微軟領投, 兩千萬美金押注網絡安全, “包養黑客”的Synack會成為網安屆Uber嗎?

近日，36氪獲悉，美國網絡安全創業公司 Synack 宣布獲得 2100 萬美元 C 輪融資，由微軟創投領投，惠普企業、新加坡電信 Singtel 旗下風投機構Innov8 跟投，已有投資方紀源資本、穀歌風投和凱鵬華盈也參與了此輪投資。

Synack 創立於 2013 年，創始人兼 CEO 傑伊·卡普蘭、聯合創始人兼 CTO 馬克·庫爾二人此前均任職於美國國家安全局任反恐特工，有多年網絡安全相關經驗。

對企業來說，一旦自身係統遭受攻擊，容易產生宕機而造成服務缺失、信息泄露和客戶流失等諸多問題。卡巴斯基實驗室此前一項研究顯示，對於大型企業，一次網安事故單次損失額在86萬美元，而中小型企業，單次網安事故損失額在9萬美元。而根據美國華盛頓戰略與經濟研究中心的一份研究數據，每年網絡遭黑客攻擊造成的損失保守估計約為3750億美元至5750億美元。

針對這一數千億級美元的市場，Synack 采取的策略是招安黑客，化為已用，即采用眾包的方式為企業發現漏洞、提供解決方案等。具體來說，根據每一家公司的預算以及技術條件，Synack首先會對該企業的係統安全指數進行一個初步評估，然後根據評估結果，為該公司推薦其平台上經過審核的白帽黑客做對應的漏洞測試。

既然設計到漏洞測試，企業客戶最擔心的就是“可靠性”和“安全性”問題。傑伊·卡普蘭表示，對此，平台有其對應的措施來解決企業用戶的擔憂。

首先在可靠性上，平台會對白帽黑客有審核機製，同時會根據不同白帽子們的專長來對其進行分類，這樣在針對不同的測試項目中，保證“術業有專攻”，確保測試效果。此外，由於團隊的美國國安局背景，Synack 在獲取專家級別的白帽黑客資源上有一定渠道優勢。

而針對安全性問題，傑伊·卡普蘭則表示，其所有的漏洞測試都是在虛擬私密的測試環境中進行的，而且由於平台上白帽子均是經過認證的，因此一旦出現問題時，可以追責。而且 Synack 目前的流程是，白帽子在其認領項目測試中如果發現漏洞會遞交一份報告，詳細闡述他們發現的漏洞，複製該漏洞的步驟以及解決的方法，經過客戶確認漏洞及解決方案有效後， Synack 會根據這份報告的內容以及市場行情向其支付相應酬金。

盈利模式上，Synack 采用的是固定的付費訂閱製（類似包年這樣），但具體客單價並未透露。此外，該公司還銷售名為 Hydra 的漏洞掃描軟件，以幫助客戶找到企業自身係統中的風險項和漏洞。

據悉，Synack 目前擁有 100 多位企業級客戶，包括美國國防部和美國國稅局等（不過據傑伊·卡普蘭稱，這類政府級客戶對於接單的白帽黑客要求要高一些，如限製國籍等）。得益於新一輪融資，Synack 計劃在歐洲和亞太地區進行全球擴張。

目前行業內，瞄準這一市場的公司有不少，如美國的 HackerOne 、Bugcrowd 等，效果類似，但 HackerOne 是平台模式，更開放，任務 po 在平台上後，白帽子們自行認領，而且 HackerOne 是靠對成功的單子進行抽傭來盈利，Bugcrowd 模式也與之相仿。而國內，類似業務的有36氪此前報道的鬥象科技、烏雲眾測、威客眾測等。