【转载知乎】明末崇祯真的是死局吗

作者:知乎用户
链接:https://www.zhihu.com/question/555012333/answer/3238209157
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

特权会让人退化。人一旦退化就无法守住特权。这是一则以百年为周期的法则。

崇祯皇帝最大的问题是,他不懂军事,他不会理财,他甚至连一笔好文章都写不出来。

所以当有关军事,政治,外交,理财的一堆信息摆在他面前,缺少业务经验的他根本就分不清哪个是真,哪个是假。

他只能从大臣的表情,言辞的态度,还有人数,对看谁多,来判断什么是对的。

然而可悲的在于,大臣都是人精,摸透了皇帝的属性,一个个都成了戏精。

帝国的首脑是最后一个知道真相的人。这种局根本就无解!

如果你不理解崇祯皇帝的困境,不妨试试下面的例子。遇到下面这道题,只要一个正确答案

你手下有二十个人,十个选a,一个选b,三个选c,六个选d。其中一个选c的手下,哭得一把鼻涕一把泪;而选d的三个人已经绝食两天;选a的三个是你的特别亲信;选d的那个头头是道写了一黑板的公式……

然后你怎么办?

如果你上过泛函,学得好,你一眼就能看出答案,然后静静看你手下这帮人表演。细细推想他们到底是能力不足还是别有用心,然后把别有用心的直接砍了。这就是朱元璋,李世民,这种狠人。

如果你上过泛函,学得不是太好,大致能够排除两个选项。然后再从这帮人的反馈中推出一个答案,八九成是对的。这个时候,你会细细听每个人的发言,评估一下他们的能力和价值。你不会轻易杀人,因为下一题指不定谁能提供有价值的信息。这是汉文帝,嘉靖,这类守成之君。

可是如果你没有上过大学,听他们说了半天更加糊涂。然后你选了a,结果a错了。你杀了两个亲信,接着选b,结果b也错了,于是所有人又鼓动你惩罚选b的大臣。你把他砍了,结果第二天所有人又都跟你说其实b是对的……

是的,这就是崇祯皇帝的困境,他完全没有任何能力去判断到底怎样是对的。而且王朝末期,大臣们为了自己盘根错节的利益,几乎没有任何人会完全说实话。一件事上诚恳,下一件事上就耍诈,你好像用谁都不对,做啥都是错!

为何会如此?

想一想崇祯皇帝的权力如何得来的,是靠军功?是靠科举?是靠理财?是靠奇谋?是靠外交?……

都不是,仅仅只是因为他生于皇家。

权力,财富甚至智商都可以传承,但是打天下的经验,应对困难的毅力,面对乱局的决策能力,都是没法遗传的。

特权几乎必然会导致外行领导内行。这就是王朝必然衰败的原因。

所以,明末最大的麻烦并非国家财政,外敌,饥荒,瘟疫。而是这套制度没有办法让一个有才干的人坐上龙椅。

明末这个局面

朱元璋若是有这开局,嘴巴能咧到后脑勺。

刘备要有这地盘儿,做梦能够笑醒

李世民若是接手晚明,五六年能御驾亲征把后金杀穿。

铁木真如果有这人马,努尔哈赤的祖坟都保不住。

但是,这样的人坐不到龙椅上。坐得上龙椅的人,都被特权养成了废物。

想一想袁崇焕在崇祯面前吹嘘五年平辽的时候,崇祯皇帝应该是多么欣喜。如果是朱棣,呵呵,揍鞑子,还是朕亲自来吧!袁爱卿搞搞后勤吧!

没法比啊!

何为特权?一百分能力得一百分好处?这不叫特权。特权是一分的能力占住一百分的好处!

何为特权?无需冒险,无需奋斗,无需勤学,无需磨难,衣食无忧,荣华富贵。

读读历史,会发现特权这东西人人都想要,但是吧,大多数享有特权的家族,下场都是灭族收场。对,大多数!

