文 | 史中浅黑科技

夜晚越陷越深，铁柱还在工作。

妻子安睡在他身边。

他特意把膝头的电脑屏幕调暗，借着幽暗的光芒，他能看到她隆起的小腹。

还有几天，他就要做爸爸了。

铁柱是好梦公司最重要的人物 ——IT 运维工程师，按理来说，他一天也不能离开岗位。

但老婆生娃可是人生大事，领导得知情况，特批他居家工作。

一个礼拜前，他刚给自己开好了远程端口。此刻，他只要在家连上这个端口，输入之前设定的密码，就能进入公司内网日常维护了。

他噼里啪啦拍动键盘，眼睛扫过每一行参数，一切正常。

“嗨，公司的网络防火墙我都配置好了，就算黑客偷偷进来，也会被拦截的嘛！干嘛这么紧张。”他嘟囔。

铁柱合上了电脑，良夜中传来妻子均匀的呼吸。

“一生中总有几个特别美好的夜晚，人间值得。”想着想着，他也沉沉睡去。

翌日早晨八点半，手机铃声大作。

“你怎么搞的！”领导劈头盖脸，“公司电脑全被锁住了，上面显示着英文，说什么交钱才能解锁电脑，我们被勒索了！勒索了你知道吗？！”

铁柱一个鲤鱼打挺，光速冲到公司。

老板电脑上一个猩红的提示框，下面有一行比特币收款地址，旁边是炸弹一般的倒计时。

黑客写得很清楚，公司重要资料都被加密，倒计时之内如果不打钱，所有资料就会永久消失。

末尾，还留下一个近乎嘲讽的诡异表情“0_0”。

铁柱紧急连接公司的网络防火墙，调出昨夜的日志。

他全明白了。

问题正出在几天前他给自己开的远程端口上。

因为觉得全世界只有自己知道公司网络开了这个端口，所以他就随便用“123456”做了密码。

没想到，黑客通过暴力尝试很轻松地就破解了密码，几天前就长驱直入。

但黑客很狡猾，没有直接作案，而是植入了后门程序，方便随时进出。

夜里三点，就在铁柱熟睡的时候，黑客光临了公司网络，开始向电脑植入勒索病毒。

防火墙不是吃素的，第一时间探查到了非法入侵，把攻击指令尽数拦截。

黑客无功而返。

然而，诡谲的事情发生了。

凌晨四点，黑客换了个面具再次蹑手蹑脚摸了进来。由于掌握了铁柱的管理员密码，这次，黑客一上来直接用铁柱的身份把防火墙给关了。

刹那间，网络空间所有的“摄像头”熄灭，恰和夜晚一样漆黑。

记录戛然而止。

后面的故事，也用不着看日志了，看看眼前几十台电脑上齐刷刷的勒索信就都明白了。

铁柱呆坐在原地，灵魂出窍，像拖进度条那样一遍遍把世界从午夜拽到凌晨。

问题到底出在了哪儿？？

他先是恨自己设置了弱密码。

可是，就算设置了更强的密码，也难说就一定不会被破解。况且，仅仅一个密码就导致网络被一锅端，也太不科学了。

他又恨自己没有在防火墙上打开强提醒功能。

探测到黑客进攻，防火墙应该给自己拨电话的。可是防火墙存在一定误报率，如果事事都提醒，那肯定不堪其扰。

他又恨自己睡得太早。

如果昨晚再熬几个小时的话，在防火墙被黑客关掉的一瞬间，肯定能发现不对劲。想到这儿，他自己都笑了，世界上有早晨四点还不睡觉的运维工程师吗？？

第二天，公司支付了几万元赎金，铁柱被记了大过，黑客满意而归，消失在黑暗里。

这是个悲伤的故事，也是个真实的故事。

除了铁柱和好梦公司是化名以外，其余情节完完全全来自一份“赛博案件卷宗”，而且，这起攻击事件就发生在 2021 年。

普通人也许不了解，在广袤的网络空间里，这样的黑客戏码就像魔鬼的舞剧一样一刻不停上演。

黑客吃着薯片动动手指就能发起偷盗和勒索，而“铁柱”们要想守卫自己公司的领土，却连媳妇生孩子的当口都提心吊胆。

事实背后，是两个残酷的结论：

1、虽然现在很多公司都会购买“防火墙”、“入侵检测系统”等等一堆安全产品，但安全产品就像枪、炮、坦克这类武器 —— 武器再好用，也需要战士来操作。而且要日夜坚守，才能荡清敌人。

