不说谎的创新经济媒体,致力于发现创新公司,服务创新公司,旗下产品覆盖150万+新经济用户,单周全网分发量可达1500万,已完成真格基金、软银中国、险峰、BAI等顶级机构的5轮融资。
分享

独家追踪 | 让白帽为企业找漏洞 安全服务平台“漏洞银行”获普华投资

漏洞银行 2012年 可联系
银行安全SaaS服务平台
企业服务
融资进度
B+轮
融资额度
未披露
融资时间
2019-06-03
投资方
联创永宣领投,软银中国、普华资本跟投
创始人
罗清蓝,漏洞银行创始人、CEO。 曾被称作传奇黑客,06年乐山地区唯一的保送生。早年创办了清安网和中国信息安全研究联盟,曾荣获全国青少年科技创新大赛一等奖,全国青少年科技发明奖。
>
漏洞银行 2012年 可联系
银行安全SaaS服务平台
企业服务
融资进度
B+轮
融资额度
未披露
融资时间
2019-06-03
投资方
联创永宣领投,软银中国、普华资...
创始人
罗清蓝,漏洞银行创始人、CEO。 曾被称作传奇黑客,06年乐山地区唯一的保送生。早年创办了清安网和中国信息安全研究联盟,曾荣获全国青少年科技创新大赛一等奖,全国青少年科技发明奖。
>

随着互联网的普及,企业面临的安全威胁越来越严峻。而从事网络安全领域的创业也越来越受到资本的关注。

铅笔道根据工商信息获知,互联网金融和电商安全服务平台“漏洞银行”获得新一轮融资,投资方为普华资本。

12月11日,上海谋乐网络科技有限公司工商信息发生变更,注册资本由70.5900万元扩充至74.7221万元人民币,并新增3个企业股东——杭州滨江普华天晴股权投资合伙企业(有限合伙)、台州普华安盛股权投资合伙企业(有限合伙)、杭州普华顺程投资合伙企业(有限合伙),具体情况见下图:

◆ 图表信息来自“企查查“。

据了解,杭州滨江普华天晴股权投资合伙企业(有限合伙)、台州普华安盛股权投资合伙企业(有限合伙)、杭州普华顺程投资合伙企业(有限合伙)均为普华资本的投资实体。

“漏洞银行”主要是针对互联网金融和电商的漏洞反馈,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个展示、学习、交流和研究的平台。

团队的初衷就是通过众包模式为企业客户寻找漏洞,帮助其用低成本建立起 SRC 中心。简而言之,就是在社区里聚集一群白帽子,让这些白帽子解决企业提出的安全检测需求。

企业根据发现安全漏洞大小和数量,对白帽开展定价悬赏。悬赏金额根据不同的情报线索有所区别,从几千元至十余万不等。

平台截至去年7月,已有近千家企业和1万余名白帽入驻“漏洞银行”。此前,该公司获软银中国资本数百万美元的A轮融资。

铅笔道曾于去年7月对“漏洞银行”做过报道《融资500万美元 他集1万余白帽黑客发掘漏洞 企业授权检测 月提交漏洞超2千 》。

以下为当时报道全文:

导语

“Pwn”发音类似“砰”,这是一个黑客俚语,代表攻击成功,操控了被“黑”设备。

有一群黑客“Pwn”的目的并非窃取对方信息,而是找到系统的漏洞,提醒企业尽早修复,他们俗称白帽黑客。

然而,部分黑客游走在黑帽与白帽之间。如何让黑帽转为白帽?如何让白帽更好地为企业查找漏洞?

为此,白帽黑客罗清篮创办了漏洞银行(BUGBANK)。平台一端连接白帽,一端连接企业,其业务流程如下:企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价——最后企业通过平台向白帽支付费用。

目前,漏洞银行注册的白帽有1万多名(20%是95后),每月发现漏洞超过2000个。企业客户约为1000家,以政府、电商、互联网金融、游戏行业为主,如宜信、51job、大众点评等。

近期世纪佳缘抓捕白帽事件令白帽群体处于风口浪尖。罗说:“我特别喜欢白帽们,他们并不是一个纯粹商业化的群体,而是一群技术宅,希望外界不要有太多的打压。”

注: 罗清篮已确认文中数据真实无误,铅笔道愿与他一起为内容真实性背书。

提交漏洞不曝光

罗清篮自小爱好黑客。出生在信息安全世家的他,打小学起接触网路安全;初中和高中时已是《黑客防线》的特约签约作者。

时光辗转到大学时期,他依然泡在这个行业。参加各种黑客比赛之余,他组织了一个社团——大学网络协会。2009年他上大三,从社团里挑了一帮伙伴,办起了公司。

◆ 漏洞银行的产品之神&联合创始人Madison张雪松

那是他第一次创业。经企业授权,他们模拟黑客找到入侵企业核心数据等的方法或路径,由此撰写风险评估报告。此外,公司还开发销售防护硬件产品。

一做便是五年。期间,公司被一家传统企业投资,盈利情况良好。罗坦言,“当时不太懂投融资”。

2013年年底,他被一家名为乌云(WooYun)的平台所吸引。其模式为通过白帽提交、公开企业的漏洞。“由于媒体对漏洞曝光趋之若鹜,该平台的知名度迅速升温。”

