Posts for: #Tools

威胁情报的入门小书

知识星球里有内容,就会遇上盗版。有些盗版发生在闲鱼、QQ 或微信群,我们会直接与平台协调,申请下架盗版内容。有些盗版更嚣张些,比如我们遇到过自建网站卖盗版,甚至做了 App 卖盗版的。

尝试过自己处置。方式一是通过搜索或社工手段找到具体的盗版者,法务致电明确告知如果不停止侵权,会诉诸法律。方式二是找域名提供商、网站服务提供商沟通,请他们停止提供服务。

但比较累——找人累,联系服务商累,服务商拖沓沟通也会觉得累——毕竟整个流程我们都不专业。

后来请大路帮忙,他创业从事威胁情报工作,积累了大量与运营商、各种业务提供商沟通的业务接口,处理起来很流畅——对侵权站点的关停,效率很高。

前几天,大路寄来一本他们公司编写的《网络威胁情报技术指南》,翻看到其中一段:

天际友盟将自身定位从“情报应用”发展至“数字风险防护”,形成“网络威胁情报应用 + 数字品牌保护”两大解决方案线,并以钓鱼网站监测和关停为起点,推出一系列针对数字品牌保护的风险场景解决方案。

“威胁情报”这个词听了很多年,只是我这才意识到,原来它延伸之后,也可以是数字品牌保护、知识产权保护,和我们也有关。

这本小册子文字稍嫌专业晦涩,适合网络安全从业者、企业的风险管理人员以及希望了解威胁情报是什么的人们速读。书中写清楚了威胁情报是什么、威胁情报与数字化风险管理的关系、业界对威胁情报研究的方法论、通用标准以及部分业界的实践。

翻阅之后,我现在在一些安全圈的朋友们的群里,听他们聊起威胁情报时,提到的那些词(比如 ATT&CK、STIX……)能听懂了——我挺畏惧这些缩写的。看起来高大上,其实知道意思了,也就那样。

这样吧,送 30 本《网络威胁情报技术指南》,公众号回复“威胁情报”即可参与。

我学拍照的一些想法

我学拍照两年,照片拍得不好,想法倒是不少。关于摄影,我理解有几个阶段——或者说几重境界:

熟悉技术。懂得一些基本概念——美丑、光线、构图。学会操作设备——对相机来说,是光圈、快门、ISO、景深这样的基础知识,手机甚至都不用管。加上基本的修图能力——PhotoShop、Lightroom 或者就是手机上的修图软件都行。这个阶段可能会有些朋友抱着“工欲善其事,必先利其器”想法,像我一样沦为器材党。

学会观察。不同人在同一个现场,可以拍出不同感染力的作品。到这时候,应该要明白拍摄其实就是把一个场景放进一个框里二维化,那么——从哪个角度拍(要不要围绕着主体绕一圈或者绕很多圈看看)、离多远拍(前进一步或者后退一步效果会有什么变化)、从哪个高度拍(仰视、俯视、平视)、在哪个瞬间按下快门……这一切的选择,取决于观察力。

大量实践。庖丁解牛,唯手熟尔。了解了基础技术,学会了观察,不代表在发生值得记录的瞬间时,能够准备好——任何“机会”背后都是大量练习、实践、准备、试错之后的结果。把基础技术变成肌肉记忆,把观察能力变成本能。这一步永远没有尽头。

渴望表达。这是最重要的,任何艺术家想要拿出站得住脚的作品,应该有非常丰沛的想表达的情绪,然后找到了合适的创作工具——可能是文学、音乐、绘画、舞蹈……如果作品还有其独到之处,而且创作者的表达和大量受众有了共情——这可能除了天赋,还真的需要运气——那作品就有机会传世。

理解了这些,可能有助于理解一些困惑——比如我在学摄影过程中产生过的一些:

徕卡 M 功能很少(没有自动对焦、性能差、重、人体工学设计差、无翻转屏、挑 SD 卡……),为什么这么多人喜欢:我现在觉得它好的地方是——可以逼一个人掌握好基础技术,甚至逼他学会观察,否则甚至连一张像样的照片都拍不出来。以及它的手动对焦如果掌握了,形成肌肉记忆,在大多数普通拍摄场景下够用了;

XX 用自动相机(手机)也照样出摄影集:极少数人靠天赋,那是老天爷赏饭吃,他们不用大量实践,就有了牛逼的想法要表达,而且视角独特,这种情况下,什么技术啊设备啊都是次要的。但绝大多数人最好都别奢望自己是天才——能赌对的几率实在太低了;

XX 的照片都什么玩意儿,我随随便便都能拍出来:那可能是你没看懂人家想表达的是什么——人家也没义务帮你明白,反正他表达了,爽了,还有人认。至于我们这些读者,看得懂看不懂,服气不服气,作者一点都不关心……或许他成名前也关心,但成名之后,就有了更大的表达自由。

介绍几位摄影师吧。

寇德卡

1968 年,拍摄了苏联入侵捷克的《布拉格之春》,《流放》记录了他的流浪生活,《吉普赛人》里他和吉普赛人一起生活了很多年。

他说:

