胡立

2020年初，疫情突然降臨，全球原本的發(fā)展節(jié)奏被打亂，眾多創(chuàng)業(yè)公司更是危機(jī)重重。截至5月初，國內(nèi)的疫情已得到有效控制，然而，國外的抗疫行動正面臨嚴(yán)峻挑戰(zhàn)。置身全球化進(jìn)程的今天，國內(nèi)企業(yè)如何規(guī)避后疫情時(shí)期帶來的不利影響，依然是個(gè)難題。

對創(chuàng)業(yè)公司來說，確保充足現(xiàn)金流成為渡過難關(guān)的首要條件。頭部創(chuàng)業(yè)公司估值暴跌，融資受挫哀聲連連；而中下游創(chuàng)業(yè)公司，或?qū)⒚媾R更棘手的資問題。

但是我們換個(gè)角度來看，“大疫之后必有大變，大變之后也會孕育新的機(jī)會”?，F(xiàn)在，創(chuàng)業(yè)公司似乎撐過了至暗時(shí)刻，所有人都在等待觸底反彈。低谷時(shí)期也不能懈怠，需要調(diào)整心態(tài)、打磨產(chǎn)品，做好迎接一切機(jī)會的準(zhǔn)備。

后疫情時(shí)期要尋求穩(wěn)定甚至是增長，業(yè)務(wù)的穩(wěn)定運(yùn)營就必須要保證安全，而事實(shí)證明：當(dāng)今一切的數(shù)字化，都離不開安全。

創(chuàng)業(yè)公司正在等待寒冬漸去

根據(jù)中歐商業(yè)評論2020年2月5日發(fā)布的《清華、北大聯(lián)合調(diào)研995家中小企業(yè)》報(bào)告顯示：“34 %的企業(yè)賬上現(xiàn)金只能維持1個(gè)月，33.1 %的企業(yè)可以維持2個(gè)月，17.91 %的企業(yè)可以維持3個(gè)月”。就是說，85.01 %的企業(yè)最多能維持3個(gè)月，僅有不到10 %的企業(yè)現(xiàn)金能維持6個(gè)月以上。

再看融資方面，據(jù)鯨準(zhǔn)研究院發(fā)布的《2019年股權(quán)投資白皮書》顯示，即使是在疫情發(fā)生前的2019年，創(chuàng)投市場總交易數(shù)量已經(jīng)降至少于4 000起，降幅達(dá)到61.9 %。那些把希望寄托于融資的創(chuàng)業(yè)公司，現(xiàn)在更是雪上加霜。

收入暴跌，融資遇阻，這讓許多還未開始盈利的創(chuàng)業(yè)公司走到了商業(yè)的終點(diǎn)。

后疫情時(shí)期，創(chuàng)業(yè)公司如何精益增長

這次疫情提醒我們，在未來黑天鵝可能是常態(tài)，讓公司具備應(yīng)對黑天鵝事件的能力，也是實(shí)現(xiàn)增長條件之一。

其中有2個(gè)要點(diǎn)，對創(chuàng)業(yè)公司來說格外重要。

1.反脆弱

風(fēng)險(xiǎn)管理理論學(xué)者納西姆·塔勒布在他的著作《反脆弱》里提到，世間萬物都可以用三元結(jié)構(gòu)來概括———脆弱態(tài)、強(qiáng)韌態(tài)和反脆弱態(tài)。

脆弱態(tài)好比一個(gè)玻璃球，很堅(jiān)硬，但是從高處摔落時(shí)很容易就摔碎了；強(qiáng)韌態(tài)像是塑料皮球，看起來柔軟但是掉到地上絲毫無損、可以平穩(wěn)落地；而反脆弱態(tài)就像乒乓球，落地不僅不會受到損傷還可以彈得更高。

所以脆弱態(tài)真正的反面不是強(qiáng)韌態(tài)，而是反脆弱態(tài)。強(qiáng)韌態(tài)是抵御風(fēng)險(xiǎn)的能力，而反脆弱態(tài)能夠從危機(jī)和風(fēng)險(xiǎn)中獲利。

2.二八定律

意大利經(jīng)濟(jì)學(xué)家帕累托提出，約有20 %的變因操縱著80 %的局面。也就是說：所有變量中，最重要的僅有20 %，雖然剩余的80 %占了多數(shù)，控制的范圍卻遠(yuǎn)低于“關(guān)鍵的少數(shù)”。

