疫情時期初創企業安全生存指南

胡立

2020年初，疫情突然降臨，全球原本的發展節奏被打亂，眾多創業公司更是危機重重。截至5月初，國內的疫情已得到有效控制，然而，國外的抗疫行動正面臨嚴峻挑戰。置身全球化進程的今天，國內企業如何規避后疫情時期帶來的不利影響，依然是個難題。

對創業公司來說，確保充足現金流成為渡過難關的首要條件。頭部創業公司估值暴跌，融資受挫哀聲連連；而中下游創業公司，或將面臨更棘手的資問題。

但是我們換個角度來看，“大疫之后必有大變，大變之后也會孕育新的機會”。現在，創業公司似乎撐過了至暗時刻，所有人都在等待觸底反彈。低谷時期也不能懈怠，需要調整心態、打磨產品，做好迎接一切機會的準備。

后疫情時期要尋求穩定甚至是增長，業務的穩定運營就必須要保證安全，而事實證明：當今一切的數字化，都離不開安全。

創業公司正在等待寒冬漸去

根據中歐商業評論2020年2月5日發布的《清華、北大聯合調研995家中小企業》報告顯示：“34 %的企業賬上現金只能維持1個月，33.1 %的企業可以維持2個月，17.91 %的企業可以維持3個月”。就是說，85.01 %的企業最多能維持3個月，僅有不到10 %的企業現金能維持6個月以上。

再看融資方面，據鯨準研究院發布的《2019年股權投資白皮書》顯示，即使是在疫情發生前的2019年，創投市場總交易數量已經降至少于4 000起，降幅達到61.9 %。那些把希望寄托于融資的創業公司，現在更是雪上加霜。

收入暴跌，融資遇阻，這讓許多還未開始盈利的創業公司走到了商業的終點。

后疫情時期，創業公司如何精益增長

這次疫情提醒我們，在未來黑天鵝可能是常態，讓公司具備應對黑天鵝事件的能力，也是實現增長條件之一。

其中有2個要點，對創業公司來說格外重要。

1.反脆弱

風險管理理論學者納西姆·塔勒布在他的著作《反脆弱》里提到，世間萬物都可以用三元結構來概括———脆弱態、強韌態和反脆弱態。

脆弱態好比一個玻璃球，很堅硬，但是從高處摔落時很容易就摔碎了；強韌態像是塑料皮球，看起來柔軟但是掉到地上絲毫無損、可以平穩落地；而反脆弱態就像乒乓球，落地不僅不會受到損傷還可以彈得更高。

所以脆弱態真正的反面不是強韌態，而是反脆弱態。強韌態是抵御風險的能力，而反脆弱態能夠從危機和風險中獲利。

2.二八定律

意大利經濟學家帕累托提出，約有20 %的變因操縱著80 %的局面。也就是說：所有變量中，最重要的僅有20 %，雖然剩余的80 %占了多數，控制的范圍卻遠低于“關鍵的少數”。

在企業管理中，這個定律依然適用。企業20 %的投入，決定了80 %的營收。

以上這2點，都與安全相關。安全，幫助企業打好反脆弱態的地基；安全是20 %投入里的一筆，卻影響了80 %的營收。

創業公司為什么要做安全建設

1.防損

很簡單，也很直接。安全問題一旦發生會給創業公司直接帶來巨大損失，非業務本身方向問題導致創業公司夭折，令人惋惜。

試想，創業公司艱難克服了從種子期到早期的各種困難，產品在不斷迭代與嘗試下終于找到了真正的市場匹配，開始迎來高速發展的成長期。如果在這時暴露出重大安全問題，將會打亂整個發展節奏，甚至影響資本的進入。

因全球疫情原因，飛速增長的視頻會議軟件Zoom就因安全問題被爆出，引發了全網的信任危機。2019年12月- 2020年1月初，Zoom的股價還維持在60 ～70美元，3月以來高點達到160美元，在一連串產品安全問題爆出之后，股價回落到了120美元。

可以看出，市場的預期并不會對Zoom的優勢地位進行偏袒，用戶也不會因為產品好用，就放棄對安全的追求。

安全性，再一次被證明是企業發展的要素。

2.增長

孵化了100多家創業公司的商界傳奇Bill Gross曾在TED中演講到：創業成功的重要因素之一是抓住時機。

他拿Airbnb舉例，最初很多聰明的投資者都沒有投資，因為大家覺得：“沒有人會把自己家租給陌生人”。當然，事實證明這種想法是錯的，Airbnb恰恰創立于經濟周期中的“經濟蕭條”時，人們非常需要額外收入，這時人們對錢的渴望，超過他們不想把房子租給陌生人的想法。一個好的商業模式、一個好想法、超棒的執行力外加重要的時機，成功變成了自然而然的事。

