撰稿 | 流蘇編輯 | 圖圖

2016年，安在首次採訪了長亭科技，一家成立還不到兩年的安全初創企業，卻已經在行業內有著令人無法忽視的成績。

此後，安在和長亭科技似乎“緣分匪淺”。在短短的3年時間裡，安在和長亭科技進行了4次訪談，分別採訪了長亭科技的創始團隊、CEO陳宇森以及聯合創始人楊坤博士。

安在之所以如此“偏愛”長亭科技，並不僅僅是因為雙方是好朋友，更多的是這家年紀輕輕的，由學霸組成創始團隊的初創企業，在短短几年的時間裡帶給安全行業太多的驚喜和關注度。

自誕生之日起，長亭科技似乎就自帶“光環”：創始團隊來自於著名的國內網路安全戰隊藍蓮花戰隊(Blue-Lotus)，都是名牌大學學霸；團隊成員來自清華、浙大、美國UCB等頂尖高校；曾兩次受邀在全球頂級安全峰會Black Hat USA進行技術分享；也曾在世界頂級黑客大賽DEFCON CTF和Pwn2Own大放異彩......

2019年10月，“長亭科技擬被阿里雲全資收購，品牌及團隊仍保持獨立”新聞的出現，再一次讓長亭科技成為圈內關注的焦點，也讓這個年輕的初創企業增添了幾分神祕感。

本文的主角楊坤博士也是個自帶光環的男人：清華大學電子工程系博士，加州大學伯克利分校訪問學者；師從段海新教授，在安全研究領域有極深的造詣；2016年帶領藍蓮花(Blue-Lotus)和0ops聯合戰隊在DEFCON CTF 大賽取得全球第二的好成績；並將CTF帶到國內，舉辦了國內規模最大的 BCTF 大賽......

說起來，正是由於CTF大賽上的優異表現，才讓圈內人第一次注意到了長亭科技；同時CTF也是楊坤博士的最愛，研究攻防技術是其大學生涯中最喜歡做的事情。直到後來，四位聯合創始人共同創立長亭科技，也和CTF有著密不可分的關係。

學霸創業穩中求勝

2014年7月，又是一年畢業季，想到工作後就要各奔東西，一直痴迷於CTF比賽的四位年輕人當下就很憂傷。

“不如我們一起創業吧”，朱文雷這樣提議道。

雖然他們一點工作經驗都沒有，也不知道創業究竟該怎麼搞，甚至對市場都不了解，但是楊坤、陳宇森、劉超卻沒有過多的猶豫，四人一拍即合決定開始創業。於是，“長亭科技”這一頗具古韻的名字就被註冊下來了。

雖然四人對於自己的技術有著強烈的自信，但在創業之初卻並沒有糾結於產品的研發，而是制定了安全產品和安全服務兩條腿走路的戰略。

事實證明，這一決策無比正確。

長亭科技在2014年已經有了不少產品的idea，最終定下兩個賽道，雷池（SafeLine）進入一條傳統產品賽道WAF——大家耳熟能詳的產品形態上進行創新；諦聽（D-Sensor）進入一條新型概念產品蜜罐賽道，甚至還稱不上賽道，所有人都要摸石頭過河的產品形態。這就意味著是同時在兩個方向上進行創新。因此，真正意義上的產品釋出已是2016年。如此漫長的研發打磨也讓產品一經問世便征服了客戶。

同時，技術以安全服務的形式進行輸出，讓長亭科技安然度過產品研發的三年時間，不僅為企業在產品研發期間能夠正常運轉提供彈藥，也提供了更多來自一線的安全實戰案例。

對於長亭科技來說，創業初期堅定實行兩條腿走路的戰略至關重要。通過安全服務，公司一方面輸出著強大的技術能力，贏得了一大批忠實客戶；另一方面也讓他們接觸市場、了解市場，而不是一味的閉門造車。

