云安全社區「火線安全」已連續完成兩輪融資。兩輪融資投資方分別為經緯中國和五源資本,融資總額為數百萬美金級別。源和資本擔任獨家財務顧問。
云時代下網絡環境快速變化,網絡安全的目標用戶群體及其需求,以及安全解決方案也在發生巨大變革。在這樣的時代背景下,以Snyk、Wiz、Axonius 等為首的云安全公司市值正在迅速提高。比如,主打開發安全的 Snyk 在今年9月宣布完成由 Sands Capital 和 Tiger Global Management 聯合領投的最新一輪融資,估值超500億人民幣。
而本文主角「火線安全」的定位是通過自主搭建的云安全白帽社區,聚合上萬名白帽安全專家的智慧,打造符合時代需求的、能真正解決時代安全問題的云安全產品。
公司創始人兼CEO鄔迪介紹,火線不僅注重對產品的技術創新,也注重對產品的理念創新,更注重對安全使用場景的適配。火線安全首個推出的企業安全服務是安全眾測。通過自主研發的云安全工具(資產管理工具、漏洞挖掘策略工具等)給技術社區賦能,幫助社區平臺上的白帽子提升其漏洞挖掘的能力和效率,然后再基于社區反饋的問題和場景對工具進行迭代和豐富。
依托于眾測平臺的數據,火線對漏洞類型、各類型漏洞在哪些環節容易產生、如何產生等問題更為了解。基于此以及云安全產品的開源熱潮,火線在今年9月正式發布了交互式應用程序安全測試工具——洞態 IAST。據悉,洞態 IAST基于“值匹配算法”和“污點跟蹤算法”,適配各種場景下的低中高危漏洞檢測,產品開發過程也十分注重對DevSecOps 開發流程的適配,幫助企業在應用上線前發現安全風險。
鄔迪表示,洞態IAST在正式版推出后的2個月內便實現了用戶的較快增長。在技術路線的選擇上,火線希望安全工作降低對開發的干擾,于是選擇了被動式插樁的技術路線。另外,火線出于“安全需要立足于整個CI/CD流程,開源便于客戶自主開發擴展、自主適配”的考慮,將洞態IAST進行了開源。開源給產品帶來的是各異的使用場景、功能建議和反饋,這些都推動著洞態不斷精進。為了滿足企業客戶更多的需求,火線也在計劃推出商業化版本。
在此之前,市場對火線的主要印象停留在白帽平臺。其白帽平臺于2020年4月上線,主要模式是聯合白帽子專家為企業提供云端安全服務,并將其中的基礎能力自動化和標準化,從而大幅提高安全服務的效率,36氪早前已介紹過。如果從供需端拆解,白帽子在火線平臺上通過服務獲得收益和進步,企業則可通過和火線平臺合作,讓更多安全專家幫助檢出系統漏洞,提升安全能力。
安全眾測模式其實由來已久,國內外亦有不少公司推出類似服務。鄔迪認為火線最大的特點在于對白帽子的重視與賦能。利用自主研發的工具賦能白帽,真正提升其挖洞效率和質量,并在挖洞過程盡量透明化的基礎上,讓白帽子在服務過程中不僅獲得能力的提高、取得應有報酬的同時,還能讓企業放心讓白帽挖洞,讓企業與白帽之間建立信任。
建設白帽社區的核心是通過各種手段吸引到優質可靠的白帽,并讓他們持續活躍。在具體運作上,「火線安全」首先以邀請制+人臉、實名認證的方式保證白帽的可靠性。第二步,當白帽注冊成功,火線會提供各種工具幫助白帽高效工作。同時,在日常運營中,火線也會組織不少活動提升白帽活躍度。另外在和客戶的溝通中,火線會通過透明流程讓其意識到白帽的實際工作價值 ,讓白帽贏得尊重。
在之前的報道中,我們曾介紹過火線平臺對白帽子的工具賦能邏輯。首先,在測試過程中,白帽子需要先進行基本信息收集、IT資產收集及分析等工作,才能真正開始檢測,但由于資料繁多、資產復雜等原因,這些步驟在落地上非常繁瑣。另外,白帽子在真正進行檢測工作時也需要利用工具提升工作效率。針對這些痛點,火線推出了一系列免費工具進行賦能。
而在透明流程上,此前鄔迪也曾介紹,火線上線了安全沙箱以及沙箱管理后臺,將流程可視化,提升企業對測試流程的信任感。
在安全眾測的基本商業模式上,火線安全平臺會將客戶的漏洞獎金直接給到白帽子,而火線從客戶處收取服務費。鄔迪認為未來隨著安全服務市場的擴大,客戶方為眾測平臺在運營能力方面的付費意愿會越高,平臺也會由此獲得更高的營收。而時過一年,公司也在一些客戶中落地了 “將平臺費和白帽酬金分離結算” 的模式——火線會幫助客戶結算給白帽的酬金,同時自身也會根據客戶的資產規模收取一部分平臺運營費用。而在早前,獨立的平臺運營費在業內較少出現,鄔迪認為這一改變既來自于甲方意識的改變,同時也和火線自身的透明運營制度相關。
談及公司近一年的變化,鄔迪認為火線的白帽社區主要出現了以下幾個方面的進展:第一,公司在這期間持續與騰訊、百度、曠視、貝殼、快手等頭部客戶合作,由于平臺白帽水平較優質,火線的業務認可度在甲方獲得了極大提升。另外,在較為嚴格的邀請制下,火線平臺如今也有近萬名白帽子注冊。鄔迪介紹,結合 “邀請制+實名制” 后還能擁有近萬名白帽注冊,這已是眾測行業的頭部成績。在社區活躍度上,鄔迪透露白帽子的月活在40%左右。在產品使用度方面,過去一年火線為白帽提供的工具已經有近200萬次的使用量。這些進展也是火線通過制度、產品以及理念普及等方式不斷打磨的結果。另外,公司更重要的進展是建立了通過開源打造云安全產品的模式,這在未來將會對客戶帶來更多的價值。
本輪融資后,火線安全將持續加碼平臺建設,并推出更多優秀的云安全產品。另外,公司也會持續拓展客戶,以期和更多行業頭部客戶共同打磨安全產品的新模式,感謝投資方以及白帽、客戶們對我們的信賴。