俗語說，進攻是最好的防御。在企業安全中，沒有比這句話更真實貼切的了。搶在黑客之前發現漏洞可以防止災難性數據泄露，避免對公務業務和信譽產生重大打擊。

大多數企業都是采用如下兩種方式中的一種：其一，人工的，由人來測試潛在的弱點；其二，自動的，由漏洞掃描器濾出網絡中潛在的漏洞。但單獨使用這兩種方法都不能保證完全有效。

“當今的漏洞解決方案有缺陷。有些是以人為中心，定點兒進行滲透測試，受測試員自身技術水平和測試計劃時間線的限制較大。其他的則完全依賴于掃描器技術，讓已經很緊張的IT部門再被重報、誤報、不均衡的質量水平和成千上萬需要人工審核的提交給淹沒，”Synack首席技術官馬克·庫爾表示。

Synack，一家前國家安全局的分析人員成立的公司，創始人兼現任首席執行官是前國家安全局分析師杰·卡普蘭，他和庫爾采取了結合人機兩種方法優勢的新途徑來解決這一問題：將漏洞評估眾包給Synack紅隊（SRT）和Hydra技術。

SRT是由全球獨立安全研究專家組成的團隊，利用他們的技術和專業知識以及尖端科技發現潛在脆弱點。Hydra技術則持續掃描客戶網絡漏洞并將威脅情報報告給內部安全團隊和SRT。

眾包安全

卡普蘭認為，該創意在于眾包安全可以利用最佳思維、最佳技術和最佳實踐呈現關于潛在漏洞的客觀視圖并快速有效地修復它們。

SRT成員都是網絡安全業界精英，在加入SRT之前都要經過廣泛細致的背景調查和篩選。篩選過程緊張而富挑戰性，候選人通過率僅有大約10%。SRT成員以自由職業者的方式工作，很多人的正職是其他IT公司的安全人員。他們的薪水按件支付，發現一個漏洞并為客戶修復便計入薪酬。

這就是眾包安全情報。這一模型下，客戶的資產能得到持續的安全覆蓋，客戶能得到自身安全態勢的多元化客觀認知。我們討論的不是一兩個人而是由上百人組成的團隊持續不斷地尋找威脅。

Synack的私有“漏洞獎勵”模型崇尚匿名性。出于保密義務，Synack不公開其客戶名單，但卡普蘭稱，該公司每季度財富500強客戶增長率超過300%。

“我們預期可能會有個‘客戶培育’和‘清除進入壁壘’的過程，但卻發現即使是來自監管最嚴格最保守行業的公司也在踴躍采納Synack。”

Hydra技術

當然，即使有成百上千個專職的安全專業人士，要實時地對每一個可能的漏洞做出反應也是不夠快的。網絡、軟件和應用都太復雜了，黑客自然也是很聰明的，尤其是在大企業環境下這兩點特別突出。Synack將新技術Hydra結合SRT團隊和客戶內部安全，三者協同工作以加速大范圍的威脅識別過程并做到迅速修復。

Hydra的持續監視功能被設計為與SRT測試過程的偵查階段無縫銜接，令他們可以在不影響質量的情況下對大企業的所有資產進行更快更深入的測試。這一對人力和機器的優化組合是與企業每天面對的現實威脅進行戰斗的獨特方法，戰略性地凸顯出“研究人員利用先進的技術手段應對資深黑客威脅”的一種解決方案。

Hydra平臺提供的三種功能——主機監視、Web應用分析和手機應用分析，均將分階段推出。主機監視功能已于上月向Synack客戶開放，Web和手機測試功能將于2016上半年推出。Hydra技術以SaaS方式提供，客戶沒必要安裝任何實體或虛擬的設備，不用部署任何軟件，也不用購買和維護任何硬件基礎設施。

“我們的客戶已經見識到了擁有這些研究人員為他們工作的價值，但我們開始對怎樣有效將此服務推向復雜龐大的企業群體并保持SRT的富有成效發出了疑問。有了Hydra，我們就既可以利用人類經驗和技術的深度和廣度，又可以依賴機器執行重復性任務，讓安全工作開展得快速有效。”

Synack關鍵詞

1. 安全眾包平臺

同時提供“安全即服務”（SECaaS）產品，企業只需要支付一定月費，就能享受持續的安全情報服務，對接企業和全球范圍的白帽，幫助企業解決安全問題。

2. 漏洞獎勵

Synack還運營著一個高水準的企業漏洞獎金計劃，與全球頂尖安全專家和白帽子簽署合同，為發現漏洞的簽約專家支付漏洞獎金。

3. 融資

Synack今年2月完成2500萬美元融資。