2、绝大多数中小公司，根本雇不起“战士”，像铁柱这样了解一定攻防知识的工程师已经是稀有物种。于是，无数公司就像黑暗森林里的小鹿 —— 尚未成为黑客的猎物，仅仅因为还没轮到你。

那。。。这个世界会好吗？

中哥不敢说，但我知道起码有一群人在为此努力。

这群人组织了一支热血军团，日夜巡逻，专门帮企业胖揍图谋不轨的黑客，犯我强汉者，虽远必诛。

如果仅仅是会打架，还不够高级，最牛的地方在于：他们不是那种穿西装塞耳机的只有总统才有资格用的黑衣特工，而是老百姓都能用得起的“亲民钢铁侠”。

钢铁侠咋还能亲民呢？你看看下面的图就知道了。

黑衣特工个顶个都得是优中选优，拳上能站人，臂上能走马，还得经过 007 一般的训练，那选拔成本和日常开销肯定都杠杠的，一点不亲民，光亲邦女郎了。。。

但钢铁侠就不同了。

它的核心奥义是，不需要每个战士都有 007 一般的战斗力，而是“把一整套黑科技固化成机甲战衣”。

普通战士穿上了机甲战衣，立刻拥有飞天神力，Buff 拉满不比詹姆斯邦德差。如此，既有人的灵性，还不失机器的效率，岂不美哉？

今天中哥就给你讲讲：“钢铁侠”是怎样炼成的。

（一）“钢铁侠”还是“背锅侠”？

2018 年的一天，深信服公司大楼。

产品研发负责人胡斌被领导叫到了公司的打印房里，讨论一件“机密事宜”。

老浅友应该知道，深信服是一家我蛮喜欢的公司。

要我说，他们的核心技能就是一招儿：研发出干净利落的 IT 产品，然后通过遍布全国的销售渠道迅速推进各个企业。

这一招儿看上去确实平淡无奇，但世上的事怕就怕“认真”二字。

在中国 IT 历史上，深信服把这一招儿用得出神入化，接连做出很多“爆款”。就这样一边缓慢抬高广大中国企业（尤其是中小企业）的技术水位，一边自己成长为无法被忽视的 IT 巨头。

这波操作在 20 年的时间里从未变形，一度让围观群众目瞪狗呆。

回到那个打印房，胡斌接到的任务正是研发一个神秘的“新品”——MSS。

MSS 的官方翻译一点都不性感，叫做“安全托管服务”，Managed Security Services。我不喜欢这个翻译，要我说，MSS 应该翻译成“没啥事”。

