2018 · 威胁捕获
入行做威胁捕获研究,最得意的成果是物联网 DDoS 方面的研究帮团队上了 RSA 大会。这期间还搞了个 T-Atlas 的原型——一个连前端都没有的公开 EXP 收集系统,想闭环从 EXP 收集到蜜罐交互的全流程。蜜罐是入门网络安全的好方式,你能直观地看到网络中真实发生的攻击,未知攻,焉知防?
关于我
做安全产品的安全研究员
2018 年入行做威胁捕获,搞过物联网 DDoS 研究,帮团队上了 RSA 大会。后来去做 CWPP 产品的技术预研和规则运营,几乎把市面上主流的安全开源方案都摸了一遍。现在全面负责 XDR/NDR 产品研发,业余时间独立维护 Just My Security。
Background
背景
2022 · 技术预研与规则运营
去了一家做 CWPP 产品的公司,几乎把市面上所有主流的漏扫、EDR、NDR、WAF、日志审计开源方案都调研了一遍,集百家之长落地到实际产品中。也正是这段经历让我意识到,国内安全行业产品研发和安全研究之间的脱节太严重了——检测能力花拳绣腿,外强中干。
2025 · XDR/NDR 产品研发
跳槽去做态势感知产品,全面负责 XDR/NDR 研发。行业寒气让公司在生存线上挣扎,个人抱负依然难以实现。与其等待,不如自己动手。于是开始独立维护 Just My Security。
Why JMS
为什么做 Just My Security
我一直想做一个很多人用也真正有用的产品。从业越久,越觉得安全行业存在不少问题:
大众安全意识淡薄
普通人身份证照片不打码就在通讯软件里传,U 盘在打印店用过随手插回办公电脑。不是不重视,是从来没被教育过该重视什么,不知道这些操作背后的危害。
网络攻击得不到曝光
除了少数专业团队,连安全从业者都很难回答「此刻互联网上正在发生哪些攻击」。安全事故缺少统一的披露出口,消费者和企业在大海里裸泳,安全运营团队用着外强中干的产品对真实攻击也是两眼一抹黑。
威胁捕获和检测能力之间有鸿沟
国内曾经有非常多从事威胁捕获的团队,但最终都没有给整个行业赋能,落地成实际的检测能力。
Just My Security 就是想试着打通这条路——从威胁捕获,到检测能力落地,把全数据链路串起来。让攻击不止被看见,还能追得下去。
Current Work
当前在做的事
T-Atlas
以漏洞为索引,串联情报、EXP、检测规则、在野利用情况,打通整个数据链路。
T-Hunt
威胁捕获,回答「外面有没有人真的在尝试」,为 T-Atlas 提供宝贵的攻击证据。
Anyone-NDR
人人可用、人人易用的 NDR 产品,由 T-Atlas 提供真实有效的检测能力。
Anyone-XDR
还在规划中,想把散落的日志和告警串联成可复盘的攻击叙事。