而業務的穩定和安全，是創業公司抓住時機快速增長的必要條件。快速增長期，用戶可不愿為體驗不好的產品買單。

3.合規

我國在2017年6月1日起開始正式實施《中華人民共和國網絡安全法》，這意味著安全意識薄弱不再成為網站被黑的理由，網絡運營者需要擔起網絡安全的責任，創業公司也不例外。其中比較重要的幾點是：

①企業應對網絡運行安全負責

企業應按等保要求來保障網絡運行安全，要有相應的制度與規程，要有主體負責人，要有技術防范措施，要有監管手段，并做好容災措施。

②企業應為網絡產品提供持續安全服務

企業在做網絡產品研發時，需先考量自身是否存在漏洞，并且要對這種安全性做持續觀察，以及在用戶端有持續的安全體現。

③企業網絡用戶需實行實名認證

實行網絡用戶實名認證是落實網絡不是法外之地的重要措施，企業應負有這一責任，而將其作為法規寫入《網絡安全法》形成規定也是一種必要之舉。

④企業應對用戶信息做好嚴格保密

網站的用戶個人信息泄露一直是網絡欺詐犯罪治理環節上的頑疾。對于企業而言，此處相應的法律責任也更重，這就需要為線上服務部署提供最佳的安全防護才行。

除此之外，等級保護2.0的正式實施也讓各行業有了安全建設的規范標準。

不同階段的創業公司，需要什么樣的安全措施

初創

關鍵點：保障業務順利上線

創業公司在早期，目標就是盡可能久地活下來。為了找到市場機會，產品會快速迭代，不斷探索調整業務方向，這也意味著在創業公司業務快速發展的同時，運維策略和研發過程都可能不太規范。

為了保障業務順利上線，這幾點安全工作是必須要做的：

①為網站、APP和小程序等業務系統安裝數字證書（SSL證書）

SSL證書是數字證書的一種，它的作用是在客戶端瀏覽器和Web服務器之間建立一條SSL安全通道。

不安裝SSL證書，采用HTTP通信，就是不加密的通信。所有信息以明文的形式傳播，這會帶來三大風險：

竊聽風險：第三方可以獲知通信內容；

篡改風險：第三方可以修改通信內容；

冒充風險：第三方可以冒充他人參與通信。

除此之外更為重要的是，SSL證書已經是業務上線的基本要求。Chrome，Safari等常見瀏覽器都將未安裝SSL證書的網站標記為不安全，AppStore和微信小程序也明確要求未安裝SSL證書的APP和小程序不得上線。

好在創業公司在SSL證書上的花費并不會太高，現在市面上有許多免費的證書可以選擇。當然，如果有更高安全的需求，也可以選擇付費購買。

②上線前對業務系統進行安全檢測

根據國家互聯網應急中心發布的《2019年我國互聯網網絡安全態勢綜述》的數據顯示，2019年，國家信息安全漏洞共享平臺收錄安全漏洞數量創下歷史新高，共計16 193個。

2019年收錄的安全漏洞數量中，按影響對象分類統計，排名前三的是應用程序漏洞、Web應用漏洞和操作系統漏洞。

從數據可以看出，不管是什么樣的業務系統，大部分都會被漏洞影響。要保障業務順利上線，安全測試必不可少。初創公司可以使用免費開源的漏洞掃描工具，如：OpenVAS，Nikto。但免費工具也意味著對開發者的安全素養要求較高。

漏洞掃描只能基于漏洞數據庫對系統的安全脆弱性進行檢測，通常是作為滲透測試的前奏。如果是正式對外上線并且有大流量的業務系統，建議在上線前對系統進行滲透測試。滲透測試是模擬黑客攻擊對業務系統進行安全性測試，可以比黑客更早發現導致企業數據泄露、資產受損和數據被篡改等風險的漏洞。

初創公司一般沒有自己的安全團隊，這時可以選擇第三方專業安全公司提供的滲透測試服務，或者接入第三方安全眾測。

③接入免費或者低費用的云安全產品

云安全產品有天生的優勢：方便、易用和門檻低，而且一般產品都是按需付費。對初期的創業公司來說，是控制成本的絕佳方式。

創業公司如果已經接入了公有云廠商的云服務，可以選擇云廠商提供的附帶云安全產品，也可以選擇專業云安全公司的產品。

為應對復雜且多變的網絡環境，創業公司網站通常需要接入云WAF以抵御黑客的攻擊。

根據知道創宇云防御平臺攔截的Web應用攻擊數據顯示，2019年攻擊趨勢呈現出高強度、持續性的特征。全年攔截網絡攻擊3 321億次，相比2018年上升12.3 %。其中惡意網絡爬蟲攻擊首次超過掃描器攻擊，攔截惡意爬蟲超927億次，占全年攻擊總量的36 %。