因为，MSS 的功能就是：

派一群专家天天在线帮客户盯着网络安全，没事儿帮你巡逻，有事儿帮你摆平，那客户不就“没啥事”了么？

胡斌

话说，胡斌可是从 2013 年起就负责深信服的产品研发，很多爆款都是他从头规划的，大风大浪全见识过，妥妥地算是“老炮儿”了。

可是那天听到 MSS，他却皱起了眉头。。。

这么说吧，原来深信服就像是“卖武器的”。

我把一整套枪炮卖给你，你自己去用，后面我作为厂家就只管保修了，你得真的学会用枪才能抓到小偷。

（就像下面这样，瑞克把枪卖给莫蒂，莫蒂自己去搞定怪兽。）

可 MSS 却不是这样。本质上它卖的不是“武器”，而是“抓小偷”的服务 —— 我得实打实派出一群“保安大队”日夜在人家公司巡逻。

这种情况下，如果小偷来了我没逮着，那人家肯定要问：你是干啥吃的？

（所以“卖服务”的话，就像下图，瑞克姥爷要亲自下场。）

如果让中哥选，我肯定选择卖武器，我才不想做抓小偷的服务呢。

又累又麻烦，抓住小偷是钢铁侠，抓不住小偷秒变背锅侠，你说是不是这个理儿？

“老炮儿”胡斌当然更明白，抓小偷这个活儿，挺难干的。

讲到这儿，不妨暂停一下，中哥先给你普及一下“世界大势”：

从天空俯瞰，这几年随着全球经济增速变缓，各个产业都迎来一波巨变。

别的不说，单说“黑客”行业：

过去，黑客专注于搞大企业，因为大企业钱多嘛。

所以大企业没办法，不仅要买各种防火墙、入侵检测，还会雇佣一堆昂贵的“御林军”（全职网络安全人员）来保卫自己的安全。

现在，经济形势不好，黑客也学会了“拓宽业务”、“精细化运营”，于是盯上了更多中小企业。毕竟蚊子肉也是肉嘛，有枣没枣打三竿子。

结果，中小企业躺枪。

安全形势急转直下，他们买不起那么多设备还雇不起那么多人，又必须挡住黑客。

所以，MSS 这种远程帮你揍黑客的“高性价比模式”悄然迎来春天。

讲完这个“大势”，我们回到现实。

这不，已经有很多客户快抵挡不住了，明确表示：你们深信服能不能帮我们抓黑客？只要别太贵，我们肯定买！

这次领导特意把胡斌找来，就是为了告诉他一件事：都知道安全服务这摊事儿难做，但为了人民的幸福和公司的发展，MSS 已经箭在弦上，不得不做了。

面对这么艰巨的任务，几位团队里的“老师傅”浮现在胡斌脑海里。

蔡成志和李焕波先后被派去，组成“敢死队”。

要说这两位，可是深信服内部的“资深 CP”。

2012 年左右，他俩曾作为搭档，蔡成志负责技术产品，李焕波负责市场运营，搞出了深信服的神作 ——“下一代防火墙”。

举个不太严谨的例子。

“下一代防火墙”对于深信服来说，就像苹果的 iPhone4，是个里程碑级别的超级爆款。

自从有了下一代防火墙，腰不酸了背不疼了，深信服在网络安全这片江湖里浪荡才有了沉稳的压舱石。（当然防火墙是另一个曲折的故事，今天先不展开了。）

总之，这次把蔡成志和李焕波这样的功勋大牛都调动起来了，可见深信服在 MSS 上想押一把大的。

可是把时间拉回到 2018 年，两眼一抹黑。

到底这个钢铁侠应该怎样设计，才能以最高的效率干掉黑客呢？蔡李两位老湿也很头大。。。

蔡成志（左）和李焕波（右）

（二）搞出“钢铁战衣”，拢共分几步？

2018 年的深圳，蔡成志和产品团队围坐在桌子前。

两个雷打不动的事实摆在面前：

1、黑客并不遵守劳动法，他们的上班时间是 007。

如果要保证客户爸爸的绝对安全，巡逻队就必须 24 小时无死角值守。也就是说，防守队伍必须三班倒，有人要上夜班。

2、这么一支三班倒的专业队伍，如果还一对一专属贴身服务，那成本肯定高得吓人，只有“贵族”企业才用得起，这不好。

所以正常情况下，应该像饭店的服务员一样，站在大厅里，哪桌有需要我就去服务哪桌。

咱都是下过馆子的人，你想象一下这个场景。

既然“服务员”是一对多服务，那就需要有两个素质：眼疾、手快。

眼疾，就是第一时间发现哪家企业正在被黑客攻击；

