在互联网颠覆了数不清的行业之后,网络安全成为了事关互联网公司“生死存亡”的大问题。然而,传统的“外聘安全团队定期检查”的模式存在着成本高、效果差、覆盖不全、难以持久等问题。
“在2014年上线之初,我们就决定走分享经济的模式。”漏洞盒子CEO袁劲松介绍说,简单来讲,漏洞盒子是一个互联网安全测试平台,它的模式是众包全球各地的网络安全专家,让他们在平台上去为企业解决各种各样的网络安全问题。“我们与传统模式的区别在于三点:按效果付费,众包模式和严格风控。”
“首先,传统模式是按照‘安全团队有多少人,检测多少天’来计算费用的,很难保证服务质量。”袁劲松说,在漏洞盒子的平台上进行安全检测,一开始不用支付任何费用。检测结束之后,平台会按照安全专家们发现的漏洞数量和危害级别计算相关费用,没有发现问题一分钱也不用付。与传统模式相比,企业方的成本可以降低60%左右。
“其次,传统模式下,企业定向邀请安全团队,却受制于人力和精力的局限,服务效果很难保障。”袁劲松介绍,漏洞盒子的运营思维则类似优步,像吸引兼职司机那样吸引大量的兼职专家,每一个项目的参与人数少则几十,多则成千上万,在平台上,3万名不同领域的专家依照自己的专长和兴趣自由地发现漏洞并提出解决方案,可以覆盖客户约90%以上的安全问题。
“最后,我们对整个交易过程进行严格的风险控制。”漏洞盒子的风险控制包含三个方面:对象风控、过程风控和结果风控。所谓对象风控,是指平台会实名制测试人员的身份,并同时校验企业资质,保障双方利益。过程风控是指平台会提供网络镜像流量、VPN 等,确保全程审计测试人员的行为。结果风控是指漏洞盒子严禁“白帽子”对外透露测试过程和结果的任何细节,并对违反者追究法律责任。“我们自己本身就是一家网络安全公司,所以我们也格外地看重保护客户的安全和隐私。”袁劲松表示,自上线以来,平台上出现的安全事故几乎为零。
据袁劲松介绍,漏洞盒子的主要客户来源是金融公司、互联网公司、智能硬件公司和政府,其中金融公司占据了约50%左右。自2014年以来服务过的客户包括腾讯、360、中国移动、支付宝、SONY、联想、去哪儿、小米等知名公司。袁劲松告诉动点科技记者,厂商可以在入驻平台后,实行漏洞奖励计划,告知安全测试人员可测试的范围、时间以及测试规则。不同风险级别的漏洞对应不同的奖金范围,而奖金可提高测试人员的积极性及提交漏洞的质量。
在盈利模式的问题上,漏洞盒子平台将在企业缴纳的每笔服务费中抽取20%的佣金。“关于盈利的事情我们没有想太多。”袁劲松说,“团队成员思考更多的是如何把产品做好。”今年6月,漏洞盒子推出了第一款产品“网藤风险感知”,一款基于SaaS模式的企业级安全监控与风险分析系统。“我们的平台上虽然有很多专家,但是人总要吃饭睡觉,不可能永远盯着系统,但机器就不一样。”袁劲松解释说,网藤风险感知可以7×24小时持续监测,并通过主动和被动的资产发现与建模,实时感知安全风险。近4个月以来,已经有200多家客户尝试使用了这一款系统。
那么漏洞盒子是否有意最终以机器代替人工?袁劲松给出了否定的答案。“我们追求的终极目标是通过人机结合的方式,利用技术手段解决互联网时代企业的网络安全问题。机器将会辅助专家的工作,但短期内机器很难完全取代人工。”
袁劲松透露,目前漏洞盒子的4.0版本已经在内测,并将在近期上线。A轮的融资计划也已基本敲定,但金额尚不方便透露。据了解,漏洞盒子的上一轮融资(pre-A)在2015年8月完成,由金浦集团领投、线性资本跟投3000万人民币。
