斗象科技近期拿到了7000萬元人民幣的B輪投資,在國內(nèi)企業(yè)信息安全檢測(cè)領(lǐng)域,這筆融資并不算小。企業(yè)級(jí)信息安全領(lǐng)域跑出的公司越來越多,為企業(yè)“找互聯(lián)網(wǎng)漏洞”生意的背后,看起來已經(jīng)形成了個(gè)“互聯(lián)網(wǎng)信息安全”的小風(fēng)口。
舉一個(gè)例子,F(xiàn)acebook和twitter的信息安全業(yè)務(wù),都托管給了美國一家叫Hackerone的安全眾測(cè)平臺(tái)來完成。而這家公司已經(jīng)完成了B輪2500萬美金的融資。斗象科技的“漏洞盒子”可以看成是中國版的Hackerone,類似的平臺(tái)還有早先的烏云眾測(cè)、威客眾測(cè)、白帽眾測(cè),此外傳統(tǒng)企業(yè)信息安全公司如綠盟和to C 的360科技,也都在開展這方面的業(yè)務(wù)。
斗象科技的B輪投資方是銀杏谷資本、嘉銘資本、張江科投、金浦資本以及線性資本。他們?cè)?015年曾拿到過金浦資本領(lǐng)投,線性資本跟投的3000萬元人民幣A輪融資。這家最早在2014從互聯(lián)網(wǎng)安全愛好者社區(qū)的起家的互聯(lián)網(wǎng)安全公司,目前已經(jīng)過渡到了企業(yè)級(jí)“信息安全檢測(cè)”的業(yè)務(wù)。而這個(gè)業(yè)務(wù)的背后,可能是個(gè)千億級(jí)的市場(chǎng)。
根據(jù)《信息安全產(chǎn)業(yè)發(fā)展白皮書(2015版)》,國內(nèi)信息安全市場(chǎng)從2013年到2016年基本上呈現(xiàn)線性上升的趨勢(shì)。2013年的國內(nèi)信息安全的市場(chǎng)規(guī)模在300億左右,在2016年整個(gè)信息安全市場(chǎng)容量達(dá)到2000億左右,主要集中在政府、運(yùn)營商、金融、電商、游戲等細(xì)分領(lǐng)域。而2016年國家層面信息安全的政策落地,讓企業(yè)信息安全的預(yù)算越來越大。
斗象科技目前由三部分組成,其中互聯(lián)網(wǎng)安全社區(qū)和媒體Freebuf是平臺(tái)的基礎(chǔ),社區(qū)的用戶沉淀出的大部分“白帽子”資源,為公司的企業(yè)安全眾測(cè)平臺(tái)“漏洞盒子”輸出專家資源。而這種安全檢測(cè)沉淀的業(yè)務(wù)資源,則為公司的安全監(jiān)控與風(fēng)險(xiǎn)分析系統(tǒng)“網(wǎng)藤風(fēng)險(xiǎn)感知”提供技術(shù)支持。
如果“漏洞盒子”是以“白帽子”的“人”為基礎(chǔ),提供一個(gè)連接“信息安全專家”和企業(yè)的平臺(tái)。那么“網(wǎng)藤風(fēng)險(xiǎn)感知”則是一個(gè)以人工智能為基礎(chǔ),做的一個(gè)SaaS級(jí)別的企業(yè)安全監(jiān)控和分析工具。
斗象科技這種從“信息安全檢測(cè)”切入的公司,目前可能還不是這一市場(chǎng)的主流。傳統(tǒng)的從硬件和“防火墻”角度做信息安全架構(gòu)的公司—如綠盟、思科、啟明星,仍然占據(jù)著這個(gè)市場(chǎng)大部分份額。他們?cè)趶牡讓酉到y(tǒng)層面,為企業(yè)做漏洞檢測(cè)、代碼審計(jì)和應(yīng)急服務(wù)等業(yè)務(wù)。
但這種從“布防”角度做企業(yè)信息安全已經(jīng)越來不能滿足企業(yè)的需求,近期“裸條”、“電信數(shù)據(jù)泄漏”等信息安全漏洞頻發(fā),讓斗象科技這種從應(yīng)用層面、找信息安全漏洞的模式,越來越成為企業(yè)級(jí)信息安全的剛需。他們的技術(shù)方法,大都以“白帽子”為主力軍,通過各種不同的檢測(cè)邏輯找到企業(yè)的安全漏洞。