這也是筆者異常佩服長亭科技學霸創始團隊的地方：雖然有著強大的技術實力，但卻不會盲目地依賴技術，而是以市場需求為導向，讓自己的技術和市場能夠有機、深度貼合，為使用者提供更好的安全服務和安全產品。

在客戶辦公室成長的安全產品

長亭科技的第一批的兩款產品在2016年問世了，並在客戶真實環境中運轉時成功應對了各種挑戰，所有問題最終都得到了及時解決。

“我們（長亭科技）真的非常感謝第一批使用者的大度和包容，在產品初期和我們一起磨合，很大程度上給我們信心實現快速成長。”

在長亭科技產品研發過程中，筆者彷彿看到了年輕人獨有的蓬勃和朝氣。因為經驗、因為時間，也許他們的第一個作品沒有那麼完美，也許才剛剛及格，但是隻要再給他們一點點時間，你會發現他們的成長速度和產品迭代快的驚人。也許下一步就將達到80分、90分甚至是接近滿分。

現在，長亭科技的產品早已十分穩定，也得到了市場的認可和使用者的肯定。例如全球首款基於智慧語義分析的下一代 Web 應用防火牆產品“雷池”兩次提名Gartner釋出的《Web應用防火牆魔力象限》國際版，入圍《Web應用防火牆魔力象限》亞太版，在國內市場上表現也是突飛猛進。

而另一款產品“諦聽（D-Sensor）”是國內最早基於欺騙偽裝技術落地的商業產品，通過佈置陷阱、誘敵深入、記錄路徑、溯源取證，解決內網防護難以察覺、難以明確、難以追溯三大問題。

隨著產品進一步完善，長亭科技的服務能力也得到放大，產品和服務相互結合、相互促進，發揮出1+1>2的效果。

此外，安全防護智慧化也是長亭科技現在及未來積極探索的方向，通過智慧安全防護將進一步節約本就緊張的安全人員，聯動更多的資訊。

未來的網路攻擊手段必定極大豐富，因技術發展而產生的新漏洞和新問題更是源源不絕，想要通過安全防護逐一對抗，無異於是愚公移山，無窮盡也。

楊坤博士表示，智慧安全防護將會是未來的發展方向，而智慧安全防護是基於對企業資訊的全盤掌控的程度，通過資料之間的聯動和資料異常監測來加強企業安全防護能力，這也是長亭科技未來積極探索的方向。

CTF那些事兒

隨著訪談的進行，自然而然就提到了CTF比賽。不論是對長亭科技還是楊坤博士來說，CTF比賽都是一個極為重要的符號。

2012年，楊坤成為隊長後的“藍蓮花”戰隊首次出現在DEFCON賽場上，即一路過關斬將取得了優異成績。雖然楊坤博士認為取得如此成績是“運氣成分更多一點”，但是不可否認的是，“藍蓮花”一戰成名，引起了圈內人的注意。

此後，楊坤博士一發不可收拾，迄今為止已經打了7年的CTF比賽，是業界出了名的CTF大賽“常青藤”。“中間一度因為喜歡打比賽，差點都不想畢業了。”楊坤幽默形容道。

“從某種程度來說，正是因為大家（創始團隊）都喜歡打CTF比賽，這才創立了長亭科技。此後，長亭科技一直堅持不懈舉辦CTF大賽，邀請世界各地CTF戰隊參與。換句話說，CTF大賽貫穿了長亭科技的始終。”

當被問及不斷舉辦CTF大賽的“初心”時，楊坤博士笑了笑，“最早的初心是希望中國的CTF能夠被全球認可。為了實現這一初心，必須推動國內CTF大賽向前發展，讓CTF大賽成為一個全球性的交流平臺，最終讓世界了解中國白帽子群體、了解中國網路安全。”

楊坤博士表示，早期舉辦CTF比賽最大的動力其實是“情懷”。作為CTF大賽的重度愛好者，此前楊坤博士等人一直是通過CTF來提升自己的攻防技能，對於CTF有著深厚的情感。