庄子说,为善不近名,为恶不近刑。可叹几人知之。

《记念刘和珍君》· 鲁迅

  中华民国十五年三月二十五日,就是国立北京女子师范大学为十八日在段祺瑞执政府前遇害的刘和珍杨德群〔2〕两君开追悼会的那一天,我独在礼堂外徘徊,遇见程君〔3〕,前来问我道,“先生可曾为刘和珍写了一点什么没有?”我说“没有”。她就正告我,“先生还是写一点罢;刘和珍生前就很爱看先生的文章。”

  这是我知道的,凡我所编辑的期刊,大概是因为往往有始无终之故罢,销行一向就甚为寥落,然而在这样的生活艰难中,毅然预定了《莽原》〔4〕全年的就有她。我也早觉得有写一点东西的必要了,这虽然于死者毫不相干,但在生者,却大抵只能如此而已。倘使我能够相信真有所谓“在天之灵”,那自然可以得到更大的安慰,——但是,现在,却只能如此而已。

  可是我实在无话可说。我只觉得所住的并非人间。四十多个青年的血,洋溢在我的周围,使我艰于呼吸视听,那里还能有什么言语?长歌当哭,是必须在痛定之后的。而此后几个所谓学者文人的阴险的论调,尤使我觉得悲哀。我已经出离愤怒了。我将深味这非人间的浓黑的悲凉;以我的最大哀痛显示于非人间,使它们快意于我的苦痛,就将这作为后死者的菲薄的祭品,奉献于逝者的灵前。

  真的猛士,敢于直面惨淡的人生,敢于正视淋漓的鲜血。

  这是怎样的哀痛者和幸福者?然而造化又常常为庸人设计,以时间的流驶,来洗涤旧迹,仅使留下淡红的血色和微漠的悲哀。在这淡红的血色和微漠的悲哀中,又给人暂得偷生,维持着这似人非人的世界。我不知道这样的世界何时是一个尽头!

  我们还在这样的世上活着;我也早觉得有写一点东西的必要了。离三月十八日也已有两星期,忘却的救主快要降临了罢,我正有写一点东西的必要了。

  在四十余被害的青年之中,刘和珍君是我的学生。学生云者,我向来这样想,这样说,现在却觉得有些踌躇了,我应该对她奉献我的悲哀与尊敬。她不是“苟活到现在的我”的学生,是为了中国而死的中国的青年。

  她的姓名第一次为我所见,是在去年夏初杨荫榆女士做女子师范大学校长,开除校中六个学生自治会职员的时候。〔5〕其中的一个就是她;但是我不认识。直到后来,也许已经是刘百昭率领男女武将,强拖出校之后了,才有人指着一个学生告诉我,说:这就是刘和珍。其时我才能将姓名和实体联合起来,心中却暗自诧异。我平素想,能够不为势利所屈,反抗一广有羽翼的校长的学生,无论如何,总该是有些桀骜锋利的,但她却常常微笑着,态度很温和。待到偏安于宗帽胡同〔6〕,赁屋授课之后,她才始来听我的讲义,于是见面的回数就较多了,也还是始终微笑着,态度很温和。待到学校恢复旧观〔7〕,往日的教职员以为责任已尽,准备陆续引退的时候,我才见她虑及母校前途,黯然至于泣下。此后似乎就不相见。

  总之,在我的记忆上,那一次就是永别了。

  我在十八日早晨,才知道上午有群众向执政府请愿的事;

  下午便得到噩耗,说卫队居然开枪,死伤至数百人,而刘和珍君即在遇害者之列。但我对于这些传说,竟至于颇为怀疑。

  我向来是不惮以最坏的恶意,来推测中国人的,然而我还不料,也不信竟会下劣凶残到这地步。况且始终微笑着的和蔼的刘和珍君,更何至于无端在府门前喋血呢?

  然而即日证明是事实了,作证的便是她自己的尸骸。还有一具,是杨德群君的。而且又证明着这不但是杀害,简直是虐杀,因为身体上还有棍棒的伤痕。

  但段政府就有令,说她们是“暴徒”!

