斗象科技近期拿到了7000萬元人民幣的B輪投資，在國內企業(yè)信息安全檢測領域，這筆融資并不算小。企業(yè)級信息安全領域跑出的公司越來越多，為企業(yè)“找互聯(lián)網(wǎng)漏洞”生意的背后，看起來已經(jīng)形成了個“互聯(lián)網(wǎng)信息安全”的小風口。

舉一個例子，F(xiàn)acebook和twitter的信息安全業(yè)務，都托管給了美國一家叫Hackerone的安全眾測平臺來完成。而這家公司已經(jīng)完成了B輪2500萬美金的融資。斗象科技的“漏洞盒子”可以看成是中國版的Hackerone，類似的平臺還有早先的烏云眾測、威客眾測、白帽眾測，此外傳統(tǒng)企業(yè)信息安全公司如綠盟和to C 的360科技，也都在開展這方面的業(yè)務。

斗象科技的B輪投資方是銀杏谷資本、嘉銘資本、張江科投、金浦資本以及線性資本。他們在2015年曾拿到過金浦資本領投，線性資本跟投的3000萬元人民幣A輪融資。這家最早在2014從互聯(lián)網(wǎng)安全愛好者社區(qū)的起家的互聯(lián)網(wǎng)安全公司，目前已經(jīng)過渡到了企業(yè)級“信息安全檢測”的業(yè)務。而這個業(yè)務的背后，可能是個千億級的市場。

根據(jù)《信息安全產(chǎn)業(yè)發(fā)展白皮書（2015版）》，國內信息安全市場從2013年到2016年基本上呈現(xiàn)線性上升的趨勢。2013年的國內信息安全的市場規(guī)模在300億左右，在2016年整個信息安全市場容量達到2000億左右，主要集中在政府、運營商、金融、電商、游戲等細分領域。而2016年國家層面信息安全的政策落地，讓企業(yè)信息安全的預算越來越大。

斗象科技目前由三部分組成，其中互聯(lián)網(wǎng)安全社區(qū)和媒體Freebuf是平臺的基礎，社區(qū)的用戶沉淀出的大部分“白帽子”資源，為公司的企業(yè)安全眾測平臺“漏洞盒子”輸出專家資源。而這種安全檢測沉淀的業(yè)務資源，則為公司的安全監(jiān)控與風險分析系統(tǒng)“網(wǎng)藤風險感知”提供技術支持。

如果“漏洞盒子”是以“白帽子”的“人”為基礎，提供一個連接“信息安全專家”和企業(yè)的平臺。那么“網(wǎng)藤風險感知”則是一個以人工智能為基礎，做的一個SaaS級別的企業(yè)安全監(jiān)控和分析工具。

斗象科技這種從“信息安全檢測”切入的公司，目前可能還不是這一市場的主流。傳統(tǒng)的從硬件和“防火墻”角度做信息安全架構的公司—如綠盟、思科、啟明星，仍然占據(jù)著這個市場大部分份額。他們在從底層系統(tǒng)層面，為企業(yè)做漏洞檢測、代碼審計和應急服務等業(yè)務。

但這種從“布防”角度做企業(yè)信息安全已經(jīng)越來不能滿足企業(yè)的需求，近期“裸條”、“電信數(shù)據(jù)泄漏”等信息安全漏洞頻發(fā)，讓斗象科技這種從應用層面、找信息安全漏洞的模式，越來越成為企業(yè)級信息安全的剛需。他們的技術方法，大都以“白帽子”為主力軍，通過各種不同的檢測邏輯找到企業(yè)的安全漏洞。

而業(yè)務模式，則主要以“安全眾測”平臺為基礎，平臺提供企業(yè)安全檢測的“任務包”，白帽子發(fā)揮自己技術優(yōu)勢找到企業(yè)app獲網(wǎng)頁的信息漏洞，按效果計費。按照斗象科技聯(lián)合創(chuàng)始人兼CEO袁勁松的表述，用“共享經(jīng)濟”做企業(yè)應用層面的安全檢測，看起來比傳統(tǒng)的安全檢測更為奏效。

袁勁松認為這種“共享經(jīng)濟”的核心在于信任，企業(yè)需要對平臺和“白帽子”給予充分信任，而這種信任的基礎，一方面在于白帽子的技術水平，另一方面則在于平臺對于“白帽子”的“審核準入”和“實施期間的風控”。這兩點都是眾多安全眾測平臺的核心競爭點之一。