在企業(yè)管理中，這個(gè)定律依然適用。企業(yè)20 %的投入，決定了80 %的營收。

以上這2點(diǎn)，都與安全相關(guān)。安全，幫助企業(yè)打好反脆弱態(tài)的地基；安全是20 %投入里的一筆，卻影響了80 %的營收。

創(chuàng)業(yè)公司為什么要做安全建設(shè)

1.防損

很簡單，也很直接。安全問題一旦發(fā)生會給創(chuàng)業(yè)公司直接帶來巨大損失，非業(yè)務(wù)本身方向問題導(dǎo)致創(chuàng)業(yè)公司夭折，令人惋惜。

試想，創(chuàng)業(yè)公司艱難克服了從種子期到早期的各種困難，產(chǎn)品在不斷迭代與嘗試下終于找到了真正的市場匹配，開始迎來高速發(fā)展的成長期。如果在這時(shí)暴露出重大安全問題，將會打亂整個(gè)發(fā)展節(jié)奏，甚至影響資本的進(jìn)入。

因全球疫情原因，飛速增長的視頻會議軟件Zoom就因安全問題被爆出，引發(fā)了全網(wǎng)的信任危機(jī)。2019年12月- 2020年1月初，Zoom的股價(jià)還維持在60 ～70美元，3月以來高點(diǎn)達(dá)到160美元，在一連串產(chǎn)品安全問題爆出之后，股價(jià)回落到了120美元。

可以看出，市場的預(yù)期并不會對Zoom的優(yōu)勢地位進(jìn)行偏袒，用戶也不會因?yàn)楫a(chǎn)品好用，就放棄對安全的追求。

安全性，再一次被證明是企業(yè)發(fā)展的要素。

2.增長

孵化了100多家創(chuàng)業(yè)公司的商界傳奇Bill Gross曾在TED中演講到：創(chuàng)業(yè)成功的重要因素之一是抓住時(shí)機(jī)。

他拿Airbnb舉例，最初很多聰明的投資者都沒有投資，因?yàn)榇蠹矣X得：“沒有人會把自己家租給陌生人”。當(dāng)然，事實(shí)證明這種想法是錯(cuò)的，Airbnb恰恰創(chuàng)立于經(jīng)濟(jì)周期中的“經(jīng)濟(jì)蕭條”時(shí)，人們非常需要額外收入，這時(shí)人們對錢的渴望，超過他們不想把房子租給陌生人的想法。一個(gè)好的商業(yè)模式、一個(gè)好想法、超棒的執(zhí)行力外加重要的時(shí)機(jī)，成功變成了自然而然的事。

而業(yè)務(wù)的穩(wěn)定和安全，是創(chuàng)業(yè)公司抓住時(shí)機(jī)快速增長的必要條件。快速增長期，用戶可不愿為體驗(yàn)不好的產(chǎn)品買單。

3.合規(guī)

我國在2017年6月1日起開始正式實(shí)施《中華人民共和國網(wǎng)絡(luò)安全法》，這意味著安全意識薄弱不再成為網(wǎng)站被黑的理由，網(wǎng)絡(luò)運(yùn)營者需要擔(dān)起網(wǎng)絡(luò)安全的責(zé)任，創(chuàng)業(yè)公司也不例外。其中比較重要的幾點(diǎn)是：

①企業(yè)應(yīng)對網(wǎng)絡(luò)運(yùn)行安全負(fù)責(zé)

企業(yè)應(yīng)按等保要求來保障網(wǎng)絡(luò)運(yùn)行安全，要有相應(yīng)的制度與規(guī)程，要有主體負(fù)責(zé)人，要有技術(shù)防范措施，要有監(jiān)管手段，并做好容災(zāi)措施。

②企業(yè)應(yīng)為網(wǎng)絡(luò)產(chǎn)品提供持續(xù)安全服務(wù)

企業(yè)在做網(wǎng)絡(luò)產(chǎn)品研發(fā)時(shí)，需先考量自身是否存在漏洞，并且要對這種安全性做持續(xù)觀察，以及在用戶端有持續(xù)的安全體現(xiàn)。

③企業(yè)網(wǎng)絡(luò)用戶需實(shí)行實(shí)名認(rèn)證

實(shí)行網(wǎng)絡(luò)用戶實(shí)名認(rèn)證是落實(shí)網(wǎng)絡(luò)不是法外之地的重要措施，企業(yè)應(yīng)負(fù)有這一責(zé)任，而將其作為法規(guī)寫入《網(wǎng)絡(luò)安全法》形成規(guī)定也是一種必要之舉。