  但接着就有流言,说她们是受人利用的。

  惨象,已使我目不忍视了;流言,尤使我耳不忍闻。我还有什么话可说呢?我懂得衰亡民族之所以默无声息的缘由了。沉默呵,沉默呵!不在沉默中爆发,就在沉默中灭亡。

  但是,我还有要说的话。

  我没有亲见;听说,她,刘和珍君,那时是欣然前往的。

  自然,请愿而已,稍有人心者,谁也不会料到有这样的罗网。

  但竟在执政府前中弹了,从背部入,斜穿心肺,已是致命的创伤,只是没有便死。同去的张静淑〔8〕君想扶起她,中了四弹,其一是手枪,立仆;同去的杨德群君又想去扶起她,也被击,弹从左肩入,穿胸偏右出,也立仆。但她还能坐起来,一个兵在她头部及胸部猛击两棍,于是死掉了。

  始终微笑的和蔼的刘和珍君确是死掉了,这是真的,有她自己的尸骸为证;沉勇而友爱的杨德群君也死掉了,有她自己的尸骸为证;只有一样沉勇而友爱的张静淑君还在医院里呻吟。当三个女子从容地转辗于文明人所发明的枪弹的攒射中的时候,这是怎样的一个惊心动魄的伟大呵!中国军人的屠戮妇婴的伟绩,八国联军的惩创学生的武功,不幸全被这几缕血痕抹杀了。

  但是中外的杀人者却居然昂起头来,不知道个个脸上有着血污……。

  时间永是流驶,街市依旧太平,有限的几个生命,在中国是不算什么的,至多,不过供无恶意的闲人以饭后的谈资,或者给有恶意的闲人作“流言”的种子。至于此外的深的意义,我总觉得很寥寥,因为这实在不过是徒手的请愿。人类的血战前行的历史,正如煤的形成,当时用大量的木材,结果却只是一小块,但请愿是不在其中的,更何况是徒手。

  然而既然有了血痕了,当然不觉要扩大。至少,也当浸渍了亲族;师友,爱人的心,纵使时光流驶,洗成绯红,也会在微漠的悲哀中永存微笑的和蔼的旧影。陶潜〔9〕说过,“亲戚或余悲,他人亦已歌,死去何所道,托体同山阿。”倘能如此,这也就够了。

  我已经说过:我向来是不惮以最坏的恶意来推测中国人的。但这回却很有几点出于我的意外。一是当局者竟会这样地凶残,一是流言家竟至如此之下劣,一是中国的女性临难竟能如是之从容。

  我目睹中国女子的办事,是始于去年的,虽然是少数,但看那干练坚决,百折不回的气概,曾经屡次为之感叹。至于这一回在弹雨中互相救助,虽殒身不恤的事实,则更足为中国女子的勇毅,虽遭阴谋秘计,压抑至数千年,而终于没有消亡的明证了。倘要寻求这一次死伤者对于将来的意义,意义就在此罢。

  苟活者在淡红的血色中,会依稀看见微茫的希望;真的猛士,将更奋然而前行。

  呜呼,我说不出话,但以此记念刘和珍君!

剪纸艺术展游玩照片及碎碎念

最近北京没那么冷了,又在北京过了一个冬天。我在19年从深圳跑到北京,今年是在北京过的第四个冬天,除了19年的冬天没什么感觉之外,其他几个冬天都过得不怎么好。北京的冬天实在是太冷,又干燥又冷,而且持续时间很长,我真是不怎么适应。

好在冬天总会过去,就像最近这几天,最高气温逐渐升高到了十度还不止,蠢蠢欲动的心再也按捺不住,张美丽给订了非物质文化遗产博物馆的门票,下午午饭刚过,便打车直奔博物馆。

博物馆在奥森旁边,看到奥森的标志性建筑(之一),忍不住拉张美丽过来拍了个照片。

北京有一个特定, 一到气温变化大的时候就会狂刮大风。以前只要一起大风,基本就知道是要降温了。现在天气越来越暖和,起风是个好事情,说明要越来越暖和了。大风会把云吹走,留下个瓦蓝瓦蓝的天空,昨天刮了一整天风,今天天气还不错。

拍完照片,我们便往博物馆走,博物馆的外观没有给我太大的印象,倒是旁边的一个展馆吸引了我的注意力,拿出相机拍下一张照片。

高端大气上档气,准备抽时间去看看。我党就像一个创业团队,作为一个创业公司,从一清二白到现在,说国富民强有点夸张,但确实成果斐然。值得学习。

今年是个兔年,迎面走进去,有个大兔子 ,给张美丽来一张(脱焦了 ahh~)

