微软领投两千万，“包养黑客”的Synack会成为网安届Uber吗？

近日，美国网络安全创业公司 Synack 宣布获得 2100 万美元 C 轮融资，由微软创投领投，惠普企业、新加坡电信 Singtel 旗下风投机构Innov8 跟投，已有投资方纪源资本、谷歌风投和凯鹏华盈也参与了此轮投资。

Synack 创立于 2013 年，创始人兼 CEO 杰伊·卡普兰、联合创始人兼 CTO 马克·库尔二人此前均任职于美国国家安全局任反恐特工，有多年网络安全相关经验。

对企业来说，一旦自身系统遭受攻击，容易产生宕机而造成服务缺失、信息泄露和客户流失等诸多问题。卡巴斯基实验室此前一项研究显示，对于大型企业，一次网安事故单次损失额在86万美元，而中小型企业，单次网安事故损失额在9万美元。而根据美国华盛顿战略与经济研究中心的一份研究数据，每年网络遭黑客攻击造成的损失保守估计约为3750亿美元至5750亿美元。

针对这一数千亿级美元的市场，Synack 采取的策略是招安黑客，化为已用，即采用众包的方式为企业发现漏洞、提供解决方案等。具体来说，根据每一家公司的预算以及技术条件，Synack首先会对该企业的系统安全指数进行一个初步评估，然后根据评估结果，为该公司推荐其平台上经过审核的白帽黑客做对应的漏洞测试。

既然设计到漏洞测试，企业客户最担心的就是“可靠性”和“安全性”问题。杰伊·卡普兰表示，对此，平台有其对应的措施来解决企业用户的担忧。

首先在可靠性上，平台会对白帽黑客有审核机制，同时会根据不同白帽子们的专长来对其进行分类，这样在针对不同的测试项目中，保证“术业有专攻”，确保测试效果。此外，由于团队的美国国安局背景，Synack 在获取专家级别的白帽黑客资源上有一定渠道优势。

而针对安全性问题，杰伊·卡普兰则表示，其所有的漏洞测试都是在虚拟私密的测试环境中进行的，而且由于平台上白帽子均是经过认证的，因此一旦出现问题时，可以追责。而且 Synack 目前的流程是，白帽子在其认领项目测试中如果发现漏洞会递交一份报告，详细阐述他们发现的漏洞，复制该漏洞的步骤以及解决的方法，经过客户确认漏洞及解决方案有效后， Synack 会根据这份报告的内容以及市场行情向其支付相应酬金。

盈利模式上，Synack 采用的是固定的付费订阅制（类似包年这样），但具体客单价并未透露。此外，该公司还销售名为 Hydra 的漏洞扫描软件，以帮助客户找到企业自身系统中的风险项和漏洞。

据悉，Synack 目前拥有 100 多位企业级客户，包括美国国防部和美国国税局等（不过据杰伊·卡普兰称，这类政府级客户对于接单的白帽黑客要求要高一些，如限制国籍等）。得益于新一轮融资，Synack 计划在欧洲和亚太地区进行全球扩张。

目前行业内，瞄准这一市场的公司有不少，如美国的 HackerOne 、Bugcrowd 等，效果类似，但 HackerOne 是平台模式，更开放，任务 po 在平台上后，白帽子们自行认领，而且 HackerOne 是靠对成功的单子进行抽佣来盈利，Bugcrowd 模式也与之相仿。而国内，类似业务的有斗象科技、乌云众测、威客众测等。

本文来源：36Kr