創立長亭科技之後，楊坤博士雖然不能像以前一樣全身心投入於CTF之中，但卻從未停止通過CTF不斷提升自己的技術。

“為何不讓更多的人蔘與進來，讓大家的技術越來越好呢”？

事實上，CTF圈是一個非常喜歡分享的群體。CTF愛好者常常會把自己平時發現的最新問題分享到圈內，並通過解決這些問題不斷學習當下最新穎、最頂尖的攻防技術，對於網路安全的發展有著重要的作用。

正是這樣的“初心”和“情懷”支撐著長亭科技和楊坤博士一直持續在舉辦CTF大賽；支撐著他們不斷學習、研究國外CTF大賽的優秀經驗，引進全球最新的攻防技術，並將這些經驗、技術毫無保留地分享給所有人，讓CTF分享成為一個良性迴圈。

為了吸引全世界的戰隊參與進來，長亭科技在賽題品質和賽題形式上絞盡了腦汁。

一方面，為了出更難、更接近實際的題目，長亭科技花費了大力氣組建了“明星命題團隊”。據楊坤博士透露，命題團隊成員基本畢業於清華大學、浙江大學、美國麻省理工學院等國內外名校，是全球頂尖的安全研究員，曾經為微軟、蘋果、谷歌、華為等知名企業進行服務，有著豐富的真實世界實戰經驗。

另一方面，在賽題形式上，長亭科技也有不少創新。例如以前的CTF比賽觀眾很難看懂，也很難GET到相應的點，對此長亭科技首創上臺演示的方式，給臺下觀眾最直觀的體驗。

打個比方，選手攻破了車聯網系統，並控制了車輛，那麼選手可以演示遠端操控汽車，此外還有像控制路由器、攝像頭、虛擬機器逃逸等，都可以直觀進行展示。

2018年，長亭科技更是重磅推出Real World CTF大賽，受到業內一致好評。Real World CTF大賽結合了CTF賽和Pwn賽的優勢，所有賽題全部基於真實世界軟體的修改或二次開發來命題，是全球首創的基於真實世界軟體的全新CTF賽制。

如果說高品質的賽題將會給選手帶來挑戰，那麼賽後的交流、分享便是畫龍點睛之筆，真正提升自身的實力。每年大賽後，大家會把熱議的題目的解法在平臺上分享、討論，然後反覆學習、吸收。

毫無疑問，賽後討論這一環節將會大大提升CTF賽事的商業價值和行業價值，是真正能夠提升整個行業技術實力，推動行業向前發展的大好事情。另外，由於參賽選手本身素養較高，在分享的過程中會給參與者帶來“知音難求”的愉悅感和成就感。

現在，提及CTF大賽，人們第一時間就會聯想到長亭科技；而提到長亭科技自然而然也會聯想到CTF大賽，兩者早已緊密聯絡在一起。

鏖戰 Real World CTF

再過幾天，也就是12月7-8日，長亭科技舉辦的第二屆Real World CTF國際網路安全大賽就要在北京和大家見面了。

如此重磅的大賽自然引起了筆者的好奇心。當被問及第二屆Real World CTF有哪些特色時，楊坤博士“提前”透露了不少內容。

在這兩天的時間裡，第二屆Real World CTF大賽包括Real World CTF線下總決賽、安全訓練營、技術論壇、阿里雲安全挑戰賽、Hack Valley等多個精彩活動，將會是CTF圈的一場饕餮盛宴。

細心的讀者想必已經發現，本屆Real World CTF出現了阿里雲的身影。據悉由雙方聯合舉辦的雲安全挑戰賽，將是全球首個將公有云真實售賣級產品進行賽題設計的比賽，對於參賽者而言是可遇不可求，其競爭激烈程度已經可以預見。