除此之外，網站還可以選擇接入CDN，安全加速業務系統的同時，減少創業公司的帶寬投入。既提高用戶訪問速度，又減少了成本開支。

如果是高風險行業，如游戲、電商和金融等，DDoS防御也必不可少。這種攻擊方式，讓許多創業公司苦不堪言，由于攻擊與防御成本嚴重傾斜，許多創業公司會面臨沒有資金防御攻擊的尷尬境地。

因此，在前期可以通過架構布局、整合資源等方式提高網絡的負載能力、分攤局部過載流量，并通過接入第三方服務攔截惡意流量。這種防御思想更為理智，而且對抗效果良好。

成長

關鍵點：讓業務穩定運行

成長期的創業公司已經跨過了初期不斷迭代探索的鴻溝，開始有了較為穩定的業務模式。這個階段是創業公司高速發展的時期，業務的穩定運行也成為快速增長的保障。針對這個階段的創業公司來說，對安全的投入需要更加用心。

①聘請專業的安全人員

成長期的創業公司，對安全的需求更為迫切。這時，若發生安全事故，將會對快速發展的成長期創業公司帶來致命打擊。所以聘請專人負責公司安全，顯得十分必要。

專業的事交給專業的人做，可以減少公司不必要的人力成本投入。人才是公司安全發展的根本，創業公司在成長期開始引入安全工程師，人數不必過多，可隸屬于公司的信息部門。

②IPv6安全部署

隨著全球IPv4地址的耗盡，以IPv6為代表的下一代互聯網技術應運而生。國家層面出臺《推進互聯網協議第六版（IPv6）規模部署行動計劃》，全力推進互聯網演進升級和健康創新發展。接入IPv6已然成為業務剛需，目前不支持IPv6等于放棄市場。

在發展的同時，IPv6的安全風險也開始顯現，IPv6網絡攻擊數量劇增，攻擊范圍也在逐漸擴大。僅2019年，就發現來自IPv6網絡攻擊9.2億余次，訪問請求中有8.3 %為網絡攻擊。

在大量攻擊的背景下，成長期的創業公司需要重視IPv6的安全部署。

③嚴格管理內部業務權限

據著名國際咨詢服務公司Willis Towers Watson的網絡保險理賠數據顯示，2/3的網絡安全問題是由于員工疏忽和瀆職而直接或間接造成的。相較之下，僅有18 %的網絡安全問題是由外部威脅直接引發的。因此，成長期的創業公司必須重視內部權限管理，包括數據庫、服務器和后臺等各種關系公司核心資產的權限。必要時建議開始雙重驗證，這樣可以最大程度避免員工的誤操作或惡意行為。

2020年2月微盟數據庫被刪事件，直接影響了300萬商家。微盟受事故影響，市值一日內蒸發超12億港元。一場人為的破壞導致了無法估量的損失，讓成千上萬的商家生意停擺。這次事件再次給業界同行敲響警鐘：數據安全管理無小事。所以企業在進行數據管理需要做到2點：實行嚴格的備份機制；管理權限分開。

成熟

關鍵點：加強安全建設

普華永道在報告《從初創到成熟，獨角獸企業如何識別風險、迅速響應？》里提到：僅有39 %的受訪企業表示他們有危機應對計劃并進行過測試，有44 %的成熟獨角獸企業尚沒有危機應對計劃及預案。

普華永道還提到：能否預測各種不確定性并適當地處理不確定性、建立有效的危機應對計劃及預案，成為創業成功與否的決勝因素。越成熟的創業公司，越依賴數字化，更應該重視安全建設。

①打造強有力的安全團隊

成熟創業公司有必要打造自己的安全團隊。處于此階段的創業公司通常也在經歷B ～ C輪融資，或籌備上市，安全問題不應該成為資本流失的隱患。

安全團隊可以幫助公司及時發現問題，他們可以全權負責公司內外部的安全建設。

②定期進行業務安全檢測

安全檢測可以由自己的安全團隊進行，也可以由安全公司協助完成。定期的安全檢查，可以發現潛在隱患并及時修復，以確保業務系統安全性。

③選購貼合業務的商業安全產品

在安全團隊與商業安全產品的加持下，可以讓安全工作更易進行。專業人員與專業工具結合，可以最大程度提升公司的安全能力。

④員工安全意識培訓

前面有提到：2/3的網絡安全問題是由于員工疏忽和瀆職而直接或間接造成的。所以在加強權限管理的同時，成熟的創業公司需要對員工做安全培訓，這時公司有能力，也有必要去做這項安全措施。