手快，就是用最快的速度把黑客干掉。

你懂的，相比机器，人类的眼睛和手速都十分弱鸡。所以，“眼疾”、“手快”这两个素质，恰恰要靠之前说的“钢铁侠战衣”来加持。

到底要怎么搞呢？

第一步，为了发现黑客，蔡成志他们设计了一个精巧的“钢铁侠千里眼”。

假设面前有 1000 个企业，每个企业内部都安装了网络安全产品（杀毒系统、防火墙等等），这些安全产品会实时产生日志。

把这些日志汇总起来，传到云端的“威胁分析平台”进行分析。

一旦分析出日志有异样，平台就会发动告警。

注意，告警不等于就真的有攻击，因为之前说过，机器判断存在失误的可能，此时切勿急躁，要人类进行二次确认。

所以，这个告警会瞬间传到“人类分析师”面前。

分析师需要在几分钟内完成检查，然后给出“真”或“假”的判断。（当然，这里不一定是一位分析师，如果任务多，可能增加分析师。）

如果是假威胁，就不再继续追究；如果是真威胁，则马上“立案”，进入下一步骤。

所以，威胁分析平台和人类分析师串起来，就是“钢铁侠千里眼”。

第二步，当然就是干掉黑客，这里就要用到“钢铁侠机械手”。

蔡成志告诉我，干掉黑客必须分为两步：调查和处置。

先说调查。

调查的意思就是，弄清楚黑客是怎么进来的，比如用了什么漏洞、破解了谁的密码等等。

注意！！调查，其实是整个环节里最难的一步。这就像柯南探案一样，要想揪出凶手，必须有高超的调查技巧。

在网络安全这一行，最有经验丰富的老师傅才负责调查案件，他们就相当于柯南。（工资水平也相当于柯南。）

可是，问题来了：

如果每一桩案件都让“柯南”来查，固然很好，但“柯南”的数量终归是有限，忙不过来。

这里就必须借助科技的魔法 —— 让柯南把自己的调查步骤写成脚本，让普通侦探来执行脚本。

脚本咋执行呢？举个栗子吧：

假如“柯南”要调查一个凶杀案，拢共分三步：

第一，需要先查看关键位置（窗户、门）有没有破坏的痕迹；

第二，需要查看隐秘的角落里（门背后、床底下）有没有藏凶器；

第三，查看关键位置（门把手、杯子）上有没有指纹。

这些步骤就组成了“脚本”。

中哥拿着柯南的脚本，也是先看破坏痕迹，再查隐秘角落，最后看关键位置，也能八九不离十地找出凶手。

当然，在反黑客攻击的世界里不看指纹，看的是：关键漏洞、攻击程序、异常行为等等。

针对不同的进攻形式，老司机们总结出了不同的脚本，他们专业术语叫做“库”。

比如 A 类攻击，工程师就启动“A 库”来调查；B 类攻击，工程师就启动“B 库”来调查。

调查之后，工程师就能知道：1）黑客是从哪进来的，2）黑客进攻到哪一步了。

接下来就是处置。

处置有很多方法，这里你可以简单理解为“堵门”和“抓人”。

堵门的意思是：

黑客用哪个漏洞进来的，就把漏洞赶紧修好，黑客使用哪个 IP 攻击，就把这个 IP 的全部指令拦截；

抓人的意思是：

不是真的去把黑客抓到，要想抓到黑客肉身，只有报警让警察叔叔去抓。

这里说的抓人是指把机器上黑客安装的进攻软件清除掉，并且收集到黑客的特征数据，如果再敢来，就第一时间认出来，削他。

当然，处置的一系列动作也可以由脚本来完成，老师傅们根据不同情况做了 200 多个告警处置脚本。

以上，就是蔡老师给我讲的，MSS 的基本工作流程。

给你一张完整的图感受一下

你注意到没，整个流程虽然挺长，但是逻辑很严谨。

总的来看，就像个糖葫芦：

机器自动执行的“库”，就是一颗颗山楂；而人类的指挥，就是把山楂串在一起的竹签。把幸福和团圆连成串，没有愁来没有烦。

硬核糖葫芦

李焕波告诉我，这种“安全系统”和“安全工程师”相亲相爱、各自发挥优势的系统模式，就叫“人机共智”。

听完他俩一通科普，我盘算了一下，这群老师傅不简单啊，人机这么一“共智”，起码从两个角度提高了效率：

第一，工程师可以一个顶过去十个。