④企業(yè)應(yīng)對用戶信息做好嚴(yán)格保密

網(wǎng)站的用戶個(gè)人信息泄露一直是網(wǎng)絡(luò)欺詐犯罪治理環(huán)節(jié)上的頑疾。對于企業(yè)而言，此處相應(yīng)的法律責(zé)任也更重，這就需要為線上服務(wù)部署提供最佳的安全防護(hù)才行。

除此之外，等級保護(hù)2.0的正式實(shí)施也讓各行業(yè)有了安全建設(shè)的規(guī)范標(biāo)準(zhǔn)。

不同階段的創(chuàng)業(yè)公司，需要什么樣的安全措施

初創(chuàng)

關(guān)鍵點(diǎn)：保障業(yè)務(wù)順利上線

創(chuàng)業(yè)公司在早期，目標(biāo)就是盡可能久地活下來。為了找到市場機(jī)會，產(chǎn)品會快速迭代，不斷探索調(diào)整業(yè)務(wù)方向，這也意味著在創(chuàng)業(yè)公司業(yè)務(wù)快速發(fā)展的同時(shí)，運(yùn)維策略和研發(fā)過程都可能不太規(guī)范。

為了保障業(yè)務(wù)順利上線，這幾點(diǎn)安全工作是必須要做的：

①為網(wǎng)站、APP和小程序等業(yè)務(wù)系統(tǒng)安裝數(shù)字證書（SSL證書）

SSL證書是數(shù)字證書的一種，它的作用是在客戶端瀏覽器和Web服務(wù)器之間建立一條SSL安全通道。

不安裝SSL證書，采用HTTP通信，就是不加密的通信。所有信息以明文的形式傳播，這會帶來三大風(fēng)險(xiǎn)：

竊聽風(fēng)險(xiǎn)：第三方可以獲知通信內(nèi)容；

篡改風(fēng)險(xiǎn)：第三方可以修改通信內(nèi)容；

冒充風(fēng)險(xiǎn)：第三方可以冒充他人參與通信。

除此之外更為重要的是，SSL證書已經(jīng)是業(yè)務(wù)上線的基本要求。Chrome，Safari等常見瀏覽器都將未安裝SSL證書的網(wǎng)站標(biāo)記為不安全，AppStore和微信小程序也明確要求未安裝SSL證書的APP和小程序不得上線。

好在創(chuàng)業(yè)公司在SSL證書上的花費(fèi)并不會太高，現(xiàn)在市面上有許多免費(fèi)的證書可以選擇。當(dāng)然，如果有更高安全的需求，也可以選擇付費(fèi)購買。

②上線前對業(yè)務(wù)系統(tǒng)進(jìn)行安全檢測

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》的數(shù)據(jù)顯示，2019年，國家信息安全漏洞共享平臺收錄安全漏洞數(shù)量創(chuàng)下歷史新高，共計(jì)16 193個(gè)。

2019年收錄的安全漏洞數(shù)量中，按影響對象分類統(tǒng)計(jì)，排名前三的是應(yīng)用程序漏洞、Web應(yīng)用漏洞和操作系統(tǒng)漏洞。

從數(shù)據(jù)可以看出，不管是什么樣的業(yè)務(wù)系統(tǒng)，大部分都會被漏洞影響。要保障業(yè)務(wù)順利上線，安全測試必不可少。初創(chuàng)公司可以使用免費(fèi)開源的漏洞掃描工具，如：OpenVAS，Nikto。但免費(fèi)工具也意味著對開發(fā)者的安全素養(yǎng)要求較高。

漏洞掃描只能基于漏洞數(shù)據(jù)庫對系統(tǒng)的安全脆弱性進(jìn)行檢測，通常是作為滲透測試的前奏。如果是正式對外上線并且有大流量的業(yè)務(wù)系統(tǒng)，建議在上線前對系統(tǒng)進(jìn)行滲透測試。滲透測試是模擬黑客攻擊對業(yè)務(wù)系統(tǒng)進(jìn)行安全性測試，可以比黑客更早發(fā)現(xiàn)導(dǎo)致企業(yè)數(shù)據(jù)泄露、資產(chǎn)受損和數(shù)據(jù)被篡改等風(fēng)險(xiǎn)的漏洞。