那麼，第二屆Real World CTF大賽究竟會有多火呢？

楊坤博士沒有直接回答這一問題，而是跟筆者簡單聊了聊2018年第一屆Real World CTF大賽的情況。

2018年7月，第一屆Real World CTF大賽線上賽一問世就吸引了來自5大洲的全球頂尖戰隊，CTF TIME 2017世界排名前15的國際戰隊中，90%參加了Real World CTF大賽。

最終入圍線下賽的20支國際戰隊的100名選手，來自全球十餘個國家和地區，在近5年內獲得各類國際CTF大賽冠軍總計150次，覆蓋了近年來在全球範圍內網路安全實力最強、成績最好的技術頂尖選手。

然而，即便是匯聚了如此頂尖的力量，卻依舊在長亭科技堪稱“變態難度”的賽題前敗下陣來。那次大賽一共有15道題目，而冠軍僅僅完成了8道，一半多一點。

2019年第二屆Real World CTF大賽將繼續延續48小時不間斷挑戰的機制，但是題目的難度係數和第一屆相比較將會有所調整，例如通過漏洞設定上的控制來降低難度，儘量讓參賽選手在48小時內完成挑戰。

其實，在筆者看來，Real World CTF之所以能夠引起行業內的注意，最關鍵的地方就在於“真實的環境”。

一方面，網路攻防對抗其實就是虛擬世界的戰爭，只有在真實的環境中才能檢驗出軍隊的真正實力，否則就容易成為紙上談兵的趙括，對於世界級頂尖高手來說更是如此。

另一方面，儘管Real World CTF是以解題賽的形式進行，但題目設計非常接近真實軟體環境，每次比賽幾乎都出現了選手發現了在用軟體的潛在漏洞，賽後選手會把比賽中發現的漏洞移交給相應的廠商。廠商很樂意接收漏洞報告，相當於集合了技術高手給產品做了測試，這也是Real World CTF不可忽視的社會價值和商業價值。

例如在2018年第一屆Real World CTF大賽中，某位選手就曾發現了一個威脅性非常大的0day 漏洞，給廠商帶來了意想不到的收穫。

這也正是Real World CTF大賽魅力所在。這種不可控的因素和上臺演示的表現形式再一次增加了比賽的趣味性，也讓參賽選手和觀眾更加期待比賽那天的到來。

後記

在訪談中，筆者提了一個較為“尖銳”的問題，“作為學霸創業團隊，在招人時是否會有心理落差？”

令人意想不到的是，楊坤博士對於這一問題沒有迴避，坦言道，他更看重基礎和能力。

別看長亭科技的創始團隊皆是名校畢業，但是楊坤博士在招人時最看重的是對計算機原理的理解和對基礎知識的掌握程度。“如果這兩塊很好的話，說明這個人有一定的天賦，而且在網路安全上也投入了大量的時間”。

更有意思的是，楊坤博士的團隊管理方式同樣別具一格，靠的是邏輯思維能力。如果把團隊管理看作是程式設計，那麼人與人之間的互動就相當於區間的介面，所以只要邏輯順序理清楚了，團隊管理也就水到渠成了。

在筆者看來，楊坤博士作為沒有任何工作經驗的老闆，能夠管理好自己的團隊，和他包容、理解的性格分不開的。作為一個管理者，能夠站在他人的角度思考問題，清晰地理解對方的需求，這並不是一件容易的事情。

在團隊管理上，有的人是敏於言而訥於行，有的人則是敏於行而訥於言，楊坤博士明顯屬於後者。言語不多，但卻能夠保證和團隊每一個人溝通都毫無問題，保證團隊齊心協力、團結一致。

這大概是一種非常舒服的狀態，管理學上也一直強調，把正確的人放在正確的位置，才能最大化發揮出人才的價值。

筆者似乎明白長亭科技既快又好向前發展的原因了：頂尖的技術實力加上清晰的商業化邏輯再加上最優的團隊配置。

不得不說，學霸團隊的創業祕訣真的讓人羨慕，卻又羨慕不來。畢竟信安圈這麼大，卻只有一個藍蓮花戰隊，只有一個長亭科技。