安全工程师每天上班 8 小时，原来是有活儿就干，没活儿只能闲着。现在就跟打地鼠一样，处理完 A 公司处理 B 公司，效率拉满，多劳多得。

第二，问答题都变成了选择题。

过去，安全工程师遇到问题，得依靠经验查来查去，就像做“问答题”。

现在，只要从“库”里选择一个脚本执行就好。就像做“选择题”。

做选择题肯定比问答题快到不知哪里去了。

等等！

有什么地方不对！

“黑客可不会按照你们的套路来，他们的脑洞可大了，万一藏在一个隐秘的角落，用 A 库 B 库 C 库内裤都调查不出来黑客在哪，那怎么办嘞？”我问。

李焕波看到瞒不过聪颖的中哥，呵呵一笑，交代了他们的小秘密。

秘密就在人身上。

深信服的安全工程师团队，虽然都叫安全工程师，但却像战士一样，是有“军衔”的。他们分为三个等级：T1、T2、T3，意思就是：优秀级，史诗级、战神级。

假如你是铁柱，需要深信服 MSS 来帮你管理安全运营工作，那么，你将会认识一个“小分队”：

里面的 T1 工程师帮你摆平日常攻击，他摆不平的话，任务就会自动交给小分队里的 T2 工程师。

到 T2 工程师这儿，已经能搞定 99% 的问题了。

那 T3 级别的战神工程师呢？他们专门对付疑难杂症，绝大多数客户都是听说过没见过。

（要是 T3 工程师还搞不定，那估计就是三体人的水滴攻击，需要二向箔来对付了。。。这种攻击不能说没有，只能说极少。）

所以说，下面这张图才是最完整的“没啥事”流程

怎么样，人机配合指哪儿打哪儿，打得黑客跪下叫爸爸，很牛掰吧？

我的眼神逐渐崇拜，两位老师傅赶紧给我浇冷水：其实以上所说的，是钢铁侠的理想形态，但现实嘛，总是和理想有差距。

即便是现在，深信服 MSS 还有一些不如人意的地方。如果退回到 2018、2019 年那会儿，钢铁侠更是初出茅庐。

那时，即便拳脚稚嫩，还要强撑着跟黑客打架，可坑苦了 MSS 的同志们。

（三）钢铁侠不听话怎么办？

我们不妨把视线放到长沙。

MSS 的服务工程师“根据地”设立在火辣的长沙，一场火辣的“磨合”就发生在那里。。。

画面里有“几股势力”：坐镇深圳的蔡成志产品代表队，驻扎湖南的服务工程师代表队，遍布全国的客户代表队。

当时的局面是酱的，看中哥给你摆一摆：

客户的要求很明确。

第一，有深信服帮忙守卫，不能出现安全风险，这是基本；

第二，即便没有风险，每周我的网络里究竟发生了什么，你要给我一个书面汇总报告。

可问题是，不同行业、不同属性的客户，尤其是大客户，想看的报告内容各不相同 —— 工程师要针对性地给每家公司写报告。

这样一来，就出现了尴尬的局面。。。

每周服务工程师们都要手动查很多数据，还得用 Excel 算一下，然后填进报告里。

服务工程师跟产品团队说：为了提高效率，你得针对各个客户给我开发自动提取数据的功能啊。

产品团队跟服务工程师说：你这一个客户一个样，我总不能针对每个客户都开发一套功能吧？累吐血也赶不过来啊。

这时，客户反而很冷静，说：有事好商量嘛，不要吵~ 反正顾客是上帝，我！就！要！每周看报表！！！

三方就尬在这里。

作为吃瓜群众，估计你都不耐烦了：什么嘛，不就是个报表，看不看的有那么重要么？只要能把黑客抓住不就行了？

问题是，在当时，抓黑客这件事也完成得不够好。

举个例子你感受一下。

你还记得吧，MSS 工作流程里有一个“钢铁侠千里眼”环节：

分析平台要汇总数据，然后发出报警，人类分析师对这个报警的真假进行判定。

一个新报警出现，分析师不是看一眼就能判断真假，他要用各种工具进行“调查”才能得出可靠结论。

比如去样本库里搜索一下这个程序连接的网址是不是有“案底”，去综合查看几个关键点位有没有连带异常。

问题来了：

分析师觉得产品团队给的工具很难用，还不如手动查找快。

产品团队觉得分析师用工具的姿势不对，用对了肯定更快。

这个矛盾的本质是：工具是死的，严格按照代码执行，可人是活的，不会百分百按照你设想的方式干活。