在白帽子資源方面，斗象科技已經(jīng)沉淀了35000個“白帽子”資源，其中大部分來源于Freebuf社區(qū)。社區(qū)一方面利用媒體和社區(qū)的優(yōu)勢，吸引了大部分白帽子資源，另一方面，也通過培訓和“漏洞檢測”大賽的模式，提高白帽子的技術水平。

在進入“漏洞盒子”專家?guī)旆矫?，平臺設置了四層風控體系，包括遠程面試（專門審核人員）、基本考核、背景調查（過去的安全紀錄）和專家協(xié)議等角度進行審核風控。而在任務執(zhí)行中，也通過流量審計的方式，全面監(jiān)控白帽子的行為，以防“網(wǎng)絡黑產(chǎn)”的發(fā)生。當然，平臺方面需要和企業(yè)簽訂類似這樣的責任協(xié)議，以防止企業(yè)級安全事件的發(fā)生。

目前，斗象科技已經(jīng)和400家（期）公司實施了類似的安全檢測服務，其中主要分為四類。一是互聯(lián)網(wǎng)公司，如騰訊和攜程；二是金融機構，包括銀行、支付工具和證券公司等；第三類則是國家級別的政府和網(wǎng)絡運營商，比如公安部、政府和上海移動等。最后一類則是物聯(lián)網(wǎng)領域的公司，包括手表、手環(huán)、車聯(lián)網(wǎng)廠商等。

相對來說，這種對用戶安全具有較大風險的公司，對安全檢測的需求更為迫切。

就目前來看，大部分政府和國企仍然采取和傳統(tǒng)的互聯(lián)網(wǎng)安全公司，如綠盟、啟明星等公司合作，來提供相對“正統(tǒng)”的代碼檢測等服務。“白帽子”的安全眾測勢必帶有某些“野路子”的意思，對于平臺來說，一方面要保證白帽子的穩(wěn)定性和技術水平，另外一方面，也要為企業(yè)級別的安全做更多的管控和保障。而這是考驗包括斗象科技在內的多家做安全眾測公司的核心挑戰(zhàn)。

目前公司團隊在70人左右，大部分在研發(fā)領域。創(chuàng)始人袁勁松早先任職于綠盟、百度和攜程，公司也有來自阿里、華為、CheckPoint、思科等公司的團隊。

斗象科技近期拿到了7000萬元人民幣的B輪投資，在國內企業(yè)信息安全檢測領域，這筆融資并不算小。企業(yè)級信息安全領域跑出的公司越來越多，為企業(yè)“找互聯(lián)網(wǎng)漏洞”生意的背后，看起來已經(jīng)形成了個“互聯(lián)網(wǎng)信息安全”的小風口。

舉一個例子，F(xiàn)acebook和twitter的信息安全業(yè)務，都托管給了美國一家叫Hackerone的安全眾測平臺來完成。而這家公司已經(jīng)完成了B輪2500萬美金的融資。斗象科技的“漏洞盒子”可以看成是中國版的Hackerone，類似的平臺還有早先的烏云眾測、威客眾測、白帽眾測，此外傳統(tǒng)企業(yè)信息安全公司如綠盟和to C 的360科技，也都在開展這方面的業(yè)務。

斗象科技的B輪投資方是銀杏谷資本、嘉銘資本、張江科投、金浦資本以及線性資本。他們在2015年曾拿到過金浦資本領投，線性資本跟投的3000萬元人民幣A輪融資。這家最早在2014從互聯(lián)網(wǎng)安全愛好者社區(qū)的起家的互聯(lián)網(wǎng)安全公司，目前已經(jīng)過渡到了企業(yè)級“信息安全檢測”的業(yè)務。而這個業(yè)務的背后，可能是個千億級的市場。

根據(jù)《信息安全產(chǎn)業(yè)發(fā)展白皮書（2015版）》，國內信息安全市場從2013年到2016年基本上呈現(xiàn)線性上升的趨勢。2013年的國內信息安全的市場規(guī)模在300億左右，在2016年整個信息安全市場容量達到2000億左右，主要集中在政府、運營商、金融、電商、游戲等細分領域。而2016年國家層面信息安全的政策落地，讓企業(yè)信息安全的預算越來越大。

斗象科技目前由三部分組成，其中互聯(lián)網(wǎng)安全社區(qū)和媒體Freebuf是平臺的基礎，社區(qū)的用戶沉淀出的大部分“白帽子”資源，為公司的企業(yè)安全眾測平臺“漏洞盒子”輸出專家資源。而這種安全檢測沉淀的業(yè)務資源，則為公司的安全監(jiān)控與風險分析系統(tǒng)“網(wǎng)藤風險感知”提供技術支持。