咔嚓,再来一张,数码时代的拍照的成本就是这么低。几乎是0成本。

在管里七转八转,首先参观了皮影戏,我是南方人,感觉这个东西在南方不是太流行,对皮影戏的印象还留存在电视剧《小兵张嘎》里的一些片段。

这种皮影的道具,没想到是用牛皮做的,做完之后五颜六色,还挺好玩。

下面这个是马超将军,左上角有提文:“馬超肝膽千年照,單槍匹馬曹不敵。”。

展厅不大,稍为一逛,便来到剪纸艺术馆。于是,咔,再来一张。

刚才提到,我是南方人,南方不仅没有皮影这种东西,似乎也没有剪纸这种活动。买个贴窗的福字可能就是我们那离剪纸最近的民俗活动了。剪纸在我映像中是比较生硬 无趣的一个事情,这个展颠覆了我的认知。

比如下面这幅剪纸画,叫做 《霸王别姬》,轰轰烈烈的片段在张永忠老师手里变得萌萌哒。霸王像个印第安野人而且没穿衣服。

说到霸王别姬,又想起来,我在我的青少年时期,对霸王有一种莫名的情感。大概是这首《垓下歌》给我留下了无尽的想象。江山、美人, 无可奈何的西楚霸王,没在鸿门宴上干掉刘邦,等等等等。

《垓下歌》
力拔山兮气盖世。时不利兮骓不逝。
骓不逝兮可奈何!虞兮虞兮奈若何!

下面这个,不用我说大家应该也知道是什么,没错,《空城计》。这个我们中国人都知道。遇到疑似特务的可疑人员,可以把这个作为一个考题考考他。

这个剪纸画叫做《祈祷》,有种比较有西方的感觉。我们国人的祈祷一般是跪拜礼,头是朝下的。

既然是展览,当然得来点大货。比如下面这个大剪纸,就是妥妥的大货,没错儿,就是物理意义上的大货。很大,铺开得有好几米长。

还有这个,一整面墙的剪纸画。

然后给无精打采的模特拍了一个照片,然后就开溜回家。早点休息养好精神,下周好好工作。

谢谢你看到这里,Thx!

考证- AWS SAA-C03 学习笔记

要成为一个国际范的甲方安全工程师,熟悉基于AWS云的基础架构绝对是一个必要选择。让我们一步一步学习吧~

SAA:全名叫做 AWS Certified Architect – Associate(AWS认证架构师助理级)。以前考试内容叫做C02,现在叫做C03,具体区别不是太清楚。先关注C03的考试吧~

先来看看AWS的官方要求,备考主要分为四个大块,分别是:

1)Design Secure Architectures – 设计安全的架构 占比30%

2) Design Resilient Architectures – 设计带容灾的架构 占比26%

3) Design High-Performing Architectures – 设计高性能的架构 占比 24%

4)Design Cost-Optimized Architectures – 设计成本优化的架构 占比 20%

设计安全架构

任务1:设置安全访问AWS的基础设施

需要如下知识:

  • 跨账号的权限控制
  • AWS用作访问控制和身份认证的服务(eg: IAM, AWS SSO)
  • AWS全球的基础设施
  • AWS的安全最佳实践(eg:最低权限的原理)
  • AWS责任共担模型

需要技能:

  • AWS安全最佳实践 – IAM User/Root User MFA
  • 设计一个灵活的权限控制模型:包括IAM Users,groups,roles,policies
  • 设计一个基于权限的访问控制策略。(eg: AWS STS & 跨账号访问)
  • 决定为AWS资源设置设计合适的访问policie
  • 决定在IAM Role设置时候何时使用 Directory Service(组策略?)