要怎样把人类智慧揉进代码流程，当时别说蔡成志，就连深信服也没有太多经验。。。

这样一来，整个系统的效率一直提不上去，这必然会导致在和某些黑客的对抗中慢半拍。

“半拍”的时间极其宝贵。

黑客进攻企业就像下面的水滴这样，会从各个角度尝试，哪怕你挡住了 99 次，只要有 1 次反应不及时，就会被攻陷。

然后迅雷不及掩耳盗铃，黑客就可能已经把企业资料盗走，勒索软件可能已经把资料锁住了。

这可不是闹着玩儿的。

类似这样的问题还有很多。

要我看，这些都是“人机矛盾”的例证。

凯文・凯利把人机协作的模式分为四种：奴隶模式、外星人模式、宠物模式、上帝模式。就像下图这样。

无论哪种协作模式，都需要长期的磨合。

MSS 的人机协作模式大概应该算是“宠物模式”。

怎么理解呢？

比如你有一匹马，你不能像开车一样，出门的时候骑上它，回来之后拴起来，平常不管不顾。

会骑马的人都知道，你得摸清楚马的脾气，知道它的长处短处，还要和它做朋友，这样才能人马合一，成为优秀的骑手。

你看，MSS 的这副钢铁躯壳像不像一匹难以驯服的“野马”？

哪有什么东西一上来就是成熟的？人类驯马还花了好几千年呢。这么复杂的产品，要给时间慢慢来嘛！

可是，历史是个相当没耐心的家伙，最不会的就是“慢慢来”。

2020 年 1 月，一位不速之客降临我们的国度。没错，它就是疫情。。。

很多公司都猝不及防地开始了居家办公，即便是去办公室，也得分成几组轮岗。

2020 年视频会议软件 ZOOM 的股价飙涨说明了一切。

这样一来，像铁柱这样的运维工程师，就更没办法天天肉身守护公司网络了。

于是，找人远程帮忙管理网络安全成了新时尚。

这可不得了，MSS 团队一抬头，客户们已经排队冲过来了。。。

但问题是，MSS 当时仍然不够完善，还需要辅助不少手工工作。这时候几百个新客户涌来，湖南的工程师团队面前的任务一下子就爆了。

客户本来冲着简单省事选择了 MSS，可是，很多安全响应却比较缓慢，于是有的客户又纷纷放弃了 MSS。。。

口碑就是生命啊！生死存亡之秋，需要一位老炮儿来帮大伙儿稳住阵脚。

胡斌就是这个人。

当时，胡斌接手了 MSS 所在的安服业务，带着蔡成志和李焕波飞到长沙，马上跟大家开会。

迎接他们的，是扑面而来的吐槽。

深信服有个传统，越是靠近客户的人，他的意见就越不能被忽略。这些工程师天天被客户爸爸怼，显然最知道问题出在哪儿。

胡斌给大伙儿承诺：两个月内，我把大家需要的工具全部集成在系统里，而且，日常服务客户再也不用自己做 Excel！

很多大佬都告诉过我，Excel 是智能化转型的最大绊脚石。。。

说到这儿，你可能要撇撇嘴：之前都没磨合好的事情，胡斌又不是神仙，他说搞定就能搞定吗？

但胡斌手握尚方宝剑，已经决心杀开血路。

这第一招，就是借来天兵天将。

在公司的支持下，他愣是拽来了好几十号技术大牛。

这第二招，就是集中优势兵力。

他把其他所有开发任务都给暂停了，所有人只进攻一个方向：开发人机协作的模块。

这第三招，就是各个歼灭。

就拿自动化编排报告来说。他让大伙儿先集中精力研究中小客户的需求，把他们的共同需要先开发出来。

在这个基础上，再集中火力对大客户的特殊功能逐一开发。

就这样，一个个功能调研、设计、实现，两个月的时间，还真让服务工程师们用 Excel 的次数越来越少。

当然，这些工具全部是给深信服服务工程师用的，客户们感觉不到，他们能感觉到的是自己的网络挺安全，还能定期收到详细报告，钱花得蛮值。

历史奔涌的大潮中，MSS 总算没翻船，而且还渐渐开进了主航道。

“钢铁侠”总算造好，也顺畅工作起来。

按理说，应该 Happy Ending 了吧？可服务业是这个世界上最难的行业，老天对这帮人的折腾还远远没有停止。

这不，李焕波又成了最纠结的那个人。

（四）钢铁侠“心理学”