罗清篮很受启发。“乌云开创了漏洞提交的先河。”

然而,他个人认为,乌云的模式有一个比较致命的弱点:公开企业漏洞。“过去几年服务客户的过程中,感觉不少客户挺反感将漏洞公开。”

曾有一家在美国纳斯达克上市公司的CTO对他抱怨道:“当时乌云上公开了一个公司系统漏洞,股价遭受影响,当天跌了5%。”

这个点触动了他。“如果我们做一个漏洞提交平台,但是不曝光企业的漏洞,而是对接白帽与企业,让企业尽快修补漏洞,这样企业的认同度是否会更高呢?”

他决定尝试一番,创办了漏洞银行。“传统企业投资理念不会那么超前,需要找一家风投单独来做这个项目。”

2014年新年一过,罗一手筹备开发提交平台,一手接触风投。经朋友介绍,他收到了来自软银中国资本的橄榄枝,顺利敲定500万美元A轮融资。

游走的白帽群体

在罗清篮的设想中,白帽发现提交企业的漏洞后,企业为其付费。但由于黑客行业混乱,加之不知企业付费意愿如何,罗花了很长时间走访验证。

他发现很多企业是痛并快乐着。“首先他们也接受乌云的这种曝光形式,虽然有一些声誉上的影响,但是帮企业提早发现了隐患。”他笑着说,“我们希望企业不痛也能快乐。”

但是也有企业对白帽心存恐惧。比如,企业授权黑客测试系统,他找到了10个漏洞,但是只告诉企业7个,自己留了3个可能去做其它交易。“这会让企业无形中遭受损失,由于经过授权,也不好纠责。”

况且部分白帽群体本身就游走在黑帽与白帽之间,互联网还催生出一种黑色产业链。有些企业会雇佣黑帽黑客攻击竞争对手,黑帽在未经授权的情况下,找到漏洞直接读取数据,转卖牟利或者用流量攻击对方网站。

“互联网金融行业有近50%的企业遭受过黑帽黑客攻击。”他补充道,“黑帽的法律风险极高,如果白帽有较好的生存空间,一般是不会转去做黑帽的。”

此外,一些企业对于安全问题存在偏见和忽视。“有的企业不愿意让白帽提交漏洞,他担心白帽除了会获取利益外,会持续不断地提交漏洞,或者引起黑帽的关注。”

有些处于早期的企业,忙于业务本身,并不愿在安全上投入。“等之后业务做大出现问题,他们再亡羊补牢,发现付出的成本更大,我见过很多鲜活的例子。”

◆ 漏洞银行的“运营黑帮”

为了规避以上种种问题,2015年年初,漏洞银行网站上线,罗没有大张旗鼓宣传,而是默默地做起内测。“先要让企业提升对安全的认知度,并且靠市场机制聚拢白帽群体,或许能让黑帽转白帽。”

半年内测

罗清篮邀请了几十家之前积累的企业用户参与,平台同时入驻了一批圈内知名的白帽。“全靠白帽朋友之间互相介绍。”

首先,内测企业要授权允许平台上的白帽测试查找漏洞。“这样规避了法律风险。”

◆ 漏洞银行的黑客教主&联合创始人张博文

其次,平台对白帽有保护机制。“例如一些重点项目的测试,会对白帽的身份和IP进行备案。防止出现发现10个漏洞只告诉7个的情况。”

罗还推翻了传统的漏洞评级方式。行业里的漏洞通常分为高危、中危和低危,“我觉得这样分比较水”。

有些漏洞从白帽角度来看,技术难度很高,费了很多精力才挖掘到。但是提交给企业后,对方认为这个漏洞可能并不会对业务系统造成多大的影响。

如此,“可能引起白帽的愤怒,感觉技术未受到重视。也许会在网上曝光夸大企业漏洞,或者进行黑色交易。”

于是,他独创了一种方式——联合诊断。平台自建了由白帽组成的专家团队,当时约有20人,负责对白帽审计,确定漏洞的有效性和技术难度。

随后,平台把评判结果交给企业,由企业做出业务危害性评判。“我们设置了从P0(威胁最高)到P6(威胁最低)七级评判标准。”

