一開始見到“威客眾測”這個(gè)產(chǎn)品時(shí),我以為它和36氪之前報(bào)道過的Bugcrowd、烏云眾測是一樣的:用眾包模式為企業(yè)客戶尋找漏洞,簡單點(diǎn)說,就是在社區(qū)里聚集一群白帽子,讓這些白帽子解決企業(yè)提出的安全檢測需求。
但和聯(lián)合創(chuàng)始人陳新龍聊天的過程中,我發(fā)現(xiàn)威客眾測更多的是想圍繞“安全”講一個(gè)大平臺(tái)的故事。
在這個(gè)平臺(tái)上,“眾測”是一個(gè)面向市場的切入點(diǎn),而且它能提供的服務(wù)類型要比普通的白帽社區(qū)更加豐富。
面向企業(yè)客戶的眾測
在設(shè)計(jì)眾測產(chǎn)品的模型時(shí),陳新龍認(rèn)為“可信”是非常關(guān)鍵的一個(gè)原則,安全眾測應(yīng)從企業(yè)客戶自身權(quán)益出發(fā),讓他們相信眾測的可靠性和安全性。之所以強(qiáng)調(diào)這一點(diǎn)是因?yàn)槠髽I(yè)客戶面對(duì)眾測這類安全服務(wù)時(shí)往往有一個(gè)顧慮:自己公司的漏洞會(huì)不會(huì)被公開或半公開披露,對(duì)企業(yè)信譽(yù)以及安全造成嚴(yán)重危害?
為了解決企業(yè)客戶的這個(gè)痛點(diǎn),陳新龍把發(fā)現(xiàn)漏洞的工作人員分為了四個(gè)階層,從上而下信任程度逐漸增強(qiáng):
第一層是最基礎(chǔ)的白帽子,來自于全國各地的信息安全產(chǎn)品和服務(wù)廠商、事業(yè)單位、互聯(lián)網(wǎng)公司,以及高校學(xué)生等等。這些白帽子經(jīng)過平臺(tái)的認(rèn)證,擁有單獨(dú)的散兵作戰(zhàn)能力,企業(yè)客戶在平臺(tái)上發(fā)布眾測項(xiàng)目,平臺(tái)把這些白帽子的散兵力量聚集起來進(jìn)行安全測試與漏洞挖掘,測試時(shí)間結(jié)束后,根據(jù)測試結(jié)果為白帽子結(jié)算獎(jiǎng)金;第二層是安全戰(zhàn)隊(duì),即某些白帽子自發(fā)集合成的小團(tuán)隊(duì),相比單獨(dú)的個(gè)體來說戰(zhàn)斗力更強(qiáng)一些,同時(shí)戰(zhàn)隊(duì)的形式也能增加企業(yè)對(duì)眾測過程的可信程度。目前平臺(tái)上有549個(gè)這樣的戰(zhàn)隊(duì);第三層是企業(yè)戰(zhàn)隊(duì),可以理解成提供安全服務(wù)的廠商,有125家。這些入駐廠商戰(zhàn)隊(duì)更加專業(yè),可以進(jìn)一步保證企業(yè)客戶對(duì)眾測過程的可信程度;第四層是平臺(tái)自己的一個(gè)威客行為監(jiān)控系統(tǒng),這個(gè)監(jiān)控系統(tǒng)可以對(duì)白帽子滲透測試的全過程進(jìn)行監(jiān)控和審計(jì),出現(xiàn)非法操作時(shí)可以直接進(jìn)行終止。
四個(gè)不同層級(jí)的設(shè)計(jì)能夠讓企業(yè)客戶根據(jù)自身的狀況尋找最合適的漏洞檢測方案,同時(shí)保證測試過程的安全可信。
面向銷售的眾測
威客眾測除了直接向企業(yè)客戶提供安全服務(wù),還有針對(duì)銷售人員的產(chǎn)品。
按照安全領(lǐng)域傳統(tǒng)的方式,企業(yè)客戶和安全廠商之間一般會(huì)直接對(duì)接安全類的服務(wù)。提供加固產(chǎn)品和服務(wù)的安全廠商通常設(shè)立了專門的銷售崗位去pitch潛在客戶,而這些銷售為了業(yè)績必須使出渾身解數(shù)去獲取客戶。
但普通的企業(yè)客戶安全意識(shí)不強(qiáng),往往會(huì)自信自己的系統(tǒng)是非常安全的,不需要這類服務(wù)。這和推銷保險(xiǎn)時(shí)遇到的情況差不多。
因此,銷售為了證明自己公司的實(shí)力強(qiáng)、產(chǎn)品好,常常免費(fèi)為企業(yè)做信息安全預(yù)評(píng)估來證明實(shí)力。這時(shí)銷售要向自己的公司申請(qǐng)白帽子資源,而公司白帽子資源是有限的,而且成本比較高,不可能滿足每一個(gè)銷售的需求。
借助威客眾測,銷售人員在拿到企業(yè)授權(quán)的情況下,可以在平臺(tái)上發(fā)布一個(gè)漏洞需求,調(diào)用平臺(tái)上的白帽子資源為客戶提供信息安全預(yù)評(píng)估,從而更快的拉到客戶。