Task2: 设计安全的负载和应用

需要知识:

  • 应用配置和证书安全
  • AWS 服务的Endpoint
  • 控制AWS上的端口、权限、网络流量
  • 加固应用访问途径
  • 选用合适的安全服务(eg: GuardDuty, Macle)
  • AWS 上的攻击向量

技能

  • 设计VPC的安全架构(eg: 安全组,路由表等)
  • 设计网络,给网络分段
  • 使用AWS自带的服务提升安全性(eg: waf, Shield, SSO)
  • AWS外部网络的安全(eg: VPN, AWS Direct Connect)

Task3: 数据安全的控制

知识:

  • 数据访问和治理
  • 数据恢复
  • 数据保留和分类
  • 加密和密钥管理

技能:

  • 使用AWS技术,满足合规需求
  • 使用数据加密(自动的),eg: AWS KMS
  • 使用数据加密(手动的),eg: ACM
  • 实现加密密钥的权限管理
  • 实现数据备份和副本
  • 实现数据的访问策略,生命周期,和保护
  • 实现密钥和证书的Renew

更新:拿到证了

10-11搂一眼 CrowdStrike EDR

EDR: Endpoint Detect & Response. 基于端点的检测与响应,属于企业安全防护体系里的重要一环。CrowdStrike是全球EDR产品中的佼佼者。学习一下CrowdStrike在AWS的宣传白皮书。以加深对EDR在云端的主要卖点和部署方式。

材料链接:https://d1.awsstatic.com/Marketplace/solutions-center/downloads/CrowdStrike-Falcon-Discover-datasheet.pdf

云上挑战

1)资产可见行 : 发现所有账号使用的EC2,并将其纳入管理。

2)上下文:威胁分析时,需要终端信息。

3)一致性:IT架构复杂,EC2应当和传统服务器保持管理上的一致。

4)效率:安全团队事情太多了。

5)容易部署:如何融入DevOps流程中。

CrowdStrike 使用场景

1. 富化告警信息和上下文

提供终端侧的告警数据和VPC间的基于终端的信息。

2. 寻找未纳管EC2

CS 的Falcon Discover平台提供功能,可以支持跨AWS账号导入EC2资产,并提供各种检索条件。

3. 提高安全的视野

CS的Dashboard,提供所需的任何信息。

4. Review EC2的生命周期

其他的,在我看来的核心优势:

1) 和AWS云高度集成,这个很重要

我看到的几家私有化托管的EDR,主要还是Agent+带Dashboard Server的模式。如果在云中使用的话,这种可见行似乎是缺乏的,这个可以和乙方的同学再聊一下。

对甲方团队而言,如果引入这种不带资产管理的EDR设备,后续还有大量的适配工作要做,比如上面提到的对AWS机器的可见性和管理。国内是否有针对同类的EDR产品, 提供类似的云账号集成的功能?

我部署了EDR之后想收获什么?

1)资产管理&可见。和现在的网络资产可见类似。多少IP/多少域名,覆盖率如何。趋势如何。

2)终端信息收集。Agent定时任务、CPU占用率、运行进程、开放端口等基础信息。

3)风险发现。强大的、与时俱进的漏洞库,强的AV能力,强的告警能力。

4)阻断能力。自动解决掉一些高频安全风险,比如挖矿木马自动隔离,端口反弹自动kill进程等。

还有其他需求吗?等继续思考之后再补充,狗命要紧,洗漱睡觉去~

其他的遐想:

1)腾讯云主机安全有网络的告警列表,是基于Agent做的吗?其他的产品似乎大家都没有这个功能。如果大家都有这个功能,部署之后能否开放运营,基于流量在主机上做热补丁拦截?

2)数据可见行,能否开放全部数据到我们?拿到日志数据之后,日志数据的理解成本会不会很高?

10.09安全随想,我们需要什么样的安全产品?

最近从乙方跳槽到了甲方。开始从用户视角去接触一些安全产品,也有了机会去和多个乙方的厂商做产品的交流。

看到几个奇怪的现象,分别是:

1)乙方似乎确实存在产品过剩的问题:IAST的产品里竟然集成了镜像安全的功能。

2)产品的同质化高:以主机安全比如WAPP或者EDR为例,从大家的白皮书来看,基本看不出来差异化的亮点。

3)还是产能过剩:前司比较刻苦,投入了一些自身的安全专家左右互搏,攻防互促提(nei)升(juan)产品能力。但是这个功能对我们公司安全建设的现状来说,应该是用不上的。说明我们还亟需努力,补补上之前缺掉的功课。

又想起来在前司遛弯时候,云鼎的一个好伙计给我说的:“从甲方出来的一线员工其实很适合做安全产品的产品经理,因为他们知道客户真正想要什么”。想一想也很有道理,IAST里为什么要内置一个容器镜像安全的功能呢?