而業(yè)務(wù)模式,則主要以“安全眾測(cè)”平臺(tái)為基礎(chǔ),平臺(tái)提供企業(yè)安全檢測(cè)的“任務(wù)包”,白帽子發(fā)揮自己技術(shù)優(yōu)勢(shì)找到企業(yè)app獲網(wǎng)頁的信息漏洞,按效果計(jì)費(fèi)。按照斗象科技聯(lián)合創(chuàng)始人兼CEO袁勁松的表述,用“共享經(jīng)濟(jì)”做企業(yè)應(yīng)用層面的安全檢測(cè),看起來比傳統(tǒng)的安全檢測(cè)更為奏效。
袁勁松認(rèn)為這種“共享經(jīng)濟(jì)”的核心在于信任,企業(yè)需要對(duì)平臺(tái)和“白帽子”給予充分信任,而這種信任的基礎(chǔ),一方面在于白帽子的技術(shù)水平,另一方面則在于平臺(tái)對(duì)于“白帽子”的“審核準(zhǔn)入”和“實(shí)施期間的風(fēng)控”。這兩點(diǎn)都是眾多安全眾測(cè)平臺(tái)的核心競(jìng)爭(zhēng)點(diǎn)之一。
在白帽子資源方面,斗象科技已經(jīng)沉淀了35000個(gè)“白帽子”資源,其中大部分來源于Freebuf社區(qū)。社區(qū)一方面利用媒體和社區(qū)的優(yōu)勢(shì),吸引了大部分白帽子資源,另一方面,也通過培訓(xùn)和“漏洞檢測(cè)”大賽的模式,提高白帽子的技術(shù)水平。
在進(jìn)入“漏洞盒子”專家?guī)旆矫妫脚_(tái)設(shè)置了四層風(fēng)控體系,包括遠(yuǎn)程面試(專門審核人員)、基本考核、背景調(diào)查(過去的安全紀(jì)錄)和專家協(xié)議等角度進(jìn)行審核風(fēng)控。而在任務(wù)執(zhí)行中,也通過流量審計(jì)的方式,全面監(jiān)控白帽子的行為,以防“網(wǎng)絡(luò)黑產(chǎn)”的發(fā)生。當(dāng)然,平臺(tái)方面需要和企業(yè)簽訂類似這樣的責(zé)任協(xié)議,以防止企業(yè)級(jí)安全事件的發(fā)生。
目前,斗象科技已經(jīng)和400家(期)公司實(shí)施了類似的安全檢測(cè)服務(wù),其中主要分為四類。一是互聯(lián)網(wǎng)公司,如騰訊和攜程;二是金融機(jī)構(gòu),包括銀行、支付工具和證券公司等;第三類則是國家級(jí)別的政府和網(wǎng)絡(luò)運(yùn)營商,比如公安部、政府和上海移動(dòng)等。最后一類則是物聯(lián)網(wǎng)領(lǐng)域的公司,包括手表、手環(huán)、車聯(lián)網(wǎng)廠商等。
相對(duì)來說,這種對(duì)用戶安全具有較大風(fēng)險(xiǎn)的公司,對(duì)安全檢測(cè)的需求更為迫切。
就目前來看,大部分政府和國企仍然采取和傳統(tǒng)的互聯(lián)網(wǎng)安全公司,如綠盟、啟明星等公司合作,來提供相對(duì)“正統(tǒng)”的代碼檢測(cè)等服務(wù)。“白帽子”的安全眾測(cè)勢(shì)必帶有某些“野路子”的意思,對(duì)于平臺(tái)來說,一方面要保證白帽子的穩(wěn)定性和技術(shù)水平,另外一方面,也要為企業(yè)級(jí)別的安全做更多的管控和保障。而這是考驗(yàn)包括斗象科技在內(nèi)的多家做安全眾測(cè)公司的核心挑戰(zhàn)。
目前公司團(tuán)隊(duì)在70人左右,大部分在研發(fā)領(lǐng)域。創(chuàng)始人袁勁松早先任職于綠盟、百度和攜程,公司也有來自阿里、華為、CheckPoint、思科等公司的團(tuán)隊(duì)。