就在 2020 年，半夜两点，MSS 团队发现了一家公司的某台电脑正在被黑客动手脚。

夜班工程师赶紧按照流程处置，可是，就在最后一步 —— 阻断 —— 的时候，他犹豫了。

因为黑客感染的那台电脑在内网中处于一个有些重要的位置，贸然阻断可能会影响客户系统的正常运作，有些投鼠忌器。

按照规程，这时候他应该给客户的运维负责人（也就是铁柱）打电话，确认一下要不要阻断。

于是，他打了。

客户半夜两点接到电话，正睡得昏天黑地，一听，啥？阻断一台电脑也要半夜问我？你们自己干了不就行了？！这是啥服务啊？！

第二天，深信服 MSS 团队紧急开会，讨论一个关键问题：以后半夜两点要不要打扰客户。。。

结论是，别打扰了。

过了几个月，还是半夜两点，这位夜班工程师发现一家公司的电脑正在被黑客入侵。

为了不打扰客户，他展开紧急调查，还特意确认了一下没有业务在这台服务器上运行，然后决定直接阻断。

第二天早晨，客户打电话来，很生气：你们怎么不说一声就直接阻断呢？我们当时是在内部测试！！

工程师哭了，还有活路没有啦。。。

看到了没，这个悲惨的工程师映射出服务业的一个巨大痛点：不是说你把该做的做了，客户就满意，你得了解每个客户的性格和心理，服务才能更贴心。

李焕波他们痛定思痛，决定在前期就跟客户们约定清楚：

半夜 12 点到早晨 7 点之间，哪些级别的入侵事件，我们可以通知你？哪些级别的事件，我们能直接处理？

在？看看黑客

这样的细节改动数不胜数。

到最后，逼得运营团队都开始看起《用户心理学》的书籍了。。。

不过，李焕波讲这些故事的时候，明显面露幸福，说明他们这么努力，还是有回报的。

这次去深信服，我恰好碰到了一位常年在一线给客户做方案的同学，他叫段雄舰。

他所在的是广东区，在他的记忆里，全是惊心动魄的故事。

有一家医院，原本系统很老旧，也没做什么特别的安全措施，这么多年也没发生问题。

不过，就在 2019 年，突然有相关部门找到他们，说检测到他们医院有接口对外暴露，存在风险。

段雄舰给我讲。

他就是当时医院找去给检查问题的老师傅之一。

很快，原因找到了。

原来，这家医院想要更好服务患者，添置了几台服务器，开设了互联网医院。可是由于经验不足，这些接口没有报备信息科管理起来，成了“孤儿”。

这张图仅仅以医院为例。很多公司和机构都存在类似情况的“未被保护资产”。

万幸，这个接口还没被黑客盯上，万一。。。那可不得了啊。。。

第二天一早，信息科领导紧急把全院很多部门都叫来开会：快说，你们还有谁架设了服务器，统统报备！

你可能会问，让部门自己上报，万一漏报了，不还是有风险么？

没错，靠人报备确实会有遗漏。

段雄舰告诉我，很快医院就上了 MSS，让深信服的同事制定巡检计划，定期扫描医院网络。

如果探查到未知设备，就马上溯源处理，这样就收敛了安全风险。

我记得那年过年的时候，MSS 就承担了医院网络重点保护的责任，早七点晚十点各发一次报告，总结半天的安全数据。

后来，医院信息科的同事们告诉我，他们终于可以不像往年一样轮流去医院值班了。那时候，我觉得我们做的事情还是挺牛的。

段雄舰笑。

我听得津津有味，问段雄舰，还有啥故事，再给我讲讲。

他说这样的故事太多了，但时间可不多了。一小时后他就要赶到东莞，跟客户约好了要谈一个问题，有机会再见，漂流瓶联系。

说完，他把电脑夹在胳肢窝，风尘仆仆地冲进了电梯。

段雄舰“人机协同”是一个更本质的未来

跟 MSS 几位老师傅聊完，夜幕已经降临。