内测期间,白帽提交测试企业的漏洞后,平台代企业奖励白帽。根据漏洞的危害不同,奖励从几百元到上万元不等。

若白帽提交的漏洞并非内测企业的,平台有两种处理方式。如果能找到该企业,会通知企业来入驻监测,获取授权;若联系不到,平台会拒收。

经过半年内测,平台汇集了约3000个白帽,约500家企业,每月提交漏洞约1000个。

过程中,他们发现了企业的其它需求。“有些企业的服务器分为内网和外网,他在外部做测试时,可能只针对外网,但是内网也有可能存在漏洞。”

为此,漏洞银行提前标注可检测的网络资产,对指定的网络资产实现有效监控,第一时间通知相应的负责人。

年中,罗清篮觉得模式跑通,决定正式运营漏洞银行。

每月超2000个漏洞

平台不再代替企业付费。其业务流程如下,企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价。“把定价的权限交给企业。”

费用由企业通过平台支付给白帽,白帽不与企业直接沟通。“白帽是一群技术人员,不太懂商务那一套;企业方可能认为白帽在拿漏洞威胁。”

平台从中做沟通,制定标准和规则。“我们会告诉企业其它平台的定价范围,任他们参考。”

如果出现企业故意低价或者不出价的情况,白帽可向平台反馈申诉。“平台会介入调查,如果情况属实,会下架该企业或者降低企业的检测排名。这样白帽会意识到这是一个没有支付能力的公司,会把精力放在寻找其它公司的漏洞上。”

倘若问题出在白帽身上,比如白帽出现黑色交易、威胁企业等极端行为,平台会直接封号并冻结账号。

多种机制促进漏洞提交形成市场价。期间,白帽数量快速增长。“圈子不大,口碑传播。”

◆ 黑客聚餐的姿势是酱紫的

为提高白帽的活跃度,今年3月,他上线社区栏目“PWN”(黑客俚语,代表攻击成功)。在这里,黑客可以自由发表观点,上传检测报告(必须对企业信息打码处理),分享新技术等。

每周和每月,平台会对白帽个人或团体做声望排行榜。评价范围包括其所写的PWN文,发现漏洞质量、数量等。“排名靠前的除了现金奖励外,还会被邀请参加线下沙龙交流等活动。”

不久后,平台对排名靠前的白帽个人或团体进行专访报道,挖掘其背后的故事。“我想包装他们,打造在行业里的知名度,算是一种变相地扶持。”

6月,漏洞银行推出SaaS产品,将对接白帽与客户的服务全部自动化处理。“白帽向平台投诉的话,只要附加理由,系统便自动化处理。我们将近一年多的运营经验形成了规范化操作,代替了人工。”

原本,为白帽对接一家企业,需要10~15天,如今一天甚至半天即可。“双方实时处理漏洞。”

接下来,罗计划增加评价功能,由白帽与企业互评。“无论定价还是交易,全是靠双方的信任,评价形成的口碑将是一种约束。”

在SaaS产品中,白帽只是为企业提供服务的一部分。如今,他正在对接其它信息安全企业入驻平台。“企业登录平台后,经过简单操作,便能有白帽为他监测漏洞,还有其它企业提供安全咨询、修补、防护产品等。”

目前,漏洞银行线上月流水超过50万元,注册的白帽有1万多名(20%是95后),每月发现漏洞超过2000个。企业客户约为1000家,以政府、电商、互联网金融、游戏行业为主。罗下一步打算拓展互联网保险行业的客户。

近期,世纪佳缘抓捕白帽事件闹得沸沸扬扬。罗清篮感叹道:“打压白帽群体没有任何好处,是逼着白帽转黑帽。一旦没有了白帽,那将全都是黑帽。”

编辑 | 赤竹

文中主要信源来自工商信息与企业网络公开资料,不存在刻意误导,若有信息更新或不准确之处,请及时联系铅笔道更正(记者微信:yang15623233090)。PS.融资求报道同加此号

该融资消息为铅笔道(ID:pencilnews)独家信息,转载务必署名来源。请联系铅笔道微信客服号:铅笔道大芯芯(微信id:qianbidao2017)获取授权资质,否则我们将依法追究相关责任

您可能感兴趣的文章
发表评论

所有评论

杨博宇

铅笔道记者

我是本文作者杨博宇,关注社交网络、本地生活。相关行业创业者求报道,咱们微信聊聊:yang15623233090。(加好友请注明公司、职位、事由哦)

yang15623233090
最近文章

联系创业者

close

创业者需要验证您的身份,请输入您的请求信息:

0/200

进入个人中心-联络人,即可查看请求结果

取消
确定

提示信息

close

您还未认证身份,暂时无法和ta联系!请尽快前往个人中心进行创投认证哦。

去认证咯
还是算了
联系方式
电话
拨打电话
邮箱
复制到剪切板
微信
复制到剪切板

查看所有联系人

下载铅笔道APP
下载铅笔道APP
下载铅笔道APP
下载铅笔道APP
关闭二维码