微软领投两千万,“包养黑客”的Synack会成为网安届Uber吗?
近日,美国网络安全创业公司 Synack 宣布获得 2100 万美元 C 轮融资,由微软创投领投,惠普企业、新加坡电信 Singtel 旗下风投机构Innov8 跟投,已有投资方纪源资本、谷歌风投和凯鹏华盈也参与了此轮投资。
Synack 创立于 2013 年,创始人兼 CEO 杰伊·卡普兰、联合创始人兼 CTO 马克·库尔二人此前均任职于美国国家安全局任反恐特工,有多年网络安全相关经验。
对企业来说,一旦自身系统遭受攻击,容易产生宕机而造成服务缺失、信息泄露和客户流失等诸多问题。卡巴斯基实验室此前一项研究显示,对于大型企业,一次网安事故单次损失额在86万美元,而中小型企业,单次网安事故损失额在9万美元。而根据美国华盛顿战略与经济研究中心的一份研究数据,每年网络遭黑客攻击造成的损失保守估计约为3750亿美元至5750亿美元。
针对这一数千亿级美元的市场,Synack 采取的策略是招安黑客,化为已用,即采用众包的方式为企业发现漏洞、提供解决方案等。具体来说,根据每一家公司的预算以及技术条件,Synack首先会对该企业的系统安全指数进行一个初步评估,然后根据评估结果,为该公司推荐其平台上经过审核的白帽黑客做对应的漏洞测试。
既然设计到漏洞测试,企业客户最担心的就是“可靠性”和“安全性”问题。杰伊·卡普兰表示,对此,平台有其对应的措施来解决企业用户的担忧。
首先在可靠性上,平台会对白帽黑客有审核机制,同时会根据不同白帽子们的专长来对其进行分类,这样在针对不同的测试项目中,保证“术业有专攻”,确保测试效果。此外,由于团队的美国国安局背景,Synack 在获取专家级别的白帽黑客资源上有一定渠道优势。
而针对安全性问题,杰伊·卡普兰则表示,其所有的漏洞测试都是在虚拟私密的测试环境中进行的,而且由于平台上白帽子均是经过认证的,因此一旦出现问题时,可以追责。而且 Synack 目前的流程是,白帽子在其认领项目测试中如果发现漏洞会递交一份报告,详细阐述他们发现的漏洞,复制该漏洞的步骤以及解决的方法,经过客户确认漏洞及解决方案有效后, Synack 会根据这份报告的内容以及市场行情向其支付相应酬金。
盈利模式上,Synack 采用的是固定的付费订阅制(类似包年这样),但具体客单价并未透露。此外,该公司还销售名为 Hydra 的漏洞扫描软件,以帮助客户找到企业自身系统中的风险项和漏洞。
据悉,Synack 目前拥有 100 多位企业级客户,包括美国国防部和美国国税局等(不过据杰伊·卡普兰称,这类政府级客户对于接单的白帽黑客要求要高一些,如限制国籍等)。得益于新一轮融资,Synack 计划在欧洲和亚太地区进行全球扩张。
目前行业内,瞄准这一市场的公司有不少,如美国的 HackerOne 、Bugcrowd 等,效果类似,但 HackerOne 是平台模式,更开放,任务 po 在平台上后,白帽子们自行认领,而且 HackerOne 是靠对成功的单子进行抽佣来盈利,Bugcrowd 模式也与之相仿。而国内,类似业务的有斗象科技、乌云众测、威客众测等。
本文来源:36Kr
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章: