做安全,Mingo的經歷要追溯到1999年。18年前的他就開始做《黑客攻防》和安全組織,18年後這名「黑客少年」看到區塊鏈的新機遇,帶著他對安全的理解於2017年底開始了安全鏈SecurityChain(SECC)的區塊鏈安全生態構建。
SECC生態發展官Mingo
安全生態架構 以「金三角」理念布局
Mingo說,大部分的安全公司還是根據區塊鏈參與方的類型,把他們當做一種客戶對象,主要還是提供相對單一的安全服務,比如說智能合約安全審計,交易所抗流量攻擊等。而Mingo的理念是建立一種安全生態,這不是簡單的加總:「並不是說我做一家公司,然後把所有的安全體系都撈進來,我覺得安全的生態應該是一個金三角模型。」
在這個「金三角」中,第一個角是使用者,第二個角是社群,第三個角是安全作業系統。三個角,簡明直觀的闡明了SECC的核心理念,而把作業系統當做整個社區達成共識的技術手段。
目前,區塊鏈整體安全隱患日益嚴重,Mingo總結了發生這種情況的根本性原因, 一是安全白帽子(開發者)的價值一直以來被嚴重低估,致使黑客攻擊獲取的回報遠遠高於白帽子; 二是安全產品利潤和銷售渠道被中心化大公司壟斷,使用者需付出高代價但無法獲得有效果的安全能力; 三是由於市場的封閉性,導致安全開發者收入偏低,高階級別的白帽社群也不屑於與大公司合作。
而Mingo的正是想從這些根本原因入手,用區塊鏈技術、區塊鏈思維改變傳統安全領域。
做一套開源系統,涵蓋安全管理的各個組件,而這個組件最大的特點就是由社群管理,並不由一個中心化的公司來運營。「舉個例子,如果說社群覺得最近錢包安全需要關注,那就可以決定做個錢包安全的防禦體系,我們用這個應用作為一個底層,做開發和研發。」Mingo解釋了社群對於傳統平臺的改變。
Mingo認為,社群對安全治理本身是一種改變,而區塊鏈在此基礎上進一步改變了傳統安全領域的勞動關係問題。傳統的安全公司是以僱傭關係,通過資產負債表的方式來體現他的盈利,達成商業目的,而SECC用區塊鏈思維改變了傳統體系。「拿漏洞掃描來舉例,比如以前你給一個公司100美元買到了100條漏洞,但現在通過SECC你可能花1美元可能買到1萬條漏洞。為什麼能實現?因為我們打破了傳統安全公司相對固定的產出能力,發動整個社群的力量,產能是巨大的,而要實現這種轉變,唯有區塊鏈可以做到。」
解決安全社群痛點 因為了解所以改變
概括來說,區塊鏈帶來的去信任化、便捷的結算、「代碼即法律」的理念,讓傳統安全公司能夠向社群轉變,讓所有參與人員在平臺上公平的享受勞動成果。
在安全攻防上通常講「成本」,從一個理性人的角度上來講,如果沒有足夠「利潤」,攻防行為都沒有足夠的動力。通常情況如此,那麼排除成本與收益的博弈,怎麼保證黑客們儘可能不作出監守自盜的行為,這還是個問題。Mingo說,答案還在區塊鏈思維支持下的社群治理中。
做安全會提到『態勢感知』這個概念。也就是說在做安全的時候,更多地希望從大數據緯度,來分析攻擊源在什麼地方,會產生什麼問題等,從這個角度來控制這類風險。做社群的好處,就是讓消息流動更快,讓人們更快的知道哪些黑客正在做什麼事情。Mingo提到:「區塊鏈激勵下的社群,可以讓『蜜罐』開源,實現大數據下感知和分析黑客的行為。而傳統安全公司在布局這些『蜜罐』的時候,是需要考慮成本,有明確經濟目的的,並且布局的數量也有限。現在社群來做這個事情,我們可以更精準的進行態勢感知」。
「我把區塊鏈對於安全的改變,稱為維度升級。簡單的來說,就像我們之前用凸屏的電視機,而現在屏幕做的很薄,或者是投影,所以出來的產品完全不在一個維度上競爭了。那麼安全的攻防被區塊鏈改變後,就像從冷兵器時代過渡到現代的戰爭,這個維度是社群所有人共同創建出來的。」Mingo這樣作比喻。
做了這麼多年安全,Mingo對於行業的痛點很有體會,而區塊鏈讓安全領域的服務沒有了「公司」這個概念,也解決了很多不公平的地方:「如果你受僱於一家公司,你挖出來的安全漏洞往往提供單一的服務,這很不公平;實際上能挖到漏洞的人技術上都很牛,如何讓他們工作更大價值的變現呢?區塊鏈的激勵,放在社群上,讓一個漏洞的應用於漏洞掃描、防火牆、智能合約管理、蜜罐等不同的組件,產生更大的價值。」
以前也有安全相關的社群,但第一是沒有激勵,第二是社群背後還是中心化的組織,Mingo此前也有多年運營安全社群的經歷,覺得區塊鏈能帶來的變化是前所未有的。
為行業共創「黃皮書」 讓黑客增加榮耀感
如何實現這種安全新生態呢?Mingo想做這麼幾件事。
第一步先把各個安全組織融入到生態中來,不斷跟不同的體系、派系談合作,這是目前比較重點的工作,將種子用戶做好,然後不斷把社群建設得更廣、更深;
緊接著,Mingo要動員社群力量為安全生態撰寫一個很詳細的技術「黃皮書」。「我們現在看到太多的白皮書來說架構,但純技術的事情說的還比較少,我們希望通過我們的社群帶動『金三角』,讓人們一起撰寫、修改、開發。」
「其實對於很多黑客來講,賺錢有時候真的沒有那麼重要,而群體給你的榮耀感是更重要的。」作為SecurityChain生態發展官,中國第一批黑客之一、13歲就創辦非盈利安全組織的Mingo這樣談到在領域多年的觀察和看法。「我們其實研究一個事情也好,發現和解決一個漏洞也好,實際上是需要榮耀感的。」Mingo說,「其實那麼多的黑客、白帽都能認可你,那種感覺很好,而我們的生態,我們的社群就是要實現這一點。」Mingo說。
要做成這件事,Mingo認為,首先要懂安全,以實現與更多開發者直接深入的溝通;第二,要懂區塊鏈,理解區塊鏈的精神和精髓,並且伴隨整個行業的成長,不斷利用區塊鏈的發展成果來改變傳統行業的組織架構;第三,要對社群管理有足夠深刻的理解,知道如何儘可能的平衡開發者、使用者等各個利益方,為組織而奮鬥。而在這三方麵條件,Mingo認為自己和團隊都已具備。
在理念中,Mingo認為安全組織應該跟項目方、交易所、錢包等機構建立深刻的聯繫,為不同方面提供具體的需求,改變以往較為對立的關係,在區塊鏈理念的推動下,形成統一的戰線。