你不需要太多东西,你就可以活着。

在你的生命里你唯一拥有的是时间。我不想浪费生命里的任何时间,我想拍照。我从来没为任何人工作。我从来不接活,也不为钱而拍。我拍照只是为我自己。

我以最低要求的方式生活,我不需要太多东西:一年只需要一个好的睡袋,几件衣服,一双鞋,两双袜子和一双手套。

对我来说,重要的是我能去做。我一直在不停的工作,但拍出的好照片实在很少。我不觉得我是一个好摄影师,我觉得不管什么人,如果他像我这样努力,一定能达到我的水准。不过我之所以工作,不是为了证明我的才气。我几乎天天拍,除非天气冷得不能以我这种方式旅行,像现在的这个季节就不行。我拍的东西有时候还不错,有时候很差。但我相信,时间久了,总会有些好东西出来,这一点我并不操心。

薇薇安·迈尔

她的职业是保姆,留下了十五万张底片,绝大多数都没有冲洗——也就是她自己没看过。

八十多岁孤独地去世后,她的作品才偶然地被发现并传播。

纪录片《寻找薇薇安·迈尔》里记录了对她的研究。

有可能,她就是单纯地喜欢拍摄。

荒木经惟

出版了 500 本以上的摄影集,无所不拍——在一定程度上,他就是摄影本身,他就是照相机……

他与妻子的私生活,亲人的离世,什么都能成为他的拍摄内容。

老了,一只眼睛失明了,还到处晃悠拍照……

最后,用安塞尔·亚当斯的一段话结尾(不仅摄影,其他创作也这样,做产品也这样,创业也是如此)。

我们不只是用相机去拍照,我们带到摄影中去的是所有我们读过的书,看过的电影,听过的音乐和爱过的人。

普通人的网络安全自保

说起安全,朋友曾经跟武侠里的江湖做过类比:

黑客、攻击者类似啸聚山林的山大王。公安干警可以类比大内高手。企业里的安全从业者类似大户人家的护院。安全公司则像镖局。平头老百姓,在江湖里要保平安,有些需要了解的基本常识,比如古龙在《碧玉刀》里写到,段玉出门前父亲交代他七大戒律:

不可惹事生非,多管闲事。

不可随意交结陌生的朋友。

不可和陌生人赌钱。

不可与僧道乞丐一类人结怨。

钱财不可露白。

不可轻信人言。

千万不可和陌生的女人来往。

我也梳理一些我认知中,普通人在生活中需要具备的信息安全知识,虽是常识,估计还是会有很多人不知道,或者是知道了但是没做到——就像上面的“七大戒律”,段玉一条都没遵守。

但,反正我不敢自大,尽量做了,减少掉坑的机率。

每个人都会是攻击目标。千万不要以为新闻里发生的那些事不会发生在自己头上,互联网时代,攻击很简单。

梳理清楚个人最在意的信息,并做好备份。确保在换手机、丢手机、换电话号码前,检查过这些信息可以恢复。(反例:换电话卡,但是银行绑定的手机号还是旧号码。换手机,但是谷歌验证器里的一次性口令没备份)。

保持电话卡安全。设置 PIN 码(小心不要反而锁卡了)。如果要更换号码时记得看上一条——微信、QQ、银行卡等重要密码解绑。

保持操作系统、应用软件更新到最新版本。不用的软件可以移除,尽量保持系统干净简洁。

安装软件必须从官方应用市场,或者软件的官网下载。要假定任何第三方网站都是不安全的。

对“钓鱼”保持警惕——目前常见形态是电话、邮件、微信、QQ 等渠道发来诈骗信息、攻击软件等,因此无论发来信息的人是否熟人,不安装发来的软件(参考条目 5),如果涉及财物,先当诈骗观察、跟进。

使用合适的密码管理方法,重要的信息、站点(比如 2 里列出的内容),密码不要和其他一样。如果有很多密码,可以使用类似 1Password 这样的密码管理工具。密码的设置有不少技巧,可以搜一搜适当学习,找一种适合自己的。