如果“漏洞盒子”是以“白帽子”的“人”為基礎，提供一個連接“信息安全專家”和企業(yè)的平臺。那么“網(wǎng)藤風險感知”則是一個以人工智能為基礎，做的一個SaaS級別的企業(yè)安全監(jiān)控和分析工具。

斗象科技這種從“信息安全檢測”切入的公司，目前可能還不是這一市場的主流。傳統(tǒng)的從硬件和“防火墻”角度做信息安全架構的公司—如綠盟、思科、啟明星，仍然占據(jù)著這個市場大部分份額。他們在從底層系統(tǒng)層面，為企業(yè)做漏洞檢測、代碼審計和應急服務等業(yè)務。

但這種從“布防”角度做企業(yè)信息安全已經(jīng)越來不能滿足企業(yè)的需求，近期“裸條”、“電信數(shù)據(jù)泄漏”等信息安全漏洞頻發(fā)，讓斗象科技這種從應用層面、找信息安全漏洞的模式，越來越成為企業(yè)級信息安全的剛需。他們的技術方法，大都以“白帽子”為主力軍，通過各種不同的檢測邏輯找到企業(yè)的安全漏洞。

而業(yè)務模式，則主要以“安全眾測”平臺為基礎，平臺提供企業(yè)安全檢測的“任務包”，白帽子發(fā)揮自己技術優(yōu)勢找到企業(yè)app獲網(wǎng)頁的信息漏洞，按效果計費。按照斗象科技聯(lián)合創(chuàng)始人兼CEO袁勁松的表述，用“共享經(jīng)濟”做企業(yè)應用層面的安全檢測，看起來比傳統(tǒng)的安全檢測更為奏效。

袁勁松認為這種“共享經(jīng)濟”的核心在于信任，企業(yè)需要對平臺和“白帽子”給予充分信任，而這種信任的基礎，一方面在于白帽子的技術水平，另一方面則在于平臺對于“白帽子”的“審核準入”和“實施期間的風控”。這兩點都是眾多安全眾測平臺的核心競爭點之一。

在白帽子資源方面，斗象科技已經(jīng)沉淀了35000個“白帽子”資源，其中大部分來源于Freebuf社區(qū)。社區(qū)一方面利用媒體和社區(qū)的優(yōu)勢，吸引了大部分白帽子資源，另一方面，也通過培訓和“漏洞檢測”大賽的模式，提高白帽子的技術水平。

在進入“漏洞盒子”專家?guī)旆矫妫脚_設置了四層風控體系，包括遠程面試（專門審核人員）、基本考核、背景調查（過去的安全紀錄）和專家協(xié)議等角度進行審核風控。而在任務執(zhí)行中，也通過流量審計的方式，全面監(jiān)控白帽子的行為，以防“網(wǎng)絡黑產(chǎn)”的發(fā)生。當然，平臺方面需要和企業(yè)簽訂類似這樣的責任協(xié)議，以防止企業(yè)級安全事件的發(fā)生。

目前，斗象科技已經(jīng)和400家（期）公司實施了類似的安全檢測服務，其中主要分為四類。一是互聯(lián)網(wǎng)公司，如騰訊和攜程；二是金融機構，包括銀行、支付工具和證券公司等；第三類則是國家級別的政府和網(wǎng)絡運營商，比如公安部、政府和上海移動等。最后一類則是物聯(lián)網(wǎng)領域的公司，包括手表、手環(huán)、車聯(lián)網(wǎng)廠商等。

相對來說，這種對用戶安全具有較大風險的公司，對安全檢測的需求更為迫切。

就目前來看，大部分政府和國企仍然采取和傳統(tǒng)的互聯(lián)網(wǎng)安全公司，如綠盟、啟明星等公司合作，來提供相對“正統(tǒng)”的代碼檢測等服務。“白帽子”的安全眾測勢必帶有某些“野路子”的意思，對于平臺來說，一方面要保證白帽子的穩(wěn)定性和技術水平，另外一方面，也要為企業(yè)級別的安全做更多的管控和保障。而這是考驗包括斗象科技在內的多家做安全眾測公司的核心挑戰(zhàn)。

目前公司團隊在70人左右，大部分在研發(fā)領域。創(chuàng)始人袁勁松早先任職于綠盟、百度和攜程，公司也有來自阿里、華為、CheckPoint、思科等公司的團隊。