斗象科技近期拿到了7000萬元人民幣的B輪投資,在國內(nèi)企業(yè)信息安全檢測(cè)領(lǐng)域,這筆融資并不算小。企業(yè)級(jí)信息安全領(lǐng)域跑出的公司越來越多,為企業(yè)“找互聯(lián)網(wǎng)漏洞”生意的背后,看起來已經(jīng)形成了個(gè)“互聯(lián)網(wǎng)信息安全”的小風(fēng)口。
舉一個(gè)例子,F(xiàn)acebook和twitter的信息安全業(yè)務(wù),都托管給了美國一家叫Hackerone的安全眾測(cè)平臺(tái)來完成。而這家公司已經(jīng)完成了B輪2500萬美金的融資。斗象科技的“漏洞盒子”可以看成是中國版的Hackerone,類似的平臺(tái)還有早先的烏云眾測(cè)、威客眾測(cè)、白帽眾測(cè),此外傳統(tǒng)企業(yè)信息安全公司如綠盟和to C 的360科技,也都在開展這方面的業(yè)務(wù)。
斗象科技的B輪投資方是銀杏谷資本、嘉銘資本、張江科投、金浦資本以及線性資本。他們?cè)?015年曾拿到過金浦資本領(lǐng)投,線性資本跟投的3000萬元人民幣A輪融資。這家最早在2014從互聯(lián)網(wǎng)安全愛好者社區(qū)的起家的互聯(lián)網(wǎng)安全公司,目前已經(jīng)過渡到了企業(yè)級(jí)“信息安全檢測(cè)”的業(yè)務(wù)。而這個(gè)業(yè)務(wù)的背后,可能是個(gè)千億級(jí)的市場(chǎng)。
根據(jù)《信息安全產(chǎn)業(yè)發(fā)展白皮書(2015版)》,國內(nèi)信息安全市場(chǎng)從2013年到2016年基本上呈現(xiàn)線性上升的趨勢(shì)。2013年的國內(nèi)信息安全的市場(chǎng)規(guī)模在300億左右,在2016年整個(gè)信息安全市場(chǎng)容量達(dá)到2000億左右,主要集中在政府、運(yùn)營商、金融、電商、游戲等細(xì)分領(lǐng)域。而2016年國家層面信息安全的政策落地,讓企業(yè)信息安全的預(yù)算越來越大。
斗象科技目前由三部分組成,其中互聯(lián)網(wǎng)安全社區(qū)和媒體Freebuf是平臺(tái)的基礎(chǔ),社區(qū)的用戶沉淀出的大部分“白帽子”資源,為公司的企業(yè)安全眾測(cè)平臺(tái)“漏洞盒子”輸出專家資源。而這種安全檢測(cè)沉淀的業(yè)務(wù)資源,則為公司的安全監(jiān)控與風(fēng)險(xiǎn)分析系統(tǒng)“網(wǎng)藤風(fēng)險(xiǎn)感知”提供技術(shù)支持。
如果“漏洞盒子”是以“白帽子”的“人”為基礎(chǔ),提供一個(gè)連接“信息安全專家”和企業(yè)的平臺(tái)。那么“網(wǎng)藤風(fēng)險(xiǎn)感知”則是一個(gè)以人工智能為基礎(chǔ),做的一個(gè)SaaS級(jí)別的企業(yè)安全監(jiān)控和分析工具。
斗象科技這種從“信息安全檢測(cè)”切入的公司,目前可能還不是這一市場(chǎng)的主流。傳統(tǒng)的從硬件和“防火墻”角度做信息安全架構(gòu)的公司—如綠盟、思科、啟明星,仍然占據(jù)著這個(gè)市場(chǎng)大部分份額。他們?cè)趶牡讓酉到y(tǒng)層面,為企業(yè)做漏洞檢測(cè)、代碼審計(jì)和應(yīng)急服務(wù)等業(yè)務(wù)。
但這種從“布防”角度做企業(yè)信息安全已經(jīng)越來不能滿足企業(yè)的需求,近期“裸條”、“電信數(shù)據(jù)泄漏”等信息安全漏洞頻發(fā),讓斗象科技這種從應(yīng)用層面、找信息安全漏洞的模式,越來越成為企業(yè)級(jí)信息安全的剛需。他們的技術(shù)方法,大都以“白帽子”為主力軍,通過各種不同的檢測(cè)邏輯找到企業(yè)的安全漏洞。