会议室外，人们安静地穿行，有人下班，有人仍旧在闪烁的屏幕前凝视。这种低噪声的秩序感是深信服一直以来散发的独特味道，每次来我都能闻到。

我突然想到两个更深层的问题：

作为产品见长的公司，深信服为什么会冒险闯入不那么熟悉的 MSS 赛道？

而短短几年，MSS 就在中国蓬勃发展，这背后又隐藏了什么逻辑？

其实，只要把视角拉远，就能看到一个非常有趣的现象 ——“人机协同”正在成为这个时代的标配。

2016 年，阿法狗刚虐李世石那会儿，人们相信 AI 的春天已经来了，未来 AI 会取代各行各业劳动者。

然而，5 年过去了，没有任何一个行业被 AI 代替，清洁工还在黎明破晓清扫落叶，工程师还在深夜的屏幕前画图，中哥还在这死去活来地写稿。

但是，机器和智能真的没有渗入我们的工作吗？

随便举两个中哥最近了解的行业：

客服。

你给银行客服打电话，接听的是人类小姐姐。

你不知道的是，在她面前的屏幕上，你问的问题都被实时转成文字。在文字旁边，AI 还会给出几个备选答案。

客服小姐姐可以把答案和她的专业技能结合成最终回复说给你。

物流。

如果你日常在学校或开阔的办公园区，这个“双 11”可能已经体验过“送货快递车”，而它们是被快递小哥领养的。

小哥指派它们完成路况简单、不需要上下楼的任务，小哥自己则去跑只有人才能送到的场景。

在客服的场景里，机器如果直接合成声音和你对话，你就会觉得傻傻的。但它辅助小姐姐和你说话，你就觉得爽爽的。

在物流场景，机器无法覆盖所有环境，却可以作为小哥的补充，也是一种天衣无缝的配合。

人机搭配之所以干活不累，背后的本质是：机器没有你想得那么好，而人，没有你想得那么差。

我们还是说回网络安全。

我也曾幻想哪家公司发明一个“神器”，就像大片里的银弹一样，可以干掉所有进犯的黑客。

但现实却一再修正我的看法：网络安全对抗终究是人和人的战斗，包含了欺诈、权谋以及不时涌现的灵感。

这些特征都包含了“非理性”因素（非理性和创造力是相联系的），是人类智慧特有的属性，如今计算机和 AI 的发展水平难以企及。

但黑客的威胁步步紧逼，一种新的安全组织模式必须出现。

这种新模式，除了要“人机协作”，还要“报团取暖”。

自古以来，人类就会“抱团取暖”。部落的形成，就是个人让渡了一些权力，交由一个组织来集中保卫他们的安全。

而 MSS 的本质，正是企业们的联合，交由网络空间的“部落安保队伍”来集中守卫自己的安全。

由此，效率可以达到最优。

所以，MSS 在原理上可以认为是更先进的组织模式。就像下图这样。

胡斌日常会看到很多中国网络安全的态势数据。

他觉得，如今被 MSS 保护的企业只有几千家，还远远太少了，几万、几十万企业仍然在“野外”独自作战。

如果向未来看，当越来越多企业进入“部落”，野兽们就会失去大量猎物，变得更加饥饿。而那时，仍然坚持孤军奋战的企业会面临更加凶险的局面。

没有人会在清晰地认识到形势之后，仍然选择独自和野兽对垒。

报团取暖，于是成为一个确定性的趋势。

如果回到 2018 年，深信服确实是在冒险，因为当时他们是中国罕有的一支做 MSS 的队伍；

而在如今的 2021 年，一些前瞻性同样很好的安全企业和互联网大厂宣布进入 MSS。友商的进场，也许反而会让深信服更安全一些。

老话说，人生没有白走的路，每一个坑都算数。

胡斌、蔡成志、李焕波这群人以前犯过的每一个错，如今都会变成一根安全绳，在别人“徒手攀岩”的时候，自己能爬得更稳。

冒险者永远值得尊敬。

不过，“善于冒险”比“敢于冒险”更值得喝彩。