所以我给自己抛了一个命题:我们需要什么样的安全产品?如果能够花1~3年的时间,把这个问题想明白的话,我想我的市场竞争力也还是有的。

仰望星空,脚踏实地。现公司需要什么安全能力?我能做什么?做得最好能做成什么样子?我能做出来什么差异化的事情?(我艹,是不是内卷起来了)

也许应该找时间和新公司的同时聊一聊 努力工作和内卷的区别,听听大家的意见。

10.09(入职新公司day3)

毕业四年记

有些大佬半年就会写个复盘记录,锦旭这边比较落后,四年才写一次。忙中偷闲,周日下午远离老婆(没有孩子),跑到北京大兴郊区的一处咖啡馆,带上公司配发的高级锄头:搭配M1 Pro 32GB 内存 1TB SSD的Macbook,点了一杯超大杯冰美式,陷入了对往事的追忆。。。

概览,主要分为

1. 过去四年的回顾
2. 2022 的收获
3. 2022的困惑
4. 展望人类文明的未来

最近四年我一直在xx互联网公司效力,回顾下历史,我为公司创造了这些东西。

  1. 一个漏洞预警系统
  2. 一个资产测绘平台 CyberSpace
  3. 一个自动化的资产收集工具 Athena
  4. 一个安全产品评测工具 WeAttack

以及期间还做了若干需要翻历年OKR才能想起来的小项目,就不写到这里了。

说来神奇,我做的这四个系统,至今还没能交接出去,但是还好没有死掉(除了因为合规被关停的Cyberspace之外),其他一直在为部门的安全事业贡献自己力量。

和组里的老前辈不同,有些老前辈做完一个事儿之后,马上呼啦哗啦文档一搞,就交接出去了,自己继续探索新事业。锦旭的项目则不然,写完了之后(可能是因为代码只有jinxu自己能看懂的原因),往往维护了很长的时间。

在2021年,我感觉到项目太多了,基本处于每个半年开个新坑的状态。逐渐感觉到维护成本过高了。

现在再看回顾一下这些项目,没有交接出去的原因主要有:

1. 代码多,涉及很多的技术组件

以CyberSpace为例,架构十分复杂,交接起来十分费力气。

  • 包含了全球扫扫扫的匿名主机
  • 包含快速应用层探测的go扫描工具
  • 包含通过匿名网盘辗转回国的rclone通道
  • 包含pyspark的规则&回包解析模块
  • 包含一个入库ES / Clickhouse / Hive的脚本工具 等等等
  • 一个前后端分离的Web系统

换一个比如说漏洞预警系统,整个系统由四个git 项目构成。

不论是交接还是维护,都是比较麻烦的事情。关于为什么会产生这个问题, 我一会儿再详细说。

2. 倾注了我的大量心血,感情还是有了

这里有点小心思,具体来说指的其实是CyberSpace。这个测绘系统是我一手做起来,大量时间在试错和反复验证。最后用很少的服务器成本,在某些维度能够和商业化的厂商做正面PK。还是花了很大精力的。

“自己孩子,还是不要被别人抱走了~~~” — 这个大概是我工作第二年时候的想法。

3. 远程工作,还是有些沟通不畅的情况

比如和同事的同事们朝夕相处的话,可能一些项目和坑,手把手就带会了。

魔幻的 2022

好了好了,回顾了一下过往的项目,有点负能量,迫不及待想要分享一些最近的收获。

2022 – Less Is More

2022在公司内部论坛里看到一个让我记忆深刻的回帖,叫做

代码不是资产/财富,代码是负债。代码实现的那个背后的需求才是资产/财富。

从这个角度看,很多事情是没有必要做的。事情做完之后,往往背后并没有实现什么需求 / 解决什么问题。

我在今年H1有过一段什么都不想做的迷茫阶段。这个事情不做会有什么影响呢?好像也没有什么影响。于是开始不知道干什么了。

但是大家都知道,今年H1外部环境风云变幻,每天被各种负面消息环绕。于是,我焦虑了。

焦虑的一个外在表现是有段时间产生了burnout。burnout的一个表现是到了晚上干不动活了。后来,后来我开始7点下班,7点下班之后回家写一会儿代码,或者看看外网的文章,然后在9点左右下楼和家人做做运动。自感状态恢复得不错。