而業(yè)務(wù)模式,則主要以“安全眾測(cè)”平臺(tái)為基礎(chǔ),平臺(tái)提供企業(yè)安全檢測(cè)的“任務(wù)包”,白帽子發(fā)揮自己技術(shù)優(yōu)勢(shì)找到企業(yè)app獲網(wǎng)頁的信息漏洞,按效果計(jì)費(fèi)。按照斗象科技聯(lián)合創(chuàng)始人兼CEO袁勁松的表述,用“共享經(jīng)濟(jì)”做企業(yè)應(yīng)用層面的安全檢測(cè),看起來比傳統(tǒng)的安全檢測(cè)更為奏效。
袁勁松認(rèn)為這種“共享經(jīng)濟(jì)”的核心在于信任,企業(yè)需要對(duì)平臺(tái)和“白帽子”給予充分信任,而這種信任的基礎(chǔ),一方面在于白帽子的技術(shù)水平,另一方面則在于平臺(tái)對(duì)于“白帽子”的“審核準(zhǔn)入”和“實(shí)施期間的風(fēng)控”。這兩點(diǎn)都是眾多安全眾測(cè)平臺(tái)的核心競(jìng)爭(zhēng)點(diǎn)之一。
在白帽子資源方面,斗象科技已經(jīng)沉淀了35000個(gè)“白帽子”資源,其中大部分來源于Freebuf社區(qū)。社區(qū)一方面利用媒體和社區(qū)的優(yōu)勢(shì),吸引了大部分白帽子資源,另一方面,也通過培訓(xùn)和“漏洞檢測(cè)”大賽的模式,提高白帽子的技術(shù)水平。
在進(jìn)入“漏洞盒子”專家?guī)旆矫?,平臺(tái)設(shè)置了四層風(fēng)控體系,包括遠(yuǎn)程面試(專門審核人員)、基本考核、背景調(diào)查(過去的安全紀(jì)錄)和專家協(xié)議等角度進(jìn)行審核風(fēng)控。而在任務(wù)執(zhí)行中,也通過流量審計(jì)的方式,全面監(jiān)控白帽子的行為,以防“網(wǎng)絡(luò)黑產(chǎn)”的發(fā)生。當(dāng)然,平臺(tái)方面需要和企業(yè)簽訂類似這樣的責(zé)任協(xié)議,以防止企業(yè)級(jí)安全事件的發(fā)生。
目前,斗象科技已經(jīng)和400家(期)公司實(shí)施了類似的安全檢測(cè)服務(wù),其中主要分為四類。一是互聯(lián)網(wǎng)公司,如騰訊和攜程;二是金融機(jī)構(gòu),包括銀行、支付工具和證券公司等;第三類則是國家級(jí)別的政府和網(wǎng)絡(luò)運(yùn)營商,比如公安部、政府和上海移動(dòng)等。最后一類則是物聯(lián)網(wǎng)領(lǐng)域的公司,包括手表、手環(huán)、車聯(lián)網(wǎng)廠商等。
相對(duì)來說,這種對(duì)用戶安全具有較大風(fēng)險(xiǎn)的公司,對(duì)安全檢測(cè)的需求更為迫切。
就目前來看,大部分政府和國企仍然采取和傳統(tǒng)的互聯(lián)網(wǎng)安全公司,如綠盟、啟明星等公司合作,來提供相對(duì)“正統(tǒng)”的代碼檢測(cè)等服務(wù)。“白帽子”的安全眾測(cè)勢(shì)必帶有某些“野路子”的意思,對(duì)于平臺(tái)來說,一方面要保證白帽子的穩(wěn)定性和技術(shù)水平,另外一方面,也要為企業(yè)級(jí)別的安全做更多的管控和保障。而這是考驗(yàn)包括斗象科技在內(nèi)的多家做安全眾測(cè)公司的核心挑戰(zhàn)。
目前公司團(tuán)隊(duì)在70人左右,大部分在研發(fā)領(lǐng)域。創(chuàng)始人袁勁松早先任職于綠盟、百度和攜程,公司也有來自阿里、華為、CheckPoint、思科等公司的團(tuán)隊(duì)。