近日, 36氪獲悉, 美國網路安全創業公司 Synack 宣佈獲得 2100 萬美元 C 輪融資, 由微軟創投領投, 惠普企業、新加坡電信 Singtel 旗下風投機構Innov8 跟投, 已有投資方紀源資本、穀歌風投和凱鵬華盈也參與了此輪投資。
Synack 創立於 2013 年, 創始人兼 CEO 傑伊·卡普蘭、聯合創始人兼 CTO 馬克·庫爾二人此前均任職于美國國家安全局任反恐特工, 有多年網路安全相關經驗。
對企業來說, 一旦自身系統遭受攻擊, 容易產生宕機而造成服務缺失、資訊洩露和客戶流失等諸多問題。 卡巴斯基實驗室此前一項研究顯示, 對於大型企業, 一次網安事故單次損失額在86萬美元,
針對這一數千億級美元的市場, Synack 採取的策略是招安駭客, 化為已用, 即採用眾包的方式為企業發現漏洞、提供解決方案等。 具體來說, 根據每一家公司的預算以及技術條件, Synack首先會對該企業的系統安全指數進行一個初步評估, 然後根據評估結果, 為該公司推薦其平臺上經過審核的白帽駭客做對應的漏洞測試。
既然設計到漏洞測試, 企業客戶最擔心的就是“可靠性”和“安全性”問題。 傑伊·卡普蘭表示, 對此, 平臺有其對應的措施來解決企業用戶的擔憂。
首先在可靠性上, 平臺會對白帽駭客有審核機制, 同時會根據不同白帽子們的專長來對其進行分類, 這樣在針對不同的測試專案中, 保證“術業有專攻”, 確保測試效果。 此外, 由於團隊的美國國安局背景, Synack 在獲取專家級別的白帽駭客資源上有一定管道優勢。
而針對安全性問題, 傑伊·卡普蘭則表示, 其所有的漏洞測試都是在虛擬私密的測試環境中進行的, 而且由於平臺上白帽子均是經過認證的, 因此一旦出現問題時, 可以追責。 而且 Synack 目前的流程是, 白帽子在其認領專案測試中如果發現漏洞會遞交一份報告, 詳細闡述他們發現的漏洞, 複製該漏洞的步驟以及解決的方法, 經過客戶確認漏洞及解決方案有效後,
盈利模式上, Synack 採用的是固定的付費訂閱制(類似包年這樣), 但具體客單價並未透露。 此外, 該公司還銷售名為 Hydra 的漏洞掃描軟體, 以説明客戶找到企業自身系統中的風險項和漏洞。
據悉, Synack 目前擁有 100 多位元企業級客戶, 包括美國國防部和美國國稅局等(不過據傑伊·卡普蘭稱, 這類政府級客戶對於接單的白帽駭客要求要高一些, 如限制國籍等)。 得益於新一輪融資, Synack 計畫在歐洲和亞太地區進行全球擴張。
目前行業內, 瞄準這一市場的公司有不少, 如美國的 HackerOne 、Bugcrowd 等, 效果類似, 但 HackerOne 是平臺模式, 更開放, 任務 po 在平臺上後, 白帽子們自行認領, 而且 HackerOne 是靠對成功的單子進行抽傭來盈利,