四叶草安全马坤：从黑客到安全公司，从付不起

（文/李泽辰）

本月初，一家西安的网络安全公司获得超过三千万人民币Pre-A轮融资的消息刷遍了网络安全从业者们的朋友圈，这家公司就是四叶草安全。就国内网络安全环境来说在资本寒冬拿到如此金额融资的团队实属少见，这离不开四叶草安全的领袖——马坤。

从安全小白到渗透高手

日历翻回到14年前。

2001年4月1日发生中美撞机事件后，中美两国的黑客之间爆发了看不见的战争，两国网站上的黑客攻击事件每天都要发生40到50起。马坤就是这场中美黑客大战当中的一员，彼时，他化名为某ID，以HUC（中国红客联盟）成员的身份在一个个美国网站上挂上了五星红旗。

马坤与安全行业结缘还要从他那次并不算成功的高考说起，由于发挥失常，本可以去到顶尖大学的他被调配到了一所较为普通的一本类理工院校，学习测控技术与仪器专业。

看着平日一起玩耍的小伙伴一个个都踏进了心仪的学府，一向要强的马坤心里满是失落，他渐渐开始不去上课，与曾经的自己背道而驰。

可以说是缘分奇妙，也可以说是命运使然，马坤就在那时接触到了网络安全，并从那次中美黑客大战后开始慢慢的迷上这个行业。当时在安全行业根本没有当今各种各样的培训，马坤全凭着热爱两字到处看各种教程，摆弄一些黑客小工具，从狼蚁营销号相关技术开始熟悉远程控制、木马、键盘记录等技术。

为了炫耀技术在大一通过IPC共享的漏洞控制了整个机房的电脑，让它们弹出一些恐怖吓人的网页；为了找失联的同学，渗透进某整个省的高校，在网站的js文件中挂出寻人启事，“做过很多这种无厘头的事情，就是因为喜欢”，马坤说，“最后还真把人找到了。”

马坤在其中越钻越深，天天在网吧跟同学一块通宵，同学玩游戏，马坤玩一会游戏看一会黑客相关的东西。从一些国内黑客社区学的东西已经不能满足他的猎奇心，逐渐他与国外的渗透好手们切磋技艺，在渗透领域掌握了很多经验，2005年已经是渗透领域高手的马坤作以核心成员的身份加入了FST（火狐技术联盟），他的ID是cnfjhh，圈内人称cn。

“因为这方面比较神秘，而我是一个对未知领域很有兴趣的人。但当真正接触到这个行业以后，我才发现有很多很多东西等着去学，越学越觉得自己很浅薄，所以从03年感觉真正入门到07年一直在学习各种知识，到后来有的网站我大概看几眼就知道能不能搞定，而网站本身只是打开渗透之路的门，后面的路还很长，能不能拿下目标，靠的是经验、思路和耐心”，马坤说。

2006年，网游《魔兽世界》火爆全球，美国的暴雪公司也名声大噪，当时马坤受到了朋友的鼓动：“听说你能力很强，有本事把暴雪黑了”。要强的马坤听了之后比较受刺激，于是就摩拳擦掌准备堵住朋友的嘴，但没想到过程却意外地轻松。

“那就试一下，没想成无意中发现一个简单的漏洞很快就搞进去了”，马坤说，“发现web有负载均衡，整个渗透持续了好几天，终于进到内网，在整个渗透过程中并没有改对方的东西，也没有留任何后门，我渗透喜欢记录管理的习惯，日志痕迹也不留，碰到一些审计设备也会想办法绕过他们，后来只在暴雪官方主页留下一个‘Test by cnfjhh’的文本。我对安全是很喜欢的，我要得只是证明自己行，绝不因为别的诱惑去玷污爱好。”

因为热爱，所以回程

渗透暴雪事件结束后，马坤受到很多外界的干扰就没有继续他的黑客事业，去了当地市工商局工作，一年后又去一家百年外企从事与大学专业相关的工作。在外企5年的时间里，马坤已经把技术慢慢的放下了，虽然外企的待遇比较好，但是找不到存在感，他依然向往着网络世界的明枪暗箭，向往着渗透成功的欢呼雀跃。

“可能就是因为在黑客这个兴趣上投入的太多，这个领域已经和我已经融合在一块了。当时看到好几个哥们都在创业，自己也有了这个念头。”

让马坤正式有了创办公司的念头是在2012年，与MS等几个多年兄弟组了团队，为CNCERT检查全国多个省运营商网络漏洞和问题。这个契机使得马坤觉得安全领域还是有所可为的，并且以后会逐渐变成一个需求更多的行业。

由于在外企工作多年，自己慢慢也有了点小积蓄，于是在2012年底马坤和他的朋友创办了四叶草，公司是创办了，然后呢？

没有项目，没有客此项目在猎云网投融资平台进行融资

“当时很多客户对安全的理解就是采购设备，这跟我最开始的观点是格格不入的。我们是想做成一个方案解决商，而不是安全设备的销售商。国内的安全行业绝大多数都是在做设备，可能是因为利润来的快。发现用户漏洞和缺陷是第一步，但第一步就没有人重视，因为这一步不赚钱做的人就很少，大家都在趋利，要是格格不入的话就会逐渐被淘汰。”

韬光养晦，厚积薄发

情怀归情怀，公司还是要生存下去的。马坤认真的思考了几个月后，觉得该走的路还是要走，开始亲力亲为跑客户，在公司成立之初也卖过十余单的安全设备。

从一个技术发烧友的变成销售的过程，马坤坦言“内心很复杂，但为了公司活下去这又是不得不做的。”有这些经历更让马坤觉得安全市场的缺口是很大的。

“用户解决安全问题这个过程，就好比一个人头痛，并没有人给他做诊断，让他买了很多胃药，这个过程中用户并不知道痛点在哪，而对方只关心药卖的如何”，马坤在这个节骨眼上萌生了要帮用户去发现问题的想法，“知道问题在哪，才能去解决。”

这时公司已经成立了多半年，公司开始尝试去接一些安全厂家的外包，也就是卖设备之前的一些安全评估，在获得授权的情况下完全模拟黑客的思路去发现用户本身的安全缺陷。

这种事情很不赚钱，按每人每天计算，大部分就是几百块钱，好一点也就一千多块。有时候只需要检测一台主机，而有时候是很多个网段，“这个情况没法去计较工作量的问题了，有的工作量非常大，而且是纯手工活，时间紧迫，你必须快速完成。”

“触动最深的是一次去某用户那干活，有三四百台问题主机上千种应用摆到面前，需要一个一个去发现问题并处理问题。干两个星期下来用户说话没算数只结算了几百块，我们还是硬着头皮把事干完了，这不是为了盈利或怎样，就是为了总结其中出现的问题便于给团队增加经验。由于项目都是背靠背，公司很多时候账户上没钱发不起工资。”

这些经验成为了他们宝贵的财富，也成为四叶草团队承办多个CTF比赛和完善分布式漏洞扫描平台Bugscan等产品而厚积薄发的一部分。

专注服务，做透做深