焦虑的另外一个表现是没有办法深度思考,半天只能解决一个明确的问题。对于其他的一些需要抽丝剥茧,在多条路径里做出路径选择的场景里,没有办法做推理和决策。

2022H1没有开新坑,Less is more.


2022 – 把一件事情做好,可以把项目当作产品来运作

作为中后台的团队,Leader会从他的角度,给项目一些指引。有时候,会停留在满足Leader需求的层面。现在来看,这个是不对的。

作为项目负责人,没有人比我更了解产品的技术细节和能力上限。如果仅仅满足leader的需求,会很大限制项目的发展。事实上,跟着Leader的节奏走,走完之后回过头再看,可能就会出现,哎哈,怎么就这?

事实上,可以有更多的思考,比如漏洞预警系统,离VPT还有多远?比如云上的蜜罐的数据,还能有什么用法?等等的。

这是个比较复杂的问题,H1看到一个话比较有共鸣,叫做 “::有了锤子,哪里都是钉子::”。如何提升投入产出比,这是一个比较难搞的问题。

但是可以确定的是,基于要实现的功能,当作产品来做,会更有想象力和成就感。

  • 比如Athena,我在H1申请了easm.cloud的域名,大大小小迭代了好几个版本。我觉得很不错,不出意外的话接下来也会继续维护,因为这个能力每年都能用上。

2022 – 协作 Cooperation,和队友并肩作战

和足球赛一样,每个队员都有明确的分工,相互之间互相信任互相补位。又像部队作战,有人负责冲锋陷阵,有人负责后场做饭。

在协作的方面,我还需要补补课。

比如WeAttack项目初期,投入人力较多,是否可以从技术细节里抽身出来,承担产品经理的角色?把控项目走向和汇报思路。把手头的活儿更多交给团队的“新”人来做。

但是历史没有假设哈,可能我承担产品经理角色之后,搞不好也会把大家带偏了🐶

回过头来看,WeAttack整体还是乱的,尤其是前端部分,投入了不少人力。但是现在打开,仍然像一个运营工具,不像一个产品。

怎么样才算一个产品呢?

产品解决的问题,一定是一句话就能说清楚的,WeAttack,可能是“以供促防”,或者是“攻防靶场”。但是还是不像个产品。形态也比较难变成产品。

H1调研过不少BAS的内容,也希望H2能够把WeAttack变成产品。解决实际的问题,给部门赚点钱。

如果H2能够推动能力产品化的话,我希望能够全力投入进去,然后像老板一样,“::一定要搞定,搞不定就自己走人::”。

说远了,回到和队友并肩作战。H1因为疫情没有和团队见面,H2有机会多去深圳。(部门差旅费用要顶住啊)


2022 – 编程要 Kiss,Keep It Simple & Stupid

代码能够实现非常多的事情。如果不对代码加以限制的话,很容易在代码里写出来一个元宇宙 -》然后变得不可维护。

我有很多的项目都很复杂,上面提到的四个项目,如果去看代码量的话,其实都不少。代码量多一定会带来高昂的维护成本和非常费脑的理解难度。

尤其是在一个安全为中心的团队里,复杂的代码结构带来的就是,不敢动,啥feature,没用过?

