东巽科技公司成立于2010年，可以称得上是网络安全领域的“新世界企业”，技术团队成员基本都是由具有10年以上经验的国内顶尖白帽子组成，现如今已经发展为近百人。虽然国内的网络安全企业不胜枚举，但这样的团队组合也给人“新生事物”之感，他们认为“自身的技术优势是更了解攻击者在哪些方面来攻击，最大兴趣在于——与攻击者做思想的对抗”。那么这些技术“屌丝”是如何成长为今天的技术大咖的，他们背后又有着怎样的故事？为了一探究竟，近期，威客安全联合创始人董樾带领媒体组小分队对东巽科技CTO李薛进行了面对面的对话。

与攻击者做思想的对抗

董樾：能否请您谈谈在技术领域的独特经历？

李薛：我是在2000年中美黑客大战时开始对网络安全感兴趣的。以前经常在一些比较著名的黑客论坛上发表一些文章，大学期间也投了很多稿，那时赚的稿费差不多都用来交大学重修学分的费用了。2004年毕业到现在，一直做渗透测试方面的事情，是作为渗透工程师进入网络安全行业的，后来慢慢从渗透测试转到开发，转到项目经理、产品经理，现在做到技术负责人（CTO）。我从一个产品的设计研究、开发，再到后期的一些运维工作，全都经历过。其实，利用沙盒检测漏洞的这种行为检测模式，在2007年就已经提出来了，要把沙盒信息集成起来，把样本放到沙盒里边去跑。但一直没有机会去把它真正实践，后来是随着网络安全新技术的兴起，国内才开始对这块感兴趣，我就开始投入精力来做这个事情。我们是在2011年开始投入这方面，以前也做过相关的东西，经验积累方面是没有问题的，但现在遇到的难点是工程化，产品方面从工具向真正的产品做工程化的转换方面相对少一些。

董樾：就个人兴趣而言，您喜欢在哪个方面进行钻研？

李薛：我以前的兴趣是在渗透测试方面，包括各种渗透小技巧的运用。其实渗透测试更多的是“人与人对抗”或“人与机器”对抗，更重要的是在碰撞过程中，产生更多思想火花，而这些火花恰恰能够绕过很多技术障碍。

后来因工作原因就做了程序开发，在这方面，我就喜欢挖掘防护软件中一些自身的弱点和没有防护到的地方，跟防护软件的开发者做思想对抗。就像毛主席有一句话：“与天斗其乐无穷，与地斗乐无穷，与人斗其乐无穷”。所以无论在渗透测试方面，还是在程序开发方面，或是现在的安全产品防护方面，其实都是在与攻击者在做思想的对抗。在对抗的过程中，需要学习攻击者在哪方面会绕过我们的防护，我们需要根据那些线索去判断分析。

总结起来说，还是喜欢跟对手之间的思想对抗，不管做哪个方向，核心的思想都是这个。

董樾：安全攻防其实就是人与人的对抗，但那需要用一定的思想，尤其是用一定的技术思想来实现。也可以说是利用策略和技术的手段来实现，有时候也会在直面的对抗中实现。

李薛：没错，这是对抗的实现方式不同而已，以前做渗透测试是以黑客的思维方式对信息系统做检测从而实现防护能力提升，现在我是在做各种防护产品、各种设备来实现人与人的对抗平台。有的是利用策略、技术的局限性对抗，有的是直面的对抗。这方面我比较感兴趣。现在做的各种防护产品、各种设备，以及很多对抗都是公立者角度之间的对抗，以前是以黑客的相对利益化的角度对信息系统进行检测。

网络安全问题越来越“阳光化”

