增长不断攀升。虽然创业已过10年,最常提到的还是初心,“我们的核心优势是什么?我个人认为既不是单纯的技术,也不是单纯的产品或者服务,而是我们创业开始的初衷:服务好用户。以此来养活自己,壮大自己。我们想法虽然简单,但却是一切行动的源头”。

10多年的时间里,他始终坚持,不忘对技术的钻研打磨,作为创始人仍旧会抽出时间写代码。在他心里“技术迭代需要时间,做杀毒软件就像是研究病毒疫苗,需要过程,所以这个行业不太可能像大家看到的,短时间内就能出现非常大的变化。”

自主研发反病毒引擎

提到火绒安全的核心技术产品和能力时,刘刚明显打开了话匣子。据介绍,火绒安全自主研发的新一代反病毒引擎,拥有通用脱壳、动态行为查杀等技术,并且在持续不断地改进“虚拟沙盒”的执行效率和启发算法。这些反病毒引擎技术的及时更新,都会明显提高火绒对网络中未知威胁的检测能力。“我可以非常自信地说,在国内,火绒安全自主反病毒引擎的技术实力绝对是靠前的。”

其中,最为核心的火绒虚拟沙盒技术,通过构造完备的操作系统仿真环境,让病毒在虚拟环境中充分展示各种特性。这听起来很简单,但好的虚拟机对系统性能的把控要求很高,是技术考验的关键。

据介绍,反病毒虚拟沙盒至少需要符合几点:首先是虚拟执行效率要足够高,反病毒引擎要求能够在相对较短的时间内(毫秒级)完成对待扫描对象的扫描;其次,具有完备的操作系统环境仿真,至少应包括文件系统、注册表、进程、线程、调度逻辑、时钟、同步对象等;再次,虚拟沙盒应当可以捕获并记录程序在沙盒内虚拟执行时所产生的行为,此类记录可以是系统调用级别或更高级的抽象等。

资料显示,通用脱壳、动态行为查杀是火绒虚拟沙盒的重要应用。通用脱壳是指在不需要识别样本是否加壳的情况下,通过将样本放入虚拟沙盒深度执行并通过启发式逻辑分析样本数据是否已被还原的技术。动态行为查杀技术则是火绒反病毒引擎通过跟踪和记录程序或脚本在虚拟环境中的动态行为,配合启发式分析算法对程序的恶意行为进行评估。无论病毒如何修改或混淆特征,只要它的行为与已知的病毒行为模式匹配,就可以直接判定为病毒。

刘刚介绍称,目前的虚拟机主要分为两类:一类是使用开源代码设计的,还有一类就是像火绒这种,完全自主技术研发的。目前大多数杀毒软件的虚拟机,主要还是需要用户授权把资料上传到病毒查杀的服务器上进行检测,这种模式就像去医院看病,你用医院的大型检测设备进行体检,这种检测有依赖设备、流程的局限性,不容易日常及时准确地发现病毒。

火绒安全的产品则更像是一种可以随时随地检测健康的穿戴设备,通过自主技术把检测设备小型化,跑在用户终端,这意味着火绒只需要更新自己的病毒库即可,安全防护过程不再依赖互联网。最直接的用户使用感受,便是轻巧且检测速度快,检测结果不受断网影响,这就是火绒虚拟沙盒技术的功劳。“所以说,虽然都叫虚拟机,但其实是不一样的内核。”

“严格地讲火绒安全这种虚拟机,国内只有我们一家能做。这项技术有大量的体力活要干,可以理解为1/3是技术要攻关的,剩下2/3就都是体力活,需要几年的体力。所以在国内,绝对不是说没人能做,很多圈内人也认可这项技术,只是没人能像我们这样坚持做下去。因为互联网公司机制不支持你如此长时间地单向投入。”

谈到开源,他补充解释称,坚持自主研发并不代表火绒安全排斥开源,单从基础层面的角度来说,开源的和自主研发差异并不明显。但从专业技术角度来讲,真正想要满足市场特定层面的需求,核心的杀毒引擎等组件必须自主研发。真正精深的部分还是需要专业且持续的研究,尤其是顶层的技术创新。

行业需要 高端 人才加持

在安全行业,之前大家集体秉持的态度一直是“安全无边界”,据刘刚回忆,在那个阶段,大家参加安全行业的座谈会和研讨会,讨论的焦点是如何解决病毒,一致认为制造病毒的黑客才是大家需要共同应对的。但近几年,随着国内外形势的变化,安全行业的边界感越来越清晰,安全问题不再单纯的是技术问题,还与意识形态,与国家政治息息相关,安全行业也由此成为关注的焦点。

此外,随着公众认知度提升、网络安全需求增多、安全技术不断演进,以及网络安全相关法律法规的出台,多重因素让行业越来越火。“近几年,安全行业突然变火,一个明显的变化就是主动投资变多”在创始团队看来,现在的投资环境与10年前差别很大,从无人问津到络绎不绝,不少投资人直接找上火绒安全,表达投资意愿。对此,刘刚反而有些担心,担心行业因为这种火热变得有些浮“躁”。

怎么解释这个“躁”?一般某行业火了之后,会有其他行业的巨头进入该领域,这些巨头带着资本而来,对行业原有平衡冲击极大,包括市场上的、技术上的、人才上的。对于技术类的行业,竞争的焦点容易脱离技术本身,从长远发展来说,也将制约技术进步。在这种情况下,人才培育恰恰是推动行业正向发展的一个方向。对于安全行业,刘刚则表示“虽然现在市场很火热,但不得不承认招到合适的人很难”。

标准的信息安全高级人才,需要既有广度又有深度的知识储备,“从事信息安全的技术人员,类似医生,要学很多背景知识,比如我个人是做病毒分析的,对操作系统的底层技术要了解,同时我的逆向思维能力还要很强。这意味着技术人员需要花费很长的时间去学习,去研究”。

未来考虑更多可能

对于未来商业模式与产品布局的探索规划,刘刚开玩笑称“每月收到带宽缴费单的时候,就刺激我们想要不要收费。这个时候主要考虑的是随着个人用户增加,每次产品升级、迭代,我们的宽带费用一直在增加,成本在增加。好在依靠企业版的盈利,支撑了很多费用支出。”

目前,火绒安全企业版“火绒终端安全管理系统”已更新至2.0,拥有windows、Linux版本,年后也将推出国产系统终端、macOS终端版本。“随着我们行业客户类型的拓展,以及终端产品使用场景的增多,收到的客户需求反馈也在变化。例如在很多工厂,平板电脑是被当作生产工具的,需要对这种终端进行集中管控。因此,我们就会提供相应技术服务来满足这些需求。”

放眼望去,在政策、行业、市场、技术、人才等多重因素动态融合的时代,真正做到十年磨一剑并不容易,“我们守住了焦虑”,刘刚表示,“之前我们也会因为市场变化太快而焦虑,怕因为跟不上市场热度而被人遗忘。但一路走来,我们发现,通过切实解决问题招揽来的用户,最终都能留下来。技术公司发展的本质就是要解决问题。所以,这些经历教会我们,有些东西没有那么重要,坚持服务用户才是最根本的。”

您可能有感兴趣的文章
Check Point:以AI技术赋能云端交付平台化安全如何解决方案

首版“国际版”中国网络安全全景图正式发布,瑞数信息强势入选!

Check Point 推出 Infinity AI Copilot:如何利用智能 GenAI 自动化和支持能力变革网络安全

Check Point 软件技术公司推出 Infinity 平台,引领云端 AI 网络安全新未来

Check Point 全球网络安全回顾,2023 堪称大规模勒索软件攻击元年