初創(chuàng)公司一般沒有自己的安全團(tuán)隊(duì)，這時(shí)可以選擇第三方專業(yè)安全公司提供的滲透測試服務(wù)，或者接入第三方安全眾測。

③接入免費(fèi)或者低費(fèi)用的云安全產(chǎn)品

云安全產(chǎn)品有天生的優(yōu)勢：方便、易用和門檻低，而且一般產(chǎn)品都是按需付費(fèi)。對初期的創(chuàng)業(yè)公司來說，是控制成本的絕佳方式。

創(chuàng)業(yè)公司如果已經(jīng)接入了公有云廠商的云服務(wù)，可以選擇云廠商提供的附帶云安全產(chǎn)品，也可以選擇專業(yè)云安全公司的產(chǎn)品。

為應(yīng)對復(fù)雜且多變的網(wǎng)絡(luò)環(huán)境，創(chuàng)業(yè)公司網(wǎng)站通常需要接入云WAF以抵御黑客的攻擊。

根據(jù)知道創(chuàng)宇云防御平臺攔截的Web應(yīng)用攻擊數(shù)據(jù)顯示，2019年攻擊趨勢呈現(xiàn)出高強(qiáng)度、持續(xù)性的特征。全年攔截網(wǎng)絡(luò)攻擊3 321億次，相比2018年上升12.3 %。其中惡意網(wǎng)絡(luò)爬蟲攻擊首次超過掃描器攻擊，攔截惡意爬蟲超927億次，占全年攻擊總量的36 %。

除此之外，網(wǎng)站還可以選擇接入CDN，安全加速業(yè)務(wù)系統(tǒng)的同時(shí)，減少創(chuàng)業(yè)公司的帶寬投入。既提高用戶訪問速度，又減少了成本開支。

如果是高風(fēng)險(xiǎn)行業(yè)，如游戲、電商和金融等，DDoS防御也必不可少。這種攻擊方式，讓許多創(chuàng)業(yè)公司苦不堪言，由于攻擊與防御成本嚴(yán)重傾斜，許多創(chuàng)業(yè)公司會面臨沒有資金防御攻擊的尷尬境地。

因此，在前期可以通過架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^載流量，并通過接入第三方服務(wù)攔截惡意流量。這種防御思想更為理智，而且對抗效果良好。

成長

關(guān)鍵點(diǎn)：讓業(yè)務(wù)穩(wěn)定運(yùn)行

成長期的創(chuàng)業(yè)公司已經(jīng)跨過了初期不斷迭代探索的鴻溝，開始有了較為穩(wěn)定的業(yè)務(wù)模式。這個(gè)階段是創(chuàng)業(yè)公司高速發(fā)展的時(shí)期，業(yè)務(wù)的穩(wěn)定運(yùn)行也成為快速增長的保障。針對這個(gè)階段的創(chuàng)業(yè)公司來說，對安全的投入需要更加用心。

①聘請專業(yè)的安全人員

成長期的創(chuàng)業(yè)公司，對安全的需求更為迫切。這時(shí)，若發(fā)生安全事故，將會對快速發(fā)展的成長期創(chuàng)業(yè)公司帶來致命打擊。所以聘請專人負(fù)責(zé)公司安全，顯得十分必要。

專業(yè)的事交給專業(yè)的人做，可以減少公司不必要的人力成本投入。人才是公司安全發(fā)展的根本，創(chuàng)業(yè)公司在成長期開始引入安全工程師，人數(shù)不必過多，可隸屬于公司的信息部門。

②IPv6安全部署

隨著全球IPv4地址的耗盡，以IPv6為代表的下一代互聯(lián)網(wǎng)技術(shù)應(yīng)運(yùn)而生。國家層面出臺《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版（IPv6）規(guī)模部署行動計(jì)劃》，全力推進(jìn)互聯(lián)網(wǎng)演進(jìn)升級和健康創(chuàng)新發(fā)展。接入IPv6已然成為業(yè)務(wù)剛需，目前不支持IPv6等于放棄市場。

在發(fā)展的同時(shí)，IPv6的安全風(fēng)險(xiǎn)也開始顯現(xiàn)，IPv6網(wǎng)絡(luò)攻擊數(shù)量劇增，攻擊范圍也在逐漸擴(kuò)大。僅2019年，就發(fā)現(xiàn)來自IPv6網(wǎng)絡(luò)攻擊9.2億余次，訪問請求中有8.3 %為網(wǎng)絡(luò)攻擊。