媒體
有意思的是,威客眾測還有自己的媒體平臺(tái),名為“圈里圈外”。這個(gè)平臺(tái)主要提供信息安全領(lǐng)域的相關(guān)資訊和新聞報(bào)道。陳新龍告訴36氪,他們?cè)诎踩I(lǐng)域用娛樂新聞的方式在做媒體,一來比較好玩,二來可以更好的傳播信息安全相關(guān)的訊息。
在眾測和銷售這兩塊內(nèi)容之外,媒體的補(bǔ)充讓人很容易發(fā)現(xiàn)“威客眾測”更多的是想圍繞“安全”做一整個(gè)生態(tài)圈的事。媒體不僅可以在現(xiàn)階段普及安全領(lǐng)域的相關(guān)內(nèi)容,提高企業(yè)客戶對(duì)自身產(chǎn)品和服務(wù)系統(tǒng)的安全意識(shí),還能在今后成為平臺(tái)上的一個(gè)入口,為眾測和其他安全服務(wù)帶來更多的流量和項(xiàng)目。
乙方出身
聊到團(tuán)隊(duì)的時(shí)候,陳新龍表示,威客眾測的團(tuán)隊(duì),相比那些BAT背景的創(chuàng)業(yè)團(tuán)隊(duì)而言,可能并不是那么亮眼。團(tuán)隊(duì)的主要成員來自于各大傳統(tǒng)安全廠商,長期屬于安全領(lǐng)域的乙方角色。但陳新龍認(rèn)為這種乙方角色的出身,對(duì)于威客眾測在做的事情其實(shí)是更有利的。
“因?yàn)槲覀冊(cè)趧?chuàng)業(yè)之前一直是一個(gè)乙方的角色,長期和企業(yè)的安全服務(wù)直接打交道,所以我們其實(shí)更了解他們(企業(yè)客戶)的想法,知道他們面對(duì)安全服務(wù)時(shí)的顧慮。另一方面,安全廠商們的痛點(diǎn)我們也很清楚,所以也才有了為銷售人員設(shè)計(jì)的那種模式。我們也做了移動(dòng)版的APP,讓銷售人員拿到企業(yè)授權(quán)的過程變得更簡單。這些細(xì)節(jié)上的設(shè)計(jì),都得益于以前的工作背景。”陳新龍說。
乙方背景的出身還讓威客眾測平臺(tái)設(shè)計(jì)了一種網(wǎng)絡(luò)安全的“請(qǐng)?jiān)?rdquo;模式。在這種模式下,白帽子提交一些已發(fā)現(xiàn)的廠商安全問題漏洞,威客眾測平臺(tái)可以作為“中間人”與廠商聯(lián)系協(xié)調(diào)把請(qǐng)?jiān)疙?xiàng)目敦促成安全檢測項(xiàng)目,在保證白帽子利益的同時(shí)解決企業(yè)的信息安全問題。
“全民請(qǐng)?jiān)缚梢宰屓藗冎滥硞€(gè)企業(yè)自身的安全狀況,讓民眾清楚自己的互聯(lián)網(wǎng)財(cái)產(chǎn)與個(gè)人相關(guān)信息安全。而且這對(duì)企業(yè)來說也是好事。比如,那些做金融P2P的公司借著民眾的“請(qǐng)?jiān)?rdquo;可以解決自身的安全隱患,同時(shí)也能讓用戶更放心把錢投到自己的平臺(tái)上。這種模式其實(shí)也開辟了一種政府、全民監(jiān)管的新渠道。”陳新龍這樣告訴36氪。
值得一提的是,除了眾測、找安全廠商做外包,微軟、Google這類大公司通常會(huì)在內(nèi)部建設(shè)自己的Bug Bounty Program model,也就是漏洞打賞機(jī)制,用來檢測自己軟件或產(chǎn)品的安全性和可靠性。
安全圈的阿里巴巴、豬八戒
在采訪的結(jié)尾,我問陳新龍,威客眾測下一步的打算是什么?陳新龍告訴我,在現(xiàn)有的這類B2B產(chǎn)品之外,威客眾測未來還會(huì)陸續(xù)在平臺(tái)上推出新的模式和安全服務(wù),完善在安全領(lǐng)域方面的生態(tài)系統(tǒng)建設(shè)。
“用一句話描述你們想做的事情?”我補(bǔ)充道。
“我之前跟別人提過的一個(gè)說法是,我們就像安全領(lǐng)域的豬八戒?;蛘哒f,是安全領(lǐng)域的阿里巴巴,讓天下沒有難做的安全生意”,陳新龍想了想說,“當(dāng)然,我們未來更多的是想讓人們一提到安全,就會(huì)想到威客眾測。”
目前,威客眾測平臺(tái)3.0版本已經(jīng)正式上線。團(tuán)隊(duì)近日完成了一筆2000萬人民幣的preA輪融資,來自于如山創(chuàng)投,厚持資本,華立暾瀾,中南暾瀾。威客眾測此前完成的天使輪則來自于“滴滴打車”的天使投資人王剛和日升天信董事長。
相關(guān)閱讀