我正在重构雅典娜,我希望Athena可以成为一个我认为很 Kiss的项目。比如:

class DomainWorker:
    def __init__(self, domain):
        self.domain = domain

    def domain2subdomains(self):
        return [i for i in self.plugin_results if i.event_type.linked_model == 'subdomain']

不用关注底层细节了,好用就行,不好用你给我提bad case,我来改。需求理清楚之后,我觉得就能开发得很顺溜了。

这样代码也方便后人接手,如果哪天我离开公司了,我的队友看到我的代码之后也不会骂娘。

2022的一些负能量事情

我喜欢瞎琢磨,也喜欢和人聊天,我和大家聊天时都比较掏心掏肺,不藏着掖着,我感觉大家对我也是一样。有些小事情一直记在心上。也许他们都是对的。在这里也记录一下,过几年看能不能解开这些个心结。

安全的天花板

和一个安全专家聊天。安全这个东西,很难搞出新的东西。全球最牛逼的人都在研究安全,你要是想呼啦啦啦搞出来一个横空出世的东西,基本上不可能。

事实上也是,H1关注到Mandiant被Google云花重金收购了。感觉这家公司无比牛逼,于是查了一下资料。我也在做EASM(投入人力很少),人家也做EASM。感觉大家没有区别。底层技术都是一样的。一看演示视频里的数据结构,更加确信了这一点,::确实没什么区别::。。

那人家为什么能被Google收购呢?

我觉得有一个重要的原因是 LongTimeRun:长期的安全运营,Mandiant已经成立18年了。对安全投入也非常舍得砸人。

Mandiant Threat Intelligence deploys 300+ intelligence analysts and researchers located in 23 countries. We collect up to 1 million malware samples per day from more than 70 different sources.

那么,中国为啥没出来Mandiant呢?和另外一个专家聊天时给我解了惑。大概是国内安全盘子太小,钱不够,撑不起来这个建设成本。

所以说回天花板:

国内安全行业的天花板 -〉取决于企业能给安全投入多少钱 -〉企业能给安全投入多少钱则又取决于企业收入和预算情况。

有了行业天花板 -〉剩下就是各自厂商争抢份额的事情了。

经济下行的趋势下,安全不会太好做。安全缺乏的想象空间,在于不能出海。海外认可度低。

海外厂商做一功能,全球用户来买单,国内厂商一做,只有国内厂商买单,这个客观差距还是在的。

::当然了,这事儿也不用锦旭着急,天塌下来有大老板顶着。::

公司的行动也是比较明确,降本增效。要求业务团队健康可持续。健康可持续,就是要能自己养活自己。

生存 是文明的的第一要义

上半年出现了很多糟心的事情。都可以用这个三体里的话来解释。

比如 公司为何要裁员:公司要生存。出于生存做的考量:裁员有助于公司的生存。所以裁员。

比如 疫情防控和加码:xxxxxxxxx,所以要加码。

比如 俄罗斯为什么打乌克兰:再不开打北约要把武器放到俄罗斯国界线边上了。俄罗斯要生存,所以要开战。

再比如:美国为什么要制裁中国。

再往回看:日本为什么要发动甲午战争。

其实都是一样的,都能用这个思维模型来解释。

在公司里搬砖,也要想想关于生存的事情。

“一个组织存在的意义和价值是什么,然后层层分解到个人…”


最后再分享一个好消息

人类文明一定是向前发展的

万丈高楼平地起,不论朝代的兴衰。万丈高楼会留给我们的子孙后代。我们在安全领域和前沿科学的探索,也会传给后代。

假如哪天公司倒闭了,公司大厦会被另外一个更牛逼的公司买下来,然后入驻。

假如哪天锦旭离开公司了,会有一个更牛逼的人替代我的位置,为人类文明的发展带来贡献。

我坚信所有的困难都是暂时的,一代又一代人的努力,终将会推动人类文明走向新的高潮!

最后还有一个好消息:即使躺着不动人类文明也会滚滚向前。

在推动社会前行的同时也注意身体健康,让我们一起见证这波澜壮阔的历史吧!

加油,多看书,少浪费时间 ;-)

我们每天都会遇到很多的问题,要解决这些问题需要扎实地一步一步推进。

思考固然重要,但是往前推进也很重要。如果每个事情都要100%考虑清楚才行动的话,就太没有意思了。

应该要找到行动本身的意义,方向正确的事情都是我们应该要花时间去做的。

加油锦旭,2021留给我们的时间不多了。时间过得很快,生命也过得很快。

做事情都有弯路,应该从这些弯路中思考、去做一些推理和辩证。而不是在没有开始时就去想绕过弯路。毕竟,弯路都没有来,怎么去绕过?

加油,多看书,少浪费时间 😉