设备(电脑、手机、移动硬盘等)不让不可信的人接触。比如离开电脑的时候要锁屏。

数据要定期备份,并且定期数据恢复演习。比如可以同时备份到移动硬盘/NAS 和云盘里,这样即使遇到一些不可抗力,数据损失也不会太大。

旧设备出售、转让前,彻底清除数据。

有双因素认证的重要网站,可以打开双因素认证。一定记得做好备份——避免手机遗失带来的损失。

尽量少用外界的免费 Wi-Fi。不可避免地接入第三方 Wi-Fi 的时候,避免使用 2 里的信息——比如,就不登录银行账户了。

使用社交媒体软件时,检查社交软件里的隐私设置,减少隐私信息的泄漏。比如,不发涉及个人信息——居住的小区、身份证、家庭照片等的照片。

如果使用 Windows 系统,需要安装防病毒软件。

这篇文章写得有点枯燥,起因是有位读者给我私信,聊起他换电话卡之后,带来了一些安全上的困扰。过往之事不可追,纠结无益。

当前国家对个人信息安全保护越来越重视,立法、执行都有很多优化,但无论如何,这些常识,任何时候知道,任何时候开始做,对未来都是有好处的。

小产品的护城河

多年前,我们曾做过一个叫“超级巡警”的杀毒软件。产品界面朴素,但速度快,查杀效果好,一度做到了数百万日活。

当时,我们做了不少很棒的创新,并进入良性循环:找到用户需求,快速满足,带来一波增长。

只是好景不长。当时市场上的大玩家是 360,他们观察我们的迭代,对效果好的部分,模仿、改进、宣传。360 的影响力远大于超级巡警,往往一个创新点,我们带来五万新增,他们能带十倍。而且,有高出一个数量级的用户会认为,这个功能是他们首创。

我们团队加班加点,反而是在替他们创新,替他们试错。还是自带干粮。

后来,我做产品时,就努力想找一些“别人做不了”的事情。还拿 360 举例子。

360 靠免费杀毒,拿下瑞星、金山占领了多年的杀毒软件市场。那些老牌杀毒厂商之所以无力还击,是因为,他们的收入都来自“卖软件”,如果免费了,苦心经营多年的销售团队、渠道得砍掉,全部收入得砍掉。

一般人,下不去手。

如果能找到这种“攻敌不可救”的漏洞/夹缝,小产品可以争取到一段平安成长的时间。

然后,小产品慢慢长大了一点点,可能会担心别的创业公司来“模仿”了,这时候的壁垒应该怎么建?

巴菲特的护城河四要素是:品牌、网络效应(比如聊天工具,用户越多,越是只能在那上面找到朋友,就越离不开)、用户转换成本(比如用户要切换笔记软件,可能会舍不得之前存下的大量笔记)、成本。

如果你已经初步站住脚了,那最可操作的,建立护城河方法,似乎就只能是:

一是降低成本。不仅限于减员增效这种手段,还可以思考能不能找到十倍提升的方法——比如社区团购(减少渠道费用),比如滴滴(提高供应量)。二是以多打少。小团队抄你,你人要比他多。大团队抄你,你参战的人,还要比他多。这里拿出毛主席语录:

我们的战略是“以一当十”,我们的战术是“以十当一”,这是我们制胜敌人的根本法则之一。

我们是以少胜多的——我们向整个中国统治者这样说。我们又是以多胜少的——我们向战场上作战的各个局部的敌人这样说。这件事情已经不是什么秘密,敌人一般地都摸熟我们的脾气了。然而敌人不能取消我们的胜利,也不能避免他们的损失,因为何时何地我们这样做,他们不晓得。这一点我们是保守秘密的。红军的作战一般是奇袭。

毛泽东选集

深挖、打透一个群体、一个需求、一种场景,至少这部分,别人抢不走。

超预期交付

对于服务,我最近听到两种不同的观点。

一种观点是:只有小事,才能普及到尽量多人能参与。大家都参与,事的价值才大。因此服务要小、快、轻。

另一种观点是:把别人难以企及的,变成自己理所当然的。做好了,体验过我们服务的人,食髓知味,就再也离不开了。所以服务要好、重。

这让我想起今年体验过的两个服务:得到的“讲师训练营”和生财有术的私董会。

先说讲师训练营。学习前,我比较憧憬,它宣传“30 天,输出一个属于自己的知识产品”,我期望能通过它,给自己压力,做出好课程。

不过,最终比较失望——比如第一天罗振宇主讲的线下课,内容有大约九成,在让我们提前预习的课件录像中。

后续的选题、框架讨论等过程,虽然打磨教练很专业,一对二十,每个人的时间摊得很薄,效率并不高。

设定目标时,让大家从五种框架中选一种,后续完成一篇三千字的文章。这,或许就是预期管理了。训练营结营后,我找了几位同学私聊,发现大家加入前的预期是五花八门的,到设定目标环节,就被“格式化”统一了。

之后的一个月打磨,用一位同学的话说,他感觉是:

被往前推着,按固定节奏,完全每个环节的固定动作。做完就好。

这次服务体验,像是第一种观点:服务小、快、轻。格式化、流程化推进。

至于另一个服务,生财有术的私董会,群里有位朋友评价:

总是超预期交付。

就我体验,几个超预期的事,比如:

没想到他们能组织起每周几次的线上私董会——每次由生财有术团队找资源,大家参与讨论,解决一位提出的问题。

没想到他们还搞起小饭局,也是以解决问题为核心——私董提出想解决的问题,团队邀约有经验的朋友参加,一顿饭功夫,争取把问题讨论清楚,顺便拉近感情。

这种服务,像第二种:服务好、重。

两种服务,都是商业,你会选择接受哪种服务?你会选择提供哪种服务?

对了,提醒一句,还有一个关于预期管理的观点,我认为也很重要:职场上,如果上司不糊涂,就不用对他做什么预期管理,而是放手做事,做到极致。