在大量攻擊的背景下，成長期的創(chuàng)業(yè)公司需要重視IPv6的安全部署。

③嚴(yán)格管理內(nèi)部業(yè)務(wù)權(quán)限

據(jù)著名國際咨詢服務(wù)公司W(wǎng)illis Towers Watson的網(wǎng)絡(luò)保險(xiǎn)理賠數(shù)據(jù)顯示，2/3的網(wǎng)絡(luò)安全問題是由于員工疏忽和瀆職而直接或間接造成的。相較之下，僅有18 %的網(wǎng)絡(luò)安全問題是由外部威脅直接引發(fā)的。因此，成長期的創(chuàng)業(yè)公司必須重視內(nèi)部權(quán)限管理，包括數(shù)據(jù)庫、服務(wù)器和后臺等各種關(guān)系公司核心資產(chǎn)的權(quán)限。必要時(shí)建議開始雙重驗(yàn)證，這樣可以最大程度避免員工的誤操作或惡意行為。

2020年2月微盟數(shù)據(jù)庫被刪事件，直接影響了300萬商家。微盟受事故影響，市值一日內(nèi)蒸發(fā)超12億港元。一場人為的破壞導(dǎo)致了無法估量的損失，讓成千上萬的商家生意停擺。這次事件再次給業(yè)界同行敲響警鐘：數(shù)據(jù)安全管理無小事。所以企業(yè)在進(jìn)行數(shù)據(jù)管理需要做到2點(diǎn)：實(shí)行嚴(yán)格的備份機(jī)制；管理權(quán)限分開。

成熟

關(guān)鍵點(diǎn)：加強(qiáng)安全建設(shè)

普華永道在報(bào)告《從初創(chuàng)到成熟，獨(dú)角獸企業(yè)如何識別風(fēng)險(xiǎn)、迅速響應(yīng)？》里提到：僅有39 %的受訪企業(yè)表示他們有危機(jī)應(yīng)對計(jì)劃并進(jìn)行過測試，有44 %的成熟獨(dú)角獸企業(yè)尚沒有危機(jī)應(yīng)對計(jì)劃及預(yù)案。

普華永道還提到：能否預(yù)測各種不確定性并適當(dāng)?shù)靥幚聿淮_定性、建立有效的危機(jī)應(yīng)對計(jì)劃及預(yù)案，成為創(chuàng)業(yè)成功與否的決勝因素。越成熟的創(chuàng)業(yè)公司，越依賴數(shù)字化，更應(yīng)該重視安全建設(shè)。

①打造強(qiáng)有力的安全團(tuán)隊(duì)

成熟創(chuàng)業(yè)公司有必要打造自己的安全團(tuán)隊(duì)。處于此階段的創(chuàng)業(yè)公司通常也在經(jīng)歷B ～ C輪融資，或籌備上市，安全問題不應(yīng)該成為資本流失的隱患。

安全團(tuán)隊(duì)可以幫助公司及時(shí)發(fā)現(xiàn)問題，他們可以全權(quán)負(fù)責(zé)公司內(nèi)外部的安全建設(shè)。

②定期進(jìn)行業(yè)務(wù)安全檢測

安全檢測可以由自己的安全團(tuán)隊(duì)進(jìn)行，也可以由安全公司協(xié)助完成。定期的安全檢查，可以發(fā)現(xiàn)潛在隱患并及時(shí)修復(fù)，以確保業(yè)務(wù)系統(tǒng)安全性。

③選購貼合業(yè)務(wù)的商業(yè)安全產(chǎn)品

在安全團(tuán)隊(duì)與商業(yè)安全產(chǎn)品的加持下，可以讓安全工作更易進(jìn)行。專業(yè)人員與專業(yè)工具結(jié)合，可以最大程度提升公司的安全能力。

④員工安全意識培訓(xùn)

前面有提到：2/3的網(wǎng)絡(luò)安全問題是由于員工疏忽和瀆職而直接或間接造成的。所以在加強(qiáng)權(quán)限管理的同時(shí)，成熟的創(chuàng)業(yè)公司需要對員工做安全培訓(xùn)，這時(shí)公司有能力，也有必要去做這項(xiàng)安全措施。