“威客众测”获2000万人民币preA轮融资：除了养一群白帽子挖漏洞，企业信息安全还有更多玩法

一开始见到“威客众测”这个产品时，我以为它和36氪之前报道过的Bugcrowd、乌云众测是一样的：用众包模式为企业客户寻找漏洞，简单点说，就是在社区里聚集一群白帽子，让这些白帽子解决企业提出的安全检测需求。

但和联合创始人陈新龙聊天的过程中，我发现威客众测更多的是想围绕“安全”讲一个大平台的故事。

在这个平台上，“众测”是一个面向市场的切入点，而且它能提供的服务类型要比普通的白帽社区更加丰富。

面向企业客户的众测

在设计众测产品的模型时，陈新龙认为“可信”是非常关键的一个原则，安全众测应从企业客户自身权益出发，让他们相信众测的可靠性和安全性。之所以强调这一点是因为企业客户面对众测这类安全服务时往往有一个顾虑：自己公司的漏洞会不会被公开或半公开披露，对企业信誉以及安全造成严重危害？

为了解决企业客户的这个痛点，陈新龙把发现漏洞的工作人员分为了四个阶层，从上而下信任程度逐渐增强：

• 第一层是最基础的白帽子，来自于全国各地的信息安全产品和服务厂商、事业单位、互联网公司，以及高校学生等等。这些白帽子经过平台的认证，拥有单独的散兵作战能力，企业客户在平台上发布众测项目，平台把这些白帽子的散兵力量聚集起来进行安全测试与漏洞挖掘，测试时间结束后，根据测试结果为白帽子结算奖金；
• 第二层是安全战队，即某些白帽子自发集合成的小团队，相比单独的个体来说战斗力更强一些，同时战队的形式也能增加企业对众测过程的可信程度。目前平台上有549个这样的战队；
• 第三层是企业战队，可以理解成提供安全服务的厂商，有125家。这些入驻厂商战队更加专业，可以进一步保证企业客户对众测过程的可信程度；
• 第四层是平台自己的一个威客行为监控系统，这个监控系统可以对白帽子渗透测试的全过程进行监控和审计，出现非法操作时可以直接进行终止。

四个不同层级的设计能够让企业客户根据自身的状况寻找最合适的漏洞检测方案，同时保证测试过程的安全可信。

面向销售的众测

威客众测除了直接向企业客户提供安全服务，还有针对销售人员的产品。

按照安全领域传统的方式，企业客户和安全厂商之间一般会直接对接安全类的服务。提供加固产品和服务的安全厂商通常设立专门的销售岗位去pitch潜在客户，而这些销售为了业绩必须使出浑身解数去获取客户。

但普通的企业客户安全意识不强，往往会自信自己的系统是非常安全的，不需要这类服务。这和推销保险时遇到的情况差不多。

因此，销售为了证明自己公司的实力强、产品好，常常免费为企业做信息安全预评估来证明实力。这时销售要向自己的公司申请白帽子资源，而公司白帽子资源是有限的，而且成本比较高，不可能满足每一个销售的需求。

借助威客众测，销售人员在拿到企业授权的情况下，可以在平台上发布一个漏洞需求，调用平台上的白帽子资源为客户提供信息安全预评估，从而更快地拉到客户。

媒体

有意思的是，威客众测还有自己的媒体平台，名为“圈里圈外”。这个平台主要提供信息安全领域的相关资讯和新闻报道。陈新龙告诉36氪，他们在安全领域用娱乐新闻的方式在做媒体，一来比较好玩，二来可以更好的传播信息安全相关的讯息。

在众测和销售这两块内容之外，媒体的补充让人很容易发现“威客众测”更多的是想围绕“安全”做一整个生态圈的事。媒体不仅可以在现阶段普及安全领域的相关内容，提高企业客户对自身产品和服务系统的安全意识，还能在今后成为平台上的一个入口，为众测和其他安全服务带来更多的流量和项目。

乙方出身

聊到团队的时候，陈新龙表示，威客众测的团队，相比那些BAT背景的创业团队而言，可能并不是那么亮眼。团队的主要成员来自于各大传统安全厂商，长期属于安全领域的乙方角色。但陈新龙认为这种乙方角色的出身，对于威客众测在做的事情其实是更有利的。

“因为我们在创业之前一直是一个乙方的角色，长期和企业的安全服务直接打交道，所以我们其实更了解他们（企业客户）的想法，知道他们面对安全服务时的顾虑。另一方面，安全厂商们的痛点我们也很清楚，所以也才有了为销售人员设计的那种模式。我们也做了移动版的APP，让销售人员拿到企业授权的过程变得更简单。这些细节上的设计，都得益于以前的工作背景。”陈新龙说。

乙方背景的出身还让威客众测平台设计了一种网络安全的“请愿”模式。在这种模式下，白帽子提交一些已发现的厂商安全问题漏洞，威客众测平台可以作为“中间人”与厂商联系协调把请愿项目敦促成安全检测项目，在保证白帽子利益的同时解决企业的信息安全问题。

“全民请愿可以让人们知道某个企业自身的安全状况，让民众清楚自己的互联网财产与个人相关信息安全。而且这对企业来说也是好事。比如，那些做金融P2P的公司借着民众的“请愿”可以解决自身的安全隐患，同时也能让用户更放心把钱投到自己的平台上。这种模式其实也开辟了一种政府、全民监管的新渠道。”陈新龙这样告诉36氪。

值得一提的是，除了众测、找安全厂商做外包，微软、Google这类大公司通常会在内部建设自己的Bug Bounty Program model，也就是漏洞打赏机制，用来检测自己软件或产品的安全性和可靠性。

安全圈的阿里巴巴、一品威客

在采访的结尾，我问陈新龙，威客众测下一步的打算是什么？陈新龙告诉我，在现有的这类B2B产品之外，威客众测未来还会陆续在平台上推出新的模式和安全服务，完善在安全领域方面的生态系统建设。

“用一句话描述你们想做的事情？”我补充道。

“我之前跟别人提过的一个说法是，我们就像安全领域的一品威客。或者说，是安全领域的阿里巴巴，让天下没有难做的安全生意”，陈新龙想了想说，“当然，我们未来更多的是想让人们一提到安全，就会想到威客众测。”

目前，威客众测平台3.0版本已经正式上线。团队近日完成了一笔2000万人民币的preA轮融资，来自于如山创投，厚持资本，华立暾澜，中南暾澜。威客众测此前完成的天使轮则来自于“滴滴打车”的天使投资人王刚和日升天信董事长。