創業公司的安全命脈掌握在誰的手中？

創業公司走過A輪、B輪就不容易，走向上市的更是鳳毛麟角。在創投圈，「不成功便成仁」的魄力已經漸失，更多的是求生存。在各種各樣的死法中，除了品控、成本、市場需求這樣的「顯性」癥狀，企業安全問題更像是死神發起的最後召喚。以外部安全威脅為例，Wanna Cry的恐慌剛剛平息，更猛烈的Petya隨即突襲而來，甚至還要隨時面對更頻繁的DDoS攻擊。有數據顯示，60%的小企業在遭受DDoS攻擊后，六個月內便會垮掉！這樣的滅頂之災，讓創業公司如何自處？

直面內憂外患的安全困局：內有技術短板，外有黑客環伺

受創業環境的影響和制約，絕大部分創業公司的企業安全構架存在著不少問題。或為了追趕產品上線的進度，一切以功能為主；或因創業初期資金有限，無法採購太多的伺服器資源；亦或缺乏技術精英，技術團隊組建出現短板。這些困難直接導致系統在技術架構層面無法做太多的設計，系統的所有資源都集中在一個伺服器上。正因此，創業公司普遍存在兩大問題：伺服器不穩定和伺服器性能持續面臨瓶頸。

創業公司的「生死劫」不僅體現在「內憂」，「外患」尤勝。

網路黑產業鏈隨著創業浪潮水漲船高，攻擊手段層出不窮。其中，DDoS攻擊已經成為企業凜冬期間的「頭號殺手」。百度安全今年發布的《2016年DDoS攻擊報告》顯示，DDoS攻擊規模越來越大，已經超越了12306的高峰期帶寬。由此帶來的損失也足夠引起創業公司的重視：「僅需一小時，且用買蘋果有線耳機的錢，黑客就能打垮一家網站」，絕不是誇張而談。

近年來，黑客攻擊小型創業網站並索取保護費的新聞屢見不鮮。僅僅一個用戶的數據被泄露，都極有可能被不法分子利用進行敲詐勒索，蒙受巨大損失，這對基礎薄弱的創業公司來說幾乎是致命的打擊。此前，有香港媒體報道，因受網路攻擊造成相關經濟損失金額逾18億港元，而平均每次修復工程花費就達780萬港元。內地知名的創業公司也曾面臨各種棘手的企業安全問題：滴滴出行未成為行業巨頭前，Uber、滴滴打車頻頻爆出過系統漏洞，巨人網路某站POST型SQL注入，貸齊樂P2P平台頻遭攻擊……

經過這些年的內憂外患，創業公司的企業安全問題有所緩解了嗎？現狀並不樂觀。當前不少創業公司要麼缺乏安全意識，要麼有心加強安全風控，卻缺乏相應的技術能力和解決方案。如果公司決心自主搭建安全系統，主機託管，則需要經驗豐富的運維工程師，同時還需要技術人員隨時跟進，對最新的安全漏洞進行修補，然而超負荷的工作量以及高成本，常常讓創業公司望而卻步。

既然內部無法解決困局，「救命稻草」也唯有走出去尋找了。

正視安全廠商的技術實力：豐富經驗是先決條件，產品和服務是加分項

創業公司走出去尋找「安全靠山」的總體思路不會變，即「一個中心，兩個基本點」：以保障企業安全的可靠運行為中心，享受優質、便捷的產品和服務為兩個基本點，全方位提升企業的安全防護能力。

隨著網路技術的深入發展，國內安全廠商也如雨後春筍般崛起。從雲主機、終端設備安全，到WEB-APT以及DDoS防護，一時間數百家安全廠商在各自的領域戰鬥著。這對於創業公司而言，又產生了新的問題：如何才能找到最適合自己企業的安全合作廠商？是追求「大而全」還是選擇「小而美」？

業內有不少安全人士著手預測未來的網路威脅走勢，其中已達成共識的是：隨著黑色產業鏈以及高級威脅攻擊技術的發展，新一輪的黑客淘金浪潮就要來襲，未來黑客攻擊的廣度和深度都將擴大。換言之，黑客一旦鎖定有漏洞或缺乏防護的企業安全系統，定會調用各種資源、手段發動「連鎖式」攻擊。

即使是已經成長多年的成熟公司，面對企業自身的安全漏洞，同樣戰戰兢兢。如視頻、電商等網站一旦被黑客發現並攻擊漏洞，動輒數萬條用戶信息將面臨「裸奔」威脅。這樣看來，錯綜複雜的網路威脅環境，讓創業公司不得不「廣積糧，高築牆」。

基於全面防護的考慮，創業公司大多會選擇國內互聯網巨頭打造的安全服務。以百度安全為例，伴隨著百度安全業務的縱深拓展，其豐富的經驗不僅體現在自身技術挖掘方面，更包含在多領域縱深鑽研的服務經驗。從其服務的金融、遊戲、電商等六大行業客戶群來看，不僅有行業內的老牌知名企業，更有許多近幾年快速發展的創業公司。這些明星、種子企業的服務經驗，對於更多長尾客戶而言，具有較高的參考意義。

除此之外，拳頭產品和服務同樣是創業公司選擇大型安全廠商的重要加分項。選擇與百度安全展開合作的企業，大多認可的是其「將大規模攻擊防禦生效時間降低到5分鐘以內」，「從海量安全事件中進行深度關聯學習，識別出潛在威脅的『昊天鏡』」，以及基於大數據、網路攻防、應急響應三大安全能力所能提供的滲透測試、安全培訓與諮詢服務等等。

當一家安全廠商在業內值得稱道的產品和服務越來越多時，它所能吸引到的企業客戶將成指數級增加。

小結：

網路攻擊常態化已成既定事實，創業公司對於安全合作的把控也越來越嫻熟。它們所期待的安全合作，更集中到產品協同的方向上來。這對於安全廠商來說，既是機會又是挑戰。「大而全」與「小而美」的兼顧，看似魚和熊掌不能兼得，但其實已經有安全廠商走向了「高精尖」的道路。如何詮釋呢？或許可以稱之為「智能安全」。AI正在改變機器與人的交互方式，影響力日益擴大，整個行業亦面臨著安全問題同步升級。就在2017百度AI開發者大會上，由百度安全與DuerOS團隊聯合開發的業內首個智能設備漏洞檢測工具亮相，全面開放，兼容各類智能設備，檢測範圍覆蓋智能設備常見高危漏洞並提供業內領先的解決方案。這正是百度在互聯網安全方面多年實踐的，在當下智能安全層面的積澱，隨著安全市場的平穩發展，百度安全的技術能力還將賦能於更多企業與業務。