软件是人写的,没有绝对的安全,这几乎是整个安全行业的共识。随着企业上云的加速,IT资产的漏洞也暴露给了全世界的黑客。企业需要更多手段降低漏洞风险。
安全众测正是手段之一,这种测试方式是号召尽量多的白帽子,在规模化的基础上,借助“黑客视角”和漏洞赏金带来的竞争效应,提升漏洞被提前发现的概率。
于2020年4月上线的火线安全(平台),是社区原生的白帽子安全平台,主要模式是联合顶级的白帽子专家为企业提供云端安全服务,并将其中的基础能力自动化和标准化,从而大幅提高安全服务的效率。如果从供需端拆解,白帽子在火线平台上可以通过服务获得收益和进步,企业可以通过和火线平台合作,让更多专业人士帮助自身测试。
提及创业初衷,火线平台创始人邬迪从行业角度介绍,安全是一个攻防持续演进的行业,没有任何产品能够让企业一劳永逸,只有通过持续的服务才能解决新型的安全问题。在成熟市场中,安全服务的比例在50%甚至60%以上。中国的安全服务目前在市场占比不到20%,但越来越多客户意识到安全服务的重要性,所以增速较快。
邬迪介绍说,早在2015年,中、美两国就同时出现了白帽子众测平台,国内的众测平台还拥有一定先发优势。经过5年的发展,美国的众测平台发展迅猛,其中头部平台的白帽子数量已近百万人,发放漏洞赏金超过1亿美金,这促进了企业安全漏洞的修复。相比而言,国内的众测平台发展相对缓慢。
但邬迪认为国内的白帽子的能力是较高的,例如美国众测平台Hackerone的公开数据显示,仅在2020年,中国白帽子就已经帮助入驻该平台的企业发现了赏金超过500万美金的安全漏洞,并多次获得致谢。他觉得,随着IT资产云化和大型企业对众测模式的逐渐接受,未来5年一定是众测的爆发期。
不论是何种平台,核心竞争力都在于链接多个上下游角色,并尽量和上下游建立紧密联系。落在火线平台上,上下游分别是白帽子和对安全众测有需求的企业。
邬迪认为,意识到安全服务价值的客户会选择火线等平台进行安全众测。而由于行业安全演练的实战化和常态化,让越来越多的企业认识到安全服务特别是持续安全测试的必要性。火线刚上线不到一年,也已和数十家大型企业建立了合作,其中大部分是一线互联网公司,如百度、京东、快手、贝壳等,复购率达100%。
在对白帽子的连接上,火线平台通过为白帽子提供基础设施的方式提升其工作效率。在进行测试的过程中,白帽子需要先进行基本信息收集、IT资产收集及分析等工作,才能真正开始检测,但由于资料繁多、资产复杂等原因,这三个步骤在落地上非常繁琐。另外,白帽子在真正进行检测工作时也需要利用工具提升工作效率。针对这些痛点,火线为白帽子提供了“火器”一站式渗透工具箱,包括五款工具,其中最重要的两款工具“哮天”和“灵芝”,分别用以解决数据收集复杂以及检测效率低下的问题。同时,灵芝接入了开发流程,可以结合时下较新的动态插桩和动态污点追踪方式实现漏洞检测。另外,得益于高强度的社区应用,火线的DevSecOps工具(灵芝)也实现了产品化,目前也销售给了多个世界500强客户。
在安全众测的商业模式上,火线平台将客户的漏洞奖金直接给到白帽子,从而充分肯定白帽子的工作。公司认为,未来随着安全服务市场的扩大,客户方为众测平台在运营能力方面的付费意愿会越高,平台通过此类收入获得利润。这一判断的信心来自两方面,第一是市场趋势,早期互联网公司对安全众测较为开放,而近年来一些行业大客户在逐步接受众测的方式。第二,为了帮助客户方准确量化白帽子所付出的测试精力,火线不仅成为了全球首个全实名制的白帽子安全平台,同时也上线了安全沙箱以及沙箱管理后台,提升客户对测试流程的信任感。
换言之,做这件事不仅需要技术、产品、商务等能力,还需要对白帽子群体具备较高的理解力、同理心和影响力。而火线的核心团队不仅在安全开发、渗透测试、企业服务方面拥有多年的经验,还曾参与创立全球最大的白帽子社区。据介绍,在新平台运营近8个月时,在火线认证的安全专家数量就已突破5000人,是增长最快的白帽子平台。
最后从投融资角度,火线在上线首月便完成了天使轮融资。投资方包括陆奇博士领衔的奇绩创坛,国内安全赛道投资机构北京基石信安,以及聚焦于企业级服务的赛意产业基金。