36氪獲悉,雲安全社區「火線安全」已於早前連續完成兩輪融資。據瞭解,兩輪融資投資方分別為經緯中國和五源資本,融資總額在數百萬美金級別。源合資本擔任公司融資顧問。
雲時代下網絡環境快速變化,網絡安全的目標用户羣體與需求,以及安全解決方案正在發生變革。在美國,Snyk、Wiz、Axonius等雲安全公司也在不斷長大。比如,主打開發安全的 Snyk 在今年9月宣佈完成由 Sands Capital 和 Tiger Global Management聯合領投的最新一輪融資,估值達到85億美金。
而本文主角「火線安全」的定位即是通過搭建雲安全社區,從而打造一個批量產生雲安全產品的底層平台。公司創始人兼CEO鄔迪介紹,火線首先通過開發雲安全工具給技術社區賦能,幫助平台上的白帽子提升自己的工作能力和效率,再基於社區反饋的場景和能力對工具進行迭代和豐富,從而為形成更有競爭力的雲安全產品打下基礎。
在此思路之上,火線目前推出的首款雲產品為洞態IAST。具體而言,這款產品接入了開發流程,可以結合動態污點追蹤方式實現漏洞檢測。鄔迪表示,洞態IAST在正式版推出後的2個月內實現了較快用户增長。並且在技術路線的選擇上,火線出於對開發流程的尊重,希望安全工作降低對開發的干擾,於是選擇了被動式插樁的技術路線。另外,因為火線認為安全需要立足於整個CI/CD流程角度考慮,所以其IAST產品也在今年進行了開源。同時,公司也在開源過程中收穫了不少用户對場景的真實功能反饋和建議。在此基礎上,火線如今也在計劃推出商業化版本,以滿足不少由開源而來的企業客户訴求。
在此之前,市場對火線的主要印象停留在白帽平台。其白帽平台於2020年4月上線,主要模式是聯合白帽子專家為企業提供雲端安全服務,並將其中的基礎能力自動化和標準化,從而大幅提高安全服務的效率。36氪早前介紹過,如果從供需端拆解,白帽子在火線平台上可以通過服務獲得收益和進步,企業則可以通過和火線平台合作,讓更多專業人士幫助自身測試,提升安全能力。
安全眾測模式其實由來已久,國內外亦有不少公司早前即推出類似服務。鄔迪介紹,其認為公司最大的差異化還是在用工具等手段真正提升白帽子的工作效率和質量,並通過儘量透明化的方式,讓白帽子在服務過程中不僅獲得能力的提高,還能取得應有的報酬。
建設白帽社區的核心是通過各種手段吸引到優質白帽,並讓他們持續活躍。在具體運作上,「火線安全」會首先以邀請+人臉、實名認證的方式保證白帽的可靠性。第二步,當白帽註冊成功,其會提供各種工具幫助白帽高效工作。同時,在日常運營中,火線也會組織不少活動提升白帽活躍度。另外在和客户的溝通中,火線會通過透明流程讓其意識到白帽的實際工作價值,同時讓白帽獲得酬金。
在之前的報道中,我們曾介紹過火線平台對白帽子的工具賦能邏輯。首先,在測試過程中,白帽子需要先進行基本信息收集、IT資產收集及分析等工作,才能真正開始檢測,但由於資料繁多、資產複雜等原因,這些步驟在落地上非常繁瑣。另外,白帽子在真正進行檢測工作時也需要利用工具提升工作效率。針對這些痛點,火線也推出了一系列免費工具。而在透明流程上,此前鄔迪也曾介紹,火線上線了安全沙箱以及沙箱管理後台,將流程可視化,提升客户對測試流程的信任感。
另在安全眾測的基本商業模式上,火線平台會將客户的漏洞獎金直接給到白帽子,從而肯定白帽子的工作。之前鄔迪曾向36氪表示,其認為未來隨着安全服務市場的擴大,客户方為眾測平台在運營能力方面的付費意願會越高,平台也會由此獲得獨立收入。而時過一年,公司也在一些客户中落地了將平台費和白帽酬金分離結算的模式——火線會幫助客户結算給白帽的酬金,同時自身也會根據客户的資產規模收取一部分平台運營費用。而在早前,獨立的平台運營費在業內較少出現,鄔迪認為這一改變既來自於甲方意識的改變,同時也和火線自身的透明運營制度相關。
整體談及公司近一年間的變化,鄔迪認為火線的白帽社區主要出現了以下幾個方面的進展:第一,公司在這期間持續與包括騰訊、百度、曠世、貝殼、快手等頭部客户合作,由於平台白帽水平較優質,火線的業務認可度在甲方處也獲得提升。另外,在較為嚴格的邀請制要求下,火線平台如今也有近1萬白帽子註冊——鄔迪介紹,結合邀請制+實名制的大前提,這已經是一個行業頭部成績。並且在社區活躍度上,鄔迪透露白帽子的月活在40%左右。且在產品使用度方面,過去一年火線為白帽提供的工具已經有近200萬次的使用量。這些進展也是火線通過制度、產品以及理念普及等方式不斷打磨的結果。另外,公司更重要的進展是建立了通過開源打造雲安全產品的模式,這在未來將會對客户帶來更多的價值。
另據瞭解,在本輪融資之後,火線安全也將持續進行平台的建設,並推出更多相關雲安全產品。另外,公司也會持續拓展客户,以期和更多行業頭部客户共同打磨安全產品的新模式。