董樾：您怎么看待攻防的娱乐化？

李薛：这有几方面的原因，一是： “棱镜门事件”引起了国人对安全的关注。另一方面是目前国家对网络安全非常重视，加上很多组织的积极响应。以前安全会议比较少，现在安全会议越来越多，安全界的这些技术“屌丝”还是希望能从技术层面来更好地展现自己。不管是“技术流”也好，还是“猥琐流”也好，它至少让大家明白，所谓研究黑客技术并不是只能被用来做黑客、做犯罪，也是可以用在“阳光”下与攻击者做对抗的。所以在这钟思想的支撑和推动下，大家都想把自己感觉好玩的、特别有意思的东西，以一种娱乐化的方式呈现出来。我觉得这也是技术“屌丝”独特的展示自我的一种方式。

董樾：之前做渗透测试的太苦了，沉寂了那么多年不被认可，而近两年，终于可以凭借实力被大众所认识、认可了。

李薛：技术认可是一方面，以前大家都不懂，虽然自己技术很牛，但是不懂怎么让大家去认可。因为很多人认为网络安全技术跟自己没啥大关系，而近两年，突然发现不是这样，就我们这一群做攻防的人而言，发现其实我们所做的东西，是跟生活息息相关的，例如：棱镜门曝光的东西、央视曝光的Wifi热点、伪基站等。以前一般人也只能了解到防火墙，杀毒软件这个层面，互联网普及之后，大家不得不用电脑，安全方面问题就开始亲身感受，并且理解比较深刻。同时对安全产品的承认度也大大提高了。网络安全问题越来越“阳光化”，越来越被大家所看到。

我们做的不是产品，是艺术品

董樾：您最终把技术和思想理念通过产品的形式展现出来，产品就相当于是您的孩子。您是怎么将这种技术和思想融入到产品中的呢？

李薛：我跟我的团队讲，我们做的虽然说是产品但更是艺术品，我们不是把它当作产品拿去卖，我认为它是一个能够解决实际问题的、技术层面的艺术品。现在用我们所知道能实现的最牛、最先进技术来实现这款“艺术品”，包括实现更思想化的东西，例如：沙盒的检测思路，还有像利用大数据统计对特殊木马的通讯能力进行检索，检测，这种思路，目前来讲是比较超前的。鉴于现在的一些实际情况，我们一直在努力。但是由于时间和精力的约束， 我们目前有些想法还不能完全更好地实现。

我们安全团队的核心人员都有十年以上的攻防经验。现在所有的思路、所有的检测都先在我们的实验平台上实现，通过数据的导入做实验，就像以前做生物实验一样。在平台上实现我们的思路，得出最终的结果。这条路在我们的研究平台上走通了之后，才会把我的思想实现在我的产品上。再将产品和市场的需求接轨完成产品的市场化。是这样的一种方式，所以我认为更是一种艺术品，而不仅仅是产品。

董樾：我可以这样认为，围绕客户解决一定的问题，实现一定的价值，就是为用户解决问题。不是为了这件事而做这件事，而是为了把这件事做好而做。产品在威胁情报中起到怎样的作用？

李薛：我们更追求艺术的精雕细琢，现在我们正努力往前追赶国外的脚步。

APT的防御分为3个体系，第一个是安全产品防御体系，第二个是威胁情报防御体系，第三个是高级的安全保证能力输出体系。也就是我们的安全专家，能够为客户输出我们的安全经验。目前这三个方面，在国外都能实现，但是在国内，三个体系中的前两项做得最多。目前对于威胁情报来说，都是比较具体的东西。

例如：邮件地址、邮件名称，但要融入到防护的事业上，它还是依靠安全产品来实现的，所以前两者，我认为是可以合在一起的，但是他确实有明显的界限，所以威胁情报还是靠安全产品来实现自身情报价值的。我们的铁穹高级持续性威胁预警系统产品，让我们一方面自己能够产生情报，另一方面可以借助其他安全厂商提供的安全威胁情报，能够实现真正的防护的和检测。更重要的是我们的安全产品能够辅助人进行威胁情报知识的整合，成为人与人的对抗平台，从而产生价值。

董樾：也就是说，产品是在做威胁情报分析技术手段和人使用方面的一个更重要的抓手。今天，非常感